Az Oroszországba történő adattovábbítás kérdései az EDPB állásfoglalása alapján

Az Európai Adatvédelmi Testület (EDPB) július 12.-én új állásfoglalást adott ki az Oroszországba történő adattovábbítással kapcsolatban (Statement 02/2022 on personal data transfers to the Russian Federation)[1].

Az EDPB nyilatkozatában felhívja a figyelmet arra, hogy 2022. február 24. óta Oroszország hadiállapotban van Ukrajnával szemben, mely olyan változásokat okozott (Oroszország kizárása az Európa Tanácsból, szeptembertől nem lesz szerződő fele az Emberi Jogok Európai Egyezményének), melyek jelentős hatással lehetnek az Oroszországba továbbított adatok érintettjeinek védelmi szintjére.

Magyarországon sok olyan szervezet van, amely kereskedelmi kapcsolatban van oroszországi cégekkel, így az Oroszországba történő adattovábbítás fontos kérdés itthon is.

Az EDPB kiemeli, hogy a személyes adatok harmadik országba történő továbbítása az Európai Bizottság megfelelőségi határozatának hiányában csak akkor lehetséges, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat nyújt, és az érintettek számára jogérvényesítési lehetőségek és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Megfelelőségi határozat vagy megfelelő garanciák hiányában (GDPR 45. és 46. cikk) a személyes adatok harmadik országba történő továbbítására csak a GDPR 49. cikkében meghatározott feltételek valamelyike ("Különös helyzetekben biztosított eltérések") esetén kerülhet sor. Oroszország nem rendelkezik az Európai Bizottság megfelelőségi határozatával, ezért a személyes adatok Oroszországba történő továbbítását a GDPR V. fejezetében meghatározott egyéb adattovábbítási garanciák valamelyikének alkalmazásával kell végezni.

Ez, főleg az utóbbi időben (Schrems II. ítélet óta) ró nagy terhet az adattovábbító szervezetekre, hiszen nekik kell azonosítani és sokszor biztosítani az adattovábbítás garanciáját pl. általános adatvédelmi kikötések megkötésével vagy kötelező erejű vállalati szabályok meghatározásával. Emellett az adatot továbbító szervezetnek azt is vizsgálnia kell (és kellett is a Schrems II. ítéletet követően), hogy az adattovábbítással összefüggésben az Oroszországban hatályos jogszabályokban és gyakorlatokban (különösen az orosz hatóságok személyes adatokhoz való hozzáférésével kapcsolatban, különösen a bűnüldözési és nemzetbiztonsági célokra) van-e olyan tényező, amely befolyásolhatja a meghatározott adattovábbítási garanciák hatékonyságát. Amennyiben a vizsgálat során kiderül, hogy a személyes adatok érintettjeinek nem biztosított az Európai Unióban elvárt szintnek megfelelő védelem, az adattovábbítást fel kell függeszteni.

Néhány nemzeti adatvédelmi felügyeleti hatóság már vizsgálja az Oroszországba irányuló adattovábbítások jogszerűségét. A felügyeleti hatóságok továbbra is figyelemmel kísérik a jogszabályi változásokat és egyéb releváns fejleményeket Oroszországban, amelyek hatással lehetnek az oda történő adattovábbításokra.

Az Oroszországba történő adattovábbítás során eddig is komoly feltételeket kellett mérlegelniük az adatkezelőknek. Olyan szempontból tehát nem változott a helyzet, hogy Oroszország eddig sem rendelkezett az Európai Bizottság megfelelőségi határozatával, ezért a személyes adatok Oroszországba történő továbbítás jogszerűségének biztosítására egyéb adattovábbítási garanciát kell alkalmazni. A háborús helyzet hatására azonban a személyes adatok biztonsága még inkább megkérdőjeleződik, ezért számíthatunk rá, hogy az adatvédelmi hatóságok még nagyobb fókuszt helyeznek majd az Oroszországba történő adattovábbítások esetleges ellenőrzésére. Javasoljuk tehát, hogy az adattovábbító adatkezelők és adatfeldolgozók vizsgálják meg adattovábbításaikat, és amennyiben Oroszországba (vagy EU-n kívülre bárhova) továbbítanak adatot, tegyék meg a GDPR által megkövetelt megfelelő lépéseket annak érdekében, hogy egy esetleges hatósági bírságot, vagy az adattovábbítás megtiltását elkerülhessék.

^{[1] https://edpb.europa.eu/system/files/2022-07/edpb_statement_20220712_transferstorussia_en.pdf}