Barion Pixel Schrems II ítélet - InformatikaiJog.hu - dr. Németh Ádám
Telefon
E-mail
Schrems

Schrems II ítélet

Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást.

M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít az USA-ban található Facebook Inc. felé.

Nagyon leegyszerűsítve M. Schrems azt kérte az illetékes adatvédelmi biztostól, hogy tiltsa meg ezt az adattovábbítást.

Az illetékes adatvédelmi biztos ezt a kérelmet elutasította, hivatkozva arra, hogy az USA és az EU között életben van az Adatvédelmi Pajzs egyezmény, ami alapján (az abban részes fél) számára továbbítható adat.

A panaszos a bíróságig vitte az ügyet, amely végül előzetes döntést kért az Európai Unió Bíróságától (EUB). Ez az ítélet volt az, ami negligálta az adatvédelemi pajzs egyezményt, fejtörést okozva az adatkezelőknek és az USA-ban található cégeknek is.

Cikkünk a döntés lényegével és a teendőkkel foglalkozik.

Mit mondott ki az Európai Unió Bírósága a Schrems II ítéletben?

Az EUB a Schrems II döntésében azt mondta ki, hogy (a lényeget kiemelve):

  • az Adatvédelmi Pajzs egyezmény érvénytelen, azaz a továbbiakban nem hivatkozható az adattovábbítást jogszerűségéhez szükséges jogi tényezőként,
  • az Európai Unió Bizottságának a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló határozata továbbra is érvényes az adattovábbítás jogszerűségéhez szükséges jogi tényezőként hivatkozható.
    •  
  1. De minden esetben kötelező feltétel a jogszerűséghez, hogy a címzett országban olyan védelmi szint legyen az adatvédelem területén, ami megegyezik az EU-s adatvédelem szintjével,
  2. a védelmi szint megállapításakor vizsgálni kell:

 

2.1. általában a garanciákat, ehhez kapcsolódóan a jogrendszer releváns elemeit [pl.: a hatóságok és általában az állam, hogy férhet hozzá ezekhez az adatokhoz és a GDPR 45. cikk (2) bekezdés szerinti feltételek teljesülése],

2.2. az érvényesíthető jogokat,

2.3. a hatékony jogorvoslati lehetőségeket,

2.4. a címzett és a fogadó fél közötti szerződés rendelkezéseit.

Mi ezzel a gond?

Alapvetően azt mondhatjuk, hogy nincs ezzel semmi gond, hiszen az EUB csak azt mondta ki, hogy olyan országba az EU-s adatkezelők és adatfeldolgozók ne továbbítsanak adatot, ahol a személyes adatokat nem védik megfelelően.

Ez egyszerű is lenne, csakhogy:

  1. az általunk is szeretett és használt szolgáltatások nagy része nem az EU-ban tárolja az adatot, vagy nem is EU-s cég,
  2. szinte lehetetlen elvégezni az EUB által leírt előzetes vizsgálatot (nem csoda, hogy alapvetően ezt az Európai Unió Bizottsága szokta elvégezni)

 

2.1. ehet, hogy nem is találunk információt az adott országhoz (pl.: orosz jogrendszer, kínai jogrendszer, vagy akár csak az ukrán jogrendszer),

2.2. de ha találunk is információt, egy másik ország jogrendszerének vizsgálata közel sem egyszerű feladat.

Összességében tehát az egyébként is bonyolult adattovábbítási mechanizmusokat nehezítette tovább az EUB, aminek véleményen szerint az alábbi kimenetele lehet:

  1. az érintett cégek valóban nem továbbítanak adatot EU-n kívülre, ezzel az ítélet beleilleszkedik az EU általános célkitűzéseibe, amely elkülönült európai adattér létrehozására irányul,
  2. az érintett cégek dokumentumaikban majd azt állítják, hogy nem továbbítanak adatot az EU-n kívülre, de valójában soha nem szüntetik meg az adattovábbítást és mi nem tudjuk ellenőrizni.

Mi a teendőnk?

Adatkezelőként el kell végeznünk annak a felmérését, hogy mi, vagy adatfeldolgozóink továbbítanak-e személyes adatot az EU-n kívülre.

Első lépésként ehhez meg kell vizsgálni a cégek tájékoztatásait, ahol leírják, hogy az adat az EU-n belül marad, ott nincs további teendőnk, akkor sem, ha a címzett EU-n kívüli cég (az adattovábbításnál mindig az számít, hogy az adatkezelés az EU-n kívül valósul-e meg).

Ha továbbít adatot a cég EU-n kívülre, vagy mi magunk küldünk adatot EU-n kívülre, akkor

  1. meg kell nézni, hogy az EU Bizottságnak nincs-e a célországra vonatkozó megfelelőségi határozata (itt tudod ellenőrizni, jelenleg van határozat az alábbi országok irányába: Andorra, Argentína, Kanada, Izrael, Feröer Szigetek, Guernsey, Man Szigetek, Japán, Jersey, Új-Zéland, Svájc, Uruguay)
  2. ha nincs határozat, akkor vizsgálni kell, hogy a GDPR további jogszerűségi feltételei közül mit tudunk alkalmazni [itt egymásra épülő rendszert látunk, a lényege, hogy ha nincs megfelelőségi határozat, akkor megfelelő garanciát kell keresni, amiket a GDPR 46. cikk (2) bekezdése ír le, ha az sincs, akkor lehetnek a különös helyzetben biztosított eltérések].
  3. emellett a vizsgálat során viszont most már az adatvédelmi pajzsra nem tudunk hivatkozni, és ha más jogszerűségi feltételnek meg is felelünk, akkor is meg kell vizsgálnunk azt, hogy az EUB által megkövetelt azonos védelmi szint fennáll-e (lásd fent, hogy ez mit jelent)?

Az utóbbi okozza a nehézségeket és egy új jogalkalmazói megközelítést igényel.

Ugyanis eddig azt az elvet követtük, hogy ha nem volt Bizottsági határozat az adott országra nézve, akkor pl. ha volt kötelező erejű vállalati szabályozás, meg is elégedtünk ezzel (hiszen azt egy felügyelő hatóság jóvá is hagyta) és nem vizsgáltuk pl. a célország jogrendszerét.

Ezt viszont a Schrems II. döntés után nem tehetjük meg, részletes vizsgálatot kell végeznünk, le is kell dokumentálnunk (hogy az elszámoltathatóság elvének is megfeleljünk) és csak ezt követően valósíthatjuk meg az adatkezelést.

Ha az adatfeldolgozónk szeretne EU-n kívülre küldeni adatokat, akkor is meg kell vizsgálnunk a fenti feltételeket és ha nem teljesülnek, akkor nem bízhatjuk meg az adatfeldolgozót.

Mi a gond az USA-val?

Ha pedig csak az USA-t nézzük, akkor az a gond, hogy az EUB áttételesen kimondja, hogy az USA vonatkozó jogszabályai olyan széles körű betekintést engednek nemzetbiztonsági okból az adatokba (lásd részletesen itt), hogy ez általában nem fogadható el, ergo amíg a jelenlegi szabályozás marad nem tudjuk azt mondani, hogy ott megfelelőek a garanciák, azaz nem továbbíthatunk az USA-ba adatot a jelenlegi szabályozás mellett.

A cikk folytatásában a nagy szolgáltatók (pl.: Amazon, Salesforce, Mailchimp) Schrems II ítéletre adott reakcióit és gyakorlatát elemezzük ki.

Update (2020.09.22): Amazon cikk itt érhető el.

Szerző: dr. Németh Ádám

További adatvédelemmel kapcsolatos szolgáltatásaink

Adatvédelmi audit

Az audit keretében az összes tevékenységre kiterjedő komplex, a teljes céget, vagy egy tevékenységi területet (munkaügy, vagy üzleti terület) érintő, dokumentált és ellenőrizhető felmérést valósítunk meg.

Adatvédelmi tanácsadás és Képivelet

Ha csak kérdése lenne egy adatkezeléssel kapcsolatban, NAIH eljárás előtti eljárásban van szüksége képviseletre, vagy megtervezné szolgáltatása adatkezelését, gyors határidővel és reális díjazással segítünk neked.

DPO tisztség

Ha szeretnél DPO-t a cégedben, ebben tudunk segíteni, közben fel is mérjük a GDPR megfelelést, javaslatot teszünk a fejlesztésekre.

Adatvédelmi Szabályozás

Elkészítjük az adatkezelésekkel kapcsolatos adatvédelmi szabályzatokat, tájékoztatókat, dokumentumokat, hatásvizsgálatot.

Lépj velünk kapcsolatba!

Az ajánlatot kérek gomb megnyomásával hozzájárulok az itt megadott adataimnak az adatkezelési tájékoztató szerinti kezeléséhez.

Köszönjük, hogy megtisztel minket bizalmával

További cikkeink

Schrems II - Amazon

Amazon AWS – Schrems II

Amazon AWS Schrems II Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében. Az Amazon régen is jó volt abban, hogy a szolgáltatásait

Tovább olvasom »
Schrems

Schrems II ítélet

Schrems II ítélet Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást. M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít

Tovább olvasom »
fejlesztés

Informatikai és adatvédelem

Informatikai és adatvédelem Egy informatikai fejlesztés esetén komplex adatvédelmi problémával találhatjuk szemben magunkat és itt nem is arra kell gondolni, hogy meg kell tervezni az adatvédelmi

Tovább olvasom »