Európai Unió Bírósága Schrems II. ügyben hozott ítélete: az EU-USA közötti adattovábbítást lehetővé tevő megfelelőségi határozat (Privacy Shield) érvénytelen

Az Európai Unió Bíróságának (továbbiakban: Bíróság) Schrems II. ügyben hozott ítélete[1]  az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot érvénytelennek nyilvánította.  A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről (a továbbiakban: általános adatvédelmi kikötések) szóló 2010/87 bizottsági határozatot azonban érvényesnek ítélte a Bíróság, azzal, hogy az ezen alapuló adattovábbítások során is teljesíteni kell az alábbiakban összefoglalt követelményeket.

A GDPR rendelkezései alapján személyes adatok fő szabály szerint csak akkor továbbíthatók harmadik országba, ha az adott ország megfelelő védelmi szintet biztosít ezen adatok számára. A megfelelő szint meglétét megállapíthatja a Bizottság megfelelőségi határozatban (GDPR 45. cikk), ilyen megfelelőségi határozat hiányában egyéb megfelelő garanciák (GDPR 46. cikk) biztosítása szükséges az adattovábbításhoz. Amennyiben a fentiek közül egyik sem érvényesül, csak a GDPR-ban meghatározott különös feltételek (GDPR 49. cikk) egyikének teljesülése mellett lehet jogszerű a harmadik országba történő adattovábbítás.

A Bíróság megállapította, hogy a személyes adatok védelmének az Egyesült Államok belső szabályozásából eredő korlátozásai nem felelnek meg az arányosság elve által megkövetelt követelményeknek, mert ezen szabályozáson alapuló, amerikai hatóságok által nemzetbiztonsági célból végzett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. A Bíróság továbbá kimondta, hogy a 2016/1250 határozat nem biztosít olyan mechanizmusokat, amelyek megfelelő jogorvoslati lehetőséget biztosítanának az adattovábbítás érintettjei számára. Mindezek alapján a Bíróság megállapította a 2016/1250 (Privacy Shield) érvénytelenségét.

A Bíróság a 2010/87-es bizottsági határozatot megvizsgálva azonban az általános adatvédelmi kikötéseket érvényesnek nyilvánította. A Bíróság megállapítása szerint a határozat érvényességét nem érinti az a tény, hogy ezek az általános adatvédelmi kikötések nem kötik a címzett harmadik ország hatóságát, azonban hozzátette, hogy az érvényesség feltétele, hogy olyan hatékony mechanizmusokat tartalmazzon, amelyekkel biztosítható a személyes adatok védelmének gyakorlatilag az EU-ban garantálttal megegyező szintje. Továbbá hangsúlyozta, hogy amennyiben ez a szint nem megfelelő, az adattovábbítást fel kell függeszteni. A Bíróság ezzel kapcsolatosan azt is kimondta, hogy az adattovábbító adatkezelő és a harmadik országban letelepedett adatátvevő adatfeldolgozó kötelezettsége, hogy előzetesen vizsgálják az adattovábbítások körülményeit, a személyes adatok védelmének megfelelő szintjét. Továbbá a címzett adatfeldolgozó kötelezettsége értesíteni az adattovábbítót, amennyiben nem képes biztosítani a biztonság megfelelő szintjét az adatok számára.[2]

Pontosan mely vállalkozásokat érinti a Privacy Shield érvénytelenítése?

• A Privacy Shield, mint megfelelőségi határozat érvénytelenítése mindazon vállalkozásokat érinti, akik ezen határozat alapján továbbítottak adatokat az USA-ba. A döntés jelentőségét az is mutatja, hogy a Privacy Shield listán[3]jelenleg 5375 szervezet szerepel, köztük többek között az Amazon Web Services és a Facebook is.
• Ezen felül a Bíróság ítélete érinti azokat a vállalkozásokat is, akik az általános adatvédelmi kikötések alkalmazásával adatfeldolgozóknak továbbítottak adatot akár az Egyesült Államokba, akár egyéb harmadik országokba, az által, hogy az ítélet megállapításai túlmutatnak az USA-ba történő adattovábbítások körén.
• Az ítélet hangsúlyozza az adattovábbító felelősségét annak előzetes vizsgálatában, hogy az unióban letelepedett adatkezelő és a harmadik országban letelepedett címzett között létrejött szerződéses kikötések mellett, a címzett ország jogrendszere, illetve a címzett vállalkozásra vonatkozó nemzeti jogszabályok együttesen biztosítják-e a biztonság megfelelő szintjét a továbbított személyes adatok számára.
• Az általános adatvédelmi kikötések alkalmazására vonatkozó kötelezettségeket teljesíteni kell a Kötelező erejű vállalati szabályok (GDPR 47. cikk) alapján történő adattovábbítások során is, függetlenül attól, hogy az Egyesült Államokba, vagy egyéb harmadik országba történik az adattovábbítás.

Milyen kötelezettséget ró ez a vállalkozásokra?

• A Bíróság nem mond ki semmiféle türelmi időt a lent részletezett kötelezettségek végrehajtására, így azok a lehető leghamarabb elvégzendők. A bírósági határozat meghozatalától a Privacy Shield alapján történő adattovábbítások már most jogellenesnek minősülnek.
• Az adatkezelőknek felül kell vizsgálniuk az adattovábbítási gyakorlatukat és az ezzel kapcsolatos dokumentációt is figyelemmel arra, hogy mely adattovábbítások milyen garanciák alapján történnek.
• Azokban az esetekben, melyekben eddig az adatkezelők a Privacy Shield alapján továbbítottak adatot, egyéb megfelelő garanciát szükséges találni a jogszerű adattovábbítás érdekében.
• Amennyiben az adatkezelő a Privacy Shield helyett a továbbiakban az általános adatvédelmi kikötések alapján kívánja az adatokat harmadik országba továbbítani, vagy már eredetileg is az általános adatvédelmi kikötések alapján továbbít adatokat akár az Egyesült Államokba, akár egyéb harmadik országokba, mindenképpen előzetesen vizsgálnia szükséges azt, hogy a harmadik országban letelepedett címzett megfelelő védelmi szintet tud-e biztosítani a továbbított személyes adatok számára. A megfelelő védelmi szint megállapításakor értékelni szükséges az unióban letelepedett adatkezelő és a harmadik országban letelepedett címzett között létrejött általános adatvédelmi kikötéseket, a címzett ország jogrendszerét, valamint a címzettre irányadó nemzeti jogszabályokat. Ezen körülmények együttes vizsgálata alapján állapítható meg, hogy biztosított-e a megfelelő védelmi szint. Amennyiben az előzetes vizsgálat eredményeként megállapítható, hogy a címzett adatátvevő még egyedileg meghatározott esetleges kiegészítő intézkedések bevezetésével sem képes biztosítani a megfelelő védelmi szintet a személyes adatok számára, az adattovábbítást fel kell függeszteni, vagy meg kell szüntetni.
• A címzettek kötelezettsége, hogy tájékoztassák az adatkezelőt arról, ha esetlegesen nem képesek eleget tenni az általános adatvédelmi kikötéseknek. Ebben az esetben az adatkezelőnek fel kell függesztenie az adattovábbítást.
• Az általános adatvédelmi kikötések alkalmazása esetén meghatározott előzetes vizsgálati követelmények szintén érvényesek azokra az adattovábbításokra, amelyek a Kötelező erejű vállalati szabályok alapján történnek akár az Egyesült Államokba, akár egyéb harmadik országba.
• Az adattovábbításokra vonatkozó megfelelő garanciák megváltozására figyelemmel a következő dokumentumok felülvizsgálata is szükséges: adatkezelési tevékenységek nyilvántartása, adatkezelési tájékoztatók, adatkezelői és adatfeldolgozói szerződések.

Milyen változásokat hozhat ez a hatósági gyakorlatban?

• A felügyeleti hatóságok közleményeiből az olvasható ki, hogy a jövőben nagyobb hangsúlyt kaphatnak a nemzetközi adattovábbítások a hatósági vizsgálatok során.
• A nemzeti hatóságok akár meg is tilthatják az adattovábbítást, ha úgy vélik, hogy a továbbított adatok védelme más módon nem biztosítható.

[1]  C‑311/18. számú ítélet http://curia.europa.eu/juris/document/document.jsf;jsessionid=79A9F6D4C441C1B0E1BB674FF3B58578?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9719131

[2] https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

[3] https://www.privacyshield.gov/list