Az EU-n kívülre irányuló adattovábbítások kérdése az elmúlt években, különösen a Schrems II. ítéletnek köszönhetően nagy hangsúlyt kapott és számos esetben okoz fejtörést az adatkezelőknek. Az elmúlt hetekben több fontos információ is napvilágot látott a téma kapcsán: megjelent az Európai Adatvédelmi Testület végleges iránymutatása a GDPR területi hatálya és az adattovábbítási rendelkezések vonatkozásában, a Testület elfogadta az USA-ra vonatkozó megfelelőségi határozat tervezetét elemző véleményét és a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) is elfogadott január végén egy állásfoglalást, amely az EU-n belül történő adatfeldolgozó általi adatkezelések esetében a harmadik országok hatóságainak esetleges hozzáférési igényeit érinti.
A DSK állásfoglalása az adatkezelők számára fontos, az adatfeldolgozó igénybevétele előtt mérlegelendő szempontokra irányítja rá a figyelmet olyan esetekben, amikor az igénybe venni kívánt adatfeldolgozó az EU-ban (pontosabban az Európai Gazdasági Térségben) bejegyzett társaság és az adatfeldolgozó általi adatkezelési tevékenység is az EGT-n belül történne. Első ránézésre akár elintézhetnénk ezt a kérdést azzal, hogy ilyen esetekben fel sem merül az adattovábbítás, hiszen EGT-n belüli adatkezelésről van szó, a GDPR harmadik országba történő adattovábbításra alkalmazandó rendelkezései erre pedig nem alkalmazandóak. A kérdés azonban nem ilyen egyszerű. Előfordulhat ugyanis (és a gyakorlatban elő is fordul), hogy az igénybe venni számdékozott, az EGT-ben bejegyzett adatfeldolgozó anyavállalata valamely harmadik országban működik és ezen anyavállalat - a saját nemzeti joga alapján - akár olyan döntést is hozhat, amely az EGT-n belül működő leányvállalat (adatfeldolgozó) kezelésében lévő adat továbbításával járhat. Ezzel pedig már meg is érkeztünk a GDPR adattovábbításokra vonatkozó szabályaihoz.
A fenti szcenárió szemléltetésére kiválóan alkalmas az Európai Adatvédelmi Testület 2022/5. sz., a GDPR területi hatálya és az adattovábbítási rendelkezések vonatkozásában kiadott végleges iránymutatásának 12. példája (24. o.):
Mit mond ki a DSK állásfoglalása?
A DSK rögzíti, hogy önmagában annak a kockázata, hogy az EU-ban bejegyzett adatfeldolgozó által az EU-ban kezelt adatokhoz az adatfeldolgozó harmadik országban bejegyzett anyavállalata révén vagy közvetlenül valamely, az anyavállalat szerinti harmadik ország hatósága által történő hozzáférésre kerülhet sor, nem minősül a GDPR szerinti harmadik országba irányuló adattovábításnak. (Ez talán nyilvánvalónak tűnhet első ránézésre, de a gyakorlatban előfordultak olyan esetek Németországban, amikor már a hozzáférés elméleti lehetőségét is adattovábbításnak tekinették. Lásd pl. ezt a Baden-Württembergben hozott döntést, amelyet később az Oberlandesgericht (OLG) Karlsruhe hatályon kívül helyezett.)
Az, hogy az adatokhoz harmadik országból történő hozzáférés elméleti lehetőségének felmerülése nem valósít meg harmadik országba irányuló adattovábbítást, nem jelenti azt, hogy az adatkezelőknek ne lenne az ilyen helyzetekben további feladatuk az adatvédelmi szabályoknak való megfelelés érdekében.
Mit kell tenniük az adatkezelőknek a DSK állásfoglalása alapján?
A GDPR 28. cikk (1) bekezdése alapján az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-nak való megfelelése tekintetében. Azokban az esetekben, amikor az adatfeldolgozó esetében felmerül, hogy az adatfeldolgozó anyavállalara révén indirekt módon kapcsolatba hozható egy harmadik országgal, akkor az adatkezelőnek az adatfeldolgozó kiválasztása során, a GDPR 28. cikknek való megfelelés vizsgálata körében értékelnie szükséges az érintett harmadik ország jogi környezetét az esetleges hozzáférési igények vonatkozásában, illetve az adatfeldolgozó megbízhatóságát abból a szempontból, hogy az adatfeldolgozó milyen garanciákat biztosít az adatkezelő utasításaival ellentétes esetleges harmadik országból történő adathozzáférések tekintetében.
Abban az esetben, ha harmadik országból is sor kerülhet az adatokhoz való hozzáférésre, azaz megvalósulhat az adattovábbítás (lásd a fenti ábrán narancssárgával jelölt adatáramlást), akkor - többek között - az alábbi szempontokat szükséges mérlegelni az adatfeldolgozó 28. cikk szerinti értékelése során:
- harmadik ország jogszabályainak extraterritoriális hatálya (azaz kiterjedhetnek-e ezek a szabályok közvetlenül az EU-n belül bejegyzett adatfeldolgozóra), illetve ezek gyakorlati alkalmazása,
- extraterritoriális alkalmazhatóság esetén annak értékelése, hogy ez befolyásolhatja-e az adatfeldolgozóval kötött szerződésben foglaltakat, fennáll-e annak a kockázata, hogy a harmadik országbeli anyavállalat az adatok továbbítására utastíja az adatfeldolgozót,
- a harmadik országbeli anyavállalat és az EU-ban működő leányvállalat a harmadik ország jogának és az EU jogi szabályozásának ütközésének feloldására milyen intézkedéseket foganatosít,
- az anyavállalat és az adatfeldolgozó által nyújtott biztosítékok - figyelemmel a harmadik ország jogára és a gyakorlatra - ténylegesen érvényesülhetnek-e,
- a múltban bekövetkezett adatvédelmi incidensek bekövetkezése,
- a jogsértések szankcionálására szolgáló intézkedések súlyossága és valószínűsége,
- a jogosulatlan adattovábbítás kivédésére bevezetésre kerülő intézkedések.
Ha a fenti vizsgálatot követően az adatkezelő arra a megállapításra jut, hogy az adatfeldolgozó nem nyújt megfelelő garanciákat az uniós joggal ellentétes adatkezelés kockázatának kivédésére, akkor olyan további technikai és/vagy szervezési intézkedések alkalmazása szükséges, amelyek a harmadik ország jogában és/vagy jogalkalmazási gyakorlatában mutatkozó, az adatfeldolgozó megbízhatóságát érintő hiányosságok kompenzálására alkalmasak. A megfelelő intézkedések körében az adatkezelőknek érdemes figyelembe venniük az Európai Adatvédelmi Testület 01/2020. számú ajánlásában foglaltakat azzal, hogy ezek az ajánlások a harmadik országokba történő direkt adattovábbításokra tekintettel készültek, így az adott helyzethez való hozzáigazításuk szükséges lehet.
A fenti téma kapcsán érdemes utalni az Európai Adatvédelmi Testületnek a felhőszolgáltatásokat érintően lefolytatott első összehangolt végrehajtási projektjére, amelyben a felhőszolgáltatások közszférában történő alkalmazását vizsgálták (erről itt írtam részletesebben). A vizsgálatról közzétett jelentés is kitér az EU-ban kezelt személyes adatokhoz a felhőszolgáltató honossága szerinti harmadik országok kormányzati szervei általi esetleges adathozzáférés veszélyeire. A jelentés alapján az adatkezelőnek a harmadik ország jogát és az adatfeldolgozó általi intézkedések megfelelőségét már előzetesen, a szerződés megkötését, illetve a szolgáltatás igénybevételét megelőzően vizsgálnia szükséges és a garanciák biztosításáról gondoskodni kell.
Lényeges, hogy az adatkezelők a fentiek szerinti mérlegelést, a szempontok megfelelő vizsgálatát és a megtett intézkedéseket dokumentálják, hogy az elszámoltathatóság elvének is megfeleljenek.