ADATVÉDELMI PAJZS 2.0.? – AZ USA-BA TÖRTÉNŐ ADATTOVÁBBÍTÁS ÚJ KORSZAKA

2022 Április 14

Az EU Bíróság Adatvédelmi Pajzsot megsemmisítő 2020. évi ítélete alapján jelentősen megnehezült az EU-ból USA-ba személyes adatot továbbító cégek számára a GDPR-nek való megfelelés. Milyen változást fog hozni az EU-s cégeknek a múlt hónapban bejelentett új Transzatlanti Adatvédelmi Keretrendszer, melynek célja az Adatvédelmi Pajzs felváltása? Rövid cikkünkben bemutatjuk az új Keretrendszer alapelveit és választ adunk a fenti kérdésre.

1. Előzmények

Az új Transzatlanti Adatvédelmi Keretrendszer („Keretrendszer”) bemutatása előtt szükséges megemlítenünk, hogy milyen előzmények miatt vált szükségessé az új szabályozásra az EU és az USA közötti személyes adattovábbítással kapcsolatban.

Az új Keretrendszert megelőző Adatvédelmi Pajzs még 2016-ban lépett hatályba, amely alapján az egyesült államokbeli cégek bejelentkezhettek az Adatvédelmi Pajzs alá és amennyiben ez megtörtént, az Európai Bizottság elismerte, hogy az ilyen cégek részére továbbított személyes adatokkal kapcsolatban az USA megfelelő védelmet biztosít. Ez pedig azt jelentette, hogy az ilyen cégek részére történő adattovábbításokhoz nem volt szükség további garanciákra.

Azonban a 2018-ban hatályba lépett Általános Adatvédelmi Rendelet („GDPR”) már magasabb védelmi szintet követelt meg a harmadik országoktól, így az Európai Unió Bírósága („EU Bíróság”) a 2020. évi Schrems II ítéletében[1] meg is állapította, hogy az USA joga nem biztosít megfelelő bírósági jogvédelmet azoknak, akiknek az USA-ba továbbított személyes adatait – a vonatkozó egyesült államokbeli szabályok alapján - nemzetbiztonsági szervezetek részére hozzáférhetővé teszik.

A fentiekre tekintettel az EU Bíróság szerint az Adatvédelmi Pajzs nem nyújtott a GDPR-ban meghatározott megfelelő védelmet, ezért azt megsemmisítette.

A Schrems II ítélet bizonytalanná tette az USA-ba személyes adatokat továbbító Európai Uniós cégek helyzetét, mivel az ítéletet követően az Adatvédelmi Pajzs alapján már nem továbbíthattak személyes adatokat az USA-ba.

Az EU-USA közötti személyes adatok továbbítása természetesen nem szűnt meg, azonban az ilyen adattovábbításokat végző feleknek egyéb többletgaranciákat nyújtó, összetett szabályrendszert, - ennek körében leggyakrabban a Bizottság által elfogadott általános adatvédelmi kikötéseket - kell alkalmazniuk, melyről korábbi cikkünkben írtunk részletesen.¹

2. Transzatlanti Adatvédelmi Keretrendszer alapelvei

Az új Keretrendszer legfőbb célja, hogy pótolja az Adatvédelmi Pajzs hiányosságait és így önmaga megfelelő garanciákat nyújtson az EU-USA személyes adatok továbbításokra.

A fentiek érdekében a Keretrendszer

1. lehetőséget biztosít arra, hogy az személyes adat szabadon és biztonságosan áramoljon az EU és a résztvevő egyesült államokbeli társaságok között;
2. a szükséges és arányos mértékre korlátozza az egyesült államokbeli nemzetbiztonsági szolgálatok által hozzáférhető személyes adatok körét;
3. új, kétszintű jogorvoslati rendszert vezet be az EU-s személyek panaszainak kivizsgálására és rendezésére a fenti adathozzáféréssel kapcsolatban, amelynek keretében létrejön az Adatvédelmi Felülvizsgálati Bíróság;
4. továbbra is fenntartja az EU-ból továbbított személyes adatokat feldolgozó vállalatokra vonatkozó szigorú kötelezettségeket, ennek keretében az USA társaságoknak továbbra is igazolniuk kell, hogy megfelelnek az amerikai Kereskedelmi Minisztérium által meghatározott elveknek.
5. specifikus monitoring- és felülvizsgálati mechanizmusokat vezet be.

3. Következő lépések

Az EU és az USA a most elfogadott alapelveket átültetik a jogrendszereikbe. Az USA kötelezettségvállalásai egy végrehajtási rendeletbe kerülnek, amely a Bizottság megfelelőségi határozatának alapját képezi majd.

4. Milyen előnyökkel fog járni a Transzatlanti Adatvédelmi Keretrendszer?

Amennyiben a Keretrendszer létrejön, az jelentősen meg fogja könnyíteni azoknak a cégeknek az ügymenetét, akik rendszeresen továbbítanak személyes adatokat az USA-ba.

A Keretrendszer elfogadásával ugyanis az „visszahozza” a Schrems II ítélet előtti állapotot, tehát a Keretrendszerbe bejelentkezett amerikai cégek adatkezelését a Bizottság úgy fogja értékelni, hogy az megfelelő védelmi szintet biztosít.

A cégek számára ez egyszerűbb és költségkímélőbb adattovábbítást biztosíthat az EU és az USA között, mivel az USA-ba történő személyes adatok továbbításának jogszerűségéhez nem kell külön általános adatvédelmi kikötéseket alkalmazniuk, illetve folyamatosan nyomon követniük, módosítaniuk ezeket a kikötéseket.

Megjegyezzük azonban, hogy jelenleg még csak az új Keretrendszer alapelveiben állapodott meg az EU és az Egyesült Államok, így még vélhetően hosszabb idő fog eltelni a Keretrendszer elfogadásáig. A cégeknek mindaddig továbbra az általános adatvédelmi kikötéseket kell alkalmazniuk.

5. Összefoglalás

Az Adatvédelmi Pajzs érvénytelenné nyilvánítását követően megnehezült azoknak a cégeknek a helyzete, akik nagymértékben továbbítanak személyes adatokat az Egyesült Államokba, mivel ezt követően a cégeknek már külön adatvédelmi szerződési feltételeket, kikötéseket kell alkalmazniuk minden egyes USA-ba történő adattovábbítás során.

Az EU és az USA a Transzatlanti Adatvédelmi Keretrendszer létrehozásával orvosolná a fenti problémát.

A Keretrendszer nemrég elfogadott alapelvei alapján az USA, biztosítani fogja az eddig hiányzó hatékony jogvédelmet, illetve megfelelő bírósági jogorvoslathoz való jogot azoknak, akiknek a személyes adatait egyesült államokbeli nemzetbiztonsági szervezetek részére hozzáférhetővé teszik.

A Keretrendszer elfogadása jelentősen megkönnyítené az EU-ból az Egyesült Államokba történő adattovábbításokat, azonban erre még feltehetően hosszabb ideig várni kell, így az EU-s cégeknek addig is alkalmazniuk kell az adattovábbításukra az általános adatvédelmi kikötéseket.