Az Európai Unió Bírósága a 2015. október 6-án hozott ítéletében azonnali hatállyal érvénytelennek nyilvánította a Safe Harbour bizottsági határozatot, ami az USÁ-ba történő adattovábbítás egyik lehetséges módját szabályozta. A döntés jelentős sajtóvisszhangot kapott, de arról, hogy kell-e és ha igen, akkor mit és mennyi időn belül lépniük azon cégeknek és egyéb szervezeteknek, amelyek eddig erre alapozták a tengeren túlra történő adattovábbításaikat, ellentmondásos hírek terjednek. A kérdések kétségtelenül jelentősek, hiszen nem csak a Google, a Facebook, a Microsoft stb. tárolnak adatokat az USÁ-ban, hanem számos más IT és BPO (Business Process Outsourcing) szolgáltató is, nem is beszélve a felhőszolgáltatókról, mint például az Amazon, amelynek a szolgáltatásait számos cég használja, akár tudtukon kívül is, lévén számos IT szolgáltató ennek szervereit használja ügyfelei adatainak tárolására.
Azonnal tegyek valamit?
Óva intek az elhamarkodott lépésektől. Habár az Európai Unió Bíróságának azonnal hatállyal mondta ki a Safe Harbour sémáról szóló bizottsági határozat érvénytelenségét, az Európai Unió Bizottságának és a tagállami adatvédelmi hatóságok többségének reakciója alapján úgy tűnik, hogy nincs ok a pánikra, mert a hatóságok is elemzik az ítéletet és annak következményeit, továbbá várhatóan kellő rugalmassággal fogják kezelni a kialakult helyzetet, időt adva az alkalmazkodásra.
Az angol adatvédelmi biztos honlapján például olyan közleményt tett közzé, amelyben elismeri, hogy a vállalatoknak időre van szüksége ahhoz, hogy felülvizsgálják az USÁ-ba történő adattovábbítások jogalapját:
The judgment means that businesses that use Safe Harbor will need to review how they ensure that data transferred to the US is transferred in line with the law. We recognise that it will take them some time for them to do this.
A magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) reakciója hasonló, amely ugyan nem tartalmazza a fenti egyértelmű kijelentést, azonban ez a sorok közül kiolvasható:
A NAIH a bírósági ítélet nyomán kialakult helyzetben elemzi az ítéletből fakadó teendőket, és az Európai Unió többi adatvédelmi hatóságával egységes véleményt dolgoz ki. Szakértői szinten már ezen a héten rendkívüli egyeztetésre kerül sor, a következő héten pedig a hatóságok vezetői plenáris ülésen alakítják ki közös álláspontjukat.
Akkor ne is foglalkozzak a helyzettel?
A másik véglet sem jó megoldás, nem jó stratégia a szőnyeg alá söpörni a kérdést, mert kétségtelen, hogy a kialakult helyzetet kezelni kell.
Érint ez az egész engem vagy a cégem?
A kérdés tisztázáshoz először is tisztázni kell azt, hogy történik-e adattovábbítás az USÁ-ba. Ehhez szükséges lehet az alvállalkozók megkérdezése is, hiszen – ahogyan azt korábban említettem – számos olyan IT és BPO szolgáltató van, amely valójában amerikai szervereken (is) tárolja az ügyfelei adatait, azért ez a kérdés nem csak az olyan nagyvállalatokat, vállalatcsoportokat érinti, amelyek amerikai gyökerekkel rendelkeznek, de az olyan kis- és középvállalatokat is, amelyek például hírlevelek kiküldésére, ügyfélkapcsolati adatbázisok kezelésére, honlapok tárolására használnak USA-beli szolgáltatókat, illetve ottani szervereket.
Miről van szó?
Az Európai Unióban viszonylag magas szintű védelemben részesülnek a személyes adatok. Az európai adatvédelmi jog egyik alapelve, hogy ha a személyes adatok elhagyják az Európai Unió területét (pontosabban az Európai Gazdasági Térség, azaz az EGT területét, amely az EU tagállamokon kívül magában foglalja még Izlandot, Liechtensteint és Norvégiát), akkor erre csak két esetben kerülhet sor: ha az érintett magánszemély előzetese és kellően részletes tájékoztatás alapján ehhez önként hozzájárult vagy – hozzájárulás hiányában -, ha a célországban biztosított a személyes adatok megfelelő szintű védelme.
A megfelelő szintű védelem többféleképpen lehet biztosított:
- vannak olyan országok, amelyek vonatkozásában az Európai Bizottság megvizsgálta a nemzeti adatvédelmi rendelkezéseket és határozatokban megállapította, hogy megfelelő szintű védelmet biztosítanak – ilyen országok többek között Argentína, Kanada, Izrael, Svájc, Új-Zéland (a teljes lista a Bizottság honlapján található meg);
- az Európai Bizottság kidolgozott olyan modellszerződéseket, amelyek megkötése esetén biztosított a megfelelő szintű védelem a célországban – jelenleg adatkezelő-adatkezelő és adatkezelő-adatfeldolgozó vonatkozású modellszerződések vannak, ezeket a Bizottság szintén határozatokban hagyta jóvá (angolul Standard Contractual Clauses, SCCs)
- a megfelelő szintű védelem egy vállalatcsoporton belül biztosítható kötelező szervezeti szabályozás (Binding Corporate Rules, BCR) útján is – ez a lehetőség Magyarországon október 1-je óta érhető el, erről korábban részletesen beszámoltunk;
- az Európai Unió Bíróságának október 6-i döntéséig az Amerikai Egyesült Államokba történő adattovábbítások esetén a megfelelő szintű védelmet biztosíthatta az, ha az adatokat megkapó vállalat megszerezte az Egyesült Államok Kereskedelmi Minisztériumánál a Safe Harbour tanúsítványt
- a védelmet biztosíthatja államok közötti nemzetközi szerződés is;
- végül, bizonyos tagállamok adatvédelmi hatóságai egyedi ügyekben, egyedi szerződések alapján is dönthetnek arról, hogy az adott szerződés megfelelő szintű védelmet biztosít (ez Magyarországon nem lehetséges).
Mi a Schrems ügy?
Egy osztrák joghallgató, Maximilian Schrems sérelmezte azt, hogy az általa a Facebookra feltett adatokat a Facebook ír leányvállalatától részben vagy egészben az Egyesült Államokban található szerverekre továbbítják, és azokat ott kezelik. M. Schrems panaszt nyújtott be az ír adatvédelmi hatósághoz, amelyben azt állította, hogy az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak (különösen a National Security Agency-nek, NSA) a tevékenységeire vonatkozóan kiszivárogtatott információkra tekintettel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet az ebbe az országba továbbított adatok hatóságok általi megfigyelésével szemben. Az ír hatóság többek között azzal az indokkal utasította el érdemi vizsgálat nélkül a panaszt, hogy a Safe Harbour megfelelő védelmi szintet biztosít a továbbított személyes adatok számára, ezért nincs hatásköre arra, hogy ezt a kérdést vizsgálja. M. Schrems jogorvoslattal élt e döntés ellen, és az ügyben eljáró ír bíróság az Európai Unió Bírósága elé küldte a kérdést előzetes döntéshozatalra.
Az Európai Unió Bírósága ebben az előzetes döntéshozatali eljárásban (C-362/14) állapította meg, hogy az ír hatóság álláspontja helytelen, mert az egyes tagállamok adatvédelmi hatóságainak jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy valamely személy adatainak harmadik országba való továbbítása tiszteletben tartja-e az irányelvben támasztott követelményeket. Ez azt jelenti, hogy az ír adatvédelmi hatóságnak érdemben kell vizsgálnia M. Schrems panaszát. A bíróság másik – a konkrét ügyön jelentősen túlmutató – megállapítása az volt, hogy a Safe Harbour rendszerről szóló bizottsági határozat érvénytelen, mert az USA hatóságai hozzáférhettek az EU-ból ide továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették. Továbbá, az érintetteknek nem volt olyan közigazgatási, illetve bírósági jogorvoslati lehetőségük, amely többek között lehetővé tette volna, hogy hozzáférjenek a rájuk vonatkozó adatokhoz, és adott esetben azokat helyesbíttessék, illetve töröltessék. Az EUB ítélete itt, a vonatkozó sajtóközlemény pedig itt olvasható.
Az előzetes döntéshozatali eljárás természetéből fakadóan majd az ír adatvédelmi hatóságnak kell kellő gondossággal megvizsgálnia M. Schrems panaszát, és a vizsgálata végén határoznia kell, hogy az irányelv alapján felfüggessze-e az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását.
Miért kell lépnem?
A bíróságnak az a megállapítása, hogy a Safe Harbour rendszerről szóló bizottsági határozat érvénytelen, nem csak a Facebook-ot érinti, hanem bárkit, aki korábban erre alapozta az USÁ-ba történő adattovábbítását.
Mit lehet tenni?
Több megoldás van a helyzet kezelésére:
- az adatokat áthelyezik az USÁ-ból az EGT területére vagy olyan országokba, amely a Bizottság által elismerten megfelelő szintű védelmet biztosítanak (lásd fent) – ez egyszerűen hangzik, de gyakorlatilag nehezen kivitelezhető megoldás, főleg nem rövid idő alatt;
- az USÁ-ba történő adattovábbítás vonatkozásában modellklauzulákat (SCCs) kötnek – ez viszonylag gyorsan megoldható, azonban a szerződéseket alá kell írni, meg kell őrizni, és szükség esetén frissíteni, módosítani kell; ez komplex, sokszereplős projektek esetén problémás lehet, főleg olyan felhőszolgáltatók esetén, amelyek jelentős számú ügyfelet szolgálnak ki;
- vállalatcsoporton belül megoldás lehet a kötelező szervezeti szabályozás (BCR), de ez csak vállalatcsoporton belüli adatáramlások esetén működik, külső szereplők (alvállalkozók) bevonása esetén nem, illetve a BCR jóváhagyása jelentős időt és erőforrásokat is igényel;
- az érintett magánszemélyek hozzájárulásának beszerzése ahhoz, hogy a személyes adataik az USÁ-ba kerülhessenek továbbításra – azonban a hozzájárulás csak és kizárólag akkor érvényes, ha önkéntes és kellően részletes, előzetes tájékoztatásul alapul, ami az adott esetben azt jelenti, hogy fel kell hívni a magánszemélyek figyelmét arra, hogy az USÁ-ban a személyes adataik nincsenek biztonságban, ami nyilvánvalóan nem a legjobb marketing üzenet.
Melyik a legjobb megoldás?
Nincs egységes, mindenkire egységes alkalmazható jó megoldás. A fenti alternatívák mindegyikének vannak előnyei és hátrányai. Ezek, valamint az adott cég és az adatkezelések sajátosságai alapján kell kidolgozni a megfelelő megoldást, amely akár a fentiek kombinációja is lehet.
Mi legyen a következő lépésem?
Ahogyan azt fent említettem, a tagállamok adatvédelmi hatóságai és az Európai Bizottság is elemzi a helyzetet, és várhatóan néhány héten belül részletesebb tájékoztatást, útmutatót is közzétesznek. Ezt mindenképpen érdemes megvárni, de addig is el lehet, el kell kezdeni felmérni, hogy történt-e az USÁ-ba történő adattovábbítás, illetve, hogy az adott adatkezelések, illetve az adott cég, vállalat sajátosságaira figyelemmel melyek jöhetnek szóba reálisan a fenti alternatív megoldások közül. Érdemes felvenni a kapcsolatot az alvállalkozókkal, figyelni az USA-beli szolgáltatók közleményeit, hogy ők maguk milyen megoldási javaslatokkal állnak elő.
A Bird & Bird Adatvédelmi Csoportja a Schrems ítélet közzétételét követően, október 6-án délután webes konferenciát tartott, amely ezen a linken visszahallgatható. Az amerikai hatóságok, érdekképviseletei szervek és egyes szolgáltatók (Facebook, Microsoft, Amazon) reakcióinak összefoglalása pedig itt olvasható.
Update #1 (2015. október 19.)
A 29-es Munkacsoport közzétette állásfoglalását, amelynek lényegét ebben a bejegyzésben foglaltuk össze.
dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000
***
A fenti írás a szerző (“dr. Halász Bálint, ügyvéd, Knight Bird & Bird Iroda”) és a forrás (“Twobirdsideas.hu” és a bejegyzésre mutató link, ha lehetséges) feltüntetésével átvehető, többszörözhető és hozzáférhetővé tehető, kivéve ha a felhasználásra fizetős tartalomszolgáltatás keretében (pl. paywall mögött) kerül sor. Az engedély nem terjed ki az átdolgozásra. Egyebekben a Felhasználási Feltételek rendelkezései irányadóak.
Categories: Adatvédelem
