Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást.

M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít az USA-ban található Facebook Inc. felé.

Nagyon leegyszerűsítve M. Schrems azt kérte az illetékes adatvédelmi biztostól, hogy tiltsa meg ezt az adattovábbítást.

Az illetékes adatvédelmi biztos ezt a kérelmet elutasította, hivatkozva arra, hogy az USA és az EU között életben van az Adatvédelmi Pajzs egyezmény, ami alapján (az abban részes fél) számára továbbítható adat.

A panaszos a bíróságig vitte az ügyet, amely végül előzetes döntést kért az Európai Unió Bíróságától (EUB). Ez az ítélet volt az, ami negligálta az adatvédelemi pajzs egyezményt, fejtörést okozva az adatkezelőknek és az USA-ban található cégeknek is.

Cikkünk a döntés lényegével és a teendőkkel foglalkozik.

Mit mondott ki az Európai Unió Bírósága a Schrems II ítéletben?

Az EUB a Schrems II döntésében azt mondta ki, hogy (a lényeget kiemelve):

• az Adatvédelmi Pajzs egyezmény érvénytelen, azaz a továbbiakban nem hivatkozható az adattovábbítást jogszerűségéhez szükséges jogi tényezőként,
• az Európai Unió Bizottságának a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló határozata továbbra is érvényes az adattovábbítás jogszerűségéhez szükséges jogi tényezőként hivatkozható,
• de minden esetben kötelező feltétel a jogszerűséghez, hogy a címzett országban olyan védelmi szint legyen az adatvédelem területén, ami megegyezik az EU-s adatvédelem szintjével,
• a védelmi szint megállapításakor vizsgálni kell:
  • általában a garanciákat, ehhez kapcsolódóan a jogrendszer releváns elemeit [pl.: a hatóságok és általában az állam, hogy férhet hozzá ezekhez az adatokhoz és a GDPR 45. cikk (2) bekezdés szerinti feltételek teljesülése],
  • az érvényesíthető jogokat,
  • a hatékony jogorvoslati lehetőségeket,
  • a címzett és a fogadó fél közötti szerződés rendelkezéseit.

Mi ezzel a gond?

Alapvetően azt mondhatjuk, hogy nincs ezzel semmi gond, hiszen az EUB csak azt mondta ki, hogy olyan országba az EU-s adatkezelők és adatfeldolgozók ne továbbítsanak adatot, ahol a személyes adatokat nem védik megfelelően.

Ez egyszerű is lenne, csakhogy:

• az általunk is szeretett és használt szolgáltatások nagy része nem az EU-ban tárolja az adatot, vagy nem is EU-s cég,
• szinte lehetetlen elvégezni az EUB által leírt előzetes vizsgálatot (nem csoda, hogy alapvetően ezt az Európai Unió Bizottsága szokta elvégezni)
  • lehet, hogy nem is találunk információt az adott országhoz (pl.: orosz jogrendszer, kínai jogrendszer, vagy akár csak az ukrán jogrendszer),
  • de ha találunk is információt, egy másik ország jogrendszerének vizsgálata közel sem egyszerű feladat.

Összességében tehát az egyébként is bonyolult adattovábbítási mechanizmusokat nehezítette tovább az EUB, aminek véleményen szerint az alábbi kimenetele lehet:

• az érintett cégek valóban nem továbbítanak adatot EU-n kívülre, ezzel az ítélet beleilleszkedik az EU általános célkitűzéseibe, amely elkülönült európai adattér létrehozására irányul,
• az érintett cégek dokumentumaikban majd azt állítják, hogy nem továbbítanak adatot az EU-n kívülre, de valójában soha nem szüntetik meg az adattovábbítást és mi nem tudjuk ellenőrizni,

Mi a teendőnk?

Adatkezelőként el kell végeznünk annak a felmérését, hogy mi, vagy adatfeldolgozóink továbbítanak-e személyes adatot az EU-n kívülre.

Első lépésként ehhez meg kell vizsgálni a cégek tájékoztatásait, ahol leírják, hogy az adat az EU-n belül marad, ott nincs további teendőnk, akkor sem, ha a címzett EU-n kívüli cég (az adattovábbításnál mindig az számít, hogy az adatkezelés az EU-n kívül valósul-e meg).

Ha továbbít adatot a cég EU-n kívülre, vagy mi magunk küldünk adatot EU-n kívülre, akkor

• meg kell nézni, hogy az EU Bizottságnak nincs-e a célországra vonatkozó megfelelőségi határozata (itt tudod ellenőrizni, jelenleg van határozat az alábbi országok irányába: Andorra, Argentína, Kanada, Izrael, Feröer Szigetek, Guernsey, Man Szigetek, Japán, Jersey, Új-Zéland, Svájc, Uruguay)
• ha nincs határozat, akkor vizsgálni kell, hogy a GDPR további jogszerűségi feltételei közül mit tudunk alkalmazni [itt egymásra épülő rendszert látunk, a lényege, hogy ha nincs megfelelőségi határozat, akkor megfelelő garanciát kell keresni, amiket a GDPR 46. cikk (2) bekezdése ír le, ha az sincs, akkor lehetnek a különös helyzetben biztosított eltérések].
• emellett a vizsgálat során viszont most már az adatvédelmi pajzsra nem tudunk hivatkozni, és ha más jogszerűségi feltételnek meg is felelünk, akkor is meg kell vizsgálnunk azt, hogy az EUB által megkövetelt azonos védelmi szint fennáll-e (lásd fent, hogy ez mit jelent)?

Az utóbbi okozza a nehézségeket és egy új jogalkalmazói megközelítést igényel.

Ugyanis eddig azt az elvet követtük, hogy ha nem volt Bizottsági határozat az adott országra nézve, akkor pl. ha volt kötelező erejű vállalati szabályozás, meg is elégedtünk ezzel (hiszen azt egy felügyelő hatóság jóvá is hagyta) és nem vizsgáltuk pl. a célország jogrendszerét.

Ezt viszont a Schrems II. döntés után nem tehetjük meg, részletes vizsgálatot kell végeznünk, le is kell dokumentálnunk (hogy az elszámoltathatóság elvének is megfeleljünk) és csak ezt követően valósíthatjuk meg az adatkezelést.

Ha az adatfeldolgozónk szeretne EU-n kívülre küldeni adatokat, akkor is meg kell vizsgálnunk a fenti feltételeket és ha nem teljesülnek, akkor nem bízhatjuk meg az adatfeldolgozót.

Mi a gond az USA-val?

Ha pedig csak az USA-t nézzük, akkor az a gond, hogy az EUB áttételesen kimondja, hogy az USA vonatkozó jogszabályai olyan széles körű betekintést engednek nemzetbiztonsági okból az adatokba (lásd részletesen itt), hogy ez általában nem fogadható el, ergo amíg a jelenlegi szabályozás marad nem tudjuk azt mondani, hogy ott megfelelőek a garanciák, azaz nem továbbíthatunk az USA-ba adatot a jelenlegi szabályozás mellett.

Ha érdekel a téma, akkor gyere el az Adatvédelmi.hu konferenciájára, ahol részletesen beszélek a témáról.

A cikk folytatásában a nagy szolgáltatók (pl.: Amazon, Salesforce, Mailchimp) Schrems II ítéletre adott reakcióit és gyakorlatát elemezzük ki.

Update (2020.09.22): Amazon cikk itt érhető el.

Szerző: dr. Németh Ádám