Amazon AWS – Schrems II
Amazon AWS Schrems II Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében. Az Amazon régen is jó volt abban, hogy a szolgáltatásait
Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást.
M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít az USA-ban található Facebook Inc. felé.
Nagyon leegyszerűsítve M. Schrems azt kérte az illetékes adatvédelmi biztostól, hogy tiltsa meg ezt az adattovábbítást.
Az illetékes adatvédelmi biztos ezt a kérelmet elutasította, hivatkozva arra, hogy az USA és az EU között életben van az Adatvédelmi Pajzs egyezmény, ami alapján (az abban részes fél) számára továbbítható adat.
A panaszos a bíróságig vitte az ügyet, amely végül előzetes döntést kért az Európai Unió Bíróságától (EUB). Ez az ítélet volt az, ami negligálta az adatvédelemi pajzs egyezményt, fejtörést okozva az adatkezelőknek és az USA-ban található cégeknek is.
Cikkünk a döntés lényegével és a teendőkkel foglalkozik.
Az EUB a Schrems II döntésében azt mondta ki, hogy (a lényeget kiemelve):
2.1. általában a garanciákat, ehhez kapcsolódóan a jogrendszer releváns elemeit [pl.: a hatóságok és általában az állam, hogy férhet hozzá ezekhez az adatokhoz és a GDPR 45. cikk (2) bekezdés szerinti feltételek teljesülése],
2.2. az érvényesíthető jogokat,
2.3. a hatékony jogorvoslati lehetőségeket,
2.4. a címzett és a fogadó fél közötti szerződés rendelkezéseit.
Alapvetően azt mondhatjuk, hogy nincs ezzel semmi gond, hiszen az EUB csak azt mondta ki, hogy olyan országba az EU-s adatkezelők és adatfeldolgozók ne továbbítsanak adatot, ahol a személyes adatokat nem védik megfelelően.
Ez egyszerű is lenne, csakhogy:
2.1. ehet, hogy nem is találunk információt az adott országhoz (pl.: orosz jogrendszer, kínai jogrendszer, vagy akár csak az ukrán jogrendszer),
2.2. de ha találunk is információt, egy másik ország jogrendszerének vizsgálata közel sem egyszerű feladat.
Összességében tehát az egyébként is bonyolult adattovábbítási mechanizmusokat nehezítette tovább az EUB, aminek véleményen szerint az alábbi kimenetele lehet:
Adatkezelőként el kell végeznünk annak a felmérését, hogy mi, vagy adatfeldolgozóink továbbítanak-e személyes adatot az EU-n kívülre.
Első lépésként ehhez meg kell vizsgálni a cégek tájékoztatásait, ahol leírják, hogy az adat az EU-n belül marad, ott nincs további teendőnk, akkor sem, ha a címzett EU-n kívüli cég (az adattovábbításnál mindig az számít, hogy az adatkezelés az EU-n kívül valósul-e meg).
Ha továbbít adatot a cég EU-n kívülre, vagy mi magunk küldünk adatot EU-n kívülre, akkor
Az utóbbi okozza a nehézségeket és egy új jogalkalmazói megközelítést igényel.
Ugyanis eddig azt az elvet követtük, hogy ha nem volt Bizottsági határozat az adott országra nézve, akkor pl. ha volt kötelező erejű vállalati szabályozás, meg is elégedtünk ezzel (hiszen azt egy felügyelő hatóság jóvá is hagyta) és nem vizsgáltuk pl. a célország jogrendszerét.
Ezt viszont a Schrems II. döntés után nem tehetjük meg, részletes vizsgálatot kell végeznünk, le is kell dokumentálnunk (hogy az elszámoltathatóság elvének is megfeleljünk) és csak ezt követően valósíthatjuk meg az adatkezelést.
Ha az adatfeldolgozónk szeretne EU-n kívülre küldeni adatokat, akkor is meg kell vizsgálnunk a fenti feltételeket és ha nem teljesülnek, akkor nem bízhatjuk meg az adatfeldolgozót.
Ha pedig csak az USA-t nézzük, akkor az a gond, hogy az EUB áttételesen kimondja, hogy az USA vonatkozó jogszabályai olyan széles körű betekintést engednek nemzetbiztonsági okból az adatokba (lásd részletesen itt), hogy ez általában nem fogadható el, ergo amíg a jelenlegi szabályozás marad nem tudjuk azt mondani, hogy ott megfelelőek a garanciák, azaz nem továbbíthatunk az USA-ba adatot a jelenlegi szabályozás mellett.
A cikk folytatásában a nagy szolgáltatók (pl.: Amazon, Salesforce, Mailchimp) Schrems II ítéletre adott reakcióit és gyakorlatát elemezzük ki.
Update (2020.09.22): Amazon cikk itt érhető el.
Szerző: dr. Németh Ádám
Az audit keretében az összes tevékenységre kiterjedő komplex, a teljes céget, vagy egy tevékenységi területet (munkaügy, vagy üzleti terület) érintő, dokumentált és ellenőrizhető felmérést valósítunk meg.
Ha csak kérdése lenne egy adatkezeléssel kapcsolatban, NAIH eljárás előtti eljárásban van szüksége képviseletre, vagy megtervezné szolgáltatása adatkezelését, gyors határidővel és reális díjazással segítünk neked.
Ha szeretnél DPO-t a cégedben, ebben tudunk segíteni, közben fel is mérjük a GDPR megfelelést, javaslatot teszünk a fejlesztésekre.
Elkészítjük az adatkezelésekkel kapcsolatos adatvédelmi szabályzatokat, tájékoztatókat, dokumentumokat, hatásvizsgálatot.
Az ajánlatot kérek gomb megnyomásával hozzájárulok az itt megadott adataimnak az adatkezelési tájékoztató szerinti kezeléséhez.
Amazon AWS Schrems II Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében. Az Amazon régen is jó volt abban, hogy a szolgáltatásait
Schrems II ítélet Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást. M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít
Informatikai és adatvédelem Egy informatikai fejlesztés esetén komplex adatvédelmi problémával találhatjuk szemben magunkat és itt nem is arra kell gondolni, hogy meg kell tervezni az adatvédelmi