A személyes adatok harmadik országokba történő továbbításának feltételeit az EU 2016/679. számú, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló rendelet (a továbbiakban: GDPR) V. fejezete szabályozza.
1. Az új adatvédelmi keretrendszer és alapvetései
Az Egyesült Államok és az Európai Bizottság 2022. március 25-én különállóan közzétett közleményben (a Factsheet „Trans-Atlantic Data Privacy Framework”) nyilvánította ki, hogy elkötelezte magát egy új transzatlanti adatvédelmi keretrendszer kialakítása mellett. A keretrendszer alapvető célja az Európai Unió Bíróságának az adatvédelmi pajzsról szóló megfelelőségi határozat érvénytelenítése kapcsán felvetett adatvédelmi jogi aggályok orvoslása. Az új keretrendszer legfontosabb feladata, hogy újrateremtse az Európai Unióból az Egyesült Államokba történő adattovábbítás jogi mechanizmusait és garanciális szabályait. Az USA az egyelőre elvi megállapodás szerint kötelezettséget vállal, hogy az állami szervek által végzett hírszerzési tevékenység kiterjedése szükséges, illetve arányos legyen a meghatározott nemzetbiztonsági célok elérésével
Az Egyesült Államok által közzétett Factsheet szerint az új keretrendszer biztosítja például, hogy a hírszerzési céllal végzett adatgyűjtés csak akkor megengedett, hogyha az jogos nemzetbiztonsági érdekek és célok előmozdításához szükséges, és nem érintheti aránytalan mértékben az egyének magánéletet és a polgári szabadságjogok védelmét. Ezen felül az EU-s állampolgárok egy új, többszintű jogorvoslati fórumhoz fordulhatnak, amely magában foglal egy független adatvédelmi felülvizsgálati bíróságot („Data Protection Review Court”). A felülvizsgálati bíróság az Egyesült Államok kormányán kívülálló, választott személyekből állna, akik teljes hatáskörrel rendelkeznek a panaszok elbírálására és szükség esetén korrekciós intézkedések elrendelésére is. Az amerikai hírszerző ügynökségek eljárásokat vezetnek be az új adatvédelmi és polgári szabadságjogokat érintő rendelkezések érvényesülése feletti hatékony felügyelet biztosítása érdekében. A Factsheet szövege alapján az amerikai szervezeteknek és vállalatoknak tanúsítania kell majd az Egyesült Államok Kereskedelmi Minisztériumának, hogy a keretrendszerben foglalt alapelveket betartják.
2. Az új adatvédelmi keretrendszer megteremtésének szüksége és háttere, előzményei
Az Amerikai Egyesült Államok és az Európai Unió közötti adattovábbítások kapcsán egészen az Európai Unió Bíróságának 2020. nyarán hozott ítéletéig (továbbiakban: „Schrems II-ítélet”) az ún. adatvédelmi pajzs („Privacy Shield”) volt alkalmazandó. A Schrems II-ítéletben az Európai Unió Bírósága kimondta az adatvédelmi pajzsról szóló határozat érvénytelenségét, mivel úgy ítélte meg hogy az Egyesült Államok jogrendszere és különösen olyan, az egyének megfigyelésére alkalmas programok alkalmazása az amerikai szervezetek és vállalatok által, melyek az amerikai jog szerint lehetővé teszik, hogy a nemzeti hatóságok hozzáférjenek az Európai Unióból továbbított személyes adatokhoz nemzetbiztonsági célokból – amely célok meghatározása kizárólag az Egyesült Államok vonatkozó jogszabályain alapul-, a személyes adatok védelmének sérülését eredményezik, továbbá több ponton sem állnak összhangban az Európai Unió jogával és adatvédelmi alapelveivel. Különösen aggályosnak ítélte az Európai Unió Bírósága továbbá, hogy nem volt biztosított az Európai Unió állampolgárai számára a bírósághoz vagy más illetékes hatósághoz fordulás joga az esetleges adatvédelmi jogsértések esetére az amerikai szervezetekkel szemben.
Mivel a globalizáció eredményeképpen az Európai Unió és az Egyesült Államok szoros gazdasági kötelékeket ápol, a személyes adatok továbbítása szükséges és elkerülhetetlen a kereskedelmi kapcsolatok fenntartásához, illetve a digitális szolgáltatások igénybevételéhez. Számos tranzakcióhoz személyes adatokat kell megadnunk, például egy internetes megrendelés leadása esetén. Emellett említenünk kell a különböző közösségi oldalak használatát is, melyek használata kapcsán szintén amerikai szerverekre kerülhetnek személyes adataink. Ezen kívül említést teszünk a közelmúltban nemzetközi visszhangot nyert és aggályokat kiváltó, a Google Analytics alkalmazásával kapcsolatos osztrák adatvédelmi hatósági döntésre, melyben megállapításra került, hogy nem nyújt elégséges védelmet az, hogyha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek, hanem kiegészítő technikai és szervezési intézkedések meghatározása is szükséges az adatvédelmi megfelelőség biztosításához.
A fenti példák alapján összefoglalóan megállapítható, hogy az Európai Unióban rendkívül aggályos annak ténye és tudata, hogy előfordulhat, hogy egy tevékenységét az Európai Unión belül végző adatkezelő megfelelő biztonsági garanciák hiányában továbbítja személyes adatainkat, majd azok az Egyesült Államokban kerülnek felhasználásra, ahol viszont a jogszabályok nem tiltják, hogy az állami szervek korlátozás nélkül hozzáférjenek azokhoz. A jelentős érdeksérelmet okozó adatvédelmi incidensek bekövetkezésének lehetősége pedig még jobban elmélyíti a fenti problémát.
3. Adatvédelmi észrevételeink
A nemzetközi „elvi megállapodások” esetén általánosan megállapítható, hogy hosszas tárgyalásokat, egyeztetési folyamatokat igényelnek, így jelenleg nem előre látható, hogy mikor fog jogi kötőerővel bíró megállapodás is születni. Két merőben eltérő általános jogelvekkel, jogi hagyományokkal rendelkező entitás törekszik megállapodni olyan kérdésekben, melyek mély gyökerekkel rendelkező jogintézmények és eltérő értelmezésben megjelenő szabadságjogok összehangolását, módosítását igényelné.
További időt igényel, hogy az amerikai szervezetek és vállalatok addig nem lehetnek részesei az új adatvédelmi keretrendszernek, amíg azt el nem fogadják, illetőleg az erre kijelölt szervnek megfelelőségüket tanúsítják.
Felmerül továbbá, hogy az újonnan létrejövő adatvédelmi keretrendszer, mint az Európai Bizottság által elfogadott végrehajtási határozat, az Európai Unió Bírósága előtt indított eljárás keretében megtámadható lesz, így a keretrendszert létrehozni kívánó feleknek kiemelt figyelmet kell fordítaniuk bármely adatvédelmi aggály elkerülésére, a végleges szöveg elfogadása előtt történő kiküszöbölésére.
Összefoglalóan megállapítható, hogy az elvi megállapodásnak hosszú utat kell bejárnia, amire jogi kötőerővel bíró megállapodás keletkezik belőle.
Amennyiben adatvédelmi tisztviselő, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu