Az idei nyár egyik legfontosabb adatvédelmi történése az Európai Bíróság Schrems II. ügyben hozott ítélete, amelyet július 16-án tettek közzé (C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Ltd, és Maximillian Schrems).
Az ítélet az alábbi főbb megállapításokat tartalmazza:
- az EU és USA közötti adattovábbítást lehetővé tévő, Adatvédelmi Pajzs (Privacy Shield) néven futó megfelelőségi határozat (a Bizottság 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről) érvénytelen;
- a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat (a Bizottság határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről) érvényes. Ugyanakkor a Bíróság az általános szerződési feltételeken alapuló adattovábbítások kapcsán is meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően vizsgálni kell ahhoz, hogy biztosított legyen a személyes adatok megfelelő védelme.
Mit jelentenek a fentiek a gyakorlatban?
A GDPR alapján személyes adatot harmadik országba, illetve nemzetközi szervezet részére csak akkor lehet továbbítani, ha a személyes adatok védelme az adattovábbítást követően is megfelelő, az Európai Unión belüli védelemmel megegyező szinten biztosított (lásd a GDPR V. fejezetét). Az adattovábbítás jogszerűségének feltételeit az adatkezelők, illetve adatfeldolgozók több módon is megteremthetik. Ezek egyik eszköze az ún. megfelelőségi határozat (GDPR, 45. cikk) alapján történő adattovábbítás, míg másik gyakran alkalmazott eszköz az ún. általános adatvédelmi kikötések (korábban általános szerződési feltételek (GDPR, 46. cikk). (A harmadik országokba történő adattovábbítások lehetséges módjairól itt írtam korábban.)
Az Egyesült Államokba történő adattovábbítás egyik jogalapja az ún. Adatvédelmi Pajzs (Privacy Shield) volt. Ez egy olyan mechanizmust biztosított, amely a személyes adatok USA-ba történő továbbítása esetére is hivatott volt biztosítani a megfelelő szintű védelmet. (A Safe Harbor néven alkalmazott megfelelőségi határozatot váltotta fel, miután azt 2015-ben az Európai Bíróság szintén érvénytelennek nyilvánította, a Schrems I. ügyben.)
Arra tekintettel, hogy a Bíróság az Adatvédelmi Pajzsot érvénytelennek nyilvánította, így személyes adatok a továbbiakban nem továbbíthatók az USA-ba erre a megfelelőségi határozatra alapítottan. (A Privacy Shield listán jelenleg 5390 szervezet szerepel.)
Nem gond, legyinthetnénk, hiszen az ítéletben az is szerepel, hogy az USA-ba történő adattovábbítás másik kiemelten fontos eszköze, az általános szerződési feltételek továbbra is érvényesek és alkalmazhatók. Ez igaz, ugyanakkor a Bíróság azt is kimondta, miszerint
.... ez az érvényesség attól függ, hogy [...] az említett határozat tartalmaz-e olyan hatékony mechanizmusokat, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy az uniós jog által megkövetelt védelmi szintet tiszteletben tartsák, és hogy a személyes adatok ilyen kikötéseken alapuló továbbítását az e kikötések megsértése, illetve tiszteletben tartásuk lehetetlensége esetén felfüggesszék vagy megtiltsák. (Ítélet, 137. pont; illetve Sajtóközlemény, 3. o.)
A Bíróság úgy tekinti, hogy a bizottsági határozat megteremti ezeket a mechanizmusokat, mivel előírja
"[...] az adatkezelő és az adattovábbítás címzettje azon kötelezettségét, hogy előzetesen ellenőrizzék, hogy az érintett harmadik országban tiszteletben tartják-e ezen védelmi szintet, és e címzettet arra kötelezi, hogy tájékoztassa az adatátadót arról, ha esetleg nem képes eleget tenni az általános adatvédelmi kikötéseknek, ez utóbbi pedig köteles felfüggeszteni az adattovábbítást és/vagy az előbbivel kötött szerződéstől elállni." (Sajtóközlemény, 3. o.)
Az általános adatvédelmi kikötésen alapuló adattovábbítás sem lehet tehát automatikus, hanem a védelmi szint megfelelőségére vonatkozó ellenőrzésnek kell megelőznie.
Az ítélet alapján akkor nem is lehet az USA-ba adatot továbbítani?
Az adatok Egyesült Államokba történő továbbítását természetesen nem zárja ki a döntés, ugyanakkor a két legkézenfekvőbb adattovábbítási mechanizmus kiesése esetén ez komoly nehézségekbe ütközhet. A megfelelőségi határozat (Adatvédelmi Pajzs) érvénytelenség miatt nem alkalmas az adattovábbítás alátámasztására, míg az általános adatvédelmi kikötések kapcsán a védelmi szint megfelelőségének az igazolása jelenthet gyakorlati nehézséget, hiszen, azokban az esetekben, amikor az állami megfigyelést lehetővé tevő jogszabályok hatálya alá tartozó társaságok részére való adattovábbításról van szó, akkor a védelmi szint, amely miatt érvénytelenítette a Bíróság az Adatvédelmi Pajzsot, valószínűsíthetően szintén elégtelen az általános adatvédelmi kikötések alapján is.
Az ír adatvédelmi hatóság (DPC) is arra hívja fel a figyelmet a Schrems II. ítélet kapcsán kiadott sajtóközleményében, hogy az ítélet megerősíti, miszerint "... az uniós polgárok nem élvezik az EU jog által megkövetelt védelmi szintet, amikor adataikat az Egyesült Államokba továbbítják." ("Today’s judgment provides just that, firmly endorsing the substance of the concerns expressed by the DPC (and by the Irish High Court) to the effect that EU citizens do not enjoy the level of protection demanded by EU law when their data is transferred to the United States.") Majd hozzáteszi, hogy az általános adatvédelmi kikötéseken alapuló adattovábbítás az USA-ba "megkérdőjelezhető". ("... in practice, the application of the SCCs transfer mechanism to transfers of personal data to the United States is now questionable.")
A berlini adatvédelmi biztos nagyon határozott véleményt fogalmazott meg, amikor az USA-ba történő adattovábbítás helyett egyéb, akár Európán belüli adatkezelési megoldások igénybevételét javasolja. Arra is felhívja a figyelmet, hogy valószínűsíthetően az általános adatvédelmi kikötések sem elegendők az adatok megfelelő védelme érdekében. (Hasonló megállapítást tett a hamburgi adatvédelmi biztos is az általános adatvédelmi kikötések alapján történő adattovábbításokról.)
Összességében tehát az USA-ba történő adattovábbítások jóval nehézkesebbé válnak és az adatkezelők felelőssége is jelentősen megnövekszik ezzel kapcsolatban.
Csak az USA-ba történő adattovábbítás a problémás?
Az ügy alapját a Facebook általi adattovábbítások képezték (csakúgy, mint a Schrems I. ügyben). Erre tekintettel került a célkeresztbe az USA-t érintő megfelelőségi határozat, illetve az adatok védelmi szintje az Egyesült Államokban. Ugyanakkor az ítélet megállapításai messze túlmutatnak az USA-ba történő adattovábbítások körén és minden harmadik országba történő adattovábbítás esetén vizsgálandó, hogy a védelem szintje megfelelő-e. Erre egyébként több adatvédelmi hatóság is felhívja a figyelmet az ítéletre tekintettel kiadott közleményében. A berlini adatvédelmi biztos például kiemeli, hogy a Kínába, az Oroszországba és Indiába történő adattovábbítások kapcsán is hasonló aggályok merülhetnek fel ("Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.") Az Európai Adatvédelmi Testület arra hívja fel a figyelmet, hogy amennyiben a vizsgálat alapján az derül ki, miszerint a harmadik országban a védelem szintje nem megfelelő, akkor tovább intézkedések lehetnek szükségesek az adattovábbítás lehetővé tételéhez.
Mi a helyzet a kötelező erejű vállalati szabályokkal (BCR) és egyéb, megfelelő garanciák alapján történő adattovábbításokkal (GDPR 46. cikk)?
Az ítélet maga az Adatvédelmi Pajzzsal és az általános adatvédelmi kikötésekkel foglalkozik. Nem szabad azonban szem elől téveszteni, hogy olyan szempontokat is megfogalmaz, amelyeket az egyéb adattovábbítási mechanizmusok esetén is figyelembe kell venni. Az Ítélet szövege is utal arra, hogy amennyiben nincs megfelelőségi határozat (illetve az érvénytelen) és a 46. cikk szerinti megfelelő garanciák sem érvényesülnek, akkor a GDPR 49. cikke szerinti különleges helyzetekre alkalmazandó megoldások jöhetnek szóba (Ítélet 202. pont; "[...] the Court notes that, in any event, in view of Article 49 of the GDPR, the annulment of an adequacy decision such as the Privacy Shield Decision is not liable to create such a legal vacuum. That article details the conditions under which transfers of personal data to third countries may take place in the absence of an adequacy decision under Article 45(3) of the GDPR or appropriate safeguards under Article 46 of the GDPR."). A GDPR 49. cikkére hívja fel a figyelmet az Európai Adatvédelmi Testület közleménye is, illetve arra, hogy ennek alkalmazásával kapcsolatban korábban iránymutatást is kiadott (2018/2. sz. iránymutatás).
A felügyeleti hatóságok megtilthatják az adattovábbítást?
Igen, erre is sor kerülhet. A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat 4. cikke kifejezetten hivatkozik arra, hogy "... a tagállamok illetékes hatóságai a magánszemélyek – személyes adatainak feldolgozására tekintettel történő – védelme érdekében élhetnek azzal a jogukkal, hogy megtilthatják vagy felfüggeszthetik a harmadik országokba történő adattovábbítást", ha
- megállapítják, hogy az adatátvevőre vagy a további feldolgozóra irányadó jog olyan követelményeket támaszt vele szemben, amelyek értelmében el kell térnie az alkalmazandó adatvédelmi jogtól, .... és amennyiben ezek a követelmények vélhetően jelentős hátrányos hatással lesznek az alkalmazandó adatvédelmi jog és az általános szerződési feltételek által nyújtott garanciákra;
- az illetékes hatóság megállapította, hogy az adatátvevő vagy a további feldolgozó nem tartotta be a mellékletben szereplő általános szerződési feltételeket; vagy
- nagy a valószínűsége, hogy a mellékletben szereplő általános szerződési feltételeknek nem tesznek eleget vagy nem fognak eleget tenni, és az adattovábbítás folytatása súlyosan veszélyeztetné az érintetteket.
A GDPR 58. cikk (2) bekezdése alapján eljárva, a hatóság elrendelheti a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.
A Testület sajtóközleménye kitér erre a lehetőségre, de több adatvédelmi hatóság is kiemeli a felügyeleti hatóságok szerepét a nemzetközi adattovábbításokkal kapcsolatban.
Mit tegyenek most az adatkezelők?
Az adatkezelőknek mindenképpen át kell tekinteniük a nemzetközi adattovábbításikat, figyelemmel a Schrems II. ügyben hozott döntésre. Természetesen az USA-ba történő adattovábbítások kiemelt figyelmet kell, hogy élvezzenek, különösen, ha az Adatvédelmi Pajzson, illetve általános adatvédelmi kikötéseken alapulnak, ugyanakkor a felülvizsgálat nem korlátozódhat az USA-ba történő adattovábbításokra, mivel az ítélet megállapításai ennél jóval szélesebb körben alkalmazandók.
Érdemes alaposan elemezni, hogy a GDPR 46. cikke alapján mely mechanizmus szolgálhat az adattovábbítás alapjául (amennyiben nincs megfelelőségi határozat, mint az ítélet alapján már az USA esetében is ez a helyzet). Vizsgálandó, hogy a célország védelmi szintje megfelelő-e (pl. van-e olyan jogszabály, amely alapján az állami szervek az USA-hoz hasonló módon hozzáférhetnek a GDPR hatálya alatt kezelt adatokhoz). Fontos kiemelni, hogy az USA esetében is vizsgálandó, hogy mely szervezetek tartoznak olyan jogszabály hatálya alá (pl. Foreign Intelligence Surveillance Act; rövidítve: FISA), amely alapján az adatok az állami megfigyelési program keretében hozzáférhetővé válhatnak, mert ezek esetében az általános adatvédelmi kikötések, illetve egyéb 46. cikk szerinti mechanizmusok alkalmazhatósága is megkérdőjeleződik.
Amennyiben - megfelelőségi határozat hiányában - a 46. cikk szerinti mechanizmusok sem alkalmazhatók (mert pl. a védelmi szint nem elégséges az általános adatvédelmi kikötés alapján történő továbbításhoz), akkor kerülhet sor a különleges helyzetekben történő adattovábbítás esetére biztosított eltérések alkalmazására (lásd GDPR 49. cikk). Ezeket azonban esetről-esetre kell vizsgálni, ahogy arra az Európai Adatvédelmi Testület is felhívja a figyelmet. (A különleges helyzetekben alkalmazott eltérések kapcsán a Testület 2018/2. sz. iránymutatása alapján érdemes a vizsgálatot lefolytatni.)
Mi várható a hatóságok részéről?
Több hatóság és az Európai Adatvédelmi Testület is közreadta az elsődleges reakcióját. Ezek jellemzően még kevés konkrétumot tartalmaznak, az ítélet mélyebb elemzésének szükségességére hivatkoznak (lásd pl. a CNIL közleményét), ugyanakkor előzetesen az olvasható ki a felügyeleti közleményekből, hogy a jövőben vélhetően nagyobb hatósági figyelem vetülhet a nemzetközi adattovábbításokra.
Befolyásolja-e az ítélet az Egyesült Királyságba történő adattovábbításokat?
A Brexitre tekintettel - az átmeneti idő elteltét követően - az Egyesült Királyságot is harmadik országként kell kezelni az EU-ból történő adattovábbítások szempontjából (erről legutóbb itt írtam). A Schrems II. ügyben hozott ítéletnek ennek megfelelően hatása lesz arra is, hogy miként kerülhet sor az Egyesült Királyságba történő adattovábbításokra, illetve, hogy egy megfelelőségi határozat kapcsán milyen szempontokat kell a Bizottságnak mérlegelnie (pl. az Egyesült Királyság és az Egyesült Államok közötti kormányzati együttműködések kapcsán). Nem véletlen, hogy egy rövid nyilatkozattal az Egyesült Királyság kormánya is reagált az ítéletre (UK Government response to the European Court of Justice decision in the Schrems II case), kiemelve a nemzetközi adattovábbítások fontosságát és gazdasági szerepét.
Érinti-e az ítélet a Svájc és USA közötti adattovábbításokat?
Az ítélet közvetlenül nincs hatással a Svájc és USA közötti adattovábbítást lehetővé tevő mechanizmusra, ugyanakkor a svájci adatvédelmi hatóság jelezte, hogy vizsgálja az esetleges szükséges lépéseket a Bíróság döntését követően.
Úton az európai adatszuverenitás felé?
Az ítélet kapcsán felvetődik, hogy vajon milyen közvetett, illetve távlati hatások várhatók. Erre nyilvánvalóan nehéz még pontos választ adni, de a nemzetközi adattovábbítások nehézkesebbé, kockázatosabbá válása akár az adatok Európán belüli kezelésének, az adatvagyon EU-n belüli hasznosításának is lökést adhat, összhangban egyébként a Bizottság februárban közzétett adatstratégiájával, illetve az olyan kezdeményezésekkel, mint a GAIA-X projekt, amelyet elindítói az európai digitális ökoszisztéma és technológiai szuverenitás irányába tett lépésnek szánnak. A Schrems II. ítélet kapcsán megjelent hatósági kommentárok közül a berlini adatvédelmi biztos által kiadott közleménynek már a címe is beszédes: "Nach „Schrems II“: Europa braucht digitale Eigenständigkeit", azaz
"Schrems II. után: Európának digitális függetlenségre van szüksége".
További hasznos források
- Az ítélet kapcsán kiadott hatósági közlemények, reakciók gyűjteménye elérhető a OneTrust DataGuidance oldalain: International: Schrems II: What you need to know, illetve Europe: Data protection authorities react to Schrems II judgment
- Adatvédelmi hatóságok iránymutatásainak összefoglalója és értékelése a Hogan Lovells ügyvédi irodától: EU Data Exports After Schrems II – Guidance by data protection authorities
- Az Európai Adatvédelmi Testület (EDPB) közleménye (07.17.): Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems
- Az európai adatvédelmi biztos (EDPS) közleménye (07.17.): EDPS Statement following the Court of Justice ruling in Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (“Schrems II”)
- A noyb jogvédő szervezet (amelyet Max Schrems hozott létre) oldala az EU-USA közötti adattovábbítások kapcsán: EU-US Data Transfers
- Az Európai Bizottság első reakciója az ítéletre (07.16.): Opening remarks by Vice-President Jourová and Commissioner Reynders at the press point following the judgment in case C-311/18 Facebook Ireland and Schrems
- Több nemzetközi ügyvédi iroda is közreadta az elsődleges értékelését az ügyről, pl. HoganLovells, Morrison Foerster, CMS, Bird&Bird
- Az IAPP-on elérhető összefoglalók: CJEU invalidates EU-US Privacy Shield; SCCs remain valid, illetve The 'Schrems II' decision: EU-US data transfers in question