hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Rés a pajzson: érvénytelen az EU-USA adatvédelmi megállapodás

  • adozona.hu

Az Európai Unió Bírósága érvénytelennek nyilvánította az EU-USA adatvédelmi pajzsot (Privacy Shield), mivel nem biztosít megfelelő szintű védelmet az Egyesült Államokba történő adattovábbításoknál – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda. A Schrems II ügyben a bíróság arról is döntött, hogy az adatkezelők továbbra is továbbíthatnak adatot harmadik országokba, az Európai Bizottság által jóváhagyott általános szerződési feltételek keretében. Az érintett adatkezelőknek át kell tekinteniük az Egyesült Államokba továbbított adatok folyamatának garanciáit, és felül kell vizsgálniuk azok kockázatait a jogszerűség biztosítása érdekében.

A július 16-án hozott ítéletében a bíróság a döntését arra alapozta, hogy az USA nemzetbiztonsági szolgálatai nemzetbiztonsági célból hozzáférhetnek uniós polgároknak az Egyesült Államokban található szervereken tárolt személyes adataihoz. A bíróság megállapította, hogy általánosságban véve az adatvédelmi pajzs szabályrendszere az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít.

Emellett az Egyesült Államok joga nem teljesíti a GDPR által elvárt arányosság elvét, mivel a jogszabályok által lehetővé tett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az uniós polgárokat védő GDPR-garanciák tovább sérültek azáltal, hogy az Egyesült Államokban előírt ombudsmani jogorvoslati rendszer nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat. Az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, mivel a GDPR 49. cikkében foglaltak megfelelően alkalmazhatók az adattovábbítás jogszerűségének biztosítására.

Nem változnak a szerződési feltételek

A Bíróság döntése szerint az Európai Bizottság által az adatfeldolgozók vonatkozásában elfogadott általános szerződési feltételek bizonyos esetekben továbbra is alkalmazhatók, mivel az unióban biztosított védelem szintjével megegyező védelmet garantálnak. Az adatfeldolgozói szerződési feltételekkel szemben a külföldi adatkezelők részére történő adattovábbítások során használt általános szerződési feltételek érvényességéről a Bíróság a Schrems II ügyben nem döntött.

Hogyan tovább?

Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok átadásának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd – hangsúlyozza dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.

Kötelező erejű vállalati szabályok (BCR): az adattovábbítók a tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül információtovábbítási mechanizmust alakíthatnak ki. Az eszköz előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya ugyanakkor, hogy nem terjed ki a beszállítók vagy más, cégcsoporton kívüli szerződéses partnerek vonatkozásában megvalósuló adattovábbításra.

Általános szerződési feltételek: az adattovábbítók a továbbítás igazolására a jövőben is hivatkozhatnak az általános szerződési feltételekre, ugyanakkor a bíróság ítélete nyomán ezután fokozott felelősség terheli őket annak felmérésében, hogy az adott harmadik ország joga tiszteletben tartja-e az EU által garantált védelmi szintet. Ezen kötelezettség keretében az adattovábbítónak esetről esetre vizsgálnia kell egyrészt az adott harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban a levont következtetéseit szükség szerint igazolnia is tudni kell.

Az egyes adattovábbítások függvényében mindez tehát jelentős ráfordítást, valamint adminisztratív terhet róhat az adattovábbítókra. Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak, értékelésük függvényében ugyanakkor az is előfordulhat, hogy amíg egyik adatvédelmi hatóság az adott harmadik ország tekintetében megállapítja a védelem megfelelő szintjét, addig más tagállam adatvédelmi hatósága kifogásolja azt. Ez az adatvédelmi szabályozás széttöredezésével fenyegethet, illetve cégcsoportszinten akár az adott országba történő adattovábbítás akadályát is jelentheti pusztán azért, mert az adattovábbító két különböző EU-s tagállamból kezdeményezi az adattovábbítást.

Különleges helyzetekben biztosított eltérések: Az adattovábbítók végső soron a GDPR 49. cikkében foglaltak alapján is továbbíthatnak személyes adatot azzal, hogy ezen eltérések kizárólag ideiglenes jelleggel alkalmazhatóak, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus.

A BREXIT-re is vonatkozik

Az adatvédelmi pajzsról szóló határozat érvénytelensége kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is, az ICO közleménye szerint az átmeneti időszakban, tehát 2020. december 31-éig a bíróság döntései vonatkoznak az Egyesült Királyságra is, a GDPR szabályai pedig megfelelően alkalmazandók.

A bíróság döntésére tekintettel az adattovábbítóknak mindenekelőtt javasolt áttekinteni az Egyesült Államokba történő adattovábbításaik garanciáit, felülvizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről gondoskodni az adattovábbítás jogszerűségének biztosítása érdekében. Javasolt továbbá a tagállami adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek a kialakult helyzettel kapcsolatos hivatalos közleményeinek, valamint az általános szerződési feltételek várható módosításainak a nyomon követése – mutat rá dr. Kádár Ágnes, a Baker McKenzie adatvédelmi szakértője.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Időszakos orvosi vizsgálatok

dr. Hajdu-Dudás Mária

ügyvéd

Egyéni vállalkozásból kivonás

Lepsényi Mária

adószakértő

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 november
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink