Nehéz helyzetben van ma az a vállalkozás, amely személyes adatokat továbbít vagy továbbítana harmadik országba, azaz az Európai Unió területén kívülre, különösen igaz ez az USA-ba történő adattovábbításra.  Az Európai Unió különös figyelmet szentelt mindig arra, hogy a megfelelő védelmi szint biztosított legyen az Unió határán kívülre továbbított személyes adatok tekintetében.

Az Európai Parlament és Tanács 95/46/ EK Irányelve (1995. október 24.) célként fogalmazta meg az egyének magánéletének magas szintű védelmét és a személyes adatok Európai Unión belüli szabad áramlását. A magas védelmi szintet az Európai Unió Alapjogi Chartája is deklarálta és 2016. április hónapban a Parlament jóváhagyta az új adatvédelmi előírásokat, megszületett a GDPR. Kijelenthető, hogy az Európai Unió adatvédelmi szabályai jobban és szigorúbb előírásokkal védik az állampolgárokat, mint az Egyesült Államokban. Az Egyesült Államok és az Európai Unió közötti személyes adatok áramlását a 2000-ben aláírt Safe Harbour „próbálta” szabályozni. 2013-ban bombaként robbant a hír, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) tömeges adatgyűjtést folytat, azaz senki nem lehet biztonságban a személyes adatait illetően. Az Európai Bíróság vizsgálata alapján 2015. október 6-án, tekintettel arra, hogy az unió állampolgárainak személyes adatainak védelme nem biztosított, hatályon kívül helyezte a Safe Harbour egyezményt. Új adattovábbítási keretrendszert kellett kidolgozni. 2016. július 12-én került elfogadásra a Privacy Shield megállapodás. Az USA Kereskedelmi Minisztériuma évente felülvizsgálta a regisztrált vállalkozásokat adatvédelmi szempontból.  A Privacy Shield célja többek között az volt, hogy a tömeges bűnüldözési és nemzetbiztonsági adatgyűjtési gyakorlatot keretek közé szorítsa, megjelent a célhoz kötött adatkezelés, valamint a szükséges és arányos adatgyűjtés elve. Jelentős volt, hogy az egyezmény lehetőséget biztosított arra, hogy az EU-s állampolgárok bírósághoz forduljanak, ha jogellenesen figyelték meg őket. A Privacy Shield első felülvizsgálatára 2017. szeptember 18-19-én került sor. Megállapításra került, hogy az irány jó, de további erőfeszítésekre van szükség, így pl. az ombudsman kijelölésére sort kell keríteni. A Privacy Shield nem volt hosszú életű. 2020. július 16-án az Európai Unió Bírósága (EUB) a Schrems II. ügyben kimondta érvénytelenségét, mert nem látta biztosítottnak a személyes adatok védelmét az USA adott jogi keretei között, az indokolásban többek között az szerepel, hogy az USA nemzetbiztonságra hivatkozva, korlátlan hozzáféréssel rendelkezett a személyes adatokhoz, nem volt biztosított az EU állampolgárok jogorvoslati joga. Fontos már most kiemelnünk, hogy a Privacy Shield érvénytelensége nem csak az USA-ba történő adattovábbításra van hatással, hanem minden harmadik országba történő adattovábbításkor meg kell vizsgálni, hogy a védelem szintje megfelelő-e. Felmerül a kérdés, hogyan továbbíthatunk személyes adatokat az ítéletet követően harmadik országba? Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. A második lehetőség a Bizottság által kidolgozott általános szerződési feltételek (SCC). A szabvány szerződési minta részletesen kitér az alapvető fogalmakra, jogokra, kötelezettségekre, jogorvoslati lehetőségekre, joghatóság megnevezésére. Az uniós tagállamok az általános szerződési feltételek által nyújtott biztosítékot kötelesek elfogadni, ugyanakkor az illetékes felügyeleti hatóságok felügyelik azok betartását. Ha a felek bármelyike megsérti az általános szerződési feltételeket, az adattovábbítást az illetékes felügyeleti hatóság felfüggesztheti vagy megtilthatja. Harmadik lehetőség a Binding Corporate Rules (BCR). Tekintettel arra, hogy több millió uniós állampolgár adatait kezelik multinacionális vállalatok, szükséges a vállalatcsoporton belüli adattovábbítás jogi alapjainak megteremtése. A Kötelező Vállalati Szabályozás a vállalaton belüli önszabályozás eszköze, amely az adott ország megfelelő szintű adatvédelmének hiányát hivatott pótolni. A BCR nem írhatja felül a nemzeti szabályozásokat, a létrejött egyoldalú kötelezettségvállalást az érintett felügyeleti hatóságok hagyják jóvá. A BCR kötelező tartalmi elemeit a GDPR 47. cikk (2) bekezdés a-n pontja részletesen taglalja.

Negyedik lehetőség a GDPR 49. cikk szerinti „maradványelv”, ez azonban csak szükség esetén jöhet szóba. Sor kerülhet külföldre történő adattovábbításra az adatvédelmi szempontból nem biztonságos országba az alábbi vagylagos esetekben: az érintett kifejezett hozzájárulását adta, az adattovábbítás szerződési kötelezettség teljesítéséhez szükséges, az adattovábbításra fontos közérdekből kerül sor. Hogyan tovább? Az EUB megerősítette az általános szerződési feltételekről szóló 2010/87/EK Bizottsági Határozatát, hangsúlyozva azt, hogy az adatátvevő harmadik ország nemzeti joga biztosítson megfelelő védelmi szintet a személyes adatok kezelésével kapcsolatban, ez azt jelenti, hogy nem csak az átadónak, hanem az átvevőnek is felelőssége, hogy esetről esetre vizsgálja a megfelelősséget. Ahol ez nem biztosított ott a feleknek hatékony ún. kiegészítő biztosítékot kell nyújtaniuk az adattovábbításra. Sajnos az EUB ezeket a kiegészítő biztosítékokat nem részletezi. A fentiek alapján komoly fejtörést jelent az adattovábbítás ma az USA-ba, valamint a harmadik országokba. Tekintettel arra, hogy a Bizottság szerint nem minden harmadik ország biztonságos ország – adatvédelmi-adatbiztonsági szempontból – nem minden adatkezelő kötött BCR megállapodást, a legbiztonságosabb „megoldás” jelen pillanatban a SCC-k alkalmazása. Az Unióban számos adatvédelmi hatóság arra ösztönzi az adatkezelőket, hogy a Bizottság által jóváhagyott SCC-ket alkalmazzák. Az Európai Bizottság 2021. június 4-én közzétette végleges határozatát, amely az Európai Unióból származó személyes adatok harmadik országokba történő továbbításához kapcsolódó sztenderd szerződési minták ismételt bevezetését írja elő. A végrehajtási határozat értelmében az új SCC-t akkor kell alkalmazni, ha az adattovábbító félre a GDPR előírásai irányadók, illetve, ha az adatokat továbbító nem rendelkezik az Európai Unióban székhellyel. Fontos dátum a 2021. szeptember 27., ugyanis ezt követően nem lehet alkalmazni a régi SCC mintákat. A 2021. szeptember 27-éig megkötött SCC-k esetében 2022. december 27-ig kell átállni az új biztonsági feltételeknek megfelelő SCC-re.

Szerző:
Dr. Kizlinger András, adatvédelmi szakjogász (2021.08.31.)