A nemzetközi adattovábbítások világában robbant az időzített bomba!
Az Európai Unió Bírósága a Schrems II ügyben 2020. július 16-án, hét éves huzavona után meghozta az ítéletét, amely egyrészt kérdésessé teszi az USA-ba történő adattovábbításokat, másrészt nagyon elbonyolítja az Európai Gazdasági Térségen (EGT) kívüli, harmadik országba történő adattovábbítást. És ne felejtsük el, hogy az is adattovábbításnak számít, ha vállalatunk tárhely- vagy más néven felhőszolgáltatója egy ilyen országban van! (Korábbi írásainkat Schrems ügyben lásd itt és itt)
Kiket érint a Schrems II ítélet?
A legújabb Schrems-ítélet a vállalkozások széles körét érintheti, hiszen itt nem csak arról van szó, hogy a vállalkozás adatot küld (pl. emailben) egy EGT-n kívüli harmadik országba, hanem arról is, ha a felhőszolgáltató az adatokat harmadik országban tárolja. A vállalkozások gyakran alkalmaznak egyesült államokbeli tárhelyszolgáltatókat, az USA pedig a Schrems II ítélet fényében szintén harmadik országnak minősül.
Melyik ország számít harmadik országnak?
Az EGT tagállamai közé tartoznak az EU tagállamai, valamint Izland, Lichtenstein és Norvégia. A többi ország a Schrems II ítélet alapján harmadik országnak minősül, de vannak kivételek. Az ítélet nem érinti azokat a harmadik országokat, amelyekre nézve az EU Bizottsága határozattal megállapította, hogy az ország személyes adatok kezelése terén megfelelő védelmet biztosít (pl. Japán, Kanada és Argentína). A listát az Európai Bizottság ezen a honlapon frissíti rendszeresen. Ha a listán szereplő országokba továbbítunk adatot, az olyan, mintha a továbbítás Magyarországon belül történt volna, így a GDPR szabályai szempontjából gyakorlatilag teljesen mindegy, hogy Szegedre vagy Japánba továbbítjuk az adatokat.
Mi a helyzet az USA-val?
Az USA a Schrems II ítélet alapján harmadik országnak minősül. Az ítélet ugyanis érvénytelenítette az Adatvédelmi Pajzs jogszabályi keretrendszerét, amely eddig az USA-ba történő adattovábbításokat szabályozta. Ennek fő oka, hogy az USA nemzetbiztonsági szolgálatai hozzáférhetnek minden „átmenő” adathoz az Atlanti Óceán tenger alatti kábelein keresztül.
Hogyan továbbíthatunk adatokat harmadik országba?
Adatkezelőként csak akkor továbbíthatunk személyes adatokat harmadik országba, ha megfelelő garanciákkal lehet biztosítani azt, hogy a harmadik országban az adatok GDPR előírások szerinti védelemi szintje nem sérül. A megfelelő garancia biztosításához számos modell van, ezek közül korábban az alábbi két modellt alkalmazták a leggyakrabban.
Az EU Bizottság által elfogadott Általános Adatvédelmi Kikötések (Standard Contractual Clauses) egy olyan előre kidolgozott szerződésforma, amelyhez felügyeleti jóváhagyás sem szükséges. Ezért ezt a szerződésformát viszonylag gyorsan lehetett alkalmazni.
A másik modell a Kötelező Szervezeti Szabályozás (Binding Corporate Rules). Ennek a modellnek az alkalmazásához felügyeleti jóváhagyás szükséges. Ugyanakkor éppen emiatt költségesebb és időigényesebb is. További probléma, hogy csak egy cégcsoporton belüli adattovábbításokra alkalmas, külső cégek esetén nem használható.
Mi a Schrems II ítélet jelentősége?
Eddig a vállalkozások leginkább a Bizottság által kidolgozott Általános Adatvédelemi Kikötéseket alkalmazták. Ezt a minta szerződésformát egyszerűen aláírták és ezzel hátra is dőltek. A Schrems II ítélet viszont szakít ezzel a szemlélettel. Azt ítéletből világosan kiderül, hogy nem elég csak minta szerződésformákat aláírni, hanem előzetes vizsgálat alapján adatkezelőként kötelesek vagyunk ténylegesen is felmérni, hogy a harmadik országba való adattovábbítási kockázatok kezelésére megfelelő garanciák állnak-e rendelkezésre.
Hogyan mérhetjük fel a harmadik országba történő adattovábbítás kockázatait?
Az előzetes vizsgálat végrehajtásához még nincsenek a gyakorlatban részletesen kidolgozott támpontok. A Schrems II ítélet alapján olyan kérdésekre kell megkeresni a választ, hogy például az adott harmadik országban kik és milyen jogszabályok alapján, milyen mértékben férhetnek hozzá az adatokhoz, vagy hogy az adatok hatósági titkos hozzáférése megakadályozható-e olyan technikai intézkedésekkel, mint például a titkosítás vagy az álnevesítés.
Ha nem ismerjük a harmadik ország jogi környezetét, kérhetjük az adatokat megkapó címzett segítségét is. A vizsgálat lefolytatása kapcsán érdemes előre rendezni, hogy kinek mi a feladata és hogyan oszlik meg a felelősség.
Mit tehetünk, ha a vizsgálat alapján arra jutunk, hogy kockázatos a harmadik országba történő adattovábbítás?
Ebben az esetben tájékoztassuk az érintetteket az adataik továbbításából eredő esetleges kockázatokról, és kérjük kifejezett hozzájárulásukat az adattovábbításhoz. Kérdéses, hogy ezt követően egy tudatos érintett megadja-e a hozzájárulást. Arról nem is beszélve, hogy bizonyos helyzetekben a hozzájárulás nehezen értelmezhető (pl. munkaviszony esetén, ahol a jogviszony alá-fölérendeltsége miatt a hozzájárulás önkéntessége megkérdőjelezhető).
Ha az érintett hozzájárulása nem biztosítható, úgy az adattovábbítás csak speciális esetekben lehetséges. Ilyen esetek lehetnek például, ha az adattovábbítás az érintett és az adatkezelő között megkötött szerződés teljesítéséhez vagy jogi igények előterjesztése miatt feltétlenül szükséges.
Összefoglalva az javasoljuk, hogy a vizsgálatot minden esetben folytassuk le, és dokumentáljuk is. Szakértő ügyvédeink szívesen segítenek ebben, és választ adnak a témával kapcsolatban felmerülő kérdésekre is. A Schrems II ítélet fényében ugyanis könnyen elképzelhető, hogy a jövőben az adatvédelmi hatóságok kiemelt figyelmet fordítanak majd a nemzetközi adattovábbítások jogszerűségének vizsgálatára.
