Július 16-án nagy jelentőségű ítéletet hozott az Európai Unió Bírósága az Európai Unió területéről az Amerikai Egyesült Államokba irányuló adattovábbítások kérdésében. A döntés az egyes magánszemélyekre vonatkozó információkra, tehát a személyes adatokra terjed ki.
Nehezen vitatható, hogy napjaink digitalizált gazdaságának egyik alapfeltétele, hogy adatok – köztük személyes adatok – országok, szervezetek között szabadon mozogjanak. Ezt a szükségszerűséget az európai jogalkotó is felismerte, ugyanakkor olyan szabályozást alakított ki, amely az EU-n kívülre továbbított személyes adatoknak is legalább az olyan szintű védelmet várja el, mint amely az EU területén megvalósított adatkezelések során biztosítandó.
Erre szolgál az Általános Adatvédelmi Rendelet („GDPR”) azon szabályrendszere, amely szerint az Európai Gazdasági Térség területéről személyes adatot harmadik (tehát az EGT-n kívüli) országba csak akkor lehet továbbítani, ha az adott harmadik ország biztosítja a személyes adatok védelmének az európai jog által elvárt szintjét. A helyzet egyes harmadik országok esetében (pl. Japán, Izrael) viszonylag egyszerű, ezekről ugyanis az Európai Bizottság kifejezetten kijelentette, hogy „megfelelő” országnak számítanak az adatok biztonsága szempontjából.
Azon országok esetében azonban, ahol ilyen döntés nem született, némileg összetettebb a kép. Amennyiben ilyen országba kíván valamely szervezet személyes adatokat továbbítani, akkor többféle eszköz áll rendelkezésére a jogszerűség biztosítására. EU-USA viszonylatban az egyik legfontosabb ilyen eszköz eddig az ún. Privacy Shield („Adatvédelmi Pajzs”) volt. A Privacy Shield egy olyan, az Európai Bizottság és az USA kormánya által kialakított, 2016 júliusa óta alkalmazható szabályrendszer volt, amelynek az USA területén– tehát az adattovábbítás címzetti oldalán található – szervezetek önkéntes alapon alávethették magukat, és ebben az esetben az EU-ból jogszerűen lehetett személyes adatokat továbbítani a részükre.
A Schrems II ítélet
Az Európai Unió Bírósága mostani döntésében kimondta, hogy a Privacy Shield érvénytelen, az alapján tehát a továbbiakban nem lehetséges személyes adatokat kivinni az USA-ba.
A döntést gyakran szokás Schrems II néven emlegetni. Ennek oka, hogy az alapját egy Maximilian Schrems osztrák állampolgár által benyújtott panasz képezi, aki arra hivatkozott, hogy a Facebook az ő mint felhasználó személyes adatait egy olyan országba – az USA-ba – továbbítja, amely ország jogrendszere nem nyújt megfelelő szintű védelmet, ezért kérte ezen adattovábbítások megtiltását (a Facebook infrastruktúrája úgy épül fel, hogy annak számos eleme az USA-ban található). Érdekesség, hogy a Privacy Shield elődjét, a céljában azzal azonos, ún. „Safe Harbour” egyezményt a Bíróság szintén Maximilian Schrems kezdeményezésére nyilvánította érvénytelennek (ezt a döntést nevezhetnénk Schrems I-nek), jelentős részben pont emiatt került sor a Privacy Shield megalkotására.
A Bíróság érvelése azon alapult, hogy az USA jogrendjében a nemzetbiztonsághoz, valamint a bűnüldözéshez fűződő közérdek megelőzi a személyes adatok és a magánélet védelméhez való, valamint az ezekhez kapcsolódó jogokat. Elég, ha e körben csak az USÁ-nak a 2001. szeptember 11-i terrortámadások után hozott PATRIOT Act törvényére gondolunk, amely rendkívül széles körben tesz lehetővé adatgyűjtést, lehallgatást és egyéb titkos információszerzést a hatóságok részére a terrorizmus elleni harc jegyében. Hogy az USA, vagy az EU megközelítése a megfelelőbb, illetve etikusabb, arról hosszasan lehetne vitatkozni, mindenesetre tény, hogy az USA-ban úgy alakult a jogfejlődés, hogy a társadalmi érdek gyakrabban írja felül az egyének egyes jogait, mint az európai jogi gondolkodásban.
Fontos, hogy az amerikai hatóságok fenti jogkörei természetesen nemcsak amerikai állampolgárokra, hanem mindenkire (tehát pl. egy magyar Facebook felhasználóra, akinek az adatai kikerülnek az USA-ba) kiterjedhetnek, akire nézve személyes adatok állnak rendelkezésre az USA területén. Ezek a jogkörök az amerikai jogban sem önkényes módon érvényesülnek, azok bizonyos korlátozások, illetve eljárási szabályok alá esnek. Ugyanakkor az EU Bíróság megállapította, hogy az amerikai hatóságok lehetséges intézkedéseivel szemben a Privacy Shield alapján az egyes érintettek számára nem áll rendelkezésre megfelelő jogorvoslati lehetőség.
Összegezve tehát, a Bíróság a következőkre jutott:
- amennyiben az EU területéről személyes adatokat továbbítanak az USA-ba, akkor nem garantálható, hogy azokat ott az EU által elvárt alapjogi elvekkel összhangban és adatvédelmi jogszabályokban elvárt védelem tiszteletben tartásával fogják kezelni,
- ezzel összefüggésben nem zárható ki, hogy az amerikai hatóságok tömegesen és az EU által aránytalannak ítélt mértékben férnek hozzá ezen személyes adatokhoz, ugyanakkor
- az ezen hozzáféréssel és felhasználással szemben megfelelő és kellően hatékony jogvédelem az érintettek számára nem áll rendelkezésre a Privacy Shield alapján,
- ezért a Bíróság a Privacy Shield-et érvénytelennek nyilvánítja.
Hogyan tovább?
A döntés egyértelműen nehezebb helyzetbe hozza azokat az adatkezelőket – elsősorban amerikai érdekeltséggel rendelkező vállalatcsoportokat – amelyek ezidáig a Privacy Shield alapján végeztek adattovábbítást az USA területére.
Ugyanakkor fontos kiemelni, hogy a GDPR értelmében nem a Privacy Shield volt az egyetlen olyan mechanizmus, amely alapján jogszerűen lehet kivinni személyes adatokat az USA-ba (vagy más harmadik országba). E körben megemlítendő az az Európai Bizottság által kidolgozott adattovábbítási mintaszerződés, amelyet alkalmazva a szerződő felek- praktikusan tehát az EU területén található adattovábbító és a harmadik ország területén található fogadó fél – garantálhatják az adattovábbítás jogszerűségét. Az EU Bíróság ítéletében kifejezetten kimondta, hogy a döntés ezen mintaszerződések alkalmazhatóságát nem érinti.
A Schrems II döntés jó alkalom arra, hogy minden olyan szervezet, amely valamely harmadik országba továbbít személyes adatokat áttekintse, hogy ez milyen garanciák mentén történik és szükség szerint módosítsa eddigi gyakorlatát. A mindennapi működés során könnyen előfordulhat olyan harmadik országba történő adattovábbítás, amelyre az adatkezelő nem fordít kellő figyelmet (gondoljunk csak pl. egy olyan informatikai szolgáltató igénybevételére, amelynek az adatok kezelésében közreműködő egyes szerverei harmadik országban találhatók). A szerződéses tárgyalások során ez a szempont gyakran elsikkad és a felek már csak utólag szembesülnek azzal, hogy valójában nincs megfelelő garanciamechanizmus az adattovábbításaik mögött. Azt is érdemes megemlíteni, hogy a GDPR fogalomrendszerében a „továbbítás” nem feltétlenül kell, hogy az adatok tényleges elküldését jelentse a harmadik országban található címzett részére, ugyanis már az is többletgaranciákat kíván, ha harmadik országból csupán távoli eléréssel férnek hozzá egy, az EU területén letelepedett szervezet által, fizikailag az EU területén tárolt személyes adathoz.
Összegezve tehát kijelenthető, hogy a dinamikusan változó jogi környezetben az EU-n kívülre irányuló adattovábbítások kérdése továbbra is ingoványos terület marad, amelyet minden, megfelelőségre törekvő szervezetnek érdemes komolyan vizsgálnia, amennyiben el kívánja kerülni a GDPR-ból fakadó potenciális szankciókat és nem utolsósorban a jogsértéssel járó reputációs veszteséget.
Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédekhez.