Fontos dolgok történtek az európai adatvédelem háza táján, amelyet a blogsorozatunkban mindeddig nem tárgyaltunk.
Emlékeztetőül: a Schrems I. ítéletben 2015. október 16-án az Európai Bíróság érvénytelennek nyilvánította az Európai Bizottság határozatát, amelyben az megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára az úgynevezett „biztonságos kikötő” (safe harbour) rendszerben. Az Európai Bíróság tehát nem ítélte elég biztonságosnak ezt a kikötőt. A Schrems I. döntést követően a Facebook Ireland arról adott tájékoztatást, hogy az anyavállalat felé történt adattovábbítások nagy része általános szerződési feltételeken alapult, így azok jogszerűségét nem érinti a „biztonságos kikötő” rendszer megsemmisítése. Maximilliam Schrems a fentiekre tekintettel újra fogalmazta a panaszát, és kiemelte, hogy az általános szerződési feltételek nem adnak megfelelő jogalapot az Egyesült Államokba történő adattovábbításoknak. Schrems arra hivatkozott, hogy az amerikai megfigyelési programok alkalmazása sértik a magánélet védelméhez, az adatvédelemhez és a hatékony bírósági eljáráshoz való alapvető jogait. A dolog pikantériája, hogy ezzel együttesen tárgyalta az Európai Bizottság az EU–USA adatvédelmi pajzs (privacy shield) megfelelőségi határozatot, amelyet az Európai Bíróság a Schrems II. néven elhíresült, 2020. július 16-án született döntésében nyilvánított érvénytelennek. De mi okozza a rést a pajzson, és mit jelent ez az adatexportőrök számára?
A Bíróság döntésének előzményei
Maximilliam Schrems osztrák állampolgár 2008 óta Facebook felhasználó. Eredetileg azért nyújtotta be a panaszát az ír adatvédelmi felügyeleti hatósághoz, mivel a Facebook Ireland az általa feltöltött személyes adatokat részben vagy egészben a Facebook Inc. USA-ban található szervereire továbbítja, és azokat ott kezeli. A kérelem arra irányult, hogy az ír felügyeleti hatóság tiltsa meg az adattovábbításokat, mivel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet a hatóságok által folytatott megfigyelési tevékenységekkel szemben. (A panasz hátterében az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak – különösen az NSA – tevékenységeire vonatkozóan kiszivárogtatott információk is meghúzódtak.) Az adattovábbítás alapját az Európai Bizottság „biztonságos kikötőről” szóló határozata adta (2000/520/EK bizottsági határozat), amelyet azonban az ír High Court által döntéshozatali eljárásban előterjesztett kérdés alapján az Európai Unió Bírósága érvénytelennek nyilvánított (Schrems I).
Ezt követően Schrems úrnak újra kellett fogalmazni a panaszát, amelyben továbbra is fenntartotta, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba való továbbítását. Ekkor a Facebook Ireland a 2010/87 határozat mellékletében szereplő általános adatvédelmi kikötések alapján (standard contractual clauses, SSCs) végezte az adattovábbítást. Az ír felügyeleti hatóság úgy ítélte meg, hogy az adattovábbítás megfelelőségének a kérdése az általános adatvédelmi kikötések jogszerűségétől függ, ezért eljárást indított a High Court előtt azért, hogy utaljon kérdést az előzetes döntéshozatali kérelem keretében az Európai Bírósághoz. Lényeges körülmény, hogy ezen eljárás elindítását követően a Bizottság elfogadta az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot. Az adatvédelmi pajzsról szóló határozat olyan rendszert hoz létre, amelyhez a vállalkozások önként csatlakozhatnak, ha a tartalmát magukra nézve kötelezőnek ismerik el.
Az Európai Unió Alapjogi Chartája működésben
A Bíróság értékelése szerint az általános adatvédelmi kikötések érvényességét az Alapjogi Charta által meghatározott adatvédelmi szint nem érinti, ugyanakkor az adatvédelmi pajzsról szóló bizottsági határozatot érvénytelennek nyilvánította. A Bíróság rögzítette, hogy az uniós jog, és különösen a GDPR az irányadó valamely tagállamban letelepedett vállalkozás harmadik államban letelepedett gazdasági szereplőjének számára kereskedelmi célból történő adattovábbításra. Ez abban az esetben is igaz, ha az adatokat a harmadik ország közbiztonsági, honvédelmi és nemzetbiztonsági célból kezeli, azaz a harmadik ország ilyen irányú adatkezelése nem zárhatja ki az adattovábbítást az adatvédelmi rendelet hatálya alól. A Bíróság megállapította, hogy harmadik országba az adatvédelmi kikötések alapján továbbított adatok védelmi szintjének azonosnak kell lennie az Alapjogi Charta fényében értelmezett GDPR által az Unióban biztosított védelmi szinttel. Ez a követelmény a megfelelő garanciákra, az érvényesíthető jogokra és a hatékony jogorvoslati lehetőségekre egyaránt vonatkozik. A védelmi szint értékelése során figyelembe kell venni a partnerek közötti szerződéses kikötéseket, illetve a harmadik ország jogrendszerének releváns elemeit, figyelemmel a hatóságok esetleges hozzáférési lehetőségeire is.
A Bíróság megjegyezte, hogy a felügyeleti hatóságok kötelesek felfüggeszteni vagy megtiltani az adattovábbítást, ha a továbbított adatok uniós jogból következő előbbi védelmi szintje másként nem biztosítható. Az általános adatvédelmi kikötések rendszerének érvényességét mindez nem kérdőjelezi meg szükségszerűen, ugyanakkor a Bíróság egy előzetes megfelelőségi kötelezettséget ró az adatkezelőre, valamint az adattovábbítás címzettjére.
Az adatvédelmi pajzs rendszere ugyanakkor nem állja ki a GDPR és az Alapjogi Charta védelmi szintjével kapcsolatos vizsgálatot. A Bíróság szerint a személyes adatok védelmének korlátozásai az Egyesült Államok belső szabályaiban – amely a nemzetbiztonság, közérdek és a bűnüldözés követelményének elsőbbségét fejezi ki – nem úgy lettek megalkotva, hogy megfeleljenek az uniós jogban az arányosság követelményének, mivel a megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Ezen túlmenően a megalkotott ombudsmani mechanizmus nem biztosít az uniós jogban megkövetelt garanciákkal azonos szintű jogorvoslati lehetőséget, tekintettel arra, hogy nincs felhatalmazva arra, hogy az amerikai hírszerzési szervezettekkel szemben kötelező erejű határozatokat hozzon, továbbá függetlenségi kérdések is felmerülnek.
Mi az adatkezelő szervezetek felelőssége a döntés után?
A Bíróság döntése az adatkezelők számára előzetes megfelelőségi vizsgálatot ír elő, amelyben meg kell ítélniük, hogy a tervezett harmadik országba történő adattovábbítás megfelel-e a GDPR követelményeinek. A vállalkozásokra telepített jogi megfelelőségi vizsgálattal kapcsolatban az Európai Adatvédelmi Testület kiadta a kiegészítő intézkedésekről szóló ajánlások végleges változatát, amely módszertani segítséget kíván nyújtani az adatkezelők számára, tekintve, hogy végső soron az ő felelősségük lesz megítélni, hogy a harmadik országba exportált adatok vonatkozásában az adatvédelmi szint lényegét tekintve megegyező-e az uniós védelem színvonalával. A privacy shield határozatra alapozottan a továbbiakban személyes adatok nem továbbíthatóak az Egyesült Államokba. Azok az adatkezelők, akik mégis erre alapozva végeznek adattovábbításokat, azok egy hatósági eljárást és egy esetleges bírságot kockáztatnak.