Számos adatkezelő küzd azzal, hogy a GDPR-nak megfelelő módon továbbíthasson adatokat az Egyesült Államokba, miután 2020. júliusában, az Európai Bíróság a Schrems II. ügyben hozott ítéletével megsemmisítette az Egyesült Államokra vonatkozó megfelelőségi határozatot, a Privacy Shield-et. Az USA-ba történő adattovábbítás kényes kérdés, hiszen számos, az EU-ban is széles körben használt technológiai szolgáltatás kapcsán kerülhetenk az USA-ba továbbításra személyes adatok vagy történhet hozzáférés az adatokhoz az USA-ból. Ennek megfelelően az Egyesült Államok nem csupán egy a GDPR szerinti harmadik országok sorában, ahová az adattovábbításra csak a GDPR-ban meghatározott feltételeknek megfelelően kerülhet sor, hanem kiemelt jelentőséggel bír az adattovábbítás szempontjából, figyelemmel a gazdasági kapcsolatok kiterjedtségére és az adattovábbítással járó technológiai megoldások széleskörű alkalmazására (pl. felhőszolgáltatások).
A fentiekre tekintettel óriási várakozás övezte, hogy a 2022. márciusi EU-USA adattovábbítási keretmegállapodás alapján mikor születhet meg az új megfelelőségi határozat, amely az adattovábbítók (adatátadó) életét jelentősen megkönnyítheti az USA-ba irányuló adattovábbítások kapcsán.
Három évvel a Schrems II. ítélet meghozatala után eljött ez a pillanat, a Bizottság közzétette az új, USA-ra vonatkozó megfelelőségi határozatát!
(A vonatkozó sajtóközlemény elérhető itt. A megfelelőségi határozat szövege elérhető itt.)
1. Mi az a megfelelőségi határozat?
A megfelelőségi határozat a határozattal érintett harmadik országba történő adattovábbításnak az egyik lehetséges, de az adatkezelők szempontjából mindenképpen legegyszerűbb eszköze. A megfelelőségi határozatban ugyanis azt rögzíti a Bizottság, hogy az érintett harmadik ország (esetleg a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy egy meghatározott nemzetközi szervezet) megfelelő védelmi szintet biztosít. Az ilyen országokba történő adattovábbításhoz nem szükséges külön engedély, nem kell egyéb mechanizmusról (pl. általános adatvédelmi kikötések, kötelező erejű vállalati szabályok, stb.) meglétéről gondoskodni. A megfelelőségi határozat tehát egy lényeges terhet levesz az adattovábbítást tervező adatkezelők, adatfeldolgozók válláról. (Természetesen ez nem jelenti azt, hogy az adattovábbítást végzőknek az adatkezelés, adattovábbítás egyéb követelményeiről ne kellene gondoskodnia, de az adattovábbítás kapcsán egy lényeges előfeltétel teljesül.)
Mely országok esetében fogadott el eddig az Európai Bizottság megfelelőségi határozatot?
Jelenleg az alábbi harmadik országok tekintetében van hatályban elfogadott megfelelőségi határozat:
- Andorra
- Argentína
- Dél-Korea
- Egyesült Államok
- Egyesült Királyság (GDPR és a bűnügyi adatkezelési irányelv alapján is)
- Feröer Szigetek
- Guernsey
- Izrael
- Japán
- Jersey
- Kanada (nem minden adatkezelőre vonatkozik, lásd részletesebben itt)
- Man-sziget
- Svájc
- Uruguay
- Új Zéland
(További információk a megfelelőségi határozatokkal kapcsolatban és a vonatkozó megfelelőségi határozatok elérhetők itt.)
2. Mit jelent az USA-ra vonatkozó megfelelőségi határozat elfogadása az adatexportőrök szempontjából?
Az adattovábbítást végzők (adatátadó) számára nagy könnyebbséget jelent, hiszen úgy tekinthetik, hogy az USA-ban bizotsított a megfelelő védelmi szint, így "csak" az adatkezelés és adattovábbítás egyéb feltételeiről kell gondoskodniuk, lényegében úgy, mintha az EU-n belüli adatkezelésre kerülne sor. (Az elmúlt évek hatósági döntéseiből, pl. Google Analytics ügyek, láthattuk, hogy mennyi nehézséget és komoly bírságokat hozhat a nem megfelelő módon végzett adattovábbítás.)
Az Egyesült Államokba adattovábbítást végzők vagy ilyet tervezők a megfelelőségi határozatra tekintettel egyéb adattovábbítási mechanizmus alkalmazása nélkül is továbbíthatnak adatokat. Fontos, hogy az adattovábbítás ilyen módon kizárólag azon szervezetek irányába tehető meg, amelyek szerepelnek az ún. "Data Privacy Framework List"-en, amely nyilvánosan elérhető. (Korábban, a Safe Harbour, majd a Privacy Shield alapján is ehhez hasonlóan működő mechanizmust alkalmaztak.) Erre a listára olyan társaságok kerülhetnek fel, amelyek vállalják a - megfelelő szintű védelem biztosításához szükséges - megfelelő intézkedések megtételét és erről nyilatkoznak. Miután egy társaság felkerült a listára, onnantól kezdve az irányába történő adattovábbítás a megfelelőségi határozat alapján történhet. Éppen ezért az adattovábbítások kapcsán a lista előzetes ellenőrzése szükséges. (Amennyiben olyan szervezet felé irányulóan történne adattovábbítás, amely nem szerepel a listán, úgy más, a GDPR-ban biztosított adattovábbítási mechanizmust, pl. általános adatvédelmi kikötéseket kell alkalmazni.)
Természetesen, ha egy, a "Data Privacy Framework List"-en szereplő társaság már nem felel meg a követelményeknek, akkor le is kerülhet a listáról és tekintetében a továbbiakban a megfelelőségi határozatra alapítottan már nem történhet adattovábbítás.
3. Meddig támaszkodhatnak az adattovábbítók (adatátadók) a megfelelőségi határozatra? Jön majd a Schrems III?
Természetesen ezt nem tudhatjuk. A megfelelőségi határozatot (már tervezetként is) számos kritika érte, így számítani lehet rá, hogy előbb-utóbb ez is megmérettetik az Európai Bíróság előtt (lásd a NOYB nevű szervezet első reakcióját a döntés kapcsán, beleértve Max Schrems nyilatkozatát, miszerint a döntést az Európai Bíróság elé fogják vinni). Addig azonban, amíg nem születik olyan bírósági döntés, amely a megfelelőségi határozat érvényességét érintené, az adattovábbítások kapcsán támaszkodni lehet erre a mechanizmusra.
EU-USA adattovábbítási kronológia
- 2000. július 26.: USA-ra vonatkozó első megfelelőségi határozat (Safe Harbour) elfogadása (2000/520 EK határozat)
- 2015. október 6.: Az USA-ra vonatkozó első megfelelőségi határozatot (Safe Harbour) megsemmisítő ítélet (C-362/14, Schrems I.)
- 2016. április 27.: A GDPR elfogadása
- 2016. május 24.: A GDPR hatályba lépése (az EU Hivatalos Lapjában történő közzétételt követő 20. napon)
- 2016. július 12.: Az USA-ra vonatkozó második megfelelőségi határozat (Privacy Shield) elfogadása (2016/1250. sz. bizottsági végrehajtási határozat)
- 2018. május 25.: A GDPR alkalmazandóvá válása
- 2020. július 16.: USA-ra vonatkozó második megfelelőségi határozatot (Privacy Shield) megsemmisítő ítélet (C-311/18, Schrems II.)
- 2022. március 25.: Bejelentik az EU-USA adattovábbítási keretmegállapodást (Trans-Atlantic Data Privacy Framework)
- 2022. október 7.: Az USA elnöke aláírja a rendeletet (Executive Order) a keretmegállapodás alapján (EO 14086)
- 2022. december 13.: Az Európai Bizottság közzéteszi USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetét
- 2023. február 28.: Az Európai Adatvédelmi Testület elfogadja és közzéteszi az Európai Bizottság USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetére vonatkozó véleményét (erről itt írtam)
- 2023. május 11.: Az Európai Parlament kritikus véleményt fogalmaz meg a megfelelőségi határozattal kapcsolatban
- 2023. július 4.: Az USA kereskedelmi minisztere nyilatkozatban rögzíti, hogy az USA mindenben eleget tett az EU-USA adattovábbítási keretmegállapodásban foglaltaknak (Az elnöki rendeletnek megfelelő biztosítékokat tartalmazó, az egyes hírszerző ügynökségekre vonatkozó új eljárási szabályait is közzétette az "Office of the Director of National Intelligence".)
- 2023. július 6.: A GDPR 93. cikke szerinti bizottság ("Committee on the protection of individuals with regard to the processing of personal data and on the free movement of such data") pozitív véleményt bocsátott ki a Bizottság megfelelőségi határozatának tervezetével kapcsolatban
- 2023. július 10.: Az Európai Bizottság elfogadta és közzétette az USA-ra vonatkozó (harmadik) megfelelőségi határozatát
