Az Európai Bíróság nyáron hozott ítélete (Schrems II.) kapcsán alaposan felbolydult a harmadik országokba történő adattovábbítás állóvize. Az adatkezelők rohamtempóban igyekeznek a működésüket a megváltozott elvárásokhoz igazítani, ahol szükséges, további garanciák biztosításával. Eközben azonban a hatóságok és a jogalkotók sem pihennek. A napokban több fontos fejlemény is történt az EU-n, pontosabban az Európai Gazdasági Térségen (EGT) kívülre (harmadik országokba) történő adattovábbítások kapcsán: egyrészt az Európai Adatvédelmi Testület véleményezésre közzétette az adattovábbításhoz kapcsolódó további garanciákra vonatkozó ajánlásait, másrészt a Bizottság - szintén véleményezésre - publikálta a jelenleg adattovábbítás céljára alkalmazott általános szerződési feltételeket (standard contractual clauses, SCC) felváltani hivatott új SCC-k tervezetét.   

1. Az Európai Adatvédelmi Testület ajánlásai

A Testület két ajánlásra vonatkozó tervezetet is közzétett véleményezésre: 

• egyrészt az alkalmazható további garanciákról (1/2020. sz. ajánlás),
• másrészt a megfigyelés intézkedésekkel kapcsolatos Európai Alapvető Garanciákról (2/2020. sz. ajánlás). 

a) Az alkalmazható további garanciákra vonatkozó ajánlás

Az ajánlásban egy hatlépcsős folyamatot ajánl a Testület az adattovábbítással kapcsolatos garanciák meghatározása kapcsán: 

• 1. lépés: az adattovábbítások feltérképezése ("Know your transfers"), 
• 2. lépés: az adattovábbításhoz alkalmazott eszközök beazonosítása ("Identify the transfer tools you are relying on")
• 3. lépés: annak értékelése, hogy a GDPR 46. cikke alapján alkalmazott eszköz hatékony-e az adattovábbítás körülményeire figyelemmel ("Assess whether the Article 46 GDPR transfer tool you are relying on is effective in light of all circumstances of the transfer") 
• 4. lépés: kiegészítő intézkedések elfogadása ("Adopt supplementary measures")
• 5. lépés: a hatékony kiegészítő intézkedések azonosítását követő eljárási lépések ("Procedural steps if you have identified effective supplementary measures")
• 6. lépés: megfelelő időközönként az intézkedések újbóli értékelése ("Re-evaluate at appropriate intervals")

Az ajánlás hangsúlyozza az elszámoltathatóság kiemelt szerepét az adattovábbítások kapcsán is és a fenti folyamat kialakítása és alkalmazása az adatkezelőknél, megfelelően dokumentálva, alkalmas lehet arra, hogy az elszámoltathatóság elvének is megfeleljen az adatkezelő. 

Az ajánlás 2. sz. melléklete pedig a fenti keretek kialakítása mellett arra is javaslatot tesz, hogy milyen konkrét garanciális intézkedések lehetnek alkalmazhatók az adatok megfelelő védelmének biztosítása során. Ezeket három csoportra bontva mutatja be az ajánlás: (i) technikai intézkedések, (ii) szerződéses intézkedések, (iii) szervezeti intézkedések. Az adatkezelőknek ezeket is érdemes áttanulmányozniuk és esetről-esetre vizsgálva értékelniük, hogy az ajánlás mellékletében szereplő "étlapról" mely intézkedések alkalmazása lehet az általuk tervezett adattovábbítás kapcsán alkalmazandó vagy adott esetben, a speciális körülményekre tekintettel, milyen további vagy más intézkedés lehet esetleg szükséges. 

b) A megfigyelés intézkedésekkel kapcsolatos Európai Alapvető Garanciákra (European Essential Guarantees) vonatkozó ajánlás

A 4 alapvető garanciális elem az alábbi: 

1. Az adatkezelésnek világos, pontos és hozzáférhető szabályokon kellene alapulnia ("Processing should be based on clear, precise and accessible rules")
2. Az elérni kívánt jogos célra vonatkozóan a szükségességet és arányosságot alá kell támasztani("Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated")
3. Egy független felügyeleti mechanizmusnak szükséges működnie ("An independent oversight mechanism should exist")
4. Hatékony jogorvoslati lehetőségeket kell biztosítani az érintettek számára ("Effective remedies need to be available to the individual")

A vonatkozó jogszabályok vizsgálata és a megfelelő védelmi szint megítélése során a fenti négy elvet összefüggésében kell vizsgálni, azaz ezek nem egymástól függetlenül, hanem kölcsönhatásukban érvényesülnek. Természetesen megfelelő jogértelmezésre szükség van a folyamatban, hiszen az értékelt állam vonatkozó jogi szabályai nem feltétlenül feleltethetők meg egy az egyben az uniós szabályozással. 

Az elvégzett értékelés kimenetele kétféle lehet: 

• az értékelt harmadik ország jogszabályai nem felelnek meg az Európai Alapvető Garanciáknak, így az azonos szintű védelem az adott országban nem biztosított. 
• a harmadik ország vizsgált jogszabályai kielégítik az Európai Alapvető Garanciákban meghatározott követelményeket.

A fenti szempontokat egyrészt a Bizottságnak is figyelembe kell vennie, amikor megfelelőségi határozat elfogadásáról dönt a GDPR 45. cikke alapján, másrészt a GDPR 46. cikkében biztosított adattovábbítási mechanizmusok kapcsán az egyes adatkezelőknek ezen szempontokat is tekintetbe véve kell az értékelést elvégezniük.  

(A fenti szempontoknak akár megfelelőségi határozat kibocsátására tekintettel történő alkalmazására - a Brexitre tekintettel - rövidesen lehetőség is nyílhat, figyelemmel egy októberben az Európai Bíróság által hozott ítéletre is, amely a hírközlési forgalmi adatok bűnüldözési és nemzetbiztonsági célú megőrzése és továbbítása kapcsán született. Lásd Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others)

2. Új általános adatvédelmi kikötések tervezete 

Régóta fennálló adósság törlesztését jelenti a Bizottság részéről, hogy közzétette az adattovábbításokhoz alkalmazott általános adatvédelmi kikötések új generációjára vonatkozó tervezetet. 

Mik azok az általános adatvédelmi kikötések?

A GDPR 46. cikke biztosítja az adattovábbítás eszközei között a lehetőséget az általános adatvédelmi kikötések (standard contractual clauses, SCC) alkalmazására. Nem új mechanizmusról van szó, amelyet az is bizonyít, hogy a jelenleg alkalmazható SCC-k 2001-ben, 2004-ben, illetve 2010-ben kerültek elfogadásra (az első kettő adatkezelők közötti, míg a harmadik adatkezelőtől EGT-n kívüli adatfeldolgozó részére történő adattovábbításra vonatkozik). Látható tehát, hogy ezen SCC-k megújítása a GDPR-ral összhangban eddig nem történt meg. 

Mit tartalmaz a Bizottság tervezete?

A tervezet szerinti adatvédelmi kikötések számos ponton különböznek a jelenleg alkalmazásban lévőktől, egyrészt többféle viszonyrendszert képesek kezelni (adatkezelő-adatkezelő, adatkezelő-adatfeldolgozó, adatfeldolgozó-adatfeldolgozó, illetve adatfeldolgozó-adatkezelő adattovábbításokat is). Ennek megfelelően a felépítése is eltérő a korábbiakhoz képest, ugyanis részben a fenti különböző adattovábbításokhoz igazodó modulokat tartalmaz. A tervezet - figyelemmel a Schrems II. ítéletre is - erősebb kötelezettségeket határoz meg mind adatexportőri, mind adatimportőri oldalon. 

Az SCC szövegétől továbbra sem térhetnek el főszabály szerint a felek, ugyanakkor a 2. részében a kikötéseknek (Section 2) az egyes modulok közül csak az alkalmazandó, amilyen jellegű adattovábbítás történik (modul 1: adatkezelő-adatkezelő, modul 2: adatkezelő-adatfeldolgozó, modul 3: adatfeldolgozó-adatfeldolgozó, modul 4: adatfeldolgozó-adatkezelő). Ezen túlmenően van néhány opcionálisan alkalmazható rendelkezés a szövegben, amelyet a felek magukra szabhatnak. Az SCC mellékletében pedig a konkrét adattovábbítás részletei és az alkalmazásra kerülő szervezeti és technikai intézkedések megjelölése történik meg. 

(A tervezet nagyon jó áttekintése olvasható a Bird&Bird iroda honlapján.) 

Mi történik az új SCC-k elfogadása után? 

Az ezt követően sorra kerülő harmadik országba irányuló adattovábbítások esetén már ezeket kell majd alkalmazni, amennyiben az SCC lesz az adattovábbítás eszköze. 

A meglévő SCC-kre még egy évig lehet támaszkodni, ezen időszak alatt kell lecserélni őket (ha időközben a felek szerződést módosítanak, akkor egy éven belül intézkedniük kell az alkalmazott SCC felülvizsgálata kapcsán is).