GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adattovábbítások az USA-ba: jöhet az új Privacy Shield?

2022. október 10. 11:30 - poklaszlo

Amióta az Európai Bizottság és az Egyesült Államok tavasszal bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, mindenki azt várta, hogy megjelenjen az az elnöki rendelet (Executive Order), amely alapján aztán elindulhat az USA tekintetében a szükséges megfelelőségi felülvizsgálat. Hosszas várakozások után, Joe Biden elnök október 7-én aláírta az elnöki rendeletet, amely az USA-ba történő adattovábbításokkal kapcsolatos legfontosabb aggályokra reagálva, korlátokat állapít meg a titkosszolgálati adatgyűjtés kapcsán, illetve plusz adatvédelmi garanciákat biztosít. 

1. Mit tartalmaz az elnöki rendelet?

Az elnöki rendelet az alábbi főbb rendelkezéseket tartalmazza (lásd a Fehér Ház által kiadott összefoglalót): 

  • a titkosszolgálati adatgyűjtési tevékenység kapcsán további garanciák érvényesülését írja elő, 
  • a gyűjtött személyes adatok kezelése kapcsán nagyobb kontrollt irányoz elő, 
  • a titkosszolgálati szervek számára előírja a vonatkozó szabályozásuk és eljárásaik felülvizsgálatát és frissítését, 
  • az adatgyűjtéssel érintett - meghatározott illetőségű (pl. EU állampolgárok) - személyek számára egy több rétegű mechanizmust állít fel a jogaik gyakorlásának előmozdítása érdekében, amely független és az érintett szervek tekintetében kötelező felülvizsgálatot tesz lehetővé. (Az első szintű vizsgálatot az ún. Civil Liberties Protection Officer végzi, míg a második szintű vizsgálatok érdekében létrehozásra kerül egy Data Protection Review Court, amely az első fokon hozott döntések független és kötelező erejű felülvizsgálatára jogosult.)

Természetesen az ördög a részletekben rejlik, így az elkövetkezendő időszak az elnöki rendelet részletes vizsgálatáról szól majd. 

2. Mit lép most az EU?

Ahhoz, hogy az EU-ból az USA-ba történő adattovábbítások tekintetében változás következzen be, szükséges egy új ún. megfelelőségi határozat elfogadása az USA vonatkozásában. A megfelelőségi határozat elfogadása a Bizottság feladata és várhatóan több hónapot vesz igénybe a folyamat (természetesen kérdés, hogy az elnöki rendeletben biztosított garanciákat elégségesnek találja-e a Bizottság egy megfelelőségi határozat elfogadásához, bár nyilván ez a cél, hiszen a márciusi közös bejelentés is ebbe az irányba mutatott). 

A GDPR preambuluma szerint (lásd (104)-(105) pontok), a megfelelőségi vizsgálat során a Bizottság - különösen - az alábbi szempontok alapján jár el: 

A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes adatokat egy vagy több konkrét ágazatban kezelik. A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során a természetes személyek védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottság a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultál a Testülettel.

A megfelelőségi vizsgálat során a Bizottság kikéri az Európai Adatvédelmi Testület véleményét is. Ennek keretében a Testület "véleményt bocsát ki a Bizottság számára a valamely harmadik országban vagy nemzetközi szervezetben biztosított védelmi szint megfelelőségének megítéléséhez, ideértve annak megállapítását is, ha a harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, vagy a nemzetközi szervezet már nem biztosít megfelelő védelmi szintet. A Bizottság e célból biztosítja a Testület számára az összes szükséges dokumentációt, köztük a harmadik ország kormányával, a harmadik ország, annak valamely területe vagy meghatározott ágazata tekintetében, illetve a nemzetközi szervezettel folytatott levélváltást" (GDPR 70. cikk (1) bekezdés s) pont). 

3. Mik az első reakciók?

Ahogy a márciusi EU-USA keretmegállapodás kapcsán is látszott, sokan kritikusan figyelik az újabb próbálkozást az USA-ba irányuló adattovábbítások megkönnyítésére. Az éppen a korábbi USA-ra vonatkozó megfelelőségi határozatok érvénytelenítése érdekében eljárásokat (Schrems I. és Schrems II.) indító Max Schrems által létrehozott noyb például máris kétségét fejezte ki az elnöki rendeletben foglaltak tartalmi megfelelőségével kapcsolatban. Az szinte borítékolható, hogy - ha elfogadásra is kerül a megfelelőségi határozat - az Európai Bíróságon előbb-utóbb újra megfordul majd a téma (nem kizárt, hogy pár éven belül érkezik a Schrems III.).  

4. Mit tegyenek most az adattovábbítást végzők?

Az adatkezelők és adatfeldolgozók által jelenleg végzett, illetve tervezett adattovábbításokra az elnöki rendelet nincs közvetlenül hatással, egyelőre nincs érdemi teendő ezzel kapcsolatban. Az adattovábbításokhoz a GDPR-ban - megfelelőségi határozat hiányában - rendelkezésre álló eszközök alkalmazhatók (természetesen a megfelelő körültekintés, adattovábbítási hatásvizsgálat elvégzése, megfelelő garanciák alkalmazása, stb. mellett). Amennyiben elfogadásra kerül majd a megfelelőségi határozat (amely - ahogy fent is jeleztem - több hónapot vehet igénybe), akkor nyílik lehetőség az alkalmazott adattovábbítási mechanizmusok felülvizsgálatára.   

Szólj hozzá!
Címkék: portfolioblogger adattovábbítás Európai Unió Európai Bizottság Egyesült Államok HU Rendelet megfelelőségi határozat Európai Adatvédelmi Testület Schrems-ügy

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8217949394

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása