A Schrems II. ügyben hozott döntést követően a Max Schrems által alapított civil szervezet, a NOYB 101 panaszt nyújtott be 30 uniós, illevte EGT tagállamban a Google Analytics és Facebook Business Tools megoldások különböző honlapok által történő alkalmazása és az ezzel öszsefüggésben megvalósuló Egyesült Államokba történő adattovábbítás miatt.
A 30 országot érintő panaszhullám összehangolt kezelése érdekében az Európai Adatvédelmi Testület 2020-ban munkacsoportot hozott létre, hogy a tagállami adatvédelmi hatóságok koordinálni tudják a panaszok kapcsán meginduló eljárásaikat és megfelelő keretek között információt cseréljenek egymással.
Közel három évvel később, a héten a Testület közzétette a munkacsoport által végzett munka alapján leszűrt következtetéseket.
A munkacsoport kiemelte, hogy még az adattovábbítás jogszerűéségének vizsgálata előtt, az adatkezelőknek meg kell győződniük arról, hogy a weboldalon keresztül megvalósuló adatkezelés az egyéb követelményeknek megfelel-e (pl. megfelelő jogalappal történik). Ha az egyéb adatvédelmi követelmények (sem) teljesülnek (pl. nincs megfelelő jogalap) a weblapon alkalmazott eszköz (pl. Google Analytics) kapcsán, akkor az adatkezelés jogszerűtlen lesz, még akkor is, ha az adattovábbítás kapcsán (GDPR V. fejezet) nem merül fel adatvédelmi probléma.
Az adattovábbítási kérdéseket és az egyes szereplők pozíciójának meghatározását és kötelezettségeit érintően, a munkacsoport az alábbi főbb megállapításokat tette:
- Az adattovábbítás alapjául szolgáló általános adatvédelmi kikötések (GDPR 46. cikk (2) bekezdés c) pont) visszamenőleges hatályú megkötése nem lehetséges, hiszen az adattovábbítás alapájul szolgáló feltételeket az adattovábbítás megkezdése előtt kell biztosítani.
- Az általános adatvédelmi kikötések (SCC) alkalmazása esetén a további biztosítékoknak az Európai Bíróság által megállapított hiányosságok kezelésére kell vonatkozniuk.
- Az adatátvevő (data importer) általi titkosítás (encryption) nem tekinthető megfelelő megoldásnak, ha az adatátvevőt (azaz a honlapon alkalmazott eszköz, pl. analitikai megoldás szolgáltatója) jogi kötelezettség terheli a titkosító kulcs hatóságnak történő átadására. Az anonimizálás sem tekinthető megfelelő megoldásnak, ha arra csak azt követően kerül sor, hogy az adatok továbbításra kerültek az adatátvevőnek, hiszen ebben az esetben nem zárható ki az anonimizálás megtörténte előtti hozzáférés a személyes adatokhoz.
- Amenniyben az adatfeldolgozó végzi az adattovábbítást, az adatkezelő (honlap üzemeltetője) is felelős azért, hogy az adattovábbításra megfelelően kerüljön sor, és az adatfeldolgozó a GDPR 28. cikkének megfelelően teljesítse az ezirányú kötelezettségeit is.
- Az adatkezelőknek vizsgálniuk (és szükség esetén igazolniuk) kell, hogy az adatkezelés megfelel-e a GDPR és amenniyben az érintett végberendezésén tárolt adatról van szó, az e-Privacy irányelv követelményeinek (lásd módosított 2002/58/EK irányelv, 5. cikk (3) bekezdés). Ha az adatkezelő a követelményeknek való megfelelés vizsgálatát nem tudja igazolni, úgy a GDPR 5. cikk (2) bekezdésének és 24. cikk (1) bekezdésének a megsértése megállapítható (elszámoltathatóság).
- Azonban nemcsak a honlap üzemeltetőjének (adatkezelő), hanem a honlapon alkalmazott eszköz (pl. Google Analytics) szolgáltatója is köteles a szükséges intézkedések megtételére az adatvédelmi megfelelés érdekében, mivel az eszköz szolgáltatója részben adatkezelőnek minősülhet, részben pedig adatfeldolgozóként, a GDPR 28. cikke alapján köteles a megfelelés érdekében intézkedéseket tenni.
- A honlap üzemeltetője az általa a holnapon alkalmazott eszközök (pl. közösségi média plug-in, analitikai megoldások kapcsán) felelősséggel tartozik, még akkor is, ha a felelősség csak egyes adatkezelési műveletekre korlátozódik (vö. Fashion ID-ügyben hozott ítélettel).
- A honlap üzemeltetőjének a döntése, hogy egy bizonyos eszközt alkalmaz a weblapján (pl. analitikai célból) adatkezelői döntésnek minősül, hiszen az adatkezelés céljainak és eszközeinek meghatározására irányul. Ennek megfelelően a honlap üzemeltetői - főszabály szerint - adatkezelőnek tekinthetők és a felelősségük is e szerint vizsgálandó, ugyanakkor mindig esetről-esetre, hiszen a konkrét eset körülményeitől (pl. az alkalmazott eszköz funkcióitól és beállítási lehetőségeitől) is függ a felelősség mértéke.
- A szerepek kapcsán mindig alapos, a tényeken alapuló elemzésre van szükség (lásd a Testület vonatkozó, 2020/7. sz. iránymutatását). Az értékelésben az eljáró adatvédelmi hatóságot nem köti a felek általi megállapodás, azaz, hogy a GDPR 28. cikke szerint (adatfeldolgozóval kötött megállapodás) vagy a GDPR 26. cikker szerint (közös adatkezelők közötti megállapodás) kötnek-e szerződést egymással.
A NOYB által előterjesztett 101 panasz kapcsán már néhány hatósági döntés megszületett, de még vannak folyamatban lévő eljárások, amelyek a fenti szempontokra is figyelemmel kerülhetnek majd lezárásra. A fenti szempontok azonban a 101 panaszon túl is segítségül szolgálhatnak a megfeleléshez mind a honlapot üzemeltetőknek, mind az ehhez különböző eszközöket (pl. analitikai megoldások) szolgáltatóknak.