2022. március 25-én az Európai Bizottság és az Amerikai Egyesült Államok (a továbbiakban: „USA”) kormánya közös nyilatkozatban jelentette be, hogy „elvi megállapodás” született egy új transzatlanti adatvédelmi szabályozási keretrendszerről. Tekintettel arra, hogy a médiában sokan „új Privacy Shield”-ként üdvözölték a megállapodást, ami elhozta a megoldást a transzatlanti adattovábbítások problémájára, fontosnak tartjuk összefoglalni, hol is tart a jogi szabályozás valójában. Ez már csak azért is fontos, mert úgy tűnik, az Európai Unió adatvédelmi hatóságai egyre aktívabbak az adattovábbítások jogszerűségének vizsgálata során.

Mítoszrombolás

A március végi bejelentés még nem az alkalmazandó jogi keretrendszert határozza meg, hanem csupán egy politikai nyilatkozat jövőben kialakítandó megállapodás elvi alapjairól. A bejelentés egyebekben üdvözlendő, hiszen tükrözi a tárgyaló felek elkötelezettségét a jelenleg jogbizonytalanságot okozó helyzet minél hamarabb és tartósabban történő rendezésére. Az elkövetkezendő hónapokban várható, hogy a tárgyalási folyamatok még intenzívebbé válnak, azonban a végleges megállapodás hatálybalépéséig fontos, hogy a szervezetek továbbra is megfelelő garanciákat alkalmazzanak az EGT-n kívüli adattovábbítások jogszerűségének biztosítása érdekében.

A megfelelő garanciák elsődleges formája továbbra is az Európai Bizottság által 2021. június 4-én elfogadott, személyesadat-továbbításra vonatkozó általános szerződési feltételek („standard contractual clauses”, „SCC”) használata, a megfelelő országspecifikus adattovábbítási hatásvizsgálattal, valamint kiegészítő technikai, szervezési és szerződéses intézkedésekkel.

Mit kell szabályozni?

A 2016/679(EU) általános adatvédelmi rendelet („GDPR”) rendelkezéseivel összhangban, személyes adatok EGT-n kívüli (harmadik) országba történő továbbítása akkor jogszerű, ha az Európai Uniós szabályozással megegyező szintű, megfelelő védelmi szint biztosított. Ez történhet úgy, ha az Európai Bizottság megfelelőségi határozat formájában az adott ország adatvédelmi szabályozását „megfelelőnek” nyilvánítja, vagy egyedi esetekben megfelelő garanciák alkalmazása által. 2016. július 12-től kezdődően az USA területére történő adattovábbítás a 2016/1250 bizottsági határozat („Privacy Shield”, magyarul: „Adatvédelmi Pajzs”) alapján történt. Az Európai Unió Bírósága („EUB”) 2020. július 16-án, a C‑311/18. számú döntésében („Schrems II”) megállapította az Adatvédelmi Pajzsot jóváhagyó Európai Bizottsági határozat érvénytelenségét azzal az indoklással, hogy az amerikai jogrend nem biztosítja a uniós szabályokkal megegyező szintű védelmet a hírszerző hatóságok részére biztosított széles körű megfigyelési jogosítványok, és az érintett személyek korlátozott jogorvoslati lehetőségei miatt.

A probléma gyökerei az amerikai FISA („Foreign Intelligence Surveillance Act”) 702. §-ban, valamint az 12333 sz. elnöki rendeletben az amerikai titkosszolgálatok számára megállapított széles körű jogosítványok, amelyek a személyes adatok oly mértékű gyűjtését és „szabad” felhasználását teszik lehetővé, amely nem egyeztethető össze személyes adatok védelméhez fűződő, az Európai Unió Alapjogi Chartája („Alapjogi Charta”) 8. cikkében foglalt joggal.

Ehhez kapcsolódóan azt is aggályosnak ítélte az EUB, hogy

az Adatvédelmi Pajzs által létrehozott ombudsman intézménye nem biztosított az USA-ba továbbított személyes adatok érintettjei számára az Alapjogi Charta 47. cikkében foglalt, törvény által létrehozott független és pártatlan bíróság előtti hatékony jogorvoslathoz való joggal „lényegében egyenértékű” jogorvoslati lehetőséget az amerikai hírszerző hatóságok intézkedéseivel szemben.

Ez a két fő kérdés, amit egy új Privacy Shield megállapodásban szabályozni kell.

Az amerikai és uniós felek nem sokkal a döntés után, már 2020 augusztusában tárgyalásokba kezdtek egy új adattovábbítási megállapodás feltételeiről, figyelembe véve a Schrems II döntés tanulságait. Ezen tárgyalási folyamat eredményeképp született meg a március végi politikai megállapodás az új transzatlanti adatvédelmi keretrendszer elvi alapjairól.

Mit tudunk a leendő új keretrendszerről?

A leendő új keretrendszer elsődleges célja az adatok szabad és biztonságos áramlásának biztosítása az EU és a részt vevő amerikai szervezetek között. A keretrendszer a Privacy Shield alapelveire és megfelelőségi mechanizmusára épít – várható főbb pillérei az alábbiak:

  • Az EU-ból továbbított adatokat kezelő vállalatokra vonatkozó szigorú kötelezettségek, amelyek a Privacy Shield-hez hasonlóan továbbra is magukban foglalják azt a követelményt, hogy az USA Kereskedelmi Minisztériumán („Federal Trade Commission”) keresztül saját maguk tanúsítsák az alapelvek és kötelezettségek betartását.
  • Kötelező biztosítékok bevezetése, amelyek az amerikai hírszerző hatóságok adathozzáférését a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozzák.
  • Új eljárások elfogadása az amerikai hírszerző hatóságok részéről az adatvédelmi jogok hatékony biztosítására.
  • Új, kétszintű jogorvoslati rendszer bevezetése az érintettek részére az amerikai hírszerző hatóságok által az adatokhoz való hozzáféréssel kapcsolatos panaszainak kivizsgálására és megoldására, amely magában foglalja az adatvédelmi felülvizsgálati bíróságot is. Az adatvédelmi felülvizsgálati bíróság („Data Protection Review Court”, vagy „DPR Court”) az USA szövetségi kormányától független személyekből állna, akik teljes hatáskörrel rendelkeznének az adatvédelmi panaszok elbírálására és szükség esetén a korrekciós intézkedések meghozatalára. Tekintettel az intézmény újszerűségére, várhatóan jelentős hangsúlyt kap majd, hogy az adatvédelmi felülvizsgálati bíróság megfelel-e az EUB által a Schrems II. ügyben meghatározott követelményeknek, úgy mint a jogszerű megalapítás, végrehajtói hatalomtól való függetlenség és megfelelő hatáskör és feladatkör amerikai hírszerző hatóságoktól bizonyos korrekciós intézkedéseket megkövetelésére, pl. az érintettek számára hozzáférési, helyesbítési és törlési jog biztosítása formájában.

Hogyan tovább?

A bejelentés szerint az elvi megállapodás alapján a közeljövőben elindul a megállapodás megszövegezése, azonban a megállapodás elfogadásának várható időpontjára vonatkozóan a felek nem szolgáltak információval. Az Unió részéről az Európai Bizottság vesz részt a végleges jogi szöveg kialakításában, az USA-ban pedig a szövetségi kormány vállalásait elnöki rendelet rögzíti majd. Az elnöki rendelet, mint jogalkotási forma ugyanakkor nem jelent feltétlen garanciát a megfelelő jogi környezet kialakítására. Ahogy arra kritikusok is rámutattak, a tartós EU-USA megállapodáshoz szükséges adatvédelmi reformokhoz új jogszabályok megalkotására, vagy meglévő jogszabályok módosítására van szükség, és törvényalkotási jogosultsága a szövetségi kormányzatnak nem, csak a törvényhozásnak van.

Kiemelendő, hogy elfogadása esetén az új keretrendszer nem egy olyan általánosságban hozott megfelelőségi határozat lesz, amely értelmében minden egyes USA-beli adatimportőrnek való adattovábbítás esetén biztosított a megfelelő adatvédelmi szint. Más szóval,

az új keretrendszer a GDPR-ral egyenértékű adatvédelmi szint biztosítását nem egy ország területére, hanem az adott ország területén a keretrendszernek való megfelelést önként vállalók vonatkozásában állapítja meg.

Ezért az új Privacy Shield jövőbeni elfogadása nem mentesít automatikusan az országspecifikus adattovábbítási hatásvizsgálat elvégzésének kötelezettsége alól, kizárólag abban az esetben, amennyiben az USA-beli adatimportőr aláveti magát a keretrendszer által felállított alapelveknek és kötelezettségeknek.