Adattovábbítás az EU-ból az USA-ba – új remény?

Adatvédelem , ,
  1. A GDPR alapján harmadik országba vagy nemzetközi szervezetnek csak akkor továbbítható személyes adat, ha annak kezelése nemcsak az adattovábbító, hanem a fogadó oldalán is kellően biztonságos. E követelmény megvalósulását az adatkezelők az adattovábbítás megkezdését megelőzően kötelesek megvizsgálni.

A GDPR alapján a következő esetekben szabad harmadik országba vagy nemzetközi szervezethez adatot továbbítani:

  • Az EU Bizottsága („Bizottság”) ún. megfelelőségi határozatokban megállapíthatja, hogy a fogadó ország, annak releváns területe vagy ágazata biztosítja, hogy a hozzájuk érkező személyes adatokat legalább a GDPR által elvárt mértékben kezelik. Megfelelőségi határozat esetén az adattovábbításhoz nincs szükség külön engedélyre.[1]
  • Megfelelőségi határozatok hiányában adattovábbítás kizárólag akkor lehetséges, ha a harmadik országbeli adatkezelő vagy adatfeldolgozó megfelelő garanciát nyújt (azzal a többletfeltétellel, hogy az érintetteknek érvényesíthető jogokat és hatékony jogorvoslati lehetőségeket álljanak rendelkezésére).[2] Ilyen garanciáknak minősülnek például az adott vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja által elfogadott és az illetékes felügyeleti hatóság által jóváhagyott kötelező erejű vállalati szabályok.[3]
  • Megfelelőségi határozatok és megfelelő garanciavállalás hiányában adattovábbítás kizárólag egyes, a GDPR 49. Cikkében felsorolt feltételek teljesülése esetén kerühet sor.
  • Külön szabályok vonatkoznak a harmadik ország bíróságának vagy közigazgatási hatóságának személyes adatok továbbítását előíró döntése kapcsán történő adattovábbítás feltételeire.[4]
  1. Az adatkezelők számára a megfelelőségi határozatok alapján történő adattovábbítás tehát viszonylag egyszerű megoldást kínál a megfelelésre.

Ugyanakkor már két, az EU és az USA közötti adattovábbítások megfelelőségi határozattal történő rendezésére tett kísérlet is elbukott. Az ún. „Biztonságos Kikötőt” (Safe Harbour) követte az ún „Adatvédelmi Pajzs” (Privacy Shield), amelyet a 2020-ban meghozott „Schrems II.”-döntés[5] torpedózott meg. E döntés szerint ugyanis lényegében az USA nem nyújtott megfelelő védelmet az EU-ból származó személyes adatoknak. Így különösen:

  • Az USA nemzetbiztonsági szolgálatainak az ilyen személyes adatokhoz való hozzáférését nem korlátozták kellőképpen, és
  • Az érintetteknek nem állt rendelkezésére hatékony eszköz a jogaik védelmére az amerikai hatóságokkal szemben.

Ha belegondolunk, hogy egyebek mellett olyan jelentős amerikai cégek, cégcsoportok által kezelt töméntelen mennyiségű személyes adatot érint ez a probléma, mint pl. a Meta, Apple, Microsoft vagy a Google, érthető, hogy jelentős lenne az igény a megfelelés megkönnyítésére.

  1. A korábbi problémák orvoslására 2022. október 7-én az USA (Joe Biden) elnöki rendeletben különösen:
  • Az amerikai nemzetbiztonsági szolgálatoknak az EU-ból származó személyes adatokhoz való hozzáférését a nemzetbiztonság biztosításához szükséges és arányos mértékűre korlátozta,
  • A fentiek biztosítására adatkezelési követelményeket támasztott és felelősségi köröket jelölt ki,
  • A nemzetbiztonsági szolgálatokat a megfelelés biztosítása érdekében új eljárásrend kidolgozására kötelezte, illetve
  • Többrétegű jogvédelmi mechanizmust biztosított, és az érintetteknek egy erre szolgáló új jogorvoslati fórumot, bíróságot (Data Protection Review Court) hozott létre.[6]
  1. Az elnöki rendeletre tekintettel 2022. december 13-án a Bizottság közzétette a legújabb megfelelőségi határozat tervezetét (Draft Adequacy Decision)[7], ami lényegében kimondja, hogy:
  • Az elnöki rendelet által létrehozott ún. „Adatvédelmi Keret Listán” (Data Privacy Framework List) szereplő amerikai szervezetek megfelelő védelmi szintet (adequate level of protection) biztosítanak az általuk kezelt személyes adatok tekintetében;
  • Az EU-tagállamok felügyeleti hatóságai kötelesek értesíteni a Bizottságot, ha a GDPR szerinti jogkörükben az új megfelelőségi határozat alá tartozó adattovábbítások tekintetében járnak el;
  • A Bizottság folyamatosan monitorozza az új megfelelőségi határozat által érintett jogi keretek betartását;
  • A Bizottság és a Tagállamok kölcsönösen tájékoztatják egymást, ha adott visszásságot tapasztalnak az amerikai hatóságok részéről az új megfelelőségi határozatban foglaltakkal kapcsolatban;
  • A Bizottság rendszeresen (az EU-tagállamokkal történő közléstől számított első év végén, majd négyévente) értékeli az új megfelelőségi határozat végrehajtását;
  • A Bizottság értesíti az amerikai hatóságokat, ha úgy ítéli meg, hogy a megfelelő védelmi szintet nem biztosítják. Ha ilyen esetben szükséges, vagy ha a Bizottság az amerikai hatóságok együttműködésének hiánya miatt nem tudja megítélni, hogy azok a megfelelő védelmi szintet nem biztosítják-e, a Bizottság az új megfelelőségi határozatot felfüggesztheti, módosíthatja, hatályon kívül helyezheti vagy a terjedelmét korlátozhatja.
  1. Az új megfelelőségi határozat előnye tehát az lehet, hogy az adatkezelők szabadon továbbíthatják az európai érintettek adatait az USA-ban található és az „Adatvédelmi Keret Listán” szereplő adatkezelőknek, adatfeldolgozóknak – immár megfelelő biztosítékok mellett.

A tervezet véglegesítését még többoldalú egyeztetés fogja megelőzni. Az új megfelelőségi határozat tagállamokkal történő közlése ezt követően, előreláthatólag 2023. első felében várható. Így, ha az USA-ba kívánnak személyes adatot továbbítani, az adatkezelők egyelőre a többi fenti opció közül választhatnak.

Dr. Tivadar Krisztián

Photo credit: pexels.com

Jelen cikk kizárólag általános tájékoztatás céljából készült, nem minősül jogi tanácsadásnak, nem használható jogi szakvéleményként vagy állásfoglalásként. Bár mindent megteszünk a pontos, naprakész tájékoztatás érdekében, a cikkben szereplő információk teljessége, pontossága vagy naprakészsége vonatkozásában a jogszabályi környezet és joggyakorlat esetleges változására is tekintettel felelősséget nem vállalunk. Az itt közölt információk nem hoznak létre ügyfél-ügyvéd viszonyt a honlaplátogató-olvasó és a Tivadar Ügyvédi Iroda között. Amennyiben konkrét ügyben szeretné a segítségünket kérni, a lenti elérhetőségeken keresztül állunk szíves rendelkezésére.

 

[1] GDPR 45. Cikk

[2] GDPR 46. Cikk

[3] GDPR 47. Cikk

[4] GDPR 48. Cikk

[5] Az Európai Unió Bíróságának a C‑311/18. sz. ügyben hozott ítélete- https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=HU

[6] Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/), illetve sajtóközlemény erről: https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

[7] Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework – https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en