Az EU-USA Adatvédelmi Pajzs bemutatása

Az Európai Unió Bizottsága 2016. július 12-én elfogadta az EU-USA Adatvédelmi Pajzsot, mely azt a szabályozási űrt hivatott betölteni, amit a Bizottság Amerikai Egyesült Államokra kiterjedő Safe Harbor határozatának az Európai Unió Bírósága által 2015. október 6-án meghozott döntése érvénytelenített.

Áttekintés

Az Európai Unió Bírósága által támasztott követelményeknek megfelelően az új keretrendszer valódi és hatékony védelmet kíván biztosítani azon EU lakosok számára, akiknek személyes adatai továbbításra kerülnek az Amerikai Egyesült Államokba és tiszta jogi helyzetet kíván teremteni azon vállalatok részére, akik számára nélkülözhetetlen a interkontinentális adattovábbítás. Az EU-USA Adatvédelmi Pajzs gondoskodik a személyiségi jogok hatékony védelméről, biztosítékokat nyújt az USA kormányzata általi adathozzáférésekkel szemben, és szigorú kötelezettségeket ró azon vállalatokra, amelyek személyes adatokat kapnak az EU-ból. A felek évente összeülnek és felülvizsgálják az új rendszer működését. Az európai jogalkotók bíznak abban, hogy az új keretrendszer segíteni fog visszaállítani az érintettek bizalmát a transzatlanti adattovábbítások tekintetében.

Az EU-USA Adatvédelmi Pajzs keretében az Egyesült Államok Kereskedelmi Minisztériuma (a továbbiakban: US KM) rendszeresen kiértékeli a résztvevő vállalatokat annak biztosítása érdekében, hogy ezek tartsák magukat önkéntes vállalásaikhoz. Kiemelt korlátozások irányadók az Adatvédelmi Pajzs alá tartozó vállalatoktól történő további, úgy nevezett másodlagos adattovábbításokra. A szabályok be nem tartása különféle szankciókat, és végső soron az Adatvédelmi Pajzs Listáról való törlést is maga után vonhatja.

Bárki, aki attól tart, hogy adatait jogellenesen kezelik az Adatvédelmi Pajzs keretében, jogosult az érintett céghez fordulni. Amennyiben a cég nem orvosolja a panaszt, ingyenes alternatív vitarendezési lehetőségek állnak rendelkezésre. Az érintettek saját nemzeti adatvédelmi hatóságukhoz is fordulhatnak a felmerülő ügyekben. Amennyiben mindez nem vezet eredményre, végső megoldásként választottbírósági eljárás elé vihető az ügy.

Az Egyesült Államok Kormánya biztosította az EU-t affelől, hogy az adatokhoz az amerikai közintézmények is kizárólag egyértelmű korlátok, biztosítékok és jogorvoslati lehetőségek mellett férhessenek hozzá. Tilos a személyes adatok válogatás nélküli, tömeges megfigyelése. Tömeges adatgyűjtésre kizárólag speciális előfeltételek fennállta esetén van lehetőség, de ilyen esetekben is törekedni kell a minél inkább célzott adatgyűjtésre. Bizonyos biztosítékok még ilyen kivételes esetekben is érvényesülnek és a jogorvoslati lehetőségek széles tárháza áll rendelkezésre.

Az Adatvédelmi Pajzs működését folyamatosan felügyelni fogják. A Bizottság és az US KM rendszeres, éves felülvizsgálatot fog lefolytatni amerikai nemzetbiztonsági szakértők és az európai adatvédelmi hatóságok szakértőinek támogatása mellett. Ezen éves kiértékelés eredményét az Európai Parlamentnek és Tanácsnak címzett nyilvános jelentés formájában kell összefoglalni.

Következő lépések

A Szövetségi Közlönyben való közzététel után az US KM megkezdi az Adatvédelmi Pajzs működtetését. Ezzel egyidejűleg a Bizottság közzétesz egy rövid tájékoztatót (Útmutató) az érintetteknek a rendelkezésre álló jogorvoslati lehetőségekről.

Azon amerikai vállalatoknak, amelyek az Adatvédelmi Pajzs égisze alatt kívánnak személyes adatokat kapni az EU-ból, meg kell ismerkedniük a rendszerrel és hozzá kell igazítaniuk a belső szabályaikat. Az US KM 2016. augusztus 1-től fogadja a megfelelési nyilatkozatokat.

Az EU-USA Adatvédelmi Pajzs részletei

Megfelelési nyilatkozat

Az EU-USA Adatvédelmi Pajzs egy megfelelési nyilatkozattételre épül, melynek következményeként az amerikai vállalatok kötelesek megfelelni számos adatvédelmi alapelvnek, azaz az EU-USA Adatvédelmi Pajzs Keretrendszer Alapelveinek (a továbbiakban: Alapelvek). Az Alapelvek irányadók mind az adatkezelőkre, mind az adatfeldolgozókra. Az adatfeldolgozókat mindenkor szerződésben kell kötelezni arra, hogy kizárólag az adatkezelőtől kapott utasítás alapján járjanak el. Az Alapelvek a nyilatkozattétellel azonnal alkalmazandóvá válnak, azonban kilenc (9) hónapnyi türelmi időt enged a rendszer arra, hogy a cégek a már meglévő kereskedelmi kapcsolataikat az Alapelvekkel összhangba hozzák – feltéve, hogy a megfelelési nyilatkozattételre 2016 szeptember végéig sor kerül. Az érintettek jogosultak megtiltani az adataik továbbítását ezen átmeneti időszak alatt. Az első nyilatkozattételt követően a vállalatok kötelesek évente ismételten nyilatkozatot tenni, feltéve, hogy továbbra is az Adatvédelmi Pajzsra támaszkodva szeretnének személyes adatokat fogadni az EU-ból.

További részleteket, beleértve a megfelelési nyilatkozattételhez szükséges útmutatót, az US KM alábbi honlapján lehet elérni: https://www.commerce.gov/page/eu-us-privacy-shield

Alapelvek

Miután a vállalat – saját elhatározása alapján – a nyilatkozattétel mellett dönt, az Alapelvek betartása kötelező.

A Tájékoztatási Alapelv

A Tájékoztatási Alapelv értelmében a vállalatok kötelesek számos körülményről adatot szolgáltatni az érintetteknek. Az Alapelveket tükröző adatvédelmi szabályzatokat a nyilvánosság számára hozzáférhetővé kell tenni és mellékelni kell egy linket a KM honlapjára, az Adatvédelmi Pajzs Listára és egy megfelelő alternatív vitarendezési szolgáltató honlapjának elérhetőségét is meg kell adni.

Az Adatok Sértetlensége és a Célhozkötöttség Alapelve

A továbbított személyes adatokat az adatkezelés céljának eléréséhez szükséges adatokra kell korlázotni, az adatoknak alkalmasnak kell lenniük a szándékolt felhasználásra, emellett fontos, hogy az adatok pontosak, teljeskörűek és hatályosak legyenek. Tilos az eredeti, illetve az érintett által menet közben engedélyezett céllal össze nem férő célból történő adatkezelés. Kizárólag az eredeti, illetve menet közben engedélyezett cél eléréséhez szükséges ideig szabad megőrizni a személyes adatokat. Ennél hosszabb időtartamig kizárólag akkor kezelhetők az adatok, ha ez ésszerűen szükséges a következő célok bármelyikének érdekében: közérdekű archiválás, újságírás, irodalmi illetve művészeti alkotás, tudományos vagy történelmi kutatás, statisztikai elemzés.

A Választás Jogának Alapelve

Amennyiben az új vagy módosított cél lényegileg különböző, azonban nem összeegyeztethetetlen az eredeti céllal, az érintett jogosult tiltakozni és az adatkezelést megtiltani. Ez természetesen nem érinti az eredeti céllal össze nem férő célból történő adatkezelések teljeskörű tilalmát.

Az Adatbiztonság Alapelve

A személyes adatokat kezelő vállalatoknak arányos és ésszerűen elvárható biztonsági intézkedéseket kell tenniük. Alvállalkozó igénybevétele esetén az alvállalkozóval kötött szerződésnek garantálnia kell az Alapelvek által meghatározott védelmi szintet.

A Hozzáférhetőség Alapelve

A Hozzáférhetőség Alapelvének értelmében az érintettek jogosultak ésszerű időn belül tájékoztatást kapni arról, hogy az adott vállalat kezel-e rájuk vonatkozó személyes adatot, és ha igen, akkor milyen adatokat. Az érintett nem köteles kérését indokolni. Díjazás kérhető, azonban ez nem lehet túlzó mértékű. Az érintettek jogosultak adataikat helyesbíteni, kiegészíteni vagy törölni, ha azok helytelenek vagy jogellenesen kezelik őket.

A Jogorvoslat, Végrehajthatóság és Felelősség Alapelve

Az EU-USA Adatvédelmi Pajzs rendszerhez csatlakozó vállalatok kötelesek jogorvoslati lehetőségeket biztosítani azon érintettek számára, akiknek az adatait szabálytalanul kezelték. A vállalat adatvédelmi szabályzatában egyértelműen meg kell jelölni, hogy az érintettek hova küldhetik panaszaikat. A vállalat köteles az érintett panaszának kézhezvételétől számított negyvenöt (45) napon belül válaszolni a panaszra. Az elsődleges felelősség mindenkor az Adatvédelmi Pajzshoz csatlakozott vállalatot terheli, így amennyiben az adatkezelési-felhasználási láncolatban bárhol szabálytalanság merül fel, az Adatvédelmi Pajzshoz csatlakozott vállalat adatkezelőként köteles bizonyítani, hogy nem felelős a kárt okozó eseményért. Amennyiben ezt nem sikerül bizonyítania, úgy a céget terheli a teljes felelősség.

Az érintettek panaszaikkal közvetlenül egy független békéltető testülethez fordulhatnak, melyet a vállalat jogosult kijelölni annak érdekében, hogy az érintettek számára ingyenes jogorvoslati lehetőséget biztosítson. Az US KM ellenőrizni fogja, hogy a cégek valóban regisztrálták-e magukat annál a jogorvoslati fórumnál, amelyre hivatkoznak. A vállalatok választhatnak akár az Amerikai Egyesült Államokban, akár az EU-ban található független vitarendezési lehetőségek közül. E körben dönthetnek úgy is, hogy önként együttműködnek az európai adatvédelmi hatóságokkal. A HR adatokat kezelő cégek számára azonban nincs ilyen választási lehetőség – számukra kötelező az adatvédelmi hatóságokkal való együttműködés. Az együttműködő vállalatok kötelesek válaszolni az adatvédelmi hatóság által feltett kérdésekre és kötelesek eleget tenni a hatóságok javaslatainak. Amennyiben olyan adatvédelmi hatóság elé kerül egy panasz, amelyik nem jogosult közvetlenül jogorvoslati fórumként eljárni, a hatóság továbbítja a panaszt vagy az US KM-hez vagy az amerikai Szövetségi Kereskedelmi Bizottsághoz (a továbbiakban: US SzKB).

Az Adatvédelmi Pajzshoz csatlakozott cégek kötelesek magukat alávetni az amerikai hatóságok vizsgálati és végrehajtási jogkörének – így különösen az US SzKB-nak. Az US SzKB hatósági határozatok útján tudja kikényszeríteni a szabálykövetést és rendszeresen ellenőrzi ezek betartását.

Amennyiben a panaszt nem sikerült egyik rendelkezésre álló jogorvoslati lehetőség útján sem orvosolni, úgy az érintettek utolsó lehetőségként kötelező erejű választottbírósági fórumhoz is fordulhatnak az Adatvédelmi Pajzs Választottbírói Testülete útján. A vállalatok kötelesek tájékoztatni az érintetteket ezen lehetőségről. Az Adatvédelmi Pajzs Választottbírói Testülete az US KM és a Bizottság által kijelölt legalább húsz (20) választottbíróból áll. A választottbírósági út nem vehető igénybe olyan esetekben, melyekben valamely adatvédelmi hatóság jogosult a panaszt elbírálni.

A fentiek mellett rendelkezésre állnak az USA joga alapján egyébként is nyitva álló bírósági jogorvoslati lehetőségek, akár szerződésen kívüli károkozásra, akár szándékos megtévesztésre, tisztességtelen vagy megtévesztő kereskedelmi gyakorlatra, illetve általánosan a szerződésszegés szabályaira történő hivatkozással.

A Másodlagos Továbbításért Való Felelősség Alapelve

Különleges szabályok irányadók a másodlagos továbbításra, azaz az EU-USA Adatvédelmi Pajzshoz csatlakozott vállalattól egy harmadik adatkezelőhöz vagy adatfeldologozóhoz való továbbításra, függetlenül attól, hogy ez utóbbi az USA területén belül vagy kívül található (de az EU területén kívül). Ilyen jellegű továbbításra csak (i) korlátozott és előre meghatározott célokból, (ii) szerződés alapján és (iii) kizárólag akkor kerülhet sor, ha a szerződés biztosítja az Alapelvekkel azonos szintű védelmet. Az érintetteket tájékoztatni kell az adatokat kapó harmadik félről és azok jogosultak megtiltani adataik továbbítását. Különleges adatok esetén kifejezett megerősítő hozzájárulás, ún. opt-in hozzájárulás szükséges az ilyen jellegű adat továbbításokhoz. Az adatokat kapó harmadik felek kizárólag az eredeti vagy menet közben engedélyezett céllal nem összeegyeztethetetlen célból kezelhetik a kapott személyes adatokat.

Felügyelet és végrehajtás

Az EU-USA Adatvédelmi Pajzs rendszere olyan felügyeleti és végrehajtási eljárásokat tartalmaz, melyek biztosítják, hogy az önként csatlakozott vállalatok be is tartsák az Alapelveket. Az US KM vezeti és közzéteszi azon cégek és szervezetek listáját, melyek megfelelési nyilatkozat útján kifejezték az Alapelvek melletti elkötelezettségüket. Ezen Adatvédelmi Pajzs Lista és az ismételt megfelelési beadványok elérhetők egy az US KM által üzemeltetett honlapról. Az US KM folyamatosan ellenőrizni fogja, hogy a megfelelési nyilatkozatot tett vállalatok valóban betartják-e a szabályokat. Azon cégek, amelyek rendszeresen megszegik az Alapelveket, törlésre kerülnek az Adatvédelmi Pajzs Listáról és kötelesek visszaszolgáltatni vagy törölni minden olyan adatot, melyet az EU-USA Adatvédelmi Pajzs égisze alatt kaptak.

A Pajzs elhagyása

Ha egy vállalat elhagyja az EU-USA Adatvédelmi Pajzsot, akkor köteles eltávolítani minden olyan nyilvános közlést, mely a rendszerben való részvételre utal, beleértve, de nem kizárólagosan az Adatvédelmi Pajzsra való hivatkozást a cég adatvédelmi szabályzatában. Az US KM hivatalból figyeli az Adatvédelmi Pajzsnak való megfelelésre utaló hamis állításokat, illetve az Adatvédelmi Pajzshoz való csatlakozást jelző ábra jogellenes használatát.

Hozzáférés az amerikai hatóságok által

Az Alapelvek betartása korlátozható olyan mértékben, amennyire ez nemzetbiztonsági okból, közérdekből vagy bűnüldözési okból szükséges. A Bizottság kiértékelte az Amerikai Egyesült Államok joga szerint rendelkezésre álló korlátozásokat és biztosítékokat, melyek az EU-USA Adatvédelmi Pajzs alapján továbbított adatokhoz való, amerikai hatóságok általi hozzáférés tekintetében rendelkezésre állnak. Ezen értékelés eredményeként a Bizottság arra a következtetésre jutott, hogy az Amerikai Egyesült Államok joga számos korlátozást tartalmaz a továbbított adatokhoz való hozzáférés tekintetében, és tartalmaz továbbá olyan felügyeleti és jogorvoslati eljárásokat, melyek kellő biztosítékot nyújtanak a magánszféra jogellenes és illetéktelen háborgatásával szemben. A célzott adatgyűjtés mindig előnyt élvez, tömeges adatgyűjtésre csak kivételes esetekben kerülhet sor. Az USA FREEDOM Törvény (mely 2015. június 2-án került elfogadásra, az USA PATRIOT Törvény helyett) kifejezetten tiltja a tömeges méretű adat nyilvántartások rögzítését, és előírja bizonyos szűrési szabályok alkalmazását.

Amennyiben az adatok már egy EU-USA Adatvédelmi Pajzshoz csatlakozott vállalatnál vannak, úgy a  nemzetbiztonsági hatóságok kizárólag a Külföldi Megfigyelési Törvénnyel (a továbbiakban: US KMT) összhangban, vagy egy Nemzetbiztonsági Levél alapján férhetnek hozzá, de ez utóbbira kizárólag a Szövetségi Nyomozó Iroda jogosult. Az US KMT szerinti eljárások korlátokat szabnak a tömeges megfigyelésnek és kizárólag célzott hozzáférést engedélyeznek. Emellett az USA Kormánya is kifejezetten biztosította a Bizottságot arról, hogy az amerikai nemzetbiztonsági szervek nem fognak válogatás nélküli megfigyelést folytatni európai állampolgárok tekintetében. A gyűjtött adatokhoz való hozzáférés is mindig korlátozott és kizárólag a jóváhagyott személyzetre terjed ki, de közülük is csak azokra, akik számára szükséges az adott információ ismerete.

Amennyiben sor kerül hozzáférésre, úgy számos lehetőség közül választhat az EU-beli érintett, beleértve az US KMT szerinti jogorvoslati lehetőségeket, az USA FREEDOM Törvény és az Információ szabadságáról szóló Törvény (a továbbiakban: US ISzT) szerinti alternatívákat. Annak érdekében, hogy új jogorvoslati lehetőséget biztosítson az EU-beli érintettek számára, az USA Kormánya úgy döntött, hogy létrehoz egy új ombudsmani rendszert. Az Adatvédelmi Pajzs Ombudsman független az amerikai nemzetbiztonsági szervezetektől, ami azt jelenti, hogy nem fogadhat el utasítást egyik érintett hatóságtól sem. A panaszokat az érintett Tagállamban a nemzetbiztonsági szervezetek felügyeletéért és/vagy a közintézmények adatkezelésének felügyeletéért felelős hatóságnál lehet benyújtani, hogy ezáltal is biztosítva legyen az egyszerű ügyintézés az EU-beli érintettek számára. Ez a hatóság köteles továbbítani a panaszokat egy központi EU-s szerv felé, ahonnan azok átadásra kerülnek az Adatvédelmi Pajzs Ombudsman részére. A rendszer lényege annak biztosítása, hogy egyetlen panasz se maradjon megválaszolatlanul. Ennek megfelelően az Adatvédelmi Pajzs Ombudsman köteles mindenkor megerősíteni, hogy nem történt szabálysértés, vagy biztosítani a jogorvoslatot jogsértés esetén.

A Bizottság az EU-USA Adatvédelmi Pajzs alatt továbbított személyes adatokhoz való, bűnüldözési célú illetéktelen hozzáférés lehetőségének tekintetében is megállapította, hogy biztosított a megfelelő szintű védelem. Az Amerikai Egyesült Államok Alkotmányának Negyedik Kiegészítése biztosítja az emberi méltóságot, a magánélet tiszteletben tartásához való jogot és védelmet biztosít a Kormány alkalmazottainak zaklató magatartásától. Bár a Negyedik Kiegészítés hatálya közvetlenül nem terjed ki az Amerikai Egyesült Államokon kívül tartózkodó nem amerikai állampolgárokra, azon EU lakosok, akiknek adatait az Adatvédelmi Pajzs keretében továbbították, így is élvezhetik annak védelmét, tekintettel arra, hogy személyes adataik amerikai vállalatokhoz kerülnek, így a bűnüldözési szervek a legtöbb esetben bírói engedélyt kötelesek beszerezni az ezen adatokhoz való hozzáféréshez.

Bűnüldözési célú hozzáféréssel kapcsolatos jogorvoslati lehetőségeket tartalmaz a Hatósági Eljárási Törvény (a továbbiakban: US HET), az Elektronikus Hírközlés Titkosságáról szóló Törvény (a továbbiakban: US EHTT) valamint az US ISzT. Az US HET alapján általánosan bárki jogosult bírói felülvizsgálatra, aki jogi hátrányt szenvedett egy hatósági cselekmény miatt. Az US EHTT büntetni rendeli a harmadik fél szolgáltatóknál tárolt vezetékes, szóbeli vagy elektronikus kommunikációhoz való illetéktelen hozzáférést és jogorvoslati lehetőséget kínál az érintett személyeknek. Az US ISzT alapján pedig bárki jogosult lehet betekinteni az amerikai szövetségi nyilvántartásokba.

Összegzés

A Bizottság a fenti lehetőségeket és eljárásokat mérlegelve arra a következtetésre jutott, hogy az Amerikai Egyesült Államok biztosítja a személyes adatok megfelelő szintű védelmét azon személyes adatok tekintetében, melyek az EU-USA Adatvédelmi Pajzshoz csatlakozott vállalatokhoz kerülnek továbbításra. Az Adatvédelmi Pajzs, azaz az US KM által lefektetett Alapelvek gyakorlatilag azonos szintű védelmet nyújtanak, mint a 95/46/EK irányelv. Azon személyek alapvető jogainak az Amerikai Egyesült Államok hatóságai általi korlátozása, akiknek személyes adatait az Adatvédelmi Pajzs alapján továbbították, kizárólag bizonyos jogszerű célok elérése érdekében és a feltétlenül szükséges mértékben lehetséges.

Utólagos felülvizsgálat

Tekintettel arra, hogy az Amerikai Egyesült Államok joga által biztosított védelem szintje idővel változhat, a Bizottság rendszeresen vizsgálni fogja, hogy az EU-USA Adatvédelmi Pajzs által biztosított megfelelő szintű védelem feltételei továbbra is fennállnak-e. Alkalmankénti értékelések mellett a megfelelősségi döntés a rendszeres Éves Közös Felülvizsgálat tárgya lesz. Ezen Éves Közös Felülvizsgálat keretében a Bizottság összeül az US KM, az US SzKB, valamint a nemzetbiztonsági szervek képviselőivel, illetve az ombudsmannal. A felülvizsgálat keretében az US KM széles körű információt köteles szolgáltatni az Adatvédelmi Pajzs működésének valamennyi lényeges kérdéskörében, míg a Bizottság nyilvános jelentést készít az Éves Közös Felülvizsgálatról.

Amennyiben a Bizottság azt állapítja meg, hogy az Adatvédelmi Pajzs által biztosított védelem szintje nem tekinthető ugyanolyan mértékűnek, mint amit az EU biztosít, úgy erről értesíti az US KM-et, és felhívja a szükséges intézkedések megtételére. Amennyiben ez eredménytelennek bizonyul, a Bizottság megindítja a megfelelősségi döntés módosításához, felfüggesztéséhez illetve visszavonásához szükséges eljárást. Ezt az eljárást a Bizottság akkor is megindíthatja, ha a felelősök nem biztosítják a megfelelősség kellő kiértékeléséhez nélkülözhetetlen információkat.


A jelen hírlevélben található információ nem tekinthető a KNP LAW Nagy Koppány Varga és Társai Ügyvédi Iroda vagy annak közreműködő ügyvédjei által nyújtott jogi tanácsadásnak. További információkért keressen fel minket.