A 2020-as Schrems II. ügy miatt a nemzetközi adattovábbítások kapcsán kialakult bizonytalanság komoly fejfájást okozott az érintett szereplők számára. Az Európai Bizottság által június 7-én közzétett Általános Adatvédelmi Kikötések megoldást nyújthatnak a személyes adatok EGT-n kívüli továbbítására, ezzel feloldva a tavaly július óta fennálló bizonytalan helyzetet. A BDO Legal Jókay Ügyvédi Iroda szakértői összefoglalták az új szabályzással kapcsolatos fontos tudnivalókat.

Az osztrák aktivista, Maximillian Schrems által elindított ügy egy évvel ezelőtti végeredményeként az Európai Unió Bírósága (EUB) érvénytelennek nyilvánította az ún. Adatvédelmi Pajzsot, így az EGT területéről már nem lehetett ezen határozatra hivatkozva személyes adatot továbbítani az USA-ba. Ugyanebben az ügyben az EUB azt is kimondta, hogy a korábban elfogadott és széleskörben alkalmazott ún. általános adatvédelmi kikötések bár továbbra is érvényesek, önmagukban nem nyújtanak megfelelő védelmet, mivel a szerződéses kikötéseken alapuló adattovábbításokat minden esetben egyedi mérlegelésnek kell megelőznie.

„Amennyiben az adatvédelmi garanciák nem érvényesülnek maradéktalanul, az adattovábbítás sem minősül jogszerűnek, így az adatexportőr a GDPR igen magas bírságtételeit kockáztatja, amely akár húszmillió euró, vagy a vállalkozás előző pénzügyi évben elér világpiaci forgalmának 4 százaléka is lehet” – mutatott rá Simon Emese Júlia, a BDO Legal adatvédelmi csoportjának vezetője. Mivel az ítéletet nem követte konkrét megoldási javaslat, érthető volt a kétségbeesés és bizonytalanság az érintett piaci szereplők körében. A Bizottság idővel új, korszerűbb általános adatvédelmi kikötések kidolgozására tett ígéretet, a szakmabeliek pedig rendkívül izgatottan várták a végeredményt.

Harmadik országba történő adattovábbítás

A Bizottság végül 2021. június 7-én tette közzé az EGT tagállamain kívülre történő adattovábbításokat megkönnyítő új, Általános Adatvédelmi Kikötéseket. A GDPR V. fejezete alapján a személyes adatok harmadik országba történő továbbítása csak abban az esetben minősülhet jogszerűnek, ha ezen adatok védelme az Európai Unióban érvényesülő védelmi intenzitást elérő szinten biztosított. Az adattovábbítások jogszerűségét főszabály szerint a Bizottság által kiadott egyedi megfelelőségi határozatok biztosítják (erre példa a Kanada, Svájc és Japán kapcsán kiadott megfelelőségi határozat és ide tartozott a már fentebb említett Adatvédelmi Pajzs is).

Hatályban lévő megfelelőségi határozat hiányában az egyes adattovábbítások során minden esetben garantálni kell, hogy a GDPR-ban lefektetett adatvédelmi követelmények – így az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek – a fogadó félnél is érvényesülnek, és a fogadó fél megfelelő garanciákat nyújt a személyes adatok kezelésével kapcsolatban. További garanciális eszköznek számít a fent említett, Bizottság által elfogadott általános adatvédelmi kikötések, azaz SCC-k alkalmazása a küldő és a fogadó fél közötti szerződés formájában.

Az SCC

„Az SCC egy, a személyes adatok harmadik országba történő továbbításának jogszerűségét garantáló szerződéses feltételrendszer, amely kötelezi a harmadik országbeli fogadó adatkezelőt vagy adatfeldolgozót (azaz adatimportőrt) az EGT-n belül előirányzott adatvédelmi követelmények érvényesítésére” – magyarázza az adatvédelmi szakértő. Az adattovábbításban résztvevő felek az adattovábbítással érintett jogviszonyukban tehát olyan szerződéses kikötéseket alkalmaznak az SCC-k révén, melynek feltételeit a Bizottság előzetesen elfogadta, ezáltal tanúsítva és biztosítva, hogy a harmadik országbeli adatkezelő vagy adatfeldolgozó a személyes adatok védelmét megfelelően garantálja.

„A most közzétett új SCC-k számos újítást vezetnek be az eddigi gyakorlathoz képest – ilyenek például a dokkolási feltétel vagy a felek adatkezelési szerepéhez igazodó moduláris felosztás (eltérő feltételek köthetők ki az adatkezelők és adatfeldolgozók viszonylatában). A legjelentősebb hatás ugyanakkor egyértelműen a Schrems II. ítéletben megállapított hiányosságok orvoslása körében figyelhető meg” – vélik a BDO Legal szakértői. „Az egyedi vizsgálat az adatimportőr országának jogrendjére nézve ezentúl is kötelező, ugyanakkor az SCC-k részletes útmutatást adnak a vizsgálat szempontjaira nézve, és teret engednek az adatátadás sajátosságainak mérlegelésére is.”

Az új SCC-k értelmében az adatátvevőnek értesítenie kell az adatátadót és az érintetteket arról, ha állami hatóság a személyes adatok átadására vonatkozó kötelezettséget ír elő számukra. A feleknek részletesen dokumentált formában értékelniük kell az adott országban érvényesülő adatvédelmi garanciákat, a dokumentációt pedig kérés esetén kötelesek az illetékes felügyeleti hatóság rendelkezésére bocsátani. A kikötések 2021. június 27-én lépnek hatályba, a régiek pedig ettől az időponttól számított három hónapot követően hatályukat vesztik. A Bizottság ugyanakkor másfél éves türelmi időt állapított meg: a már megkötött régi SCC-k 2022. december 27-ig megfelelő garanciákat nyújtanak, feltéve, hogy az adatkezelési műveletek változatlanok, és a régi SCC-k értelmében a személyes adatok továbbítása megfelelő garanciák mellett történik.

Bár számos amerikai cég megelőző jelleggel az EU-ba költöztette adatszervereit, fontos azonban kiemelni, hogy nem csak az adattárolás helye számít a harmadik országba történő adattovábbítás szempontjából. Az Adatvédelmi Pajzs hiányában az Egyesült Államokban honos cégek, vagy az ő leányvállalataik által folytatott adatkezelés akkor is aggályos lehet, ha az adatok fizikailag az EU területén maradnak. Az EUB által kifogásolt amerikai szabályzás, a FISA (Foreign Intelligence Surveillance Act) alkalmazása ugyanis nincs lokációhoz kötve, így a FISA hatálya alá tartozó cégek általi adatkezelés vagy adatfeldolgozás esetén a Schrems II. ítéletben rögzített adatvédelmi kockázatok minden esetben fennállnak. Ilyen esetben tehát az SCC-k megkötésén kívül továbbra is kockázatelemzésre és többletgaranciákra van szükség a jogszerű adatkezeléshez.