fbpx

Itt az EU-USA közötti adatáramlás megfelelőségére vonatkozó határozattervezet

Az EU és az USA közötti adatáramlás jogi megfelelőségét illetően több, mint mint két éve tartó áldatlan állapot ér véget. Az új adatvédelmi keretrendszer biztosítja a biztonságos transzatlanti adatáramlást. Így hamarosan újra jogszerűen használhatjuk az amerikai szolgáltatók digitális marketinghez szükséges alapvető szolgáltatásait.

AZ ADATVÉDELMI PAJZS VÉGÉT JELENTŐ SCHREMS II ÍTÉLET

Az EU-ból az USA-ba történő adattovábbítás megfelelő adatvédelmének biztosítását elsőként a Safe Harbour megállapodás volt hivatott ezt biztosítani 2013-ban. A biztonságos kikötő azonban mindössze két évig volt hatályban. 2015 októberében ugyanis Max Schrems és a mögötte álló NOYB.EU (None Of Your Business) egyesület kifogása alapján az Európai Unió Bírósága (EUB) érvénytelené nyilvánította a megállapodást. A transzatlanti adattovábbításra szolgáló új keretszendszer már fél év múlva felállt Privacy Shield néven.  Max Schrems azonban ezt sem nem találta megfelelő szintű védelemnek. Sajnos az általa benyújtott panasz alapján az EUB sem, aki a 2020. július 16-án hozott ítéletében érvénytelennek mondta ki a Privacy Shield-ről szóló EU bizottsági határozatot

A SCHREMS II ÍTÉLET ÁLTAL OKOZOTT GYAKORLATI PROBLÉMÁK

A Privacy Shield érvénytelenítése nem pusztén elméleti probléma volt. Kezdettől fogva az online marketing olyan alapvető szolgáltatásainak használatával kapcsolatban okozott fejtörést, mint a webanalalitikához használatos Google Analytics, a Mail Chimp hírlevél szolgáltató vagy az online fizetési szolgáltatást működtető USA-beli felhőt használó Stripe.

A Google Analytics általi adatkezelés/adatfeldolgozás rögtön a Privacy Shield érvénytelenítése után Max Schrems célkeresztjébe került. Schrems panasza már 2020 augusztusában megérkezett több európai, köztük a magyar adatvédelmi hatósághoz. Az NOYB 101 európai weboldal (Magyarországon az index.hu, a 24.hu és az időkép.hu) esetében kifogásolta, hogy azok a Gooogle Analytics használatával annak ellenére továbbítanak személyes adatokat az USA-ba, hogy az ennek jogi biztonságát garantáló Privacy Shield rendszert az Európai Unió Bírósága 2020 júliusában érvénytelennek nyilvánította.

Az NOYB panaszai alapján több adatvédelmi hatóság is megállapította, hogy a Google Analytics használata nem felel meg a GDPR-nak. A Google-nak pedig gigabírságokat eredményezett, hogy az általa alkalmazott intézkedések nem zárták ki a személyes adatokhoz való hozzáférést az USA titkosszolgálatai számára.

A MAGYAR ADATVÉDELMI HATÓSÁG GOOGLE ANALYTICS DÖNTÉSE

Az idokep.hu annak ellenére használta tovább a Google Analytics-et, hogy korábban a Google Analytics HTML-kódjainak és cookie-jainak eltávolításáról tájékoztatta a hatóságot.

Az általa használt három GA cookie-t a Google hirdetési szolgáltatási csomagjihoz kapcsolta, amelyek adatokat továbbítottak az Egyesült Államokba.

A NAIH nem volt illetékes a Google Ireland vagy a Google LLC GDPR-megfelelőségének értékelésére, mivel egyikük sem Magyarországon található. Az Időképpel szemben indított eljárásban azonban megállapította, hogy a cookie-khoz kapcsolódó azonosítók és IP címek személyes adatok.

Az adatvédelmi hatóság úgy ítélte meg, hogy az Időkép úgy használta a Google Analytics szolgáltatást, hogy a GDPR 46. cikkében előírtak szerint nem vezetett be megfelelő biztosítékokat az Egyesült Államokban történő adattovábbításra.

A magyar adatvédelmi hatóság ezért felszólította az Időképet, hogy ne továbbítsanak adatokat az Egyesült Államokba a Google hirdetési szolgáltatásain keresztül.

AZ ÚJ ADATTOVÁBBÍTÁSI KERETMEGÁLLAPODÁS KEZDETEI

A digitális szektor egésze számára fontos hír volt, amikor Ursula von der Leyen elnök és Joe Biden még 2022 márciusában bejelentette, hogy elvi megállapodásra jutott az Egyesült Államokkal egy újjáélesztett transzatlanti adatáramlási megállapodásról.

Ezt követően Biden elnök 2022. október 7-én aláírta az Egyesült Államok végrehajtó rendeletét, valamint a Merrick Garland amerikai főügyész által kiadott rendeleteket. Ez a két eszköz ültette át az Egyesült Államok jogába a 2022 márciusában bejelentett elvi megállapodást.

AZ EURÓPAI BIZOTTSÁG HATÁROZATTERVEZETÉNEK JELENTŐSÉGE

A GDPR 45. cikkének (3) bekezdése felhatalmazza a Bizottságot, hogy végrehajtási jogi aktus útján határozzon arról, hogy egy harmadik ország „megfelelő védelmi szintet” biztosít-e. A “megfelelő védelmi szint” olyan szintű védelmet jelent a személyes adatok számára, amelyek lényegében megegyezik az EU-n belüli védelmi szinttel.

A fenti előzmények után 2022. december 13-án az Európai Bizottság elindította az EU-USA megfelelőségi határozat elfogadására irányuló folyamatot.

A megfelelőségi határozattervezet az USA jogi keretrendszerére vonatkozó bizottsági értékelés alapján megállapítja, hogy az USA megfelelő szintű védelmet biztosít az EU-ból amerikai vállalatoknak továbbított személyes adatok számára. A közzétett határozattervezetet véleményezésre továbbították az Európai Adatvédelmi Testülethez (EDPB).

A megfelelőségi határozat elfogadását követően a személyes adatok az EU-ból (és Norvégiából, Liechtensteinből és Izlandról) szabadon, további akadályok nélkül áramolhatnak az USA-ba.

AZ ÚJ KERETRENDSZER LEGFONTOSABB RENDELKEZÉSEI

Az amerikai vállalatok részletes adatvédelmi kötelezettségvállalással csatlakozhatnak az EU-USA Adatvédelmi Keretrendszerhez. Így például kötelezettséget vállalhatnak azon személyes adatok törlésére, amelyek már nem szükségesek az eredeti adatkezelési cél eléréséhez. Vállalhatják továbbá az adatvédelem folyamatosságának biztosítását a személyes adatok harmadik felekkel történő megosztása esetén.

Az új keretrendszer szabályainak megsértésével történt adatkezelés esetére jogorvoslati lehetőséget biztosít az uniós polgárok számára. Ilyen jogorvoslatként áll nyitva számukra a független vitarendezési mechanizmusokhoz és a választottbírósági úthoz való ingyenes hozzáférés.

Az Egyesült Államok jogi keretrendszere számos korlátozást és biztosítékot ír elő az amerikai hatóságok személyes adatokhoz történő hozzáférése tekintetében – különösen ha az büntetésvégrehajtási vagy nemzetbiztonsági céllal történik. Az új jogi keretrendszer magában foglalja az Egyesült Államok végrehajtó határozatával bevezetett új szabályokat, amelyek az EU Bírósága által a Schrems II ítéletben felvetett kérdésekre is választ adtak:

  • Az amerikai titkosszolgálatok európai adatokhoz való hozzáférése a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik.
  • Az uniós polgárok számára egy független és pártatlan jogorvoslati mechanizmus nyílik meg adataik amerikai hírszerző ügynökségek általi gyűjtésével és felhasználásával kapcsolatban.
  • Az új jogorvoslati rendszer magában foglal egy újonnan létrehozott adatvédelmi felülvizsgálati bíróságot is. A bíróság függetlenül fogja kivizsgálni és megoldani az európai polgárok panaszait, többek között kötelező érvényű korrekciós intézkedések elfogadásával.
  • Az európai vállalatok ezekre a biztosítékokra abban az esetben is támaszkodhatnak majd a transzatlanti adatátvitel során, ha más adattovábbítási mechanizmusokat, például általános szerződési feltételeket (SCC-ket) és kötelező érvényű vállalati szabályokat (BCR-eket) használnak.

HOGY LESZ EBBŐL HATÁROZAT?

A megfelelőségi határozattervezetnek még egy elfogadási eljáráson kell keresztül mennie. Ennek első lépéseként a Bizottság határozattervezetét az Európai Adatvédelmi Testülethez (EDPB) továbbította. Ezt követően a Bizottság jóváhagyást kér egy, az EU-tagállamok képviselőiből álló bizottságtól. Ezután még az Európai Parlamentnek is joga van ellenőrizni a megfelelőségi határozatokat. Az elfogadási eljárás befejeztével a Bizottság hozza majd meg a végső döntést a megfelelőségi határozat elfogadásáról.