Az Európai Unió és az Amerikai Egyesült Államok közötti új transzatlanti adatvédelmi szabályozási keretrendszer kialakításának folyamata a következő fejezetéhez érkezett (az előzmények korábbi cikkeinkben ITT és ITT olvashatók).
2022. március 25-én az Európai Bizottság és az USA kormánya közös nyilatkozatában meghatározta az új szabályozás kialakításának elvi alapjait azzal a céllal, hogy hosszútávon kínáljanak megoldást a transzatlanti adattovábbítások problémájára. A folyamat következő lépéseként tavaly október 7-én Joe Biden amerikai elnök aláírta az USA hírszerzési tevékenységére vonatkozó garanciák megerősítéséről szóló végrehajtási rendeletet („Végrehajtási Rendelet”, angolul „executive order”), amely meghatározza, hogy az USA milyen szükséges lépéseket tesz meg az új EU-USA adatvédelmi keretrendszer kialakításához. Ezt követte a folyamat legfrissebb fejleményeként, hogy
2023. július 10-én az Európai Bizottság elfogadta az EU-USA adatvédelmi keretrendszerről (EU-US Data Privacy Framework, röviden DPF) szóló megfelelőségi határozatot (elérhető ITT), amely a 2016/679(EU) általános adatvédelmi rendelet (GDPR) 45. cikkével összhangban kimondja, hogy az USA az EU-ból a DPF keretrendszerben részt vevő amerikai szervezetek részére továbbított személyes adatok tekintetében az EU-hoz megfelelő szintű védelmet biztosít.
Ennek eredménye az amerikai szervezetek számára egy új tanúsítási rendszer bevezetése.
Az érintett szervezeteknek fontos frissíteni a GDPR 30. cikke alapján kötelezően vezetendő belső adatkezelési nyilvántartásokat, az adatkezelési tájékoztatókat, az adatfeldolgozási és adattovábbítási szerződéseket, valamint (ha készültek) az adatvédelmi hatásvizsgálatokat és a TIA-kat, annak érdekében, hogy azok megfelelően tükrözzék a DPF megjelenését.
A Data Privacy Framework újdonságai
1. A tanúsítási rendszer bevezetése
A DPF alapján mostantól az EU-ból szabadon továbbíthatók személyes adatok azon amerikai szervezetek számára, amelyek a DPF szerinti tanúsítással rendelkeznek. Az ilyen, adatvédelmi szempontból „biztonságosnak” tekinthető szervezetek – például egyes felhőszolgáltatók, digitális marketing szolgáltatásokat nyújtó szervezetek, online piacterek – listáját az Egyesült Államok Kereskedelmi Minisztériuma (Department of Commerce, „DoC”) a rendszeresen frissülő honlapján teszi közzé. Azok a szervezetek, amelyek tanúsítása a DPF-et megelőző 2016/1250 bizottsági határozat („Privacy Shield”, magyarul: „Adatvédelmi Pajzs”) alapján történt, az új keretrendszerben is részt vehetnek tanúsított szervezetként, amennyiben frissítik az adatvédelmi tájékoztatójukat a DPF-re történő megfelelő hivatkozással, a hatálybalépéstől számított három hónapon belül.
A DPF alapvetően olyan amerikai szervezetek esetében alkalmazható, amelyekre kiterjed a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, „FTC”) vagy az Egyesült Államok Közlekedési Minisztériumának (U.S. Department of Transportation, „DOT”) vizsgálati és végrehajtási hatásköre, illetve nyitva áll a lehetőség arra, hogy a jövőben más, az EU által elismert amerikai állami szervek is felvehetők a DPF alá. A DPF programban való részvétel követelményeinek listáját a DoC a honlapján tette elérhetővé, amely a szabályozásnak való nagyobb megfelelést segíti.
Amennyiben az adott szervezetre nem terjed ki a DPF hatálya, úgy abban az esetben szükséges továbbra is az adattovábbítási hatásvizsgálat (transfer impact assessment, TIA) elvégzése és az adattovábbítási szerződési feltételek (standard contractual clauses, SCC) megkötése. Ezutóbbi szabályok az Európai Unió Bíróságának („EUB”) 2020. július 16-án, a C‑311/18. számú döntésére („Schrems II”) vezethetők vissza, amely kimondta a Privacy Shield határozat érvénytelenségét. Ennek a következménye volt, hogy az Európai Bizottság által 2021. június 4-én elfogadott SCC-k használata és a megfelelő adattovábbítási hatásvizsgálat váltak szükségessé a megfelelő adattovábbítási garanciák biztosítása érdekében.
2. Az új jogorvoslati mechanizmus
A DPF az USA elnöke által tavaly októberben aláírt Végrehajtási Rendeletben már megismert kétlépcsős jogorvoslati mechanizmust alkalmazza az amerikai hírszerzés általi személyes adatok jogsértő kezelése kapcsán, emellett az Európai Bíróság által felvetett aggályok orvoslására olyan új, kötelező erejű biztosítékokat vezet be, amelyek magánban foglalják az amerikai hírszerző szolgálatok uniós adatokhoz való hozzáférésének a szükségesség és arányosság elve szerinti korlátját.
A jogorvoslat első szintjén a Nemzeti Hírszerzési Igazgató Hivatalának polgári szabadságjogok védelméért felelős tisztviselője („Civil Liberties Protection Officer in the Office of the Director of National Intelligence”, röviden „CLPO”) végzi a panaszok első vizsgálatát, aki felelős azért, hogy az amerikai hírszerző szervezetek betartsák a magánélethez fűződő és alapvető jogokat. A jogorvoslati mechanizmus második szintjén az érintettek az USA Főügyésze („Attorney General”) által létrehozott Adatvédelmi Felülvizsgálati Bírósághoz (Data Protection Review Court, röviden DPRC) fordulhatnak fellebbezési kérelemmel a CLPO döntése ellen vagy valamely hírszerző szerv is kérelmezheti a DPRC felülvizsgálati eljárását. A DPRC döntésében pedig akár az adatok törlését is elrendelheti, amely kötelező és végleges az előtte lévő panaszra vonatkozóan.
Az uniós magánszemélyek számára könnyebbség, hogy nemzeti adatvédelmi hatóságukhoz panaszt nyújthatnak be saját anyanyelvükön, amely gondoskodik arról, hogy az Európai Adatvédelmi Testület továbbítsa a panaszt az USA-ba és hogy az eljárással kapcsolatos minden további információ eljusson a panaszos számára. Ezen felül a magánszemélyek a hatékony jogorvoslat érdekében olyan további lehetőségekkel is élhetnek, mint az ingyenes független vitarendezési mechanizmusok, amelyek az EU-ban és az USA-ban is rendelkezésre állhatnak. Emellett EU-USA Adatvédelmi Keretrendszer Panel („EU-U.S. Data Privacy Framework Panel”) néven, végső jogorvoslati lehetőségként felállításra került a választottbíróság intézménye is, amely a kötelező érvényű választottbírósági eljárás igénybevételének lehetőségét biztosítja.
Mit jelent hosszútávon a DPF elfogadása?
A DPF alapjaiban könnyíti meg a transzatlanti adatáramlást és ezáltal ösztönzi a kereskedelmet és a nemzetközi együttműködést az EU és az USA között. Az új szabályozás azonban azt is sugallja egyben, hogy az EU továbbra is elkötelezett állampolgárai adatainak határokon átnyúló ugyanolyan mértékű védelme mellett, mint amit az uniós határokon belül élveznek. A DPF által biztosított általános jellegű feltételek jelenleg az FTC vagy a DOT vizsgálati és végrehajtási hatásköre alá tartozó, tanúsított amerikai szervezetek részére történő adattovábbítás esetén működnek, azonban hosszútávon a résztvevő szervezetek köre várhatóan bővülni fog majd, ahogy további amerikai állami szervek kerülnek a DPF hatálya alá.
A DPF elfogadása óta az Európai Adatvédelmi Testület (EDPB) közzétett egy friss tájékoztató dokumentumot, amely tömören és objektíven összefoglalja, hogy:
- hogyan továbbíthatók személyes adatok az USA-ba a DPF alapján;
- hogyan továbbíthatók a személyes adatok olyan amerikai szervezetek számára, akik nem szerepelnek a tanúsított szervezetek listáján;
- az EU-ban élő érintettek tudnak-e panasszal élni a DPF alapján;
- az EU-ban élő érintettek hogyan vehetik igénybe az új, nemzetbiztonsághoz kapcsolódó jogorvoslati mechanizmust és
- mikor kerül felülvizsgálatra a DPF.
Az uniós adatkezelők számára a DPF elfogadása jelentős könnyebbséget jelent, ugyanakkor az ő feladatuk marad annak ellenőrzése, hogy adattovábbításaik USA-ban működő címzettje rendelkezik-e a szükséges tanúsítással, amelyhez a korábban említett, DoC által közzétett, folyamatosan frissülő lista nyújt majd segítséget.