EU-n kívüli adattovábbítás a Privacy Shield érvénytelenítése után

A jelenlegi helyzet

Az Európai Unió Bírósága ítéletében (C-311/18. sz.) érvénytelenítette az adatvédelmi pajzsot (Privacy Shield), amely az Európai Unió és az Egyesült Államok közötti személyes adatok továbbításának keretrendszerét biztosította, mert az amerikai szabályozás nem nyújt elegendő garanciát azzal a kockázattal szemben, hogy a hatóságok, különösen a hírszerző szolgálatok hozzáférhetnek az Európában tartózkodó személyek személyes adataihoz (Schrems II.).

Mivel az Egyesült Államok és az Európai Unió fontos kereskedelmi partnerei egymásnak, ezért a szervezeteknek nehéz elkerülni az USA-ba történő adattovábbítást. Ezen felül sok cég ki is szervez bizonyos tevékenységeket Amerikába, így sokszor a mindennapos működésükhöz is hozzátartozik a személyes adatok exportálása, arról nem is beszélve, hogy számos, az európai cégek számára elengedhetetlen szolgáltatásokat nyújtó, amerikai anyavállalattal rendelkező cég van monopol helyzetben a piacon. Ezeket a kereskedelmi viszonyokat nagyon nehéz áthelyezni EU-n belülre.

A Schrems II. ítélet óta az USA-ba (és egyébként EU-n kívülre) adattovábbító szervezeteknek egyre nagyobb terheket kell magukra venniük, hiszen a Privacy Shield megszűnésével új megfelelő garanciát kell keresniük adattovábbításaikra, emellett pedig a felelősségük is jelentősen nőtt abban, hogy olyan EU-n kívüli szervezetnek továbbítsanak csak adatot, amely biztosítja az érintetteknek az EU-ban elvárt védelmet. A Privacy Shield érvénytelenítése után ugyanis a leggyakrabban használható garancia az általános adatvédelmi kikötések lett, amelyek esetén azonban már nem elég csak aláírni egy ilyen megállapodást az adatot fogadó szervezettel, de annak a terhe is az adattovábbítóra hárul, hogy megvizsgálja egyrészt, hogy az adatot fogadó szervezet ténylegesen biztosítja-e az adatok védelmének EU-ban megkövetelt szintjét, másrészt, hogy a címzett szervezet országának jogrendszere és gyakorlata nem befolyásolja-e a meghatározott adattovábbítási garanciák hatékonyságát.  Ahogy ugyanis azt a Bíróság a Schrems II. ítélettel összefüggésben kimondta, bár bizonyos esetekben - az érintett harmadik országban hatályos jogtól és gyakorlattól függően - kizárólag az általános adatvédelmi kikötések alapján is biztosított a fogadó szervezetnél az adatok szükséges védelme, vannak olyan helyzetek azonban, amelyekben e kikötések tartalma nem biztos, hogy elegendő eszközt jelent a gyakorlatban az érintett harmadik országba továbbított személyes adatok hatékony védelméhez. Ez a helyzet a különösen akkor, ha az adott harmadik ország joga lehetővé teszi a hatóságai számára, hogy hozzáférjenek személyes adatokhoz olyan módon, amely befolyásolja a személyes adatok érintettjeinek jogait. (C-311/18, 126. pont).[1] Ahogy fent említettük, az Amerikai Egyesült Államok esetében a Schrems II. ítélet ki is mondta, hogy a hatóságok, különösen a hírszerző szolgálatok olyan mértékben férhetnek hozzá személyes adatokhoz, amely az érintettek jogainak korlátozásához vezet.

Azok a szervezetek, amelyek fő tevékenységéhez tartozik az EU-n kívüli adattovábbítás, komoly akadályokba ütközhetnek. Ha ugyanis az adattovábbító szervezet nem tud meggyőződni arról, hogy az adatok a címzett szervezetnél is megfelelő biztonságban vannak, az adattovábbítást fel kell, hogy függesszék. Emellett az is komoly problémát jelent, hogy sok amerikai vállalat monopol helyzetben van a piacon, így még ha nem is vagyunk biztosak abban, hogy az adatoknak megfelelő védelmet nyújtanak, mégsem egyszerű EU-n belüli versenytársat találni, aki azonos szintű szolgáltatást tud számunkra nyújtani.

Mi várható a jövőben?

Az adattovábbító szervezetek számára reményt adhat az a fejlemény, hogy márciusban Brüsszel és Washington elvi megállapodást kötött a megújított "adatvédelmi pajzs" adattovábbítási megállapodásról. A tárgyaló felek a Schrems II. ítélet óta dolgoznak a megállapodáson.

Annak ellenére, hogy márciusi bejelentés megkönnyebbüléssel tölti el az üzleti szférát, a magánélet védelmezői valószínűleg bírósági úton támadnak majd meg bármilyen megállapodást.[2] Max Schrems, a NOYB tiszteletbeli elnöke például a bejelentésre reagálva kijelentette, hogy amint a megállapodás megszületik, jogi szakértőkkel együtt alaposan elemezni fogják azt. Ha nem áll összhangban az uniós joggal, akkor meg fogják támadni azt, és a Bíróság harmadszor is döntést fog hozni.[3]

A Privacy Shield 2.0 létrejöttére még biztosan várnunk kell, és az is kérdéses, hogy amennyiben véglegesítésre kerül, mi lesz a sorsa, amennyiben megtámadják a különböző magánszférát védő szervezetek. Minden esetre az adatot továbbító szervezeteknek addig is más adattovábbítási garanciákat kell megjelölniük és alkalmazniuk annak érdekében, hogy jogszerűen továbbíthassanak adatot az EU-n kívülre, és megkíméljék magukat egy esetleges adatvédelmi bírságtól, vagy az adattovábbításaik felfüggesztésétől.

_{[1] https://www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf}

_{[2] https://www.politico.eu/article/eu-us-strike-preliminary-deal-to-unlock-transatlantic-data-flows/}

_{[3] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems}