Az Európai Unió Bírósága (EUB) az ún. Schrems II ügyben – 2020. július 16-án – meghozott ítéletében kimondta, hogy nem felel meg a vonatkozó adatvédelmi követelményeknek az EU–USA adatvédelmi pajzs, így az azzal kapcsolatos bizottsági végrehajtási határozat érvénytelen. A döntés alapvetően új helyzet elé állítja mind az adatkezelőket, mind az adatvédelmi felügyeleti hatóságokat. Előbbieknek újra kell értékelnie a transzatlanti adattovábbításokat és meg kell hozniuk minden olyan intézkedést, amely garantálja a személyes adatok védelmét és biztonságát. A hatóságok – az Európai Adatvédelmi Testülettel (EDPB) közösen – megfelelő útmutatásokat kell kidolgoznia annak érdekében, hogy a személyes adatoknak az általános adatvédelmi rendelet (GDPR) V. fejezete szerinti továbbításával kapcsolatos garanciák megfelelő módon érvényesülhessenek.

A döntés háttere

Az EUB az ún. Schrems I ítéletében foglalkozott először érdemben a transzatlanti adattovábbítások jogszerűségével. Ennek kapcsán megállapította, hogy az ún. Biztonságos (adat)kikötő („Safe Harbor”) megállapodás nem biztosít megfelelő védelmet a személyes adatok harmadik országba (Egyesült Államok) történő továbbítása esetén, így érvénytelenítette a vonatkozó, 2000. július 26‑i 2000/520/EK bizottsági határozatot. Ezt követően, lényegében a korábbi rendszer helyett született meg 2016-ban az EU-USA adatvédelmi pajzs („Privacy Shield”), amelynek célja a korábbinál hatékonyabb garanciákat biztosítani a személyes adatok Egyesült Államokba történő transzferje vonatkozásában, így többek között:

• erősebb felügyeleti mechanizmust léptetettek életbe;
• a tagállami hatóságok ellenőrzési jogkörét megerősítették;
• az Egyesült Államoknak is lépéseket kellett tennie az adatvédelmi felügyeleti szervek terén.

Az EU-USA adatvédelmi pajzs ugyanakkor továbbra is lehetővé tette az Egyesült államok hírszerző ügynökségeinek a hozzáférést a személyes adatokhoz úgy, hogy nem nyújtott további, megfelelő garanciákat. Maximilian Schrems jogvédő ezt kifogásolva fordult az ír bíróságokhoz. Az eljárás keretében végül az ír legfelső bíróság előzetes döntéshozatal iránti kérelemmel fordult az EUB-hoz. Utóbbinak alapvetően az alábbi három kérdésre kellett választ találnia:

• miként értelmezendők a nemzetközi adattovábbításokra vonatkozó jogszabályi rendelkezése;
• érvényes-e az ún. ÁSZF‑határozat;
• érvényes-e az EU-USA adatvédelmi pajzsról szóló határozat.

Nemzetközi adattovábbítás szabályai

Az EUB az első körben azt vizsgálta meg, hogy a GDPR „hatálya alá tartozik[-e] a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által harmadik országban letelepedett másik gazdasági szereplő részére végzett továbbítása, amennyiben ezeket az adatokat e továbbítás során vagy azt követően ezen ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik”. A testület ebben a vonatkozásban megállapította, hogy „a személyes adatok valamely tagállamból egy harmadik országba való továbbítására irányuló művelet” a tagállam területén végzett adatkezelésnek minősül. Ebből következően minden ilyen tevékenység a GDPR tárgyi hatálya alá tartozik. Az a tény pedig, hogy az adattovábbítást követően az információkat közbiztonsági, honvédelmi és nemzetbiztonsági célból adatkezelés alá vonhatják az érintett harmadik ország hatóságai, szintén nem zárhatja ki az említett továbbítást a GDPR hatálya alól.

A személyes adatok harmadik országba történő, általános adatvédelmi kikötéseken alapuló továbbításával kapcsolatban az EUB-nak pontosítania kellett azokat az elemeket, amelyeket figyelembe kell venni annak meghatározása érdekében, hogy a megfelelő védelmi szint biztosított‑e. A bíróság ebben a vonatkozásban kimondta, hogy a „megfelelő garanciáknak, érvényesíthető jogoknak és hatékony jogorvoslati lehetőségeknek biztosítaniuk kell, hogy azon személyek jogai, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel rendelkezzenek, amely lényegében azonos [GDPR] által az Unióban biztosított védelmi szinttel”. A megfelelő védelmi szint értékelésének figyelembe kell vennie így többek között:

• az adatkezelő / adatfeldolgozó és a harmadik országbeli címzett között létrejött szerződéses kikötéseket;
• az érintett harmadik ország hatóságainak a továbbított személyes adatokhoz való hozzáférésének jogi hátterét, különös tekintettel a GDPR 45. cikk (2) bekezdésében felsorolt elemekre.

Végezetül az EUB azt is megállapította, hogy az illetékes felügyeleti hatóságnak fennáll a kötelezettsége, hogy felfüggesszék vagy megtiltsák a személyes adatok általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, amennyiben a megítélésük szerint az említett kikötéseket az érintett harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és ezáltal nem biztosítható a továbbított adatok védelme.

Az ÁSZF-határozat érvényessége

Az EUB nem tárt fel vizsgálata során olyan tényt vagy körülményt, amely alapján az ÁSZF‑határozat érvényességét érinthetné. Az ilyen általános adatvédelmi kikötéseken alapuló, az EGT területén kívülre történő adattovábbítások esetén tehát a jogszabály szerinti megállapodások továbbra is jogszerűen alkalmazhatók. Mindazonáltal az adatkezelőknek vizsgálniuk kell minden ilyen esetben, hogy a címzett állam hatáságai milyen módon és mértékben jogosultak hozzáférni a továbbított adatokhoz. Amennyiben ugyanis az adatokhoz való hozzáférés jogi szabályozása túlzó, nem felel meg a GDPR támasztotta követelményeknek, további garanciákat kell biztosítani az esetleges jogsértések elkerülése érdekében. Ha viszont még így sem biztosítható a személyes adatok megfelelő szintű védelme, az adattovábbítást fel kell függeszteni.

Az EU-USA adatvédelmi pajzs érvényessége

Az EUB végezetül megvizsgálta, hogy mennyiben biztosít megfelelő védelmi szintet az Egyesült Államok az EU-USA adatvédelmi pajzs alapján továbbított személyes adatok vonatkozásában. A testület ezzel kapcsolatban kiemelte:

• lényegében nem korlátozott az Egyesült Államok hatóságai által folytatott megfigyelési programok külföldi hírszerzés céljából történő végrehajtására vonatkozó felhatalmazás;
• nem bizonyított a programok által esetlegesen érintett, nem külföldi (EU) személyek számára szóló garanciák fennállása;
• az Egyesült Államok nem biztosít bíróságok előtt érvényesíthető jogokat az érintettek számára az amerikai hatóságokkal szemben;
• nem biztosított a megfelelő bírói jogorvoslat az Egyesült Államokban;
• az amerikai hatóságok által bevezetett ombudsmani mechanizmus sem biztosít jogorvoslati lehetőséget az érintettek számára.

A fentiekből következően a EU-USA adatvédelmi pajzsról szóló határozat összeegyeztethetetlen az EU Alapjogi Chartajával és a GDPR-ral, és ezért érvénytelen.

Az ítélet következményei

Az ítélet nyomán felbolydult az adatvédelmi közösség. Az EDPB, sok más felügyeleti hatósághoz hasonlóan, közleményt adott ki, amelyben hangsúlyozza, hogy részletesen meg fogja vizsgálni az ítéletet és további felvilágosítást és iránymutatást fog nyújtani az érintettek számára a személyes adatok továbbításával kapcsolatos instrumentumok vonatkozásában. „Ahogy azt az EUB jelezte, az EDPB és az európai felügyeleti hatóságok készen állnak az egységes jogalkalmazás biztosítására az EGT-n belül”.

Az Egyesült Államok kereskedelmi minisztere ugyanakkor csalódottságának adott hangot a döntés kapcsán. Wilbur Ross hangsúlyozta, hogy minisztériuma „továbbra is végrehajtja az adatvédelmi pajzs programot, ideértve az Adatvédelmi Pajzs Keretrendszerében történő öntanúsítási és ismételt tanúsítási kérelmek fogadását, valamint az Adatvédelmi Pajzs Lista fenntartását. [Az EUB döntése] nem mentesíti a résztvevő szervezeteket az adatvédelmi pajzs szerinti kötelezettségeik alól”.

Továbbá nem elhanyagolható, hogy az EUB ítélete nyomán azon adatkezelőknek, akik vagy amelyek az Egyesült Államokba kívánnak személyes adatokat továbbítani, újra kell értékelnie az érintett címzettekkel való kapcsolatrendszerüket. Ennek keretében a korábbi, EU-USA adatvédelmi pajzs szerinti kapcsolatrendszert más, hatékonyabb megoldásokat, pl. általános adatvédelmi kikötéseknek vagy kötelező erejű vállalati szabályoknak kell felváltania. Másrészt ezentúl minden esetben vizsgálat tárgyává kell tenni az adott címzett székhelye szerinti ország adatvédelmi keretrendszerét abból a szempontból, hogy a személyes adatok védelmének megfelelő szintje biztosított-e. Az erre vonatkozó kötelezettségek teljesülését pedig az egyes tagállamok adatvédelmi felügyeleti hatóságai is ellenőrizhetik és – szükség esetén – ki is kényszeríthetik korrekciós és szankciós intézkedések alkalmazása révén.

Forrás: http://curia.europa.eu; https://www.jogiforum.hu; https://iapp.org; https://edpb.europa.eu; https://www.commerce.gov