Skip to content
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Szappanyos Melinda

Mesterséges intelligencia és az Emberi Jogok Európai Bírósága

Több ez mint adatvédelem?

Szappanyos Melinda 2023.01.24.
Miszlivetz Áron

A bővítéspolitika perspektívája egy bizonytalan világban

A nemzetállamok még mindig egymás szövetségében érzik magukat a legnagyobb biztonságban?

Miszlivetz Áron 2022.11.30.
Petri Bernadett

Uniós intézmények és jogállamiság: erősödőben az Európai Ombudsman?

Egyre intenzívebbé válik a jogállamisági kontroll megjelenése.

Petri Bernadett 2022.10.10.
Beyer Fülöp

Adatvédelem a platformokon – az Apple ATT „ügy” tanulságai

Az Apple kapuőr szerepe.

Beyer Fülöp 2022.09.15.
Hegedüs Csilla

Támogatás a román mezőgazdaságnak

Világszerte óriásiak az ágazatra nehezedő terhek.

Hegedüs Csilla 2022.07.08.
ITKI BLOG
Pünkösty András
Pünkösty András
tudományos munkatárs, NKE Információs Társadalom Kutatóintézet
  • 2021.10.18.
  • 2021.10.18.

Rés a(z adatvédelmi) pajzson

Fontos dolgok történtek az európai adatvédelem háza táján, amelyet a blogsorozatunkban mindeddig nem tárgyaltunk. 

Emlékeztetőül: a Schrems I. ítéletben 2015. október 16-án az Európai Bíróság érvénytelennek nyilvánította az Európai Bizottság határozatát, amelyben az megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára az úgynevezett „biztonságos kikötő” (safe harbour) rendszerben. Az Európai Bíróság tehát nem ítélte elég biztonságosnak ezt a kikötőt. A Schrems I. döntést követően a Facebook Ireland arról adott tájékoztatást, hogy az anyavállalat felé történt adattovábbítások nagy része általános szerződési feltételeken alapult, így azok jogszerűségét nem érinti a „biztonságos kikötő” rendszer megsemmisítése. Maximilliam Schrems a fentiekre tekintettel újra fogalmazta a panaszát, és kiemelte, hogy az általános szerződési feltételek nem adnak megfelelő jogalapot az Egyesült Államokba történő adattovábbításoknak. Schrems arra hivatkozott, hogy az amerikai megfigyelési programok alkalmazása sértik a magánélet védelméhez, az adatvédelemhez és a hatékony bírósági eljáráshoz való alapvető jogait. A dolog pikantériája, hogy ezzel együttesen tárgyalta az Európai Bizottság az EU–USA adatvédelmi pajzs (privacy shield) megfelelőségi határozatot, amelyet az Európai Bíróság a Schrems II. néven elhíresült, 2020. július 16-án született döntésében nyilvánított érvénytelennek. De mi okozza a rést a pajzson, és mit jelent ez az adatexportőrök számára?

A Bíróság döntésének előzményei

Maximilliam Schrems osztrák állampolgár 2008 óta Facebook felhasználó. Eredetileg azért nyújtotta be a panaszát az ír adatvédelmi felügyeleti hatósághoz, mivel a Facebook Ireland az általa feltöltött személyes adatokat részben vagy egészben a Facebook Inc. USA-ban található szervereire továbbítja, és azokat ott kezeli. A kérelem arra irányult, hogy az ír felügyeleti hatóság tiltsa meg az adattovábbításokat, mivel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet a hatóságok által folytatott megfigyelési tevékenységekkel szemben. (A panasz hátterében az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak – különösen az NSA – tevékenységeire vonatkozóan kiszivárogtatott információk is meghúzódtak.) Az adattovábbítás alapját az Európai Bizottság „biztonságos kikötőről” szóló határozata adta (2000/520/EK bizottsági határozat), amelyet azonban az ír High Court által döntéshozatali eljárásban előterjesztett kérdés alapján az Európai Unió Bírósága érvénytelennek nyilvánított (Schrems I). 

Ezt követően Schrems úrnak újra kellett fogalmazni a panaszát, amelyben továbbra is fenntartotta, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba való továbbítását. Ekkor a Facebook Ireland a 2010/87 határozat mellékletében szereplő általános adatvédelmi kikötések alapján (standard contractual clauses, SSCs) végezte az adattovábbítást. Az ír felügyeleti hatóság úgy ítélte meg, hogy az adattovábbítás megfelelőségének a kérdése az általános adatvédelmi kikötések jogszerűségétől függ, ezért eljárást indított a High Court előtt azért, hogy utaljon kérdést az előzetes döntéshozatali kérelem keretében az Európai Bírósághoz. Lényeges körülmény, hogy ezen eljárás elindítását követően a Bizottság elfogadta az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot. Az adatvédelmi pajzsról szóló határozat olyan rendszert hoz létre, amelyhez a vállalkozások önként csatlakozhatnak, ha a tartalmát magukra nézve kötelezőnek ismerik el. 

Az Európai Unió Alapjogi Chartája működésben 

A Bíróság értékelése szerint az általános adatvédelmi kikötések érvényességét az Alapjogi Charta által meghatározott adatvédelmi szint nem érinti, ugyanakkor az adatvédelmi pajzsról szóló bizottsági határozatot érvénytelennek nyilvánította. A Bíróság rögzítette, hogy az uniós jog, és különösen a GDPR az irányadó valamely tagállamban letelepedett vállalkozás harmadik államban letelepedett gazdasági szereplőjének számára kereskedelmi célból történő adattovábbításra. Ez abban az esetben is igaz, ha az adatokat a harmadik ország közbiztonsági, honvédelmi és nemzetbiztonsági célból kezeli, azaz a harmadik ország ilyen irányú adatkezelése nem zárhatja ki az adattovábbítást az adatvédelmi rendelet hatálya alól. A Bíróság megállapította, hogy harmadik országba az adatvédelmi kikötések alapján továbbított adatok védelmi szintjének azonosnak kell lennie az Alapjogi Charta fényében értelmezett GDPR által az Unióban biztosított védelmi szinttel. Ez a  követelmény a megfelelő garanciákra, az érvényesíthető jogokra és a hatékony jogorvoslati lehetőségekre egyaránt vonatkozik. A védelmi szint értékelése során figyelembe kell venni a partnerek közötti szerződéses kikötéseket, illetve a harmadik ország jogrendszerének releváns elemeit, figyelemmel a hatóságok esetleges hozzáférési lehetőségeire is.  

A Bíróság megjegyezte, hogy a felügyeleti hatóságok kötelesek felfüggeszteni vagy megtiltani az adattovábbítást, ha a továbbított adatok uniós jogból következő előbbi védelmi szintje másként nem biztosítható. Az általános adatvédelmi kikötések rendszerének érvényességét mindez nem kérdőjelezi meg szükségszerűen, ugyanakkor a Bíróság egy előzetes megfelelőségi kötelezettséget ró az adatkezelőre, valamint az adattovábbítás címzettjére. 

Az adatvédelmi pajzs rendszere ugyanakkor nem állja ki a GDPR és az Alapjogi Charta védelmi szintjével kapcsolatos vizsgálatot. A Bíróság szerint a személyes adatok védelmének korlátozásai az Egyesült Államok belső szabályaiban – amely a nemzetbiztonság, közérdek és a bűnüldözés követelményének elsőbbségét fejezi ki – nem úgy lettek megalkotva, hogy megfeleljenek az uniós jogban az arányosság követelményének, mivel a megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Ezen túlmenően a megalkotott ombudsmani mechanizmus nem biztosít az uniós jogban megkövetelt garanciákkal azonos szintű jogorvoslati lehetőséget, tekintettel arra, hogy nincs felhatalmazva arra, hogy az amerikai hírszerzési szervezettekkel szemben kötelező erejű határozatokat hozzon, továbbá függetlenségi kérdések is felmerülnek. 

Mi az adatkezelő szervezetek felelőssége a döntés után?

A Bíróság döntése az adatkezelők számára előzetes megfelelőségi vizsgálatot ír elő, amelyben meg kell ítélniük, hogy a tervezett harmadik országba történő adattovábbítás megfelel-e a GDPR követelményeinek. A vállalkozásokra telepített jogi megfelelőségi vizsgálattal kapcsolatban az Európai Adatvédelmi Testület kiadta a kiegészítő intézkedésekről szóló ajánlások végleges változatát, amely módszertani segítséget kíván nyújtani az adatkezelők számára, tekintve, hogy végső soron az ő felelősségük lesz megítélni, hogy a harmadik országba exportált adatok vonatkozásában az adatvédelmi szint lényegét tekintve megegyező-e az uniós védelem színvonalával. A privacy shield határozatra alapozottan a továbbiakban személyes adatok nem továbbíthatóak az Egyesült Államokba. Azok az adatkezelők, akik mégis erre alapozva végeznek adattovábbításokat, azok egy hatósági eljárást és egy esetleges bírságot kockáztatnak.

Témakörök: adatvédelem, EU, Európai Bíróság, safe harbour
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT