Az EU Bírósága érvénytelenítette az EU-USA adatvédelmi pajzsot

JOG

Nyomtatás
Forrás: Noguchi

Címkék: Európai Bíróság, GDPR, adatvédelem, USA


"Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok továbbításának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd" - hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője. 

Az Európai Unió Bírósága érvénytelennek nyilvánította az EU-USA adatvédelmi pajzsot (Privacy Shield), mivel nem biztosít megfelelő szintű védelmet az Egyesült Államokba történő adattovábbításoknál – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda. A Schrems II ügyben a Bíróság arról is döntött, hogy az adatkezelők továbbra is továbbíthatnak adatot harmadik országokba az Európai Bizottság által jóváhagyott általános szerződési feltételek keretében. Az érintett adatkezelőknek át kell tekinteni az Egyesült Államokba továbbított adatok folyamatának garanciáit és felülvizsgálni azok kockázatait a jogszerűség biztosítása érdekében. A Bizottság által elfogadott általános szerződési feltételek továbbra is alkalmazhatók. 

A 2020. július 16-án hozott ítéletében a Bíróság a döntését arra alapozta, hogy az USA nemzetbiztonsági szolgálatai hozzáférhetnek uniós polgároknak az Egyesült Államokban található szervereken tárolt személyes adataihoz nemzetbiztonsági célból. A Bíróság megállapította, hogy általánosságban véve az adatvédelmi pajzs szabályrendszere az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít. Emellett az Egyesült Államok joga nem teljesíti a GDPR által elvárt arányosság elvét, mivel a jogszabályok által lehetővé tett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az uniós polgárokat védő GDPR garanciák tovább sérültek azáltal, hogy az Egyesült Államokban előírt ombudsmani jogorvoslati rendszer nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat. Az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, mivel a GDPR 49. cikkében foglaltak megfelelően alkalmazhatók az adattovábbítás jogszerűségének biztosítására. 

Nem változnak a szerződési feltételek

A Bíróság döntése szerint a Bizottság által az adatfeldolgozók vonatkozásában elfogadott általános szerződési feltételek bizonyos esetekben továbbra is alkalmazhatóak, mivel az Unióban biztosított védelem szintjével megegyező védelmet garantálnak. Az adatfeldolgozói szerződési feltételekkel szemben a külföldi adatkezelők részére történő adattovábbítások során használt általános szerződési feltételek érvényességéről a Bíróság a Schrems II ügyben nem döntött. 

Hogyan tovább?

„Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok továbbításának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd” – hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője. 

Kötelező erejű vállalati szabályok (BCR): az adattovábbítók a tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül információtovábbítási mechanizmust alakíthatnak ki. Az eszköz előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya ugyanakkor, hogy nem terjed ki a beszállítók vagy más, cégcsoporton kívüli szerződéses partnerek vonatkozásában megvalósuló adattovábbításra. 

Általános szerződési feltételek: Az adattovábbítók a továbbítás igazolására a jövőben is hivatkozhatnak az általános szerződési feltételekre, ugyanakkor a Bíróság ítélete nyomán ezután fokozott felelősség terheli őket annak felmérésében, hogy az adott harmadik ország joga tiszteletben tartja-e az EU által garantált védelmi szintet. Ezen kötelezettség keretében az adattovábbítónak esetről esetre vizsgálnia kell egyrészt az adott harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban a levont következtetéseit szükség szerinti igazolnia is tudni kell. Az egyes adattovábbítások függvényében mindez tehát jelentős ráfordítást, valamint adminisztratív terhet róhat az adattovábbítókra. Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak, értékelésük függvényében ugyanakkor az is előfordulhat, hogy amíg egyik adatvédelmi hatóság az adott harmadik ország tekintetében megállapítja a védelem megfelelő szintjét, addig más tagállam adatvédelmi hatósága a megfelelőség hiányát is megállapíthatja. Ez az adatvédelmi szabályozás széttöredezésével fenyegethet, illetve cégcsoport szinten akár az adott országba történő adattovábbítás akadályát is jelentheti pusztán azért, mert az adattovábbító két különböző EU-s tagállamból kezdeményezi az adattovábbítást. 

Különleges helyzetekben biztosított eltérések: Az adattovábbítók végső soron a GDPR 49. cikkében foglaltak alapján is továbbíthatnak személyes adatot azzal, hogy ezen eltérések kizárólag ideiglenes jelleggel alkalmazhatóak, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus. 

A BREXIT-re is vonatkozik

Az adatvédelmi pajzsról szóló határozat érvénytelensége kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is, az ICO közleménye szerint az átmeneti időszakban, tehát 2020. december 31-ig a Bíróság döntései vonatkoznak az Egyesült Királyságra is, a GDPR szabályai pedig megfelelően alkalmazandók. 

„A Bíróság döntésére tekintettel az adattovábbítóknak mindenekelőtt javasolt áttekinteni az Egyesült Államokba történő adattovábbításaik garanciáit, felülvizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről gondoskodni az adattovábbítás jogszerűségének biztosítása érdekében. Javasolt továbbá a tagállami adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek a kialakult helyzettel kapcsolatos hivatalos közleményeinek, valamint az általános szerződési feltételek várható módosításainak a nyomon követése” – foglalta össze dr. Kádár Ágnes, a Baker McKenzie adatvédelmi szakértője.

***

MTI: Az uniós bíróság érvénytelenítette az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást

Az Európai Unió Bírósága érvénytelenítette csütörtökön az EU és az Egyesült Államok között létrejött, a személyes adatok továbbítását lehetővé tevő adatvédelmi megállapodást.

A Facebook közösségi portált érintő ítéletében a luxembourgi székhelyű uniós bíróság kimondta, hogy a nemzeti törvényhozóknak szigorúbb intézkedéseket kell tenniük a felhasználói adatok továbbítása terén a magánélet védelme érdekében.

A bírák aggodalmukat fejezték ki amiatt, hogy az úgynevezett adatvédelmi pajzs rendelkezései alapján továbbított adatok "nem korlátozódnak a feltétlenül szükséges információkra" az uniós állampolgárok adatainak amerikai feldolgozásakor. Mint emlékeztettek, az általános adatvédelmi rendelet (GDPR) szerint az érzékeny adatok csak akkor továbbíthatók valamely unión kívüli országba, ha az adott ország ezen adatok számára megfelelő védelmi szintet biztosít. Az adatok továbbítása csak akkor lehetséges, ha az érintettek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.

A bíróság ezzel összefüggésben arra figyelmeztetett, hogy a személyes adatok védelméről szóló amerikai korlátozások nincsenek úgy szabályozva, hogy megfeleljenek az uniós jogban a feltétlenül szükséges mértékű arányosság elve követelményeinek. Az említett amerikai szabályozásból semmilyen módon nem derül ki, hogy léteznének a személyes adatok továbbítását, felhasználását és tanulmányozását érintően a nem amerikaiak számára szóló garanciák.

Kijelentették, az adattovábbítás szabályait felügyelő hatóságok kötelesek felfüggeszteni vagy megtiltani a személyes adatok unión kívüli országba irányuló továbbítását, ha úgy vélik, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be vagy nem lehet őket ott tiszteletben tartani. Illetve akkor, hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható.

Mindezek ismeretében az uniós bíróság kimondta: az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást semmisnek kell tekinteni, mert az adatvédelmi rendelet nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana. Illetve nem hatalmazzák fel az illetékes ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon.

A bíróság ugyanakkor úgy ítélte meg, hogy a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat továbbra is érvényes. Ez azt jelenti, hogy az adatátvitel folytatódó ellenőrzése mellett az EU-nak és az Egyesült Államoknak új rendszert kell kidolgozni, amely biztosítja, hogy az európaiak adatai ugyanolyan védelemben részesüljenek az Egyesült Államokban, mint az unióban.

***

Uniós biztos: az EU azonnal tárgyalásokat kezdeményez az Egyesült Államokkal az adatvédelmi egyezmény megerősítéséről

Az Európai Bizottság azonnal felveszi a kapcsolatot amerikai partnereivel, hogy konstruktív és intenzív munkát kezdeményezzen egy megerősített és tartós adatvédelmi mechanizmus kidolgozása érdekében - közölte Didier Reynders, az Európai Bizottság igazságügyi biztosa Brüsszelben, az uniós bírósági vonatkozó ítéletére reagálva csütörtökön.

Az Európai Unió Bírósága csütörtöki ítéletében érvénytelenítette az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást. A Facebook közösségi portált érintő ítéletében a luxembourgi székhelyű uniós bíróság egyebek mellett azt mondta ki, hogy az amerikai adatvédelmi szabályozás elégtelensége miatt szigorúbb intézkedésekre van szükség az európai felhasználói adatok továbbítása terén a magánélet védelme érdekében.

Reynders sajtótájékoztatóján hangsúlyozta, az Európai Bizottság tanulmányozni fogja a bíróság ítéletét, és fontolóra veszi, hogy miként lehetne még biztonságosabbá tenni az uniós állampolgárok adatainak továbbítását az Egyesült Államokba.

Elmondta, az uniós bizottság már a bírósági határozat meghozatala előtt számos új forgatókönyvet készített az uniós adatvédelmi pajzs megújítására. Az ítélet remények szerint megvilágítja, hogy a szabályozás mely pontjain kell szigorítani az alapvető jogok megerősítéséhez.

Az uniós biztos reményét fejezte ki, hogy az európai törekvéseket "hasonló ambícióval fogadják az amerikai oldalon", és az amerikai adatvédelmi pajzsot használó mintegy ötezer amerikai vállalat mihamarabb áttérhet egy olyan mechanizmusra, amely lehetővé teszi számukra a szükséges az adatok továbbítását az unióból - tette hozzá.

A következő, 2021 után érvényes hétéves költségvetésben és az ahhoz kapcsolódó, a koronavírus-járvány okozta gazdasági és társadalmi károk helyreállítását célzó csomagban, az uniós kifizetések feltételrendszerhez kötését rögzíteni tervezett javaslattal összefüggő kérdésre válaszolva azt mondta, a bizottság fontosnak tartja pénzügyek összekapcsolását a jogállamisági feltételekkel.

Ennek oka nem pusztán az uniós költségvetés általános védelme, hanem az uniós pénzek nem megfelelő felhasználásának kiküszöbölése is - magyarázta.

Vera Jourová, az uniós bizottság értékekért és átláthatóságért felelős alelnöke a sajtótájékoztatón azt mondta, az Európai Bizottság nem kívánja "feláldozni" a pénzek kifizetésének feltételekhez kötésre vonatkozó javaslatát, ugyanis - szavai szerint - az uniós költségvetés nem csak pénzről, hanem az alapértékről is szól. Ennek értelmében a pénteken kezdőd, kétnaposra tervezett uniós csúcstalálkozón a bizottság meg fogja védeni álláspontját, benne a jogállamisági feltétellel és az ügyet érintő, minősített többséget rögzítő szavazási szabályokra vonatkozó javaslatával. A biztos reményét fejezte ki, hogy a tagállamok "megértik" a javaslat fontosságát és támogatják elfogadását.

MIÉRT FIZESSEN ELŐ AZ ÖNADÓZÓRA? 

Az Önadózó újság előfizetési díja csak 1 995 Ft/hó. Mit ad ennyiért Önnek az Önadózó? Önadózó újság havi lapszámai (az előfizetés kezdő hónapjától decemberig, print és elektronikus formátumban) + Ingyenes Jogsegély vonal: dr. Szabó Tibor ügyvéd válaszol telefonon, e-mailben feltett munkajogi, adózási kérdésre  + Online csomag: Számviteli szabályzatok, GDPR Segédlet,  Pénzmosás elleni szabályzat, Gyorskérdés szolgáltatás a honlapon, Segédletek + Mérlegképes és adótanácsadói kreditek + Cégmenedzselés digitális lap elérése. Előfizetni itt lehet: https://www.onadozo.hu/elofizetes-az-ujsagra/ 


Vissza az előző oldalra