KNP Blog

Az Európai Unió Bíróságának ítélete: A Személyes Adatok Egyesült Államokba történő továbbítása a jövőben nem alapozható az EU-USA Adatvédelmi Pajzs Keretrendszerére
2020. 07. 22. KNP LAW

Az Európai Unió Bíróságának ítélete: A Személyes Adatok Egyesült Államokba történő továbbítása a jövőben nem alapozható az EU-USA Adatvédelmi Pajzs Keretrendszerére

1. Az ítélet

Az Európai Unió Bírósága („EB”) a Schrems II. (C-3111/18) ügyben 2020. július 16. napján meghozott ítéletében a személyes adatoknak az Európai Unióból harmadik országokba történő továbbításával kapcsolatban az alábbi két lényeges megállapítást tette:

  1. az EB érvénytelenné nyilvánította az Európai Bizottság EU–USA Adatvédelmi Pajzs Keretrendszer tárgyában hozott megfelelőségi határozatát; valamint
  2. megerősítette, hogy a Bizottságnak a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló határozata érvényes, így az továbbra is megfelelő jogalapul szolgálhat a személyes adatoknak az Európai Union kívüli továbbítása tekintetében.

2. A döntés háttere

A GDPR V. fejeztében foglalt rendelkezéseknek megfelelően személyes adatot az Európai Gazdasági Térségen („EGT”) kívüli országokba csak akkor lehet továbbítani, ha mind az „adatexportőr”, mind pedig a címzett garantálna tudja, hogy az érintett személyes adatainak védelme legalább a GDPR által nyújtott védelmi szinttel megegyező mértékben biztosított.

Az említett V. fejezet számos lehetőséget kínál az adatkezelőknek (és az adatfeldolgozóknak) a fenti követelmények teljesítéséhez. Az adatkezelők által leggyakrabban igénybe vett jogalap az Európai Bizottság által kiadott úgynevezett „megfelelőségi határozatokra” való hivatkozás, mely határozatokban a Bizottság által megállapításra kerül, hogy egyes országok (vagy azok bizonyos részei) a személyes adatok védelme tekintetében megfelelő védelmi szintet biztosítanak. Mindez azt jelenti, hogy amennyiben egy ország/nemzetközi szervezet – a Bizottság döntése alapján – „biztonságos országnak” minősül, abban az esetben az adattovábbítás tekintetében semmiféle további engedélyezési vagy biztonsági intézkedés megtételére nincs szükség.

Az Amerikai Egyesült Államokba („USA”) történő adattovábbítást érintően a 2016 és a 2020. július 16. közötti (tehát az EB ítéletének meghozatalának napjáig tartó) időszakban az Adatvédelmi Pajzs Keretrendszer, illetőleg ennek bizottsági határozat formájában történő elismerése, elsődleges jogalapként szolgált számos adatkezelő és adatfeldolgozó számára a személyes adatoknak az USA-ba történő továbbítása tekintetében.

3. Az Adatvédelmi Pajzsról szóló határozat érvénytelenségének kimondása

A Schrems II. ügyben hozott ítélet alapján 2020. július 16. napjától személyes adatok az USA-ba a továbbiakban a GDPR 45. cikkére alapozottan – tekintettel arra, hogy az alapul fekvő megfelelőségi határozatot az EB érvénytelenné nyilvánította – nem továbbíthatóak. Mindez azzal jár, hogy az adatkezelőknek alternatív jogalapot kell keresniük annak érdekében, hogy a személyes adatok továbbításának jogszerűsége a továbbiakban is biztosított legyen.

Ilyen alternatív módszert jelenthet a GDPR 46. cikke szerinti „megfelelő garanciák alapján történő adattovábbítás” vagy az általános adatvédelmi kikötések („SDPC-k”) alkalmazása – ahogyan azt a Schrems II. határozat is megerősítette –, illetőleg a kötelező erejű vállalati szabályok („BCR-ok”) alkalmazása.

Ugyanakkor meg kell jegyezni, hogy habár az Adatvédelmi Pajzs Keretrendszer már nem szolgálhat az adattovábbítás jogalapjául, az EB jelen ítélete nem jelenti azt, hogy az Adatvédelmi Pajzs rendszerében részt vevő szervezetek egyúttal az abban vállalt kötelezettségeik alól is mentesülnének. Az USA Kereskedelmi Minisztériumának (U.S. Department of Commerce) az Adatvédelmi Pajzzsal kapcsolatos honlapján közölt információi alapján, a Minisztérium az Adatvédelmi Pajzs programot továbbra is fenntartja és az abban részt vevő szervezetek listája a jövőben is elérhető marad.

4. Általános adatvédelmi kikötések (SDPC-k)

Az EB hivatkozott ítélete kimondja azt is, hogy az általános adatvédelmi kikötések (SDPC-k) továbbra is megfelelő alapot jelentenek a személyes adatoknak harmadik országokba történő továbbításához:

„[az EB által vizsgált, SDPC-kre vonatkozó] határozat bevezeti az adatkezelő és az adattovábbítás címzettje azon kötelezettségét, hogy előzetesen ellenőrizzék, hogy az érintett harmadik országban tiszteletben tartják-e ezen védelmi szintet, és e címzettet arra kötelezi, hogy tájékoztassa az adatátadót arról, ha esetleg nem képes eleget tenni az általános adatvédelmi kikötéseknek, ez utóbbi pedig köteles felfüggeszteni az adattovábbítást és/vagy az előbbivel kötött szerződéstől elállni.” (Az Európai Unió Bírósága 91/20. sz. Sajtóközlemény 3. oldal)

Mindez azt jelenti, hogy amennyiben az adatkezelő az adattovábbítás kapcsán valamely SDPC-re kíván hivatkozni, előzetes vizsgálatot kell végeznie a tervezett címzett(ek) „GDPR-nak való megfelelési” szintjére vonatkozóan. Azaz, az adattovábbításnak kizárólag általános adatvédelmi kikötésekre alapítása – szemben a korábbi Adatvédelmi Pajzsra történő hivatkozás – nem jelenti azt, hogy az adattovábbítás automatikusan jogszerűnek minősül.

5. Kötelező erejű vállalati szabályok és az adattovábbítás egyéb esetei

Az EB ítélete nem foglalkozik kifejezetten a kötelező erejű vállalati szabályok kérdésével, ezért a személyes adatoknak az USA-ba történő továbbítása továbbra is alapítható az előzetesen jóváhagyott BCR-ok, valamint a GDPR 49. cikke szerinti „különös helyzetekben biztosított eltérésekben” foglalt jogalapokra (ideértve például az érintett kifejezett hozzájárulását vagy valamely szerződés teljesítésének a szükségességét).

6. Jövőbeni kilátások

Hasonlóan az Adatvédelmi Pajzs elődjének tekintett Safe Harbor egyezményre vonatkozó megfelelőségi határozat 2015-ös érvénytelenítésével kialakult helyzethez, az Európai Unió és az USA valószínűsíthetően tárgyalásokat fog kezdeményezni egy olyan új keretrendszer kidolgozására, amely megoldást nyújthat az EB hivatkozott ítéletében (például az egyes amerikai kormányzati szerveknek az EU-ból származó személyes adatokhoz való hozzáférési joga, illetőleg az ezzel kapcsolatos megfelelő garanciák hiánya tekintetében) megfogalmazott  kritikákra. Mindaddig azonban, amíg nem kerül sor egy ilyen megállapodás kidolgozásra, illetőleg a megállapodásnak az Európai Bizottság általi jóváhagyására, minden olyan adatkezelőnek, amely korábban a vonatkozó megfelelőségi határozatra alapítottan járt el, felül kell vizsgálnia a korábbi gyakorlatát és új jogalapot kell találnia a személyes adatoknak az USA-ba történő továbbítására.

Kérdése van?

Kapcsolat

Írjon nekünk!

Kérjük adja meg adatait és röviden írja le a kérdését, kollégáink hamarosan válaszolnak!

    Elolvastam és megértettem az Adatvédelmi Tájékoztatót, és hozzájárulok ahhoz, hogy a KNP LAW felhasználja az adataimat a tájékoztatóban foglaltak szerint.
    Hozzájárulok ahhoz, hogy marketing célból felkeressenek.

    CONFERENCE BLEUE

    A KNP LAW 2007 óta tagja a Conference Bleue-nak. További infomációért, kérjük kattintson az oldalra!