Az általános adatvédelmi rendelet (GDPR) úgy rendelkezik, hogy az ilyen adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. E rendelet szerint az Európai Bizottság (EB) megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen megfelelőségi határozat hiányában az ilyen továbbítás csak akkor végezhető el, ha a személyes adatok unióban letelepedett átadója megfelelő garanciákat ír elő, amelyek különösen az EB által elfogadott általános adatvédelmi kikötéseken alapulhatnak, és ha az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek. A GDPR pontosan meghatározza azokat a feltételeket, amelyek mellett a megfelelőségi határozat vagy a megfelelő garanciák hiányában sor kerülhet az ilyen továbbításra.
A friss ügy előzménye, hogy egy osztrák állampolgár panaszt nyújtott be az ír felügyeleti hatósághoz, hogy a személyes adatait kezelő Facebook Irelanddel függesztessék fel vagy tiltsák meg, hogy az írországi cég az adatait a Facebook Inc. Egyesült Államokban található szervereire továbbítsa, mert az Egyesült Államok nem biztosít elégséges védelmet az oda továbbított adatok számára. Az ír felügyelet ezt követően eljárást indított az ír felsőbíróság (High Court) előtt annak érdekében, hogy döntéshozatal iránti kérelmet nyújtson be az Európai Bírósághoz.
Rés az adatvédelmi pajzson
Az Európai Bíróság a csütörtöki előzetes döntéshozatali eljárásának keretében az EU adatvédelmi pajzsról szóló határozatát (2016/1250 határozat) érvénytelennek nyilvánította. A bíróság úgy ítélte meg, hogy az ilyen adattovábbítás keretében megkövetelt védelmi szintnél a GDPR rendelkezései által e célból előírt követelményeket úgy kell értelmezni, hogy azon személyeknek, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel kell rendelkezniük, amely lényegében azonos az uniós Alapjogi Charta alapján e rendeletben előírt, az unióban biztosított védelmi szinttel.
Az uniós bíróság szerint e védelmi szint értékelésének figyelembe kell vennie
- mind az EU-ban letelepedett adatkezelő és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket,
- mind pedig - e harmadik ország hatóságainak az így továbbított adatokhoz való esetleges hozzáférésénél - az ezen ország jogrendszerének releváns elemeit.
Az ilyen adattovábbításoknál a bíróság szerint a felügyeleti hatóságok kötelesek felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha úgy vélik, hogy az EU-ban letelepedett adatkezelő még nem függesztette fel vagy fejezte be az ilyen továbbítást, vagy
- az általános adatvédelmi kikötéseket ebben az országban nem tartják be,
- vagy azokat ott nem lehet tiszteletben tartani,
- és hogy a továbbított adatok uniós jog által megkövetelt védelme más eszközzel nem biztosítható.
Az Európai Bíróság azzal is indokolta az adatvédelmi pajzsról szóló határozat érvénytelenségét, hogy az e határozatban szereplő ombudsmani mechanizmus nem biztosít e személyek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos garanciákat nyújtana, amelyek biztosíthatnák mind az e mechanizmus által előírt ombudsman függetlenségét, mind pedig az olyan normák meglétét, amelyek felhatalmazzák az említett ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon.
A bíróság ugyanakkor úgy ítélte meg, hogy a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat - amelynek alapján a Facebook Ireland is végzi az adattovábbítást az USA-ba - továbbra is érvényes.
Ez egy torpedótalálattal is felér
Az Európai Bíróság ezzel jelentős akadályokat gördített azon multinacionális nagyvállalatok elé, amelyek az USA-ban található szervereikre továbbítják az európai állampolgárok személyes adatait, ugyanis a két leggyakrabban alkalmazott adattovábbítási módszer, a kizárólag EU-USA viszonylatban alkalmazható adatvédelmi pajzs (Privacy Shield) és a bármely harmadik országbeli transzferre vonatkozó úgynevezett általános adatvédelmi kikötések (Standard Contractual Clauses - SCC) súlyos ütéseket kapott - vélik a Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői.
A friss ítélet szerint az adatvédelmi pajzs sem nyújt megfelelő védelmet az európai adatalanyok személyes adatainak. Az USA-ban ugyanis továbbra is elsőbbséget élveznek a nemzetbiztonsági megfontolások és titkosszolgálati megfigyelések esetén nem biztosított a GDPR által megkövetelt célhoz kötöttség, adattakarékosság és a szükségesség.
Bár az SCC megfelelőségét megállapító EB-döntés továbbra is érvényes, a mostani ítélet ugyanúgy fejfájást okozhat a harmadik országokba irányuló adattovábbítást alkalmazó, és ebben az SCC-re támaszkodó feleknek, miután az uniós bíróság lényegében felhatalmazást adott a nemzeti adatvédelmi hatóságoknak arra, hogy a szerződésben kikötött SCC ellenére megtiltsák az ilyen adattranszfereket, ha úgy találják, hogy a harmadik országbeli adatimportáló a gyakorlatban nem tud megfelelni ezeknek a klauzuláknak.
Ez főleg az USA-ba adatokat továbbító cégeknek jelenthet problémát - véli Ódor Dániel, a Taylor Wessing Budapest adatvédelmi csoportjának vezető partnere . A szakember szerint ugyanis azon cégeknek, amelyek eddig az adatvédelmi pajzsot alkalmazták, új adattovábbítási megoldások után kell nézniük, vagy a komplett adatkezelésüket Európába kell áthelyezniük. Ha az USA-ba történő adattranszfer szükséges, az SCC marad az egyetlen reális út, de ez is kockázatos, mert folyamatosan fennáll a veszélye annak, hogy valamelyik európai adatvédelmi hatóság megálljt parancsol majd az adattovábbításnak.