Az Európai Bizottság 2023. júliusi megfelelőségi határozatában fogadta el az EU-USA Adatvédelmi Keretrendszert (DPF). Ezzel az európai szervezetek számára ezzel újra lehetővé vált, hogy további adatvédelmi garanciák alkalmazása nélkül továbbítsanak személyes adatokat az USA-ba. A DPF azonban nem alkalmazható általánosan a GDPR-nak megfelelő USA-ba történő adattovábbítás biztosítására. Az abban való részvétel ugyanis az amerikai vállalatok önkéntes kötelezettségvállalását alapul. Az alábbiakban áttekintjük a DPF által nyújtott garanciát, illetve az EU-USA Adatvédelmi Keretrendszer gyakorlati alkalmazhatóságát.
Miért van szükség az EU-USA Adatvédelmi Keretrendszerre?
A GDPR garanciális alapelve, hogy az EU-n kívüli adattovábbításra csak ra csak a GDPR-ben foglalt védelmi biztosítása esetén kerülhet sor. A kereskedelmi célú globális adatáramlás ugyanis a személyes adatok védelme és a magánélet (privacy) tiszteletben tartása esetén stabil és biztonságos.
A GDPR-nak megfelelő védelmi szint lehetséges garanciáit a GDPR V. fejezet határozza meg. Eszerint a harmadik országba vagy nemzetközi szervezet számára történő adattovábbításra
- megfelelőségi határozat alapján vagy
- megfelelő garanciák alapján kerülhet sor.
Ilyen garanciák lehetnek az általános adatvédelmi kikötések és egyéb szerződéses rendelkezések, a kötelező vállalati szabályok (BCR), a magatartási kódex és tanúsítás vagy közhatalmi és közfeladatot ellátó szervek által alkalmazható eszközök.
Csak meghatározott kivételes esetekben kerülhet sor adattovábbításra úgy is, hogy a védelmi szint nem biztosított („eltérések”).
Az EU-ból az USA-ba történő adattovábbítás megfelelő garanicáinak biztosítását elsőként a Safe Harbour megállapodás (2013), majd ennek 2015-ös érvénytelenítését követően a Privacy Shield keretrendszer biztosította. Max Schrems azonban ezt sem nem találta megfelelő szintű védelemnek. Sajnos az általa benyújtott panasz alapján az EUB sem, aki a 2020. július 16-án hozott ítéletében érvénytelennek mondta ki a Privacy Shield-ről szóló EU bizottsági határozatot. Az Európai Bíróságnak a Privacy Shield érvénytelenséget megállapító ítéletét követően több, mint két és fél évig okozott gondot a megfelelőségi határozat hiánya a transzatlanti adattovábbításban.
Az EU-USA Adatvédelmi Keretrendszer okozta problémák
A Privacy Shield érvénytelenítése az online marketing olyan alapvető szolgáltatásainak használatával kapcsolatban okozott fejtörést, mint a webanalalitikához használatos Google Analytics, a Mail Chimp hírlevél szolgáltató vagy az online fizetési szolgáltatást működtető USA-beli felhőt használó Stripe.
A Google Analytics általi adatkezelés/adatfeldolgozás rögtön a Privacy Shield érvénytelenítése után Max Schrems célkeresztjébe került. Schrems panasza már 2020 augusztusában megérkezett több európai, köztük a magyar adatvédelmi hatósághoz. Az NOYB 101 európai weboldal (Magyarországon az index.hu, a 24.hu és az időkép.hu) esetében kifogásolta, hogy azok a Gooogle Analytics használatával annak ellenére továbbítanak személyes adatokat az USA-ba, hogy az ennek jogi biztonságát garantáló Privacy Shield rendszert az Európai Unió Bírósága 2020 júliusában érvénytelennek nyilvánította.
Az új adattovábbítási megállapodás előzménye
A digitális szektor egésze számára ezért volt fontos hír, amikor az Európai Unió Bizottságának elnöke és az Amerikai Egyesült Államok elnöke még 2022 márciusában bejelentették, hogy elvi megállapodásra jutottak egy újjáélesztett transzatlanti adatáramlási megállapodásról.
Ezt követően Biden elnök 2022. október 7-én aláírta az Egyesült Államok végrehajtó rendeletét, valamint a Merrick Garland amerikai főügyész által kiadott rendeleteket. Ez a két eszköz ültette át az Egyesült Államok jogába a 2022 márciusában bejelentett elvi megállapodást.
A GDPR 45. cikkének (3) bekezdése felhatalmazza a Bizottságot, hogy végrehajtási jogi aktus útján határozzon arról, hogy egy harmadik ország „megfelelő védelmi szintet” biztosít-e. A „megfelelő védelmi szint” olyan szintű védelmet jelent a személyes adatok számára, amelyek lényegében megegyezik az EU-n belüli védelmi szinttel.
A fenti előzmények után 2022. december 13-án az Európai Bizottság elindította az EU-USA megfelelőségi határozat elfogadására irányuló folyamatot.
A megfelelőségi határozattervezet az USA jogi keretrendszerére vonatkozó bizottsági értékelés alapján megállapította, hogy az USA megfelelő szintű védelmet biztosít az EU-ból amerikai vállalatoknak továbbított személyes adatok számára. A közzétett határozattervezetet véleményezésre továbbították az Európai Adatvédelmi Testülethez (EDPB).
A megfelelőségi határozat elfogadását követően a személyes adatok az EU-ból (és Norvégiából, Liechtensteinből és Izlandról) szabadon, további akadályok nélkül áramolhatnak az USA-ba.
Az EU-USA Adatvédelmi Keretrendszer kulcseleme az EU-USA adatvédelmi keretelvek, amelyeket az Egyesült Államok Kereskedelmi Minisztériuma adott ki. A DPF csak azokra az egyesült államokbeli szervezetekre vonatkozik, amelyek öntanúsítvánnyal rendelkeznek.
Az új keretrendszer legfontosabb rendelkezései
Az amerikai vállalatok részletes adatvédelmi kötelezettségvállalással csatlakozhatnak az EU-USA Adatvédelmi Keretrendszerhez. Így például kötelezettséget vállalhatnak azon személyes adatok törlésére, amelyek már nem szükségesek az eredeti adatkezelési cél eléréséhez. Vállalhatják továbbá az adatvédelem folyamatosságának biztosítását a személyes adatok harmadik felekkel történő megosztása esetén.
Az új keretrendszer szabályainak megsértésével történt adatkezelés esetére jogorvoslati lehetőséget biztosít az uniós polgárok számára. Ilyen jogorvoslatként áll nyitva számukra a független vitarendezési mechanizmusokhoz és a választottbírósági úthoz való ingyenes hozzáférés.
Az EU-USA Adatvédelmi Keretrendszer számos korlátozást és biztosítékot ír elő az amerikai hatóságok személyes adatokhoz történő hozzáférése tekintetében – különösen ha az büntetésvégrehajtási vagy nemzetbiztonsági céllal történik. A DFP magában foglalja az USA végrehajtó határozatával bevezetett új szabályokat:
- Az amerikai titkosszolgálatok európai adatokhoz való hozzáférése a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik.
- Az uniós polgárok számára egy független és pártatlan jogorvoslati mechanizmus nyílik meg adataik amerikai hírszerző ügynökségek általi gyűjtésével és felhasználásával kapcsolatban.
- Az új jogorvoslati rendszer magában foglal egy újonnan létrehozott adatvédelmi felülvizsgálati bíróságot is. A bíróság függetlenül fogja kivizsgálni és megoldani az európai polgárok panaszait, többek között kötelező érvényű korrekciós intézkedések elfogadásával.
- Az európai vállalatok ezekre a biztosítékokra abban az esetben is támaszkodhatnak, ha más adattovábbítási mechanizmusokat, például általános szerződési feltételeket (SCC-ket) és kötelező érvényű vállalati szabályokat (BCR-eket) használnak.
A EU-USA Adatvédelmi Keretrendszer új szabályai az EU Bírósága által a Schrems II ítéletben felvetett kérdésekre igyekeztek választ adni.
Az elfogadási eljárás
A megfelelőségi határozattervezetnek egy elfogadási eljáráson kell keresztül mennie. A Bizottság határozattervezetét elsőként az Európai Adatvédelmi Testülethez (EDPB) továbbítja. Ezt követően a Bizottság jóváhagyást kér egy, az EU-tagállamok képviselőiből álló bizottságtól. A Bizottság végső döntése előtt az Európai Parlament is ellenőrzi a megfelelőségi határozatokat.
Az EDPB elismerései és kritikái
Az EDPB 2023. február 28-án elfogadta a határozattervezetről alkotott véleményét. Ebben mind a kereskedelmi szempontokat, mind az Egyesült Államok hatóságainak az adatokhoz való hozzáférését és felhasználását kiemelten kezelte.
Kereskedelmi szempontok
Ami a kereskedelmi szempontokat illeti, az EDPB üdvözölte a DPF számos újdonságát. Ugyanakkor azt is megjegyezte, hogy számos alapelv lényegében ugyanaz marad, mint az adatvédelmi pajzsban, emiatt továbbra is fennáll néhány aggály.
Az EDPB főleg az alábbiakkal kapcsolatban fejezte ki aggodalmát:
- a hozzáférési jog alóli mentességek,
- a kulcsfontosságú fogalommeghatározások hiánya,
- a DPF adatfeldolgozókra való alkalmazásának egyértelműsége,
- a nyilvánosan elérhető információkhoz történő hozzáférés alóli széles körű mentesség,
- az automatizált döntéshozatalra és profilalkotásra vonatkozó konkrét szabályok hiánya.
Az EDPB megismétli továbbá, hogy a védelem szintjét nem szabad aláásni a további adattovábbításokkal. Ezért felkéri a Bizottságot az eredeti címzett által a harmadik országbeli importőrrel szemben támasztott hatékony biztosítékok feltételeinek tisztázására.
Az USA hatóságainak hozzáférése a továbbított személyes adatokhoz
Az Egyesült Államokba továbbított adatokhoz való kormányzati hozzáférést illetően az EDPB elismeri az 14086. számú végrehajtói rendelet (EO) által hozott jelentős fejlesztéseket. Az EO bevezeti a szükségesség és az arányosság fogalmát az Egyesült Államok hírszerzési információinak (jelintelligencia) tekintetében.
Ezenkívül az új jogorvoslati mechanizmus jogokat teremt az uniós magánszemélyek számára, és biztosítja az adatvédelmi és állampolgári jogi felügyeleti testület (PCLOB) általi felülvizsgál lehetőségét is. Az EO a korábbi ombudsmani mechanizmushoz képest több biztosítékot ír elő az adatvédelmi felülvizsgálati bíróság (DPRC) függetlenségének biztosítása érdekében. Ezenkívül hatékonyabb jogosítványokat vezet be a jogsértések orvoslására, beleértve az érintettek számára további biztosítékokat is.
Az EDPB kiemeli, hogy szoros nyomon követésre van szükség az újonnan bevezetett szükségesség és arányosság elvének gyakorlati alkalmazását illetően. További egyértelműségre van szükség az ideiglenes tömeges gyűjtés, valamint a tömegesen gyűjtött adatok további megőrzése és terjesztése tekintetében is.
Az EU-USA Adatvédelmi Keretrendszer elfogadása
Az Európai Bizottság 2023. július 10-én fogadta el az EU-USA Adatvédelmi Keretrendszer elfogadásáról szóló megfelelőségi határozatát, amely alapján az Európai Unióból – valamint Izlandról, Liechtensteinből és Norvégiából – további, a GDPR 45. cikkében foglalt megfelelő garanciák alkalmazása nélkül továbbíthatóak személyes adatok a DPF-ben részt vevő amerikai szervezetek részére.
Megfelelőségi határozatában a Bizottság gondosan értékelte az EU és az Egyesült Államok közötti adatvédelmi keretből következő követelményeket, valamint azokat a korlátozásokat és garanciákat, amelyek akkor alkalmazandók, ha az Egyesült Államokba továbbított személyes adatokhoz az Egyesült Államok hatóságai hozzáférnének, különösen bűnüldözési és nemzetbiztonsági célokból.
Mindezek alapján a megfelelőségi határozat megállapítja, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az EU-ból az EU és az USA közötti adatvédelmi keretrendszerben részt vevő vállalatoknak továbbított személyes adatok számára.
A keretrendszer számos új jogot biztosít azon uniós magánszemélyek számára, akiknek adatait az Egyesült Államokban részt vevő vállalatoknak továbbítanák. Ilyen például az érintettek joga az adataikhoz való hozzáféréshez, illetve a helytelen vagy jogellenesen kezelt adatok helyesbítéséhez vagy törléséhez. Ezenkívül különböző jogorvoslati lehetőségeket kínál arra az esetre, ha adataikat helytelenül kezelik, többek között ingyenes független vitarendezési mechanizmusok és választottbíróság előtt.
A DPF az elfogadásával egyidőben hatályba lépett 2023. július 20-én. A hatálya időben nincs korlátozva, de a Bizottság folyamatosan figyelemmel kíséri a vonatkozó fejleményeket az Egyesült Államokban, és rendszeresen felülvizsgálja a megfelelőségi határozatot. A harmadik ország védelmi szintjét érintő fejlemények esetén a megfelelőségi határozatokat ki lehet igazítani vagy akár vissza is lehet vonni.
A DPF öntanúsítási rendszere
Az amerikai vállalatok tanúsíthatják részvételüket a DPF-ben azáltal, hogy kötelezettséget vállalnak arra, hogy megfelelnek az adatvédelmi kötelezettségeket részletesen meghatározó előírásoknak. Ez magában foglalhat például olyan adatvédelmi elveket, mint a célhoz kötöttség, az adatok minimalizálása és az adatmegőrzés, valamint az adatbiztonságra és az adatok harmadik felekkel való megosztására vonatkozó konkrét kötelezettségeket.
A keretrendszert az Egyesült Államok Kereskedelmi Minisztériuma (US Department of Commerce) kezeli, amely feldolgozza a tanúsítási kérelmeket, és ellenőrzi, hogy a részt vevő vállalatok továbbra is megfelelnek-e a tanúsítási követelményeknek. Az amerikai vállalatoknak a DPF-ben foglalt kötelezettségeiknek való megfelelését az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (US Federal Trade Commission) fogja ellenőrizni.
A DPF felülvizsgálata
Az első felülvizsgálatot a megfelelőségi határozat hatálybalépését követő egy éven belülre ütemezte annak ellenőrzése céljából, hogy az Egyesült Államok jogi keretének minden vonatkozó eleme hatékonyan működik-e a gyakorlatban. Ezt követően a Bizottság – az első felülvizsgálat eredményétől függően – az uniós tagállamokkal és az adatvédelmi hatóságokkal konzultálva dönt a jövőbeni felülvizsgálatok gyakoriságáról.
Az Európai Adatvédelmi Testület (EDPB) 2024. november 5-én fogadta el az EU-USA Adatvédelmi Keretrendszer első felülvizsgálatáról szóló jelentést. Az EDPB ebben megállapította, hogy az USA Kereskedelmi Minisztériuma minden releváns lépést megtett a tanúsítási folyamatok végrehajtása érdekében. Ez magában foglalja egy új weboldal elindítását, az eljárások frissítését, a vállalotokkal való együttműködést és a DPF kommunikációját.
Emellett bevezették az uniós magánszemélyekre vonatkozó jogorvoslati mechanizmust, és az Atlanti-óceán mindkét oldalán átfogó panaszkezelési iránymutatást tettek közzé. Az adatvédelmi keret alapján eddig beérkezett panaszok alacsony száma azonban rávilágít annak fontosságára, hogy az amerikai hatóságok nyomonkövetési tevékenységeket kezdeményezzenek azzal kapcsolatban, hogy az adatvédelmi keretben tanúsítvánnyal rendelkező vállalatok megfelelnek-e az adatvédelmi keret alapvető elveinek.
Az EDPB arra ösztönzi az Egyesült Államok hatóságait, hogy dolgozzanak ki iránymutatást, amely tisztázza azokat a követelményeket, amelyeknek az adatvédelmi keretben tanúsítvánnyal rendelkező vállalatoknak meg kell felelniük, amikor uniós exportőröktől kapott személyes adatokat továbbítanak.
Az EDPB azt is ajánlja, hogy a Bizottság kövesse nyomon az Egyesült Államok külföldi hírszerzői tevékenység megfigyeléséről szóló törvényével kapcsolatos jövőbeli fejleményeket, különös tekintettel arra, hogy az Egyesült Államok Kongresszusa ez év elején újra engedélyezte a 702. szakaszt.
Az EU–USA megfelelőségi határozat következő felülvizsgálatára legfeljebb három évet javasol az EDPB.
Hogyan ellenőrizhetjük, hogy egy amerikai vállalat részt vesz -e a DPF-ben?
A DPF-ben részt vevő vállalatokat az USA Kereskedelmi Minisztériuma az általa üzemeltetett weboldalon teszi közzé. A címzett amerikai vállalat részvételének aktuális állapotát részletes keresőben ellenőrizhetjük. Mind a Google LLC, mind a Meta Platforms LLC, illetve a Stripe Inc.részese a DPF-nek, így megállapítható, hogy a leggyakoribb adattovábbításokat a DPF lefedi.
Amennyiben nem találjuk a transzatlanti adattovábbítással érintett címzett vállalatot a keresőben, úgy az adattovábbításra a GDPR-ban foglalt más garanciát kell találnunk.
Ez leggyakrabban az Európai Bizottság 2021/914. sz. határozatában foglalt modellszerződés (általános adatvédelmi szerződéses feltételek) alkalmazása , amely további jóváhagyást nem igényel a felügyeleti hatóságok részéről. A vállalkozáscsoporton belül a kötelező erejű vállalati szabályok (Bindig Corporate Rules, BCR) is alkalmazhatók, ez a garancia azonban a felügyeleti hatóság jóváhagyását igényli. Különös esetekben a GDPR a 49. cikkben meghatározott kivételes jogalapok alapján eltérési lehetőségeket is biztosít. Ezeket azonban csak akkor használhatjuk, ha más garancia nem áll rendelkezésre.
Forrás:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752