A Facebook közösségi portált érintő ítéletében a luxembourgi székhelyű uniós bíróság kimondta, hogy a nemzeti törvényhozóknak szigorúbb intézkedéseket kell tenniük a felhasználói adatok továbbítása terén a magánélet védelme érdekében.

A bírák aggodalmukat fejezték ki amiatt, hogy az úgynevezett adatvédelmi pajzs rendelkezései alapján továbbított adatok „nem korlátozódnak a feltétlenül szükséges információkra” az uniós állampolgárok adatainak amerikai feldolgozásakor. Mint emlékeztettek, az általános adatvédelmi rendelet (GDPR) szerint az érzékeny adatok csak akkor továbbíthatók valamely unión kívüli országba, ha az adott ország ezen adatok számára megfelelő védelmi szintet biztosít. Az adatok továbbítása csak akkor lehetséges, ha az érintettek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.

A bíróság ezzel összefüggésben arra figyelmeztetett, hogy a személyes adatok védelméről szóló amerikai korlátozások nincsenek úgy szabályozva, hogy

megfeleljenek az uniós jogban a feltétlenül szükséges mértékű arányosság elve követelményeinek.

Az említett amerikai szabályozásból semmilyen módon nem derül ki, hogy léteznének a személyes adatok továbbítását, felhasználását és tanulmányozását érintően a nem amerikaiak számára szóló garanciák.

Kijelentették, az adattovábbítás szabályait felügyelő hatóságok

kötelesek felfüggeszteni vagy megtiltani

a személyes adatok unión kívüli országba irányuló továbbítását, ha úgy vélik, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be vagy nem lehet őket ott tiszteletben tartani. Illetve akkor, hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható.

Mindezek ismeretében az uniós bíróság kimondta: az Egyesült Államokkal kötött,

személyes adatok átadásáról szóló megállapodást semmisnek kell tekinteni,

mert az adatvédelmi rendelet nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana. Illetve nem hatalmazzák fel az illetékes ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon.

A bíróság ugyanakkor úgy ítélte meg, hogy a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat továbbra is érvényes. Ez azt jelenti, hogy az adatátvitel folytatódó ellenőrzése mellett az EU-nak és az Egyesült Államoknak új rendszert kell kidolgozni, amely biztosítja, hogy az európaiak adatai ugyanolyan védelemben részesüljenek az Egyesült Államokban, mint az unióban.

Újra kísért a GDPR

Jelentős akadályokat gördített az Európai Unió Bírósága (EUB) a mai C-311/18. számú, Schrems II. néven elhíresült döntésében azon multinacionális nagyvállalatok elé, amelyek az USA-ban található szervereikre továbbítják az európai adatalanyok személyes adatait.

Ilyen adattranszferre eddig a GDPR szerint akkor kerülhetett sor, ha az Európai Bizottság megfelelőségi határozatban elismerte, hogy az adott harmadik ország jogrendszere megfelelő (GDPR-ral egyenértékű) védelmi szintet biztosít. Ennek hiányában megfelelő garanciákat biztosító mechanizmusokra lehet támaszkodni. Az EUB részéről azonban ma a két leggyakrabban alkalmazott adattovábbítási módszer, a kizárólag EU–USA viszonylatban alkalmazható Privacy Shield (adatvédelmi pajzs) és a bármely harmadik országbeli transzferre vonatkozó ún. általános adatvédelmi kikötések (Standard Contractual Clauses - SCC)

súlyos ütéseket kapott

– véli a

Taylor Wessing Budapest ügyvédi iroda.

„Az ügy előzményei Max Schremshez, egy osztrák adatvédelmi aktivistához köthetők, aki korábban már alapjaiban megrengette az EU-n kívülre történő adattovábbítások rendszerét. Schrems 2013-ban az Európában írországi központtal üzemelő Facebook ellen nyújtott be panaszt az Európai Adatvédelmi Biztoshoz, mert a Facebook amerikai szervereken tárolta az európai felhasználók személyes adatait is, amelyekhez az amerikai titkosszolgálati szervek szabadon hozzáférhettek. Ezt az első csatát 2015-ben megnyerte, mivel az EUB érvénytelenné nyilvánította a Privacy Shield elődjének tekinthető Safe Harbour programot” – ismertette Kopasz János, a Taylor Wessing Budapest adatvédelmi szakértője.

2018-ban, a GDPR hatályba lépésének apropóján, Schrems újabb panaszt nyújtott be a Facebook ellen, mely szerinte rákényszeríti a felhasználókat az adatgyűjtési feltételeik elfogadására. Az ügy kapcsán az ír legfelsőbb bíróság előzetes döntéshozatalt kezdeményezett az EUB előtt. Ennek keretében került górcső alá a két leggyakoribb EGK-n kívüli adattovábbítási mechanizmus.

Az EUB a mai ítéletében megállapította, hogy a Safe Harbour utódja, a Privacy Shield sem nyújt megfelelő védelmet az európai adatalanyok személyes adatainak. Az USA-ban ugyanis továbbra is elsőbbséget élveznek a nemzetbiztonsági megfontolások, és

a titkosszolgálati megfigyelések esetén nem biztosított a GDPR által megkövetelt célhoz kötöttség,

adattakarékosság és a szükségesség.

Bár az SCC megfelelőségét megállapító európai bizottsági döntés továbbra is érvényes, a mai döntés ugyanúgy fejfájást okozhat a harmadik országokba irányuló adattovábbítást alkalmazó, és e tekintetben az SCC-re támaszkodó feleknek. Az EUB ugyanis a mai döntésében lényegében felhatalmazást adott a nemzeti adatvédelmi hatóságoknak arra, hogy a szerződésben kikötött SCC ellenére megtiltsa az ilyen adattranszfereket, ha úgy találja, hogy a harmadik országbeli adatimportáló a gyakorlatban nem tud megfelelni ezeknek a klauzuláknak – idézik fel.

„Ez főleg az USA-ba adatokat továbbító cégeknek jelenthet problémát.

Az eddig az adatvédelmi pajzsot alkalmazóknak új adattovábbítási megoldások után kell nézniük, vagy a komplett adatkezelésüket Európába kell áthelyezniük. Ha az USA-ba történő adattranszfer szükséges, az SCC marad az egyetlen reális út, de ez is kockázatos, mert folyamatosan fennáll a veszélye annak, hogy valamelyik európai adatvédelmi hatóság megálljt parancsol majd az adattovábbításnak” – tette hozzá Ódor Dániel, a Taylor Wessing Budapest adatvédelmi csoportjának vezető partnere.