A GDPR továbbra sem ereszt – Megújult általános szerződési feltételek hivatottak fokozni a külföldi adattovábbítás biztonságát
I. Adattovábbítás az EU-n kívülre – egy rövid áttekintés
Az EU-n kívüli (ún. harmadik országba irányuló) adattovábbítás mindig is neuralgikus pontja volt bármely szervezet adatkezelésének. Abban az esetben, ha a személyes adatok bármilyen formában elhagyják az EU területét (akár csak úgy, hogy a személyes adatok tárolására harmadik országban levő szervereken kerül sor), nem elegendő csupán a GDPR „általános” szabályainak megfelelni, hanem teljesíteni kell a rendelet V. fejezetében foglalt többletkövetelményeket is.
Utóbbi előírja, hogy harmadik országba irányuló adattovábbításra csak akkor van lehetőség, ha az adattovábbítás következtében a személyes adatoknak az Európai Unióban biztosított védelmi szintje az adattovábbítás következtében sem csökken.
Ilyen adattovábbítás esetén – az Európai Bizottság általános, a célországra kiterjedő megfelelőségi határozatának a hiányában – főszabály szerint az adatkezelőnek (vagy adatfeldolgozónak) kell biztosítania, hogy az adattovábbításra megfelelő garanciák mentén kerüljön sor. A GDPR V. fejezete erre számos lehetőséget biztosít, így például kötelező erejű vállalati szabályok (ún. Binding Corporate Rules, azaz BCR-ok) alkalmazása cégcsoporton belüli adattovábbítás esetén, az EU-USA Adatvédelmi Pajzsra (EU-US Privacy Shield) való támaszkodás az Amerikai Egyesült Államokba irányuló adattovábbítás során (2020. július 16. napja előtt – lsd. alább) vagy általános szerződési feltételek, ún. „SCC-k” (Standard Contractual Clause) szerződéses kikötése az adattovábbító és adatátvevő között.
A BCR-ok alkalmazása egy meglehetősen költséges és időigényes megoldásnak számít és kizárólag egy adott vállalatcsoporton belüli adatmegosztás rendezésére vehető igénybe – egymástól teljesen független partnerek esetén nem. Az általános szerződési feltételek alkalmazása ezzel szemben sokkal olcsóbb, gyorsabb és univerzálisan alkalmazható megoldást kínál(t) az adatkezelők számára. A felek egyszerűen csak kitöltötték a Bizottság által elfogadott 2001-es (adatkezelő és adatkezelő közötti adatmegosztással kapcsolatos), vagy 2010-es (adatkezelő és adatfeldolgozó közötti viszonyokat rendező) határozatának mellékletében foglalt „modell szerződés” megfelelő részeit, azt magukra nézve kötelezőnek fogadták el és ezáltal biztosították az adatvédelmi irányelvnek, majd később a GDPR-nak való megfelelést. Az eddig irányadó SCC-k azonban időközben a GDPR fényében meghaladottá váltak – számos tekintetben nem biztosítottak elég rugalmasságot a cégeknek és az általuk biztosított tényleges védelmi szint is megkérdőjelezhetőnek bizonyult.
II. Schrems II – avagy az Európai Bíróság közbeszól
Az Európai Unió Bírósága (EUB) által meghozott és 2020. július 16. napján közzétett, ún. Schrems II ítélet tovább bonyolította a helyzetet, ugyanis az ítélet egyrészt hatályon kívül helyezte az EU és USA közötti Adatvédelmi Pajzs (Privacy Shield) Egyezményt [pontosabban az annak megfelelőségéről szóló 2016. július 12‑i (EU) 2016/1250 bizottsági végrehajtási határozatot], és ezt meghaladóan az EUB azt is kimondta, hogy az adatkezelők aktívan kötelesek vizsgálni, hogy az általuk alkalmazott megoldás, így a szerződéses jogviszonyukban kikötött általános szerződési feltételek, ténylegesen alkalmasak-e arra, hogy az Európai Unió által garantált védelmi szintet biztosítsák.
A Schrems II ítélet nyomán tehát egyfajta vákuum keletkezett a harmadik országba irányuló adattovábbítás kapcsán, ugyanis egyszerre szűnt meg az Adatvédelmi Pajzsra való hivatkozás lehetősége és az adatkezelők már abban sem lehettek biztosak, hogy a GDPR-nak való megfelelőségük az általános szerződési feltételekre való hivatkozással önmagában biztosított-e.
III. A megoldáshoz vezető út – új általános szerződési feltételek elfogadása
A fenti bizonytalanságot hivatott részben rendezni a Bizottság 2021/914 számú határozata, amely (a Schrems II ítélet megállapításaira is reagálva) új általános szerződési feltételeket határoz meg, felváltva ezzel a mára rendkívül elavult, az adatkezelési műveletek bonyolultságát leképezni nem tudó korábbi határozatokat.
A dokumentum négy „adatkezelési szcenárióra” tartalmaz modell rendelkezéseket:
- adatkezelő és adatkezelő közötti adattovábbítás;
- adatkezelő és adatfeldolgozó közötti adattovábbítás;
- adatfeldolgozó és adatfeldolgozó (mint alvállalkozó) közötti adattovábbítás; valamint
- adatfeldolgozó és adatkezelő közötti megosztás.
A határozat maga 2021. június 27-én lépett hatályba, azonban a cégek számára két távolabbi dátum lesz igazán releváns, mégpedig:
2021. szeptember 27.: ettől a naptól kezdve ugyanis hatályukat vesztik a 2001-es és 2010-es Bizottsági határozatban foglalt SCC-k, azaz ezt követően a felek egymás közötti viszonyukban ezen szerződéses feltétekkel érvényesen már egyáltalán nem szerződhetnek (a 2021. június 27 és 2021. szeptember 27 közötti időtartamban tehát még nyitva áll a lehetőség a régi SCC-k alkalmazására, de már lehet az újakra is támaszkodni).
2022. december 27.: eddig minősülnek még megfelelőnek a korábbi SCC-k alapján végzett adattovábbítások, azaz legkésőbb ezen dátumig kötelesek a cégek módosítani az adattovábbításra irányuló szerződéseiket, feltéve, hogy az adatkezelési műveletek mindezen időszakban nem változnak.
A 2022-es dátum tehát egyfajta türelmi időt jelent, amelyen belül a vállalkozásoknak hozzá kell igazítaniuk a szerződéses struktúrájukat az új szabályokhoz. Ez nemcsak a szerződések módosítását, új szerződések kötését jelenti, hanem – az új SCC-k és a Schrems II ítélet fényében – számos esetben nagyon komoly vizsgálatot is arra vonatkozóan, hogy a harmadik ország jogrendszere által az adatátvevőre vonatkozó kötelezettségek hogyan befolyásolják az SCC-kben foglaltak betartását.
IV. A szerződési feltételek újdonságai – garancia a tényleges megfelelésre
A moduláris felépítésű új SCC-k igyekeznek az adatkezelés minden forgatókönyvére megfelelő rendelkezéseket biztosítani, valamint részletesen kijelölik a szerződésben részes felek jogait, kötelezettségeit, valamint az alkalmazandó felelősségi szabályokat.
A szerződéskötés előfeltételét képezi, hogy az átadó köteles megvizsgálni, hogy a személyes adatok címzettje (a célország jogrendszerének, hatóságai által követett gyakorlatnak és egyéb tényezőknek a vizsgálata révén) valóban képes lesz-e a szerződésben foglaltaknak, azaz a megfelelő védelmi szintnek a biztosítására. Ennek következtében nem követhető a továbbiakban az a gyakorlat, hogy az általános szerződési feltételekre „még egy kitöltendő papír”-ként tekintenek a felek, hanem elképzelhető, hogy egy adott ország tekintetében kiterjedt hatásvizsgálat elvégzésének kell majd megelőznie bármilyen szerződéskötési és adattovábbítási folyamatot.
A határozat 15. „feltételében” (cikkében) foglaltak pedig direkt válasznak tekinthetők az USA titkosszolgálatainak és egyéb hatóságainak az európai szemszögből erősen aggályosnak tekinthető, széleskörű hozzáférési jogaira, melyek a Schrems II ítélet meghozatalában is kiemelt szerepet játszottak.
E szerződési feltételek értelmében ugyanis amennyiben a harmadik ország hatósága részéről megkeresés érkezik az GDPR hatálya alá tartozó személyes adatokhoz való hozzáférés tekintetében, az adatátvevő köteles:
- ennek tényéről az átadót haladéktalanul tájékoztatni;
- megvizsgálni, hogy a hatóság kérése jogszerű-e, és szükség esetén minden rendelkezésre álló jogorvoslati lehetőséget kimeríteni; valamint
- csak a megfeleléshez szükséges, minimális információkat átadni.
Abban az esetben, ha megállapítható, hogy az adatátvevő nem tud megfelelni a szerződésben foglaltaknak, az adattovábbítást fel kell függeszteni, súlyos esetben pedig a szerződés felmondására is lehetőség van.
V. Zárszó – a megemelkedett védelem ára
Összegzésként megállapítható, hogy az Európai Bizottság által elfogadott új szerződési feltételek az európai természetes személyek magánszférájának védelme szempontjából mindenképpen örvendetes változásnak tekinthetők. Egyes cégeknek azonban adatkezelési műveleteik ismételt felülvizsgálata és a megváltozott jogszabályi környezethez igazítása jelentős ráfordítást fog igényelni.
Noha a határozat egy látszólag nagyvonalú, 18 hónapos felkészülési időt biztosít a piac szereplőinek, semmiképpen sem javasoljuk a szükséges intézkedések utolsó pillanatra hagyását, ugyanis a megfelelőség biztosítása a fentiek fényében mélyebb szintű értékelést és tervezést igényel és nem merülhet ki az érintett szerződések egyszerű módosításában.