Az EU-USA közötti adatvédelmi keretrendszer elfogadási eljárása a végéhez közeledik, de a jóváhagyás úgy néz ki, még várat magára. Bár az Európai Adatvédelmi Testület (EDPB) véleményében számos lényeges fejlesztést üdvözölt, több kérdésben aggodalmát fejezte ki és további felvilágosítást kért.
MIÉRT VAN SZÜKSÉG AZ EU-USA KÖZÖTTI ADATVÉDELMI KERETRENDSZERRE?
A GDPR garanciális alapelve, hogy az EU-n kívüli adattovábbításra csak ra csak a GDPR-ben foglalt védelmi biztosítása esetén kerülhet sor. A kereskedelmi célú globális adatáramlás ugyanis a személyes adatok védelme és a magánélet (privacy) tiszteletben tartása esetén stabil és biztonságos.
A GDPR-nak megfelelő védelmi szint lehetséges garanciáit a GDPR V. fejezet határozza meg. Eszerint a harmadik országba vagy nemzetközi szervezet számára történő adattovábbításra
- megfelelőségi határozat alapján vagy
- megfelelő garanciák alapján kerülhet sor.
Ilyen garanciák lehetnek az általános adatvédelmi kikötések és egyéb szerződéses rendelkezések, a kötelező vállalati szabályok (BCR), a magatartási kódex és tanúsítás vagy közhatalmi és közfeladatot ellátó szervek által alkalmazható eszközök.
Csak meghatározott kivételes esetekben kerülhet sor adattovábbításra úgy is, hogy a védelmi szint nem biztosított („eltérések”).
Az EU-ból az USA-ba történő adattovábbítás megfelelő garanicáinak biztosítását elsőként a Safe Harbour megállapodás (2013), majd ennek 2015-ös érvénytelenítését követően a Privacy Shield keretrendszer biztosította. Az Európai Bíróságnak a Privacy Shield érvénytelenséget megállapító ítéletét követően több, mint két és fél éve nincs hatályban megfelelőségi határozat. A transzatlanti adattovábbítás GDPR-nek történő megfelelésének biztosítása azóta okoz problémát.
AZ EU-USA ADATVÉDELMI KERETRENDSZER HIÁNYA OKOZTA GYAKORLATI PROBLÉMÁK
A Privacy Shield érvénytelenítése az online marketing olyan alapvető szolgáltatásainak használatával kapcsolatban okozott fejtörést, mint a webanalalitikához használatos Google Analytics, a Mail Chimp hírlevél szolgáltató vagy az online fizetési szolgáltatást működtető USA-beli felhőt használó Stripe.
AZ ÚJ ADATTOVÁBBÍTÁSI KERETMEGÁLLAPODÁS KEZDETEI
A digitális szektor egésze számára ezért volt fontos hír, amikor az Európai Unió Bizottságának elnöke és az Amerikai Egyesült Államok elnöke még 2022 márciusában bejelentették, hogy elvi megállapodásra jutottak egy újjáélesztett transzatlanti adatáramlási megállapodásról.
Ezt követően Biden elnök 2022. október 7-én aláírta az Egyesült Államok végrehajtó rendeletét, valamint a Merrick Garland amerikai főügyész által kiadott rendeleteket. Ez a két eszköz ültette át az Egyesült Államok jogába a 2022 márciusában bejelentett elvi megállapodást.
Az EU-USA Adatvédelmi Keretrendszerhez (Data Privacy Framework – DPF) kulcseleme az EU-USA adatvédelmi keretelvek, amelyeket az Egyesült Államok Kereskedelmi Minisztériuma adott ki. A DPF csak azokra az egyesült államokbeli szervezetekre vonatkozik, amelyek öntanúsítvánnyal rendelkeznek.
AZ ÚJ KERETRENDSZER LEGFONTOSABB RENDELKEZÉSEI
Az amerikai vállalatok részletes adatvédelmi kötelezettségvállalással csatlakozhatnak a DPF-hez. Így például kötelezettséget vállalhatnak azon személyes adatok törlésére, amelyek már nem szükségesek az eredeti adatkezelési cél eléréséhez. Vállalhatják továbbá az adatvédelem folyamatosságának biztosítását a személyes adatok harmadik felekkel történő megosztása esetén.
Az új keretrendszer szabályainak megsértésével történt adatkezelés esetére jogorvoslati lehetőséget biztosít az uniós polgárok számára. Ilyen jogorvoslatként áll nyitva számukra a független vitarendezési mechanizmusokhoz és a választottbírósági úthoz való ingyenes hozzáférés.
Az új keretrendszer számos korlátozást és biztosítékot ír elő az amerikai hatóságok személyes adatokhoz történő hozzáférése tekintetében – különösen ha az büntetésvégrehajtási vagy nemzetbiztonsági céllal történik. A DFP magában foglalja az USA végrehajtó határozatával bevezetett új szabályokat:
- Az amerikai titkosszolgálatok európai adatokhoz való hozzáférése a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik.
- Az uniós polgárok számára egy független és pártatlan jogorvoslati mechanizmus nyílik meg adataik amerikai hírszerző ügynökségek általi gyűjtésével és felhasználásával kapcsolatban.
- Az új jogorvoslati rendszer magában foglal egy újonnan létrehozott adatvédelmi felülvizsgálati bíróságot is. A bíróság függetlenül fogja kivizsgálni és megoldani az európai polgárok panaszait, többek között kötelező érvényű korrekciós intézkedések elfogadásával.
- Az európai vállalatok ezekre a biztosítékokra abban az esetben is támaszkodhatnak majd a transzatlanti adatátvitel során, ha más adattovábbítási mechanizmusokat, például általános szerződési feltételeket (SCC-ket) és kötelező érvényű vállalati szabályokat (BCR-eket) használnak.
A DFP új szabályai az EU Bírósága által a Schrems II ítéletben felvetett kérdésekre igyekeztek választ adni.
AZ ELFOGADÁSI ELJÁRÁS
A megfelelőségi határozattervezetnek egy elfogadási eljáráson kell keresztül mennie.
A Bizottság határozattervezetét elsőként az Európai Adatvédelmi Testülethez (EDPB) továbbítja. Ezt követően a Bizottság jóváhagyást kér egy, az EU-tagállamok képviselőiből álló bizottságtól. A Bizottság végső döntése előtt az Európai Parlament is ellenőrzi a megfelelőségi határozatokat.
AZ EDPB ELISMERÉSEI ÉS KRITIKÁI
Az EDPB 2023. február 28-án elfogadta a határozattervezetről alkotott véleményét, amely mind a kereskedelmi szempontokat, mind az Egyesült Államok hatóságainak az adatokhoz való hozzáférését és felhasználását kiemelten kezeli.
KERESKEDELMI SZEMPONTOK
Ami a kereskedelmi szempontokat illeti, az EDPB üdvözli a DPF számos újdonságát. Ugyanakkor azt is megjegyzi, hogy számos alapelv lényegében ugyanaz marad, mint az adatvédelmi pajzsban, emiatt továbbra is fennáll néhány aggály.
Az EDPB főleg az alábbiakkal kapcsolatban fejezte ki aggodalmát:
- a hozzáférési jog alóli mentességek,
- a kulcsfontosságú fogalommeghatározások hiánya,
- a DPF adatfeldolgozókra való alkalmazásának egyértelműsége,
- a nyilvánosan elérhető információkhoz történő hozzáférés alóli széles körű mentesség,
- az automatizált döntéshozatalra és profilalkotásra vonatkozó konkrét szabályok hiánya.
Az EDPB megismétli továbbá, hogy a védelem szintjét nem szabad aláásni a további adattovábbításokkal. Ezért felkéri a Bizottságot az eredeti címzett által a harmadik országbeli importőrrel szemben támasztott hatékony biztosítékok feltételeinek tisztázására.
AZ USA HATÓSÁGAINAK HOZZÁFÉRÉSE A TOVÁBBÍTOTT SZEMÉLYES ADATOKHOZ
Az Egyesült Államokba továbbított adatokhoz való kormányzati hozzáférést illetően az EDPB elismeri az 14086. számú végrehajtói rendelet (EO) által hozott jelentős fejlesztéseket. Az EO bevezeti a szükségesség és az arányosság fogalmát az Egyesült Államok hírszerzési információinak (jelintelligencia) tekintetében.
Ezenkívül az új jogorvoslati mechanizmus jogokat teremt az uniós magánszemélyek számára, és biztosítja az adatvédelmi és állampolgári jogi felügyeleti testület (PCLOB) általi felülvizsgál lehetőségét is. Az EO a korábbi ombudsmani mechanizmushoz képest több biztosítékot ír elő az adatvédelmi felülvizsgálati bíróság (DPRC) függetlenségének biztosítása érdekében. Ezenkívül atékonyabb jogosítványokat vezet be a jogsértések orvoslására, beleértve az érintettek számára további biztosítékokat is.
Az EDPB kiemeli, hogy szoros nyomon követésre van szükség az újonnan bevezetett szükségesség és arányosság elvének gyakorlati alkalmazását illetően. További egyértelműségre van szükség az ideiglenes tömeges gyűjtés, valamint a tömegesen gyűjtött adatok további megőrzése és terjesztése tekintetében is.
Forrás:
Grafika: Shutterstock