Az Európai Unió Bírósága („EUB”) C-311/18. számú, a Data Protection Commissioner és a Facebook Ireland Ltd, valamint Maximilian Schrems között folyamatban levő eljárása („Schrems II ügy”) az Amerikai Egyesült Államok nemzetbiztonsági célú megfigyelési jogszabályainak és az EU adatvédelmi elvárásainak összeütközését vizsgálta. Az eljárás az EU-USA adatvédelmi pajzs (Privacy Shield) érvénytelenítésével zárult. Az alábbiakban összefoglaljuk az ítélet következményeit, és azt, hogy azok mit jelentenek a társaságok számára.
Mi történt az ügyben?
A Schrems II ügy a Schrems I ügy folytatása, amelyben az EUB érvénytelenné nyilvánította az amerikai Biztonságos Kikötő (Safe Harbour) rendszert (a személyes adatok EU-ból az Egyesült Államokba történő biztonságos továbbításának korábban jogszerű mechanizmusát). Az ítéletet követően a a Safe Harbour-ra hagyatkozó társaságok elkezdték használni az Európai Bizottság által kidolgozott általános adattovábbítási szerződési feltételeket (Standard Contractual Clauses vagy EC Model Clauses – „SCC”), hogy így biztosítsák a EU-ból az Egyesült Államokba történő személyes adatok továbbításának jogszerűségét. A mostani ítéletében az EUB a Privacy Shield-et érvénytelenné nyilvánította, az SCC-k érvényességét pedig megerősítette. Az EUB ezzel a főtanácsnok kötelező erővel nem bíró indítványát követte, amely szerint nincsen jogalap az SCC-k érvénytelenítésére. A főtanácsnoki indítvánnyal kapcsolatos észrevételeinket a korábbi angol nyelvű Law Now cikkünkben olvashatják.
Mi az ügy háttere?
Az Európai Bizottság 2016 júliusában fogadta el a Privacy Shield-et, amelyet a Safe Harbour rendszer pótlására szolgáló, de annál szilárdabb keretrendszernek szántak, több felügyeleti és végrehajtási mechanizmussal. 2019-ben az Egyesült Államok kormánya kinevezett egy Privacy Shield ombudsmant, akinek a feladata az olyan EGT-beli érintettek hozzáférési kérelmeinek kezelése, akiknek személyes adatai a Privacy Shield alapján kerültek továbbításra az Egyesült Államokba, és adataikhoz az Egyesült Államok nemzetbiztonsági hatóságai is hozzáférhetnek.
Maximilian Schrems osztrák állampolgár (a Schrems I ügy alapjául szolgáló kereset benyújtója) érvelése szerint az SCC-k rendelkezéseit az európai adatvédelmi hatóságoknak az Európából az Egyesült Államokba történő adattovábbítások megtiltására kellene használniuk. Schrems most is hasonló jogalapokra hivatkozott, mint a Schrems I ügyben: az Egyesült Államok nemzetbiztonsági célú megfigyelési jogszabályai ellentétesek az európai adatvédelmi jogszabályok által biztosított jogokkal és garanciákkal, és ezért a tengerentúli adattovábbítások esetén több adatvédelmi biztosítékra lenne szükség. A Schrems II ügy alapjául szolgáló kereset végül az EUB elé került, mivel az ír Felsőbíróság előzetes döntéshozatal iránti kérelmet terjesztett elő a kapcsolódó ügyben.
Érvényesek-e még az SCC-k?
Igen, az SCC-k továbbra is használhatók az EGT területén kívülre történő jogszerű adattovábbítások esetén. Azonban az olyan társaságoknak, amelyek az EGT-n kívüli adatátvevővel kívánnak SCC-k alkalmazásával adattovábbítási szerződést kötni, ezen túl meg kell vizsgálniuk, hogy a címzett országának jogszabályai lehetővé teszik-e a hatóságok számára a továbbított személyes adatokhoz való hozzáférést, és ha igen, milyen mértékben. Ha az adott ország jogszabályai nem nyújtanak megfelelő védelmet, az adatokat továbbító társaságnak megfelelő garanciákat kell biztosítania az adatvédelmi hiányosságok ellensúlyozása érdekében. Az azonban egyelőre még nem tisztázott, hogy az EU adatvédelmi hatóságai milyen intézkedéseket fognak „megfelelő garanciának” tekinteni.
Ha a személyes adatok megfelelő védelme az adatátvevő országában az SCC-k alkalmazása ellenére sem lehetséges, az adattovábbító társaságnak fel kell függesztenie az érintett adattovábbításokat. Ha nem tesz így, a hatáskörrel és illetékességgel rendelkező adatvédelmi felügyeleti hatóság elrendelheti az adattovábbítások felfüggesztését vagy leállítását.
Érvényes-e még a Privacy Shield?
Nem, az EUB kimondta, hogy a Privacy Shield érvénytelen. Ennek következtében az EGT-ből az Egyesült Államokba e mechanizmus alapján történő adattovábbítások jogszerűtlenek.
Mi a helyzet a Kötelező Erejű Vállalati Szabályokkal (Binding Corporate Rules)?
Habár a Schrems II ügy az SCCk-kel és a Privacy Shield-del foglalkozik, az EUB ítélete kihat azokra a társaságokra is, amelyek Kötelező Erejű Vállalati Szabályok (Binding Corporate Rules, „BCR”) alapján végeznek nemzetközi adattovábbítást. Az EUB érvelése ugyanis ugyanúgy vonatkozik a BRC-okat alkalmazó vállalkozásokra is: nekik is fel kell mérniük, hogy az adatátvevő országának joga lehetővé teszi-e – és ha igen, milyen mértékben – a továbbított személyes adatokhoz való hatósági hozzáférést.
Ha a személyes adatok megfelelő védelme az adatátvevő országában annak ellenére sem lehetséges, hogy BRC-ok alkalmazásra kerülnek, akkor az adattovábbítónak fel kell függesztenie az érintett adattovábbításokat. Amennyiben nem tesz így, a hatáskörrel és illetékességgel rendelkező adatvédelmi felügyeleti hatóság elrendelheti az adattovábbítások felfüggesztését vagy leállítását.
Mit jelent ez a társaságok számára?
1. Figyelni kell az adatvédelmi hatóságok, az Európai Adatvédelmi Testület (EDPB), és/vagy az Európai Bizottság útmutatásait
Az elkövetkező hónapokban az európai adatvédelmi hatóságok remélhetőleg egyértelmű útmutatásokat fognak nyújtani arra vonatkozóan, hogy a társaságok milyen módon végezhetnek nemzetközi adattovábbításokat az EUB Schrems II ítélete után.
2. Át kell tekinteni a nemzetközi adattovábbításokat
- Meg kell vizsgálni, hogy jelenleg mely szolgáltatókhoz történik az USA-ba adattovábbítás a Privacy Shield alapján. Ha a vállalkozás marketing célokra igénybe veszi a Google, Facebook szolgáltatásait, vagy például a népszerű MailChimp vagy a Sendgrid hírlevélküldő rendszert, vagy a SalesForce CRM rendszert alkalmazza, akkor ezen szolgáltatók esetében át kell térni más megfelelő garancia alkalmazására: SCCk-re vagy BCR-ra, esetleg külön hozzájárulás kéréssel kell biztosítani a megfelelő adattovábbítási jogalapot.
- Azonosítani kell az EGT-ből az olyan EGT-n kívüli országokba történő adattovábbításokat, amelyek nem szerepelnek az Európai Bizottság által összeállított, a megfelelő adatvédelmi szintet biztosító országokat tartalmazó listán.
- Meg kell vizsgálni minden egyes adattovábbítás természetét: Milyen típusú adatok kerülnek továbbításra? Különleges adatok kerülnek-e továbbításra? Az adatátvevőre vonatkoznak-e megfigyelési jogszabályok? Milyen terjedelmű az adattovábbítás (milyen gyakorisággal, mekkora mennyiségű adat)? Mi az adattovábbítás célja? Elérhető-e az alapulfekvő cél az adatok továbbítása nélkül?
- Az EGT-n kívüli országokba történő adattovábbítás esetén meg kell vizsgálni, hogy az adott ország jogszabályai lehetővé teszik-e, és ha igen, milyen mértékben, hogy a hatóságok hozzáférjenek a továbbított személyes adatokhoz. Ennek egy lehetséges módja az Alapvető Európai Garanciák (European Essential Guarantees) című dokumentum használata (lásd a 29. cikk alapján létrehozott adatvédelmi munkacsoport 01/2016. számú állásfoglalását):
i. A megfigyelésnek egyértelmű, pontos és elérhető szabályokon kell alapulnia.
ii. A megfigyelésnek szükségesnek és az elérni kívánt céllal arányosnak kell lennie.
iii. Független felügyeleti mechanizmusra van szükség.
iv. Az érintetteknek hatékony jogorvoslati lehetőségekkel kell rendelkezniük, hogy jogaikat egy független szerv előtt érvényesíthessék.
- A vizsgálat részeként meg kell fontolni a továbbított adatok védelmére szolgáló technikai intézkedések alkalmazását. Ilyen intézkedés lehet például megbízható titkosítási technológia alkalmazása.
- Az adattovábbítással kapcsolatos vizsgálatot mind a meglévő, mind a jövőbeli adattovábbítások tekintetében el kell végezni.
- Figyelembe kell venni, hogy az ilyen adattovábbítási vizsgálatok időigényesek és bonyolultak lesznek, és rendszeres frissítésre szorulnak, mivel a harmadik országok jogszabályai az idők során elkerülhetetlenül módosításra kerülnek.
- A GDPR szerinti elszámoltathatósági kötelezettség teljesítése részeként dokumentálni kell minden egyes adattovábbítási vizsgálatot.
- Az egyesült államokbeli székhelyű adatátvevők számára történő adattovábbítások esetén a továbbítási vizsgálatok elvégzése valószínűleg felesleges, mivel az EUB értékelése szerint az Egyesült Államok megfigyelési intézkedései nem felelnek meg az Alapvető Európai Garanciáknak.
3. Ha az adattovábbítási vizsgálat eredménye pozitív, lehet használni az SCCk-et (vagy BCR-t)
Ha az adattovábbítási vizsgálatot (lásd a fenti 2. pontban) követően a társaság úgy ítéli meg, hogy az adatátvevő országának adatvédelmi szintje megfelelő, használhatja az SCCk-et vagy BCR-t az érintett adatátvevő részére történő adattovábbításhoz.