Max Schrems, és a mögötte álló NOYB.EU (None Of Your Business) egyesület neve nem ismeretlen az adatvédelem iránt érdeklődők számára. Ő volt az, akinek a kifogása eredményeképpen az Európai Unió Bírósága (EUB) 2015 októberében érvénytelené nyilvánította az EU és az USA közötti adattovábbításra vonatkozó Safe Harbor rendszert, pontosabban fogalmazva az erre vonatkozó az EU Bizottsági határozatot (erről szóló blogbejegyzésünk itt). Max Schrems most 101 európai weboldal, köztük az index.hu, az idokep.hu és a 24.hu ellen tett panaszt különböző adatvédelmi hatóságoknál, mert szerinte azok annak ellenére továbbítanak adatokat az USA-ba, hogy az ennek jogi biztonságát garantáló Privacy Shield rendszert az Európai Unió Bírósága 2020 júliusában érvénytelennek nyilvánította.
A Safe Harbor-tól a Privacy Shield-ig
A Safe Harbor-t érvénytelenítő 2015-ös ítéletet („Schrems I Ítélet”) követő fél évben az EU Bizottság és az USA kormányzat viszonylag gyorsan létrehozta a Safe Harbor utódját, a Privacy Shield rendszert, aminek a koncepciója lényegében megegyezett a Safe Harbor-ral. Ugyanakkor Max Schrems nyilvánvalóvá tette, hogy szerinte sem a Privacy Shield, sem a nemzetközi adattovábbítás során az adatok biztonságát a célországban garantáló másik jogi eszköz, az EU modellklauzulák (Standard Contractual Clauses, SCCs) vonatkozásában nem ért egyet azzal, hogy az USA-ba továbbított adatok biztonsága megfelelő lenne, mert szerinte azokhoz az USA nemzetbiztonsági szervei hozzáférhetnek. Emiatt újabb panaszt nyújtott be a Privacy Shield és az SCC-ék vonatkozásában.
Az utóbbi panasz alapján indult eljárás ismét az EUB-hoz került előzetes döntéshozatalra (C-311/18), amelyben az EUB 2020. július 16-án hozott ítéletében („Schrems II Ítélet”) ugyancsak érvénytelennek mondta ki a Privacy Shield-ről szóló Bizottsági határozatot, hasonló indokokkal, mint tette azt mintegy öt évvel korábban a Schrems I Ítéletben.
Az EUB megállapításai a Schrems II Ítéletben
Privacy Shield (Adatvédelmi Pajzs)
Az EUB a Schrems II ítéletben azonnali hatállyal érvénytelenítette a személyes adatok továbbításáról szóló 2016/1250 EU Bizottsági határozatot az Egyesült Államokba történő adattovábbításról (Privacy Shield). Ennek a döntésnek az alapja lényegében az Egyesült Államok titkosszolgálatokra vonatkozó jogi előírásai, különösen a Foreign Intelligence Surveillance Act (külföldi hírszerzési felügyeletről szóló törvény, „FISA”) 702. §-a és az Executive Order 12333, amely nem biztosít olyan védelmet a személyes adatok tekintetében, amely egyenértékű az EU-ban érvényes előírásokkal (hiányoznak a GDPR szerinti megfelelő biztosítékok, a jogok végrehajthatósága és a hatékony jogorvoslatok).
A Svájci Adatvédelmi Hatóság (FDPIC) is figyelemmel kísérte az EUB ítéletét. Noha az EUB döntése nem közvetlenül alkalmazandó Svájcra és ennélfogva a Svájc-USA Adatvédelmi Pajzsra, az FDPIC részletesen megvizsgálja az ítéletet és megfelelő intézkedéseke fog hozni. Bár a Svájc-USA Adatvédelmi Pajzs jelenleg érvényes, várhatóan az FDPIC követni fogja az EUB határozatát, és érvényteleníti a Svájc-USA Adatvédelmi Pajzsot is (ahogyan ezt 2015-ben a Safe Harbour megállapodás kapcsán is tette). 2020. szeptember 8-án az FDPIC is érvénytelennek minősítette a Svájc-USA Adatvédelmi Pajzsot (lásd lent: Frissítés #03).
Általános Szerződési Feltételek (SCC)
Az EUB elvben megerősítette az általános szerződési feltételekről szóló 2010/87/EK Bizottsági határozatot, azonban hangsúlyozta az adatátadó és az adatátvevő felelősségét az egyes adatátadások esetről-esetre történő vizsgálatával kapcsolatban. Különös figyelemmel kell lenni ennek a vizsgálatnak a lefolytatásakor arra, hogy az adatátvevő harmadik ország nemzeti joga megfelelő szintű védelmet nyújtson az személyes adatok kezelése kapcsán, így különösen biztosított a megfelelő védelem ezen harmadik ország hatóságainak és bíróságainak az adatokhoz való hozzáférésével szemben. Ahol ez nem így van, a feleknek további, hatékony biztosítékokat kell nyújtaniuk, vagy fel kell függeszteniük a szóban forgó adattovábbítást. Ilyen kiegészítő biztosítékok magukban foglalhatják a technikai intézkedéseket, például az adatok titkosítását, szerződéses biztosítékokat vagy egyéb szervezeti intézkedések. Az EUB azonban az ítéletben nem részletezi ezeket a kiegészítő biztosítékokat, így egyelőre nem teljesen egyértelmű, hogy az adatkezelőknek e tekintetben milyen elvárásoknak kéne megfelelniük.
A Schrems II Ítélet hatása
A Schrems II Ítélet még inkább felforgatta az EU és az USA közötti nemzetközi adattovábbítás eddigi gyakorlatát, mint a Schrems I Ítélet, hiszen az előzmények alapján igencsak valószínűtlen, hogy az EU és az USA ismét megpróbálkozna egy olyan megállapodás összehozásával, amely lényegében ugyanazokon a tartópilléreken nyugszik, mint a Safe Harbor vagy a Privacy Shield.
A Schrems II Ítélet kihirdetése óta elmúlt egy hónapban számos vélemény, iránymutatás, elemzés látott napvilágot a hogyan továbbról, a Privacy Shield alternatíváiról: számos adatvédelmi hatóság és az Európai Adatvédelmi Biztos, az Európai Adatvédelmi Testület (EDPB) és a szövetségi és a tartományok adatvédelmi hatóságaiból álló adatvédelmi konferencia (Datenschutzkonferenz – DSK) is adott ki sajtóközleményt. Továbbá az IAPP Resource Center oldalon a többi nemzeti hatóság állásfoglalása is elérhető. Az EDPB nyilatkozatán felül gyakran ismételt kérdéseket is kiadott.
Ugyanakkor túlzás nélkül lehet állítani, hogy a helyzet korántsem egyértelmű, mert a hatóságok megközelítése korántsem egységes. Az angol adatvédelmi biztos (ICO) például kezdetben azt kommunikálta, hogy ha egy adatkezelő már használja a Privacy Shield-et, akkor nem kell semmit tennie amíg nem jön ki új iránymutatás, azonban néhány nappal később ezzel lényegében ellentétesen már az EDPB állásfoglalására hivatkoztak. Egyes adatvédelmi hatóságok, például a Berlini Adatvédelmi Hatóság és a Hamburgi Adatvédelmi Hatóság szigorú követelményeket fogalmazott meg az USA-ba történő adattovábbításról. A berlini hatóság egyenesen azt mondja ki, hogy a felügyelete alatt álló valamennyi adatkezelő és adatfeldolgozó ne továbbítson adatot az USA-ba, hanem váltson az EU-ban vagy más harmadik országban székhellyel rendelkező szolgáltatóra, amely rendelkezik a megfelelő szintű védelemmel.
Összességében a hatóságok hivatalosan azt kommunikálták, hogy a Schrems II Ítélet azonnal végrehajtandó, azaz minden adatkezelőnek, amely eddig a Privacy Shield-re alapozta az USA-ba történő adattovábbítását azonnal felül kell vizsgálnia ezt. Ugyanakkor ez nem egy egyik napról a másikra megvalósítható feladat, így a várakozás az volt, hogy a hatóságok kimondatlanul ugyan, de hagynak néhány hónapnyi időt az áttérésre, és csak ezután kezdik meg a számonkérést.
Elfogyott a türelem
Max Schrems, illetve a NOYB.EU 2020. augusztus 17-én tette közzé, hogy panaszokat nyújtott be különböző adatvédelmi hatóságokhoz 101 olyan weboldal ellen, amelyek egy hónappal a Schrems II Ítélet kihirdetését követően továbbra is továbbítanak adatokat a Facebook vagy a Google számára az USÁ-ba a Google Analytics vagy a Facebook Connect szolgáltatás keretében. A bepanaszolt weboldalak között a három magyar portál is van, amelyek, amelyek ellen az Osztrák Adatvédelmi Hatósághoz (OSS) adták be a panaszt.
Hogyan tovább?
Az előbbi panasz-dömping jól mutatja, hogy előbb vagy utóbb (de inkább előbb) minden adatkezelő, amely az USA-ba továbbított adatot, lépéskényszerbe kerül és felül kell vizsgálnia az eddigi gyakorlatát. Ennek nulladik lépése az kell legyen, hogy az adatkezelő felderíti, hogy van-e ilyen adattovábbítása. E tekintetben előnyben vannak azok az adatkezelők, amelyek részletes belső adatvédelmi nyilvántartással rendelkeznek, hiszen ez ideális esetben tartalmazza az EGT-én kívülre történő adattovábbításokat, és azt, hogy milyen jogi eszközök biztosítják a célországban a megfelelő szintű védelmet. Ha egy adatkezelő nem rendelkezik ilyen nyilvántartással, vagy ez nem naprakész, akkor most kell auditot végeznie, hogy ezeket beazonosítsa.
A következő lépés az alternatív megoldás megtalálása, amely során több alternatíva is felmerülhet:
- az adatokat áthelyezik az USA-ból az EGT területére vagy olyan országokba, amely a Bizottság által elismerten megfelelő szintű védelmet biztosítanak (lásd itt) – ez egyszerűen hangzik, de gyakorlatilag nehezen kivitelezhető megoldás, főleg nem rövid idő alatt;
- vállalatcsoporton belül megoldás lehet a kötelező szervezeti szabályozás (BCR), de ez csak vállalatcsoporton belüli adatáramlások esetén működik, külső szereplők (alvállalkozók) bevonása esetén nem, ráadásul a BCR jóváhagyása jelentős időt és erőforrásokat is igényel;
- az érintettek kifejezett hozzájárulása megszerzése ahhoz, hogy a személyes adataik az USA-ba kerülhessenek továbbításra – azonban a hozzájárulás csak és kizárólag akkor érvényes, ha önkéntes és kellően részletes, előzetes tájékoztatáson alapul, ami az adott esetben azt jelenti, hogy fel kell hívni a magánszemélyek figyelmét arra, hogy az USÁ-ban a személyes adataik nincsenek biztonságban, ami nyilvánvalóan nem a legjobb marketing üzenet;
- az USA-ba történő adattovábbítás vonatkozásában SCC-éket kötnek, amely a legegyszerűbb megoldásnak tűnik, azonban mivel az EUB a Schrems II Ítéletben ezekkel kapcsolatban a „kiegészítő biztosítékok” elvárást fogalmazta meg, amelyekről jelenleg nem lehet pontosan tudni mit takarnak, ez mégsem ilyen egyértelmű.
Várhatóan az EDPB, az EU Bizottság és a nemzeti felügyeleti hatóságok további útmutatásokat adnak a SCC-ék vonatkozásában a „kiegészítő biztosítékok” mibenlétéről, és az EU Bizottság is tervez felülvizsgált SCC-t kibocsátani. Mindennek eredményeképpen hamarosan tisztulhat a kép az SCC-ék alkalmazásával kapcsolatban. Ugyanakkor az alapproblémára, nevezetesen az USA nemzetbiztonsági szerveinek az „uniós” személyes adatokhoz való állítólagos hozzáférésére végleges megoldást csak az jelentene, ha az adatok nem hagynák el az EU, illetve az EGT területét. Kérdés azonban, hogy vannak-e olyan valóban európai szolgáltatók (értsd nem amerikai techvállalatok európai leányvállalatai), amelyek valós alternatívát jelenthetnek a nagy amerikai szolgáltatókkal szemben. Függetlenül attól, hogy ki milyen választ ad erre a kérésre, a trend egyértelműen a személyes adatok EU-n (EGT-én) belüli tárolása felé halad.
Frissítés #01 @ 2020. augusztus 26.
Mindeközben a legnagyobb USA-ban székhellyel rendelkező szolgáltatók, amelyek a Privacy Shield keretrendszerét alkalmazták, sorra jelentik be a SCC-re való átállást. Ilyen volt első körben a Facebook, amelyet a Google követett.
Frissítés #02 @ 2020. szeptember 7.
Az EDPB 2020. szeptember 2-án megtartotta 37. plenáris ülését, amelyen egyebek mellett felállított két munkacsoportot. Az egyik feladata az lesz, hogy az SCC-ken alapuló adattovábbítás esetén vállalandó „további biztosítékokról” foglaljon állást, míg a másik a Max Schrems és az NOYB által beadott – fent is említett – több mint száz panasz egységes, uniós kezelésének koordinálásáért lesz felelős.
Az Európai Parlament Állampolgári jogok, bel- és igazságügyi bizottsága („LIBE Committee”) a nyáriszünetet követően szeptember elején újra ülésezett, ahol napirendre került a Schrems II ítélet. Maga Max Schrems is felszólalt az online ülésen, ahol kiderült, hogy az EU Bizottsága kiemelt fontosságúnak tekinti az új, az EUB ítéletének megfelelő SCC-k kidolgozását. Ezen túl az EU Bizottsága megkezdte az egyeztetést az amerikai kormányzattal, azonban ez még csak egy hosszú folyamat első lépcsőfokának tekinthető.
Reméljük, hogy mind az EDPB, mind az EU Bizottsága mihamarabb előáll megoldási javaslatával, az azonban egyre jobban kezd kirajzolódni, hogy az adattovábbítás helyett az adatlokalizáció lehet a piac számára az új irány, ha teljes mértékben meg akar minden adatvédelmi szabálynak felelni.
Frissítés #03 @ 2020. szeptember 8.
Ahogyan az várható volt, a Svájci Adatvédelmi Hatóság (FDPIC) közzétette, hogy a Svájc-USA Adatvédelmi Pajzs nem felel meg a svájci szövetségi adatvédelmi törvény rendelkezéseinek annyiban, hogy nem garantálja a személyes adatok megfelelő szintű védelmét a svájci állampolgároknak az USA-ba továbbított adatai vonatkozásban. A döntés maga és részletes indokolás itt olvasható.
Szerzők:
dr. Halász Bálint
partner, ügyvéd
dr. Sziládi Péter
ügyvédjelölt