Blog

Blog » MI LESZ MOST AZ USA-BA TÖRTÉNŐ ADATTOVÁBBÍTÁSSAL? – A FRISS EU BÍRÓSÁGI DÖNTÉS KÖVETKEZMÉNYEI

MI LESZ MOST AZ USA-BA TÖRTÉNŐ ADATTOVÁBBÍTÁSSAL? – A FRISS EU BÍRÓSÁGI DÖNTÉS KÖVETKEZMÉNYEI

29 July 2020

Az Európai Unió Bíróságának (EUB) közelmúltbeli, az EU-USA Adatvédelmi Pajzsot érvénytelenítő ítélete számos kérdést felvetett a személyes adatok nemzetközi továbbításával kapcsolatban. Azok a cégek, akik rendszeresen továbbítanak személyes adatokat az Egyesült Államokba és USA-beli szolgáltatókat használnak, bizonyára felteszik maguknak a kérdést: megtehetjük ezt a továbbiakban is? Ha nem, akkor mit csináljunk most? Rövid cikkünkben összefoglaljuk az EUB ítéletét és a jelenlegi helyzetet.

1. Mi volt pontosan az EUB döntése az EU-USA Adatvédelmi Pajzzsal kapcsolatban?

Ahhoz, hogy az EUB döntése világos legyen, emlékeztetünk, hogy az Adatvédelmi Pajzs egy olyan mechanizmus volt, amely megkönnyítette a személyes adatoknak az EU-ból az USA-ba történő továbbítását. Az Adatvédelmi Pajzs alapján az egyesült államokbeli cégek bejelentkezhettek az Adatvédelmi Pajzs alá és amennyiben ez megtörtént, az Európai Bizottság elismerte, hogy az ilyen cégek részére továbbított személyes adatokkal kapcsolatban az USA megfelelő védelmet biztosít. Ez pedig azt jelentette, hogy az ilyen cégek részére történő adattovábbításokhoz nem volt szükség további garanciákra.

Az ítéletében ugyanakkor az EUB megállapította, hogy az Adatvédelmi Pajzs nem nyújt megfelelő védelmet az USA-ba továbbított személyes adatok vonatkozásában, ezért azt érvénytelennek nyilvánította.

Ennek oka, hogy az USA joga, méghozzá bizonyos programok, amelyek nemzetbiztonsági okokból lehetővé teszik az USA-beli hatóságok részére, hogy az EU-ból az USA-ba továbbított adatokhoz hozzáférjenek, az érintettek részére korlátozott védelmet nyújt és nem biztosítja, hogy az érintettek bíróságok előtti hatékony jogvédelmét az USA-beli hatóságokkal szemben.

2. Mi volt az EUB döntése az adatvédelmi kikötésekkel kapcsolatban?

Az általános adatvédelmi kikötések olyan az Európai Bizottság által jóváhagyott adatvédelmi tárgyú szerződési feltételek, amelyeket a felek alkalmazhatnak a jogviszonyukban és amelyek szabályozzák a cégek közötti, az EU-ból nem Európai Uniós országokba történő adattovábbításokat.

Az EUB azokat az adatvédelmi kikötéseket vizsgálta, amelyek alapján az EU-ban található adatkezelők nem EU-s adatfeldolgozók részére továbbíthatnak személyes adatokat. Ebben a vonatkozásban az EUB megállapította, hogy az adatvédelmi kikötések megfelelő mechanizmust hoznak létre, amely lehetővé teszi, hogy az EU-s jog által megkívánt védelmi szintnek megfelelő védelmet biztosítsák.

Mindez ugyanakkor nem jelenti azt, hogy az adatvédelmi kikötések használata jogszerűvé teszi az adatátadást. Ugyanis, mielőtt az EU-s adatátadó a nem EU-s adatátvevő részére személyes adatot továbbítana, a feleknek meg kell győződniük arról, hogy a nem EU-s címzett országa biztosítja-e az EU-s jog által megkívánt védelmi szintnek megfelelő védelmet. Ha a felek arra jutnak, hogy ez a fajta védelem nem biztosított, akkor nem kerülhet sor az adattovábbításra. Emellett, ha a nem EU-s adatfeldolgozó arról tájékoztatja az EU-s adatkezelőt, hogy nem tud megfelelni az adatvédelmi kikötéseknek, az utóbbi köteles felfüggeszteni az adatátadást vagy felmondani a szerződést.

3. Akkor most mi lesz az Adatvédelmi Pajzs alapján történő adattovábbításainkkal?

Az EUB ítélete azzal jár, hogy az olyan USA-ba történő adattovábbítások, amelyek azon alapulnak, hogy a címzett bejelentkezett az Adatvédelmi Pajzs alá, jogellenesek.

Kiemeljük, hogy az EUB úgy érvénytelenítette az Adatvédelmi Pajzsot, hogy nem tartotta fenn a hatályát, ami azt jelenti, hogy az ilyen adattovábbításokkal kapcsolatban nincsen türelmi időszak, azokat haladéktalanul meg kell szakítani.

Összefoglalva, amennyiben az Ön cége az Adatvédelmi Pajzs alapján továbbít személyes adatokat az Egyesült Államokba, ideérte azt is, ha olyan szolgáltatót használ, amely a továbbított személyes adatokat az USA-ban tárolja, meg kell vizsgálni, hogy az adattovábbításra más jogalapon sor kerülhet-e.

4. Továbbíthatunk személyes adatokat az USA-ba adatvédelmi kikötések alapján?

Ilyen más jogalap lehetne a még most érvényes adatvédelmi kikötések alapján történő adattovábbítás. Ugyanakkor, azt is figyelembe kell venni, hogy az EUB az ítéletében azt is rögzítette, hogy minden cég, amely adatvédelmi kikötéseket kíván használni, köteles meggyőződni arról, hogy annak az országnak a joga, ahova az adatokat továbbítja, biztosítja-e a személyes adatok megfelelő védelmét.

Emlékeztetünk arra, hogy az EUB az Adatvédelmi Pajzzsal kapcsolatban megállapította, hogy az US joga nem biztosítja az USA-ba továbbított személyes adatok megdelelő védelmét. Ezért, erősen kétséges, hogy a kizárólag az adatvédelmi kikötések alapján az USA-ba történő adattovábbítás jogszerű lenne. Ugyanakkor, ha a bizonyos kiegészítő intézkedések alkalmazásával az adattovábbítás esetleg jogszerűvé tehető. Az, hogy mik lehetnek ezek a kiegészítő intézkedések, még kérdéses, az Európai Adatvédelmi Testület (aki az EU-s adatvédelmi hatóságokat irányítja) előre bocsátotta, hogy iránymutatást fog nyújtani ezzel kapcsolatban.

Ugyanakkor, ha az Ön cégének végső következtetése az, hogy a megfelelő garanciákat nem lehet biztosítani, akkor meg kell szüntetni az USA-ba történő adattovábbítást. Ha ennek ellenére folytatni kívánja az adattovábbítást, akkor ezt be kell jelenti az illetékes felügyeleti hatóság részére.

5. És mi van a kivételekkel?

Tény, hogy bizonyos esetekben megfelelőségi határozat vagy megfelelő garanciák (mint például az adatvédelmi kikötések) nélkül is lehet adatot továbbítani nem EU-s országokba.

Ilyen eset az, ha az érintett, az adattovábbítás kockázatainak ismeretében hozzájárult ahhoz, vagy ha arra az érintettel között szerződés teljesítése érdekében van szükség. További kivétel lehet, ha az eseti adattovábbítás az adatkezelő jogos érdeke miatt szükséges, ha ezzel szemben nem élveznek elsőbbséget az érintett érdekei.

Ugyanakkor mindenkit óva intünk kivételekre történő hivatkozástól tömeges adattovábbítások esetén, ugyanis ilyenkor mindig esetről-esetre kell vizsgálni, hogy a szükséges feltételek teljesültek-e, amely veszélyeztetheti az adattovábbítás jogszerűségét.

6. Összefoglalás

Az EUB döntése nehéz helyzetbe hozta az Egyesült Államokba személyes adatokat továbbító cégeket. Amennyiben az Ön cége is EU-n kívüli országokba, különösen az USA-ba továbbít személyes adatokat, javasoljuk, hogy vizsgálja meg az adattovábbítási gyakorlatát és mérlegelje az adattovábbítási mechanizmusainak megfelelőségét. Amennyiben az Adatvédelmi Pajzs alapján továbbít személyes adatokat az USA-ba, más megfelelő jogalapot kell keresnie, ennek hiányában pedig meg kell szüntetnie az adattovábbítást.