Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást.
M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít az USA-ban található Facebook Inc. felé.
Nagyon leegyszerűsítve M. Schrems azt kérte az illetékes adatvédelmi biztostól, hogy tiltsa meg ezt az adattovábbítást.
Az illetékes adatvédelmi biztos ezt a kérelmet elutasította, hivatkozva arra, hogy az USA és az EU között életben van az Adatvédelmi Pajzs egyezmény, ami alapján (az abban részes fél) számára továbbítható adat.
A panaszos a bíróságig vitte az ügyet, amely végül előzetes döntést kért az Európai Unió Bíróságától (EUB). Ez az ítélet volt az, ami negligálta az adatvédelemi pajzs egyezményt, fejtörést okozva az adatkezelőknek és az USA-ban található cégeknek is.
Cikkünk a döntés lényegével és a teendőkkel foglalkozik.
Az EUB a Schrems II döntésében azt mondta ki, hogy (a lényeget kiemelve):
Alapvetően azt mondhatjuk, hogy nincs ezzel semmi gond, hiszen az EUB csak azt mondta ki, hogy olyan országba az EU-s adatkezelők és adatfeldolgozók ne továbbítsanak adatot, ahol a személyes adatokat nem védik megfelelően.
Ez egyszerű is lenne, csakhogy:
Összességében tehát az egyébként is bonyolult adattovábbítási mechanizmusokat nehezítette tovább az EUB, aminek véleményen szerint az alábbi kimenetele lehet:
Adatkezelőként el kell végeznünk annak a felmérését, hogy mi, vagy adatfeldolgozóink továbbítanak-e személyes adatot az EU-n kívülre.
Első lépésként ehhez meg kell vizsgálni a cégek tájékoztatásait, ahol leírják, hogy az adat az EU-n belül marad, ott nincs további teendőnk, akkor sem, ha a címzett EU-n kívüli cég (az adattovábbításnál mindig az számít, hogy az adatkezelés az EU-n kívül valósul-e meg).
Ha továbbít adatot a cég EU-n kívülre, vagy mi magunk küldünk adatot EU-n kívülre, akkor
Az utóbbi okozza a nehézségeket és egy új jogalkalmazói megközelítést igényel.
Ugyanis eddig azt az elvet követtük, hogy ha nem volt Bizottsági határozat az adott országra nézve, akkor pl. ha volt kötelező erejű vállalati szabályozás, meg is elégedtünk ezzel (hiszen azt egy felügyelő hatóság jóvá is hagyta) és nem vizsgáltuk pl. a célország jogrendszerét.
Ezt viszont a Schrems II. döntés után nem tehetjük meg, részletes vizsgálatot kell végeznünk, le is kell dokumentálnunk (hogy az elszámoltathatóság elvének is megfeleljünk) és csak ezt követően valósíthatjuk meg az adatkezelést.
Ha az adatfeldolgozónk szeretne EU-n kívülre küldeni adatokat, akkor is meg kell vizsgálnunk a fenti feltételeket és ha nem teljesülnek, akkor nem bízhatjuk meg az adatfeldolgozót.
Ha pedig csak az USA-t nézzük, akkor az a gond, hogy az EUB áttételesen kimondja, hogy az USA vonatkozó jogszabályai olyan széles körű betekintést engednek nemzetbiztonsági okból az adatokba (lásd részletesen itt), hogy ez általában nem fogadható el, ergo amíg a jelenlegi szabályozás marad nem tudjuk azt mondani, hogy ott megfelelőek a garanciák, azaz nem továbbíthatunk az USA-ba adatot a jelenlegi szabályozás mellett.
Ha érdekel a téma, akkor gyere el az Adatvédelmi.hu konferenciájára, ahol részletesen beszélek a témáról.
A cikk folytatásában a nagy szolgáltatók (pl.: Amazon, Salesforce, Mailchimp) Schrems II ítéletre adott reakcióit és gyakorlatát elemezzük ki.
Update (2020.09.22): Amazon cikk itt érhető el.
Szerző: dr. Németh Ádám