Véget érhet az a közel két éve tartó jogbizonytalanság, amit az Adatvédelmi Pajzs megsemmisítése okozott 2020 júliusában. Az Európai Unió bejelentette, hogy elvi megállapodásra jutott az Egyesült Államokkal egy újjáélesztett transzatlanti adatáramlási megállapodásról. Mindez alapvetően érintheti a széles körben használt, de amerikai székhelyű alkalmazások sorsát.
A BIZTONSÁGOS KIKÖTŐTŐL AZ ADATVÉDELMI PAJZSIG
Az EU-ból az USA-ba történő adattovábbítás megfelelő adatvédelmének biztosítása már a 95/46/EK Adatvédelmi Irányelv idején is igényként merült fel. Elsőként a Safe Harbour megállapodás volt hivatott ezt biztosítani 2013-ban. A biztonságos kikötő azonban mindössze két évig volt hatályban. 2015 októberében ugyanis Max Schrems, és a mögötte álló NOYB.EU (None Of Your Business) egyesület kifogása eredményeképpen az Európai Unió Bírósága (EUB) októberében érvénytelené nyilvánította a megállapodást.
A transzatlanti adattovábbításra szolgáló új keretszendszer már fél év múlva felállt Privacy Shield néven. Max Schrems azonban ezt sem nem találta megfelelő szintű védelemnek. Szerintem ugyanis annak rendelkezései nem alkalmasak annak biztosítására, hogy az adatokhoz az USA nemzetbiztonsági szervei ne férhessenek hozzá. Emiatt újabb panaszt nyújtott be a Privacy Shield és az SCC-ék vonatkozásában.
AZ ADATVÉDELMI PAJZS VÉGÉT JELENTŐ „SCHREMS II. ÍTÉLET”
Max Schrems panasza alapján indult eljárás ismét az Európai Unió Bíróságához került előzetes döntéshozatalra, amelyben az EUB 2020. július 16-án hozott ítéletében ugyancsak érvénytelennek mondta ki a Privacy Shield-ről szóló EU bizottsági határozatot. Az indokok a Schrems I. ítéletben kifejtetthez hasonlóak voltak, csak most már a megfelelő védelmi szint viszonyítási pontja a 2018. május 25. napjától kötelezően alkalmazandó Általános Adatvédelmi Rendelet, a GDPR volt.
A GDPR úgy rendelkezik, hogy a személyes adatok főszabály szerint csak akkor továbbíthatók valamely EGT-n kívüli országba, ha az a személyes adatok számára a GDPR-nek megfelelő védelmi szintet biztosít.
HOGYAN BIZTOSÍTHATJA A CÍMZETT A MEGFELELŐ VÉDELMI SZINTET?
A GDPR szerint a Bizottság határozatában állapíthatja meg a megfelelő védelmi szintet. Egy EGT-n kívüli ország ennek belföldi joga vagy a nemzetközi kötelezettségei alapján felelhet meg. Az ilyen megfelelőségi határozat hiányában a vállalatcsoporton kívüli adattovábbítás jogszerűségéhez megfelelő garanciák szükségesek. Ilyen megfelelő garancia lehet a Bizottság által elfogadott megfelelőségi határozat vagy az adattovábbítás EU Bizottság által kibocsátott általános szerződési feltételeinek (standard contractual clauses – SCC) alkalmazása.
Az adattovábbító és a címzett közötti adattovábbítási szerződéshez az Európai Bizottság 2021. június 4-én bocsátotta ki az SSC-t tartalmazó határozatát. Az SCC a GDPR-en felüli további kötelezettségeket ír elő az EGT-n kívüli országba adatot továbbító számára. Ilyen adattovábbításról lehet szó, ha valamely USA-ban székhellyel rendelkező online alkalmazást veszünk igénybe, vagy ha egy USA-beli felhő szolgáltatásban tároljuk az adatainkat.
Az adattovábbítónak kockázatértékelésben kell vizsgálnia, hogy a célország jogszabályai alapján a címzett teljesíti -e a GDPR szerinti megfelelő védelmi szintet. Ez pedig a célország jogalkalmazásának lehetetlen követelményei állítja nem csak az adattovábbítót, de még az adatvédelmi jogászát is.
Ha a kockázatértékelés alapján az adattovábbító megállapítja, hogy a célország nem biztosítja a GDPR-nak megfelelő védelmet, kiegészítő intézkedéseket kell tennie. Ilyen technikai vagy szervezési intézkedés pl. adatok titkosítása vagy álnevesítése, szigorúbb adatvédelmi audit.
MILYEN ALKALMAZÁSOKNÁL OKOZ EZ PROBLÉMÁT?
A Privacy Shield érvénytelenítése nem pusztán elméleti probléma. Kezdettől fogva az online marketing olyan alapvető szolgáltatásainak használatával kapcsolatban okozott fejtörést, mint a webanalalitikához használatos Google Analytics, a Mail Chimp hírlevél szolgáltató vagy az online fizetési szolgáltatást működtető USA-beli felhőt használó Stripe.
A Google Analytics általi adatkezelés/adatfeldolgozás rögtön a Privacy Shield érvénytelenítése után Max Schrems célkeresztjébe került. Schrems panasza már 2020 augusztusában megérkezett több európai, köztük a magyar adatvédelmi hatósághoz. Az NOYB 101 európai weboldal (Magyarországon az index.hu, a 24.hu és az időkép.hu) esetében kifogásolta, hogy azok a Gooogle Analytics használatával annak ellenére továbbítanak személyes adatokat az USA-ba, hogy az ennek jogi biztonságát garantáló Privacy Shield rendszert az Európai Unió Bírósága 2020 júliusában érvénytelennek nyilvánította.
A GOOGLE ANALYTICS DÖNTÉSEK
A Google-nak a felhasználói szokásokat elemző alkalmazása a felhasználó eszközén egyedi azonosító számot tartalmazó cookie-t helyez el. Mivel ez személyes adat, a Google Analytics-nak a GDPR követelményeinek is meg kell felelnie. A Google a személyes adatok USA-ba történő továbbítása esetére 2021 júniusa óta SSC alkalmazásával igyekszik a GDPR-nek megfelelő védelmet biztosítani.
A megfelelő védelmi szinthez azonban az SSC sem feltétlenül elegendő. Az NOYB panaszai alapján mostanra már két adatvédelmi hatóság is megállapította, hogy azok használata nem felel meg a GDPR-nak.
2021 végén az osztrák adatvédelmi hatóság megállapította, hogy kiegészítő intézkedések alkalmazása nélkül a Google online elérhető SCC-jének elfogadása sem biztosítja a GDPR-nek történő megfelelést. A technikai és szervezési kiegészítő intézkedések tekintetében azonban az osztrák hatóság nem adott további iránymutatást.
2022 februárjában a francia adatvédelmi hatóság (CNIL) is a GDPR sérelmét állapította meg a Google Analytics adatkezelésével kapcsolatban. A CNIL szerint a Google által alkalmazott intézkedések nem elegendőek ahhoz, hogy kizárják az adatokhoz való hozzáférést az Egyesült Államok titkosszolgálatai számáral. A francia hatóség szerint fennáll a veszélye a francia webhelyek felhasználóinak, akik ezt a szolgáltatást használják, és akiknek az adatait exportálják.
VAN ÉLET A WEBANALITIKA NÉLKÜL?
Egyelőre a magyar adatvédelmi hatóság döntése még nem áll rendelkezésünkre a Google Analytics-szal kapcsolatban. A külföldi adatvédelmi hatóságok döntései ettől még fontos viszonyítási pontok lehetnek, azonban azokból szintén nem tudjuk meg, miként lehet a Google webanalitikai szolgáltatását jogszerűen használni. Kérdés, hogy van -e élet webanalitika, egész konkrétan Google Analytics nélkül. Ha az online marketing tevékenység során nem akarunk teljesen vakon futni a weboldalunk használatának módját és a hirdetések sikerességét illetően, akkor sajnos azt kell mondanunk, hogy nincs. A tapasztalat az, hogy a fenti jogi kockázatok sem késztetik arra a vállalkozásokat, hogy az online versenyképességüket kockáztassák. Vagyis ha dönteniük kell: egy GDPR sértést inkább kockáztatnak, mint a létüket.
Mivel a Google az online marketing tevékenység kiszolgálásában többnyire megkerülhetetlen, a használatának mellőzése egy online jelenlévő vállalkozás számára nyilván nem opció. A használat jogszerűségének biztosítása azonban szinte teljesíthetetlen kihívások elé állította a használóit.
AZ ÚJ ADATVÉDELMI PAJZS FŐBB ELEMEI
Nem túlzás tehát azt állítani, hogy az új EU és USA közötti adattovábbítási keretmegállapodás a digitális szektor egésze (vagy legalábbis a jogászaik) számára jelent megváltást az adatvédelmi jogi dilemmáktól.
A keretmegállapodás biztosítja az EU és a résztvevő amerikai vállalatok közötti biztonságos és szabad adatáramlást.
A keretmegállapodás alapján az USA új jogszabályokkal és megfelelő biztosítékokkal garantálja, hogy a továbbított személyes adatokhoz a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozza az amerikai hírszerzés hozzáférését. A privacy és a személyes szabadságjogok védelmére vonatkozó új keretrendszer hatékony felügyeletének biztosítására a hírszerzés megfelelő eljárásokat dolgoz ki.
Az új Adatvédelmi Pajzs az amerikai hírszerzési ügynökségek hozzáférésével kapcsolatos panaszok kivizsgálására és elbírálására új, kétszintű jogorvoslati rendszert vezet be egy Adatvédelmi Felülvizsgálati Bíróság felállításával.
Az az EU-ból továbbított adatokat USA-beli adatfeldolgozói számára szigorú kötelezettségeket ír elő a keretmegállapodás, és speciális monitoring és felülvizsgálati mechanizmusokat vezet be az ellenőrésükre.
Egyelőre csak elvi megállapodást jelentett be Joe Biden és Ursula von der Leyen, bízzunk benne, hogy a részletes megállapodás sem várat sokat magára és az hosszútávú megoldást fog jelenteni kiállva egy szinte borítákolható újabb Max Schrems panaszt.
Legutóbbi hozzászólások