skip to Main Content

Schrems II. ítélet, avagy a Privacy Shield halála (1. rész)

Kétrészes cikkünkben összefoglaljuk egyrészt a Schrems II. ítélet főbb megállapításait, másrészt sorra vesszük, hogy a gyakorlatban milyen következményekkel fog járni a döntés az adatkezelésekre. Az ítélet közvetlen következménye a Privacy Shield egyezmény megszűnése, azonban a kérdés nem tisztázott, hogy a jövőben hogyan lehet az USA-ban letelepedett szereplőket bevonni az adatkezelésekbe.

Bevezetés

A GDPR a preambulumbekezdései között rögzíti azon alapvetést, miszerint személyes adatoknak az Unióból harmadik országbeli adatkezelőknek, adatfeldolgozóknak, egyéb címzetteknek vagy nemzetközi szervezetek részére történő továbbítása esetén nem sérülhet a természetes személyeknek az Unióban a GDPR alapján biztosított védelmi szintje.

A GDPR V. fejezete tartalmazza azokat a feltételeket, melyek megfelelő garanciát nyújthatnak a személyes adatokat harmadik országba továbbítani kívánó adatkezelők/adatfeldolgozó részére a megfelelő védelmi szint biztosítása érdekében. Ezen feltételekről korábbi cikkünkben részletesen beszámoltunk.

Főszabály szerint a 45. cikkben foglaltak alapján, vagyis akkor továbbíthatóak harmadik országba személyes adatok, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. A megfelelő védelmi szint meglétét adott ország tekintetében az Európai Bizottság határozatában állapíthatja meg (ún. megfelelőségi határozat).

Az Egyesült Államok tekintetében a Bizottság az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12‑i (EU) 2016/1250 bizottsági végrehajtási határozatban (a továbbiakban: „adatvédelmi pajzs határozat”) úgy ítélte meg, hogy az Egyesült Államok az EU–USA adatvédelmi pajzs (Privacy Shield) keretében az Unióból az öntanúsított egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében biztosít megfelelő szintű védelmet. Vagyis, ha olyan USA-beli szervezet felé történik az adattovábbítás, amely csatlakozott a Privacy Shieldhez, a megfelelő védelmi szint biztosítottnak tekintendő az adatvédelmi pajzs határozat alapján.

Ha nincs megfelelőségi határozat adott harmadik ország esetében, avagy olyan USA-beli címzett részére történik az adattovábbítás, amely nem csatlakozott a Privacy Shieldhez, adattovábbításra kizárólag akkor kerülhet sor, ha az adatkezelő/adatfeldolgozó a 46. cikkben meghatározottak szerint megfelelő garanciákat nyújt, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

Megfelelő garanciát jelent például a gyakorlatban legtöbbet használt Bizottság által elfogadott általános adatvédelmi kikötések (adatkezelő-adatkezelő közötti továbbítás esetén a 2001/497/EK határozat mellékletében, valamint a 2004/915/EK határozat mellékletében, adatkezelő és adatfeldolgozó közötti továbbítás esetén pedig a 2010/87/EU határozat mellékletében található modellszerződés) megkötése az adatátadó és a harmadik országbeli címzett között az adattovábbításra vonatkozóan.

Amennyiben pedig nincs megfelelőségi határozat és megfelelő garancia sem áll rendelkezésre az adattovábbításhoz, úgy a GDPR 49. cikke határozza meg azokat a különös helyzetekben biztosított eltéréseket, amelyek alapján eseti jelleggel sor kerülhet személyes adat harmadik országba történő továbbításra (pl. az érintett kifejezett hozzájárulása alapján).

Az ítélet

Az Európai Unió Bírósága (a továbbiakban: „Bíróság”) a C-311/18. számú, Data Protection Commissioner kontra Facebook Ireland és Maximillian Schrems ügyben előzetes döntéshozatal iránti kérelem tárgyában 2020. július 16-án hozott ítélete (a továbbiakban: „Ítélet”) a fent említett Privacy Shield határozatot érvénytelennek, a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5‑i 2010/87/EU bizottsági határozatot (a továbbiakban: „ÁSZF-határozat”) viszont továbbra is érvényesnek minősíti.

Általános szerződési feltételeken alapuló adattovábbítások kapcsán azonban a Bíróság meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően az adatkezelőnek/adatfeldolgozónak vizsgálni kell ahhoz, hogy igazolni tudja, a GDPR által megkövetelt védelmi szint a személyes adatok a továbbítást követően is biztosított.

Előzmények (Ítélet 50-55. pont)

A Schrems ügy 2013-ban kezdődött, amikor is az osztrák állampolgárságú Maximillian Schrems panaszt nyújtott be az ír felügyeleti hatósághoz, amely arra irányult, hogy a hatóság tiltsa meg a Facebook Ireland számára a személyes adatainak az Egyesült Államokban letelepedett leányvállalata, a Facebook Inc. számára történő továbbítását, arra hivatkozva, hogy az ebben az országban hatályban lévő jog és gyakorlat nem biztosít a területén tárolt személyes adatok számára elégséges védelmet a hatóságok által folytatott megfigyelési tevékenységekkel szemben.

Panaszát első körben az akkor hatályban lévő „Safe Habour” elnevezésű, a Bizottság 2000/520 határozatára hivatkozással utasítottak el, melyben a Bizottság megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít. A „Schrems I” ítéletben később ezen határozatot nyilvánította érvénytelennek előzetes döntéshozatali eljárás keretében a Bíróság, melyre tekintettel Schrems újrafogalmazta panaszát.

Továbbra is fenntartotta, hogy az USA nem nyújt megfelelő védelmet az oda továbbított adatok vonatkozásában és ismét kérte, hogy a hatóság tiltsa meg vagy függessze fel személyes adatainak a Facebook Inc. részére történő továbbítását, melyet immáron a Facebook Ireland az ÁSZF-határozat mellékletében szereplő általános adatvédelmi kikötések alapján végzett. Hivatkozott többek között arra, hogy „az amerikai jog arra kötelezi a Facebook Inc.‑t, hogy a neki továbbított személyes adatokat az amerikai hatóságok, így a National Security Agency (NSA) és a Federal Bureau of Investigation (FBI) rendelkezésére bocsássa. Azt állította, hogy mivel ezeket az adatokat különböző megfigyelési programok keretében a Charta 7., 8. és 47. cikkével összeegyeztethetetlen módon használták fel, az ÁSZF‑határozat nem igazolhatja az említett adatoknak az Egyesült Államokba történő továbbítását” – áll az Ítélet 55. pontjában.

Az ír hatóság eljárást indított a felsőbíróság (High Court) előtt annak érdekében, hogy az előzetes döntéshozatali eljárást kezdeményezzen az Európai Unió Bírósága előtt a kérdés elbírását illetően. Ezen eljárás megindítását követően fogadta el a Bizottság a Privacy Shield határozatot.

Mivel Schrems azt kérte, hogy tiltsák meg vagy függesszék fel személyes adatainak a Facebook Ireland által az Egyesült Államokban letelepedett Facebook Inc. részére történő továbbítását, azzal az indokkal, hogy e harmadik ország nem biztosít megfelelő védelmi szintet, az előzetes döntéshozatali eljárásban a Bíróság vizsgálata mind az ÁSZF-határozat, mind pedig a Privacy Shield érvényességére irányult a tekintetben, hogy az ezek alapján megvalósuló adattovábbítások esetében biztosított-e a GDPR által megkövetelt védelmi szint.

Az adatvédelmi pajzs határozat érvényességének vizsgálata

Az adatvédelmi pajzs határozatban az azt elfogadó Bizottság azt állapította meg, hogy az USA megfelelő szintű védelmet biztosít a pajzs keretében az Unióból azon egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében, amelyeket meghatározott tanúsítási folyamat eredményeképpen az Egyesült Államok Kereskedelmi Minisztériuma nyilvántartásba vett.

Magát a pajzsot a Minisztérium által kibocsátott és a határozat mellékletében ismertetett személyes adatok védelmét biztosító elvek, nyilatkozatok és kötelezettségvállalások alkották, amelyeknek a pajzshoz csatlakozó szervezeteknek alá kellett vetniük magukat. Azonban a határozat azt is kimondja, hogy ezen elvek betartása többek között „a nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek teljesítéséhez szükséges mértékben” korlátozható.

A Bíróság e tekintetben úgy ítélte meg, hogy a Safe Harbourhoz, azaz a korábbi, 2000/520 határozathoz hasonlóan a Privacy Shield határozat is a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki és ezáltal lehetővé teszi a beavatkozást azon érintettek alapvető jogaiba, akiknek az adatait az Unióból az Egyesült Államokba továbbítják.

A Bíróság szerint a személyes adatok védelmének fent említett korlátozásai, azaz az amerikai hatóságok Unióból továbbított személyes adatokhoz való hozzáférési és felhasználási lehetősége nem úgy lett szabályozva az amerikai jogban, hogy azok megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményekkel lényegében azonos követelményeknek, amennyiben e megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak.

A Bíróság a GDPR (104) preambulumbekezdésére tekintettel vizsgálta az amerikai jogrendszerben biztosított jogorvoslati lehetőségeket is, és e körben kiemelte, hogy az Egyesült Államok állami szabályozásából nem következik sem az, hogy létezne az ilyen megfigyelési programok végrehajtására vonatkozó felhatalmazás tekintetében korlátozás, sem az, hogy léteznek az esetlegesen érintett, nem egyesült államokbeli személyek számára szóló megfelelő garanciák. Habár vannak olyan követelmények, amelyeket az amerikai hatóságoknak ezen megfigyelési programok során be kell tartaniuk, a szabályozás nem biztosít az érintett személyek számára az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat.

Mindezekre tekintettel a Bíróság úgy ítélte meg, hogy azzal, hogy a Bizottság az adatvédelmi pajzs határozatban megállapította, hogy az USA megfelelő szintű védelmet biztosít az Unióból a Privacy Shield keretében az ahhoz csatlakozott USA-beli szervezetek részére továbbított személyes adatok tekintetében, megsértette a Európai Unió Alapjogi Chartájának összefüggésben értelmezett GDPR 45. cikkének (1) bekezdéséből eredő követelményeket, hiszen a fentiekben kifejtettekre tekintettel, a GDPR által megkövetelt védelmi szint a Privacy Shield által nem biztosított, ebből következően tehát az adatvédelmi pajzs határozat érvénytelen – derül ki az Ítélet 199-201. pontjaiból.

Az ÁSZF-határozat érvényességének vizsgálata

Előzetes kérdések

A bevezetésben említettek szerint megfelelőségi határozat hiányában a GDPR 46. cikkében foglaltak szerint az adatkezelő vagy adatfeldolgozó harmadik országba személyes adatokat akkor továbbíthat, ha megfelelő garanciákat írt elő, és feltéve, hogy az érintett személyek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Garanciákként – többek között – a GDPR 46. cikk (2) bekezdés c) pontja szerint a Bizottság által elfogadott általános adatvédelmi kikötések szolgálhatnak.

Kérdésként merül fel azonban, hogy azon adatkezelő vagy adatfeldolgozó, aki ilyen ÁSZF használata alapján szeretne adatot továbbítani (gondoljunk akár csak arra az esetre, ha igénybe szeretnénk venni egy nemzetközi felhőszolgáltatót, aki adatainkat harmadik országban lévő tárhelyén tárolja), hogy tud meggyőződni arról, hogy a GDPR által megkövetelt védelmi szint biztosított?

Éppen ez volt az előzetes döntéshozatali eljárást kezdeményező bíróság egyik első kérdése is, nevezetesen azt kérte a Bíróságtól, hogy pontosítsa azokat az elemeket, amelyeket figyelembe kell venni annak meghatározása érdekében, hogy e védelmi szint biztosított‑e a Bizottság által elfogadott ÁSZF-en alapuló adattovábbítással összefüggésben.

A Bíróság megerősítette azt, hogy a GDPR követelményeit, amelyek a megfelelő garanciákra, az érvényesíthető jogokra és a hatékony jogorvoslati lehetőségekre vonatkoznak, úgy kell értelmezni, hogy az érintetteknek, akiknek a személyes adatait általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel kell rendelkezniük e harmadik országban is, amely lényegében azonos a GDPR által az Unióban biztosított védelmi szinttel – áll az Európai Unió Bíróságának hivatalos sajtóközleményében.

És hogy mit kell figyelembe venni a védelmi szint értékelésénél? A szerződéses kikötéseken túl a címzett ország jogrendszerének releváns elemeit is, ide értve azt is, hogy ezen ország hatóságai esetlegesen hozzáférhetnek e a továbbított adatokhoz. (Ítélet 104. pont.)

További előzetes kérdés volt a felügyeleti hatóságok kötelezettsége arra vonatkozóan, hogy amennyiben úgy ítélik meg, hogy az ÁSZF-en alapuló adattovábbítások esetében a címzett harmadik országban e kikötéseket nem tartják be, vagy azokat ott nem lehet tiszteletben tartani és így a továbbított adatok megfelelő védelmi szintje nem biztosított, úgy kötelesek-e felfüggeszteni vagy megtiltani a személyes adatoknak az adott harmadik országba történő továbbítását.

A Bíróság e kérdésre adott válasza igen, az Ítélet szerint „a GDPR 58. cikke (2) bekezdésének f) és j) pontját úgy kell értelmezni, hogy az illetékes felügyeleti hatóság – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – köteles felfüggeszteni vagy megtiltani a személyes adatoknak a Bizottság által elfogadott általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, ha e felügyeleti hatóság az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani – Ítélet 121. pont.

Az ÁSZF-határozat érvényessége

E körben a kérdés kifejezetten arra irányult, hogy az ÁSZF‑határozat alkalmas‑e arra, hogy megfelelő védelmi szintet biztosítson a harmadik országokba továbbított személyes adatok számára, amennyiben az abban előírt általános adatvédelmi kikötések nem kötik e harmadik országok hatóságait.

A Bíróság ennek vizsgálata során ismét rámutatott arra, hogy mindenekelőtt az adatokat továbbítani kívánó „adatkezelőnek vagy adatfeldolgozójának feladata, hogy esetről esetre és adott esetben a továbbítás címzettjével együttműködve ellenőrizze, hogy a célországnak számító harmadik ország joga megfelelő védelmet biztosít‑e az uniós jog tekintetében az általános adatvédelmi kikötések alapján továbbított személyes adatoknak, szükség esetén az e kikötések által biztosított garanciákon felül további garanciákat nyújtva. Ha az Unióban letelepedett adatkezelő vagy adatfeldolgozója nem hozhat az ilyen védelem biztosításához szükséges további intézkedéseket, az adatkezelő, vagy másodlagosan az illetékes felügyeleti hatóság köteles felfüggeszteni vagy megszüntetni a személyes adatoknak az érintett harmadik országba irányuló továbbítását. Ez az eset áll fenn különösen akkor, ha e harmadik ország joga az Unióból származó személyes adatok továbbításának címzettjével szemben olyan kötelezettségeket ír elő, amelyek ellentétesek az említett kikötésekkel, és amelyek ennélfogva megkérdőjelezhetik az említett harmadik ország hatóságainak ezen adatokhoz való hozzáférésével szembeni megfelelő szintű védelem szerződéses garanciáját” – Ítélet 134-135. pont.

A fentiekből következőleg a Bíróság szerint az ÁSZF-határozat érvényességét nem érinti önmagában az, hogy az abban szereplő általános adatvédelmi kikötések szerződéses jellegük miatt nem kötik azon harmadik ország hatóságait, amelybe az adatokat továbbíthatják.

E tekintetben a Bíróság többek között azt emelte ki, hogy az ÁSZF-határozat

• megteremti az adatkezelő és az adattovábbítás címzettje azon kötelezettségét, hogy előzetesen ellenőrizzék, hogy az érintett harmadik országban tiszteletben tartják-e a GDPR által biztosított védelmi szintet,
• a címzettet arra kötelezi, hogy tájékoztassa az adatátadót arról, ha esetleg nem képes eleget tenni az általános adatvédelmi kikötéseknek, és
• adott esetben az adatátadó köteles felfüggeszteni az adattovábbítást és/vagy a címzettel kötött szerződéstől elállni.

Mindezekre tekintettel a Bíróság megállapította, hogy a vizsgálat nem tárt fel olyan tényezőt, amely a határozat érvényességét érintené.

Back To Top