A 29-es Munkacsoport közzétette a Schrems ügy következményeiről szóló állásfoglalását. Összefoglaltuk a munkacsoportnak a személyes adatok USÁ-ba történő továbbításával kapcsolatos legfőbb megállapításait.
Safe Harbour – ne tovább!
A Safe Harbour többé nem szolgálhat alapul az EU-ból az USÁ-ba történő adattovábbításokhoz, így minden olyan adattovábbítás, amely jelenleg a Safe Harbour alapján történik, jogellenes.
“[…] transfers from the European Union to the United States can no longer be framed on the basis of [Safe Harbour]. In any case, transfers that are still taking place under the Safe Harbour decision after the CJEU judgment are unlawful.”
Alternatív (jogi) megoldások – csak ideiglenesen!
Az EU-s mintaklauzulák (Standard Contractual Clauses, SCCs) és a kötelező szervezeti szabályozás (Binding Corporate Rules, BCRs) ideiglenesen használhatóak, addig amíg nincs új megállapodás az EU és az USA között (pl. Safe Harbour 2.0), de tény, hogy ezek sem feltétlenül felelnek meg a bíróság által felállított kritériumoknak, így ezek sem nyújtanak biztos megoldást.
“[…] existing transfer tools are not the solution to this issue […] Therefore, the Working Party is urgently calling on the Member States and the European institutions to open discussions with US authorities in order to find political, legal and technical solutions enabling data transfers to the territory of the United States that respect fundamental rights. […] In the meantime, the Working Party will continue its analysis on the impact of the CJEU judgment on other transfer tools. During this period, data protection authorities consider that Standard Contractual Clauses [SCCs] and Binding Corporate Rules [BCRs] can still be used.”
Határidő – 2016. január!
A WP29 állásfoglalás azonban azt is tartalmazza, hogy ha 2016 januárjáig (!) nem lesz kézzelfogható eredménye az USA hatóságokkal való egyeztetéseknek, akkor az alternatív (jogi) megoldások WP29 által időközben lefolytatott felülvizsgálatának fényében az adatvédelmi hatóságok meg fogják tenni a szükséges lépéseket az adatkezelőkkel szemben, és ez adott esetben EU-s szinten koordinált (hatósági) vizsgálatok megindítását és így akár bírságolást is jelenthet.
Amire a sorok között utal a WP29 – alternatív (üzleti/technikai) megoldások
A munkacsoport szerint az adatkezelőknek kell felmérniük a kockázatokat és ennek fényében belátható időn belül kell megtenniük azokat a lépéseket, amelyek a jogszerű állapot helyreállításához szükségesek.
“[…] businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions in a timely manner to mitigate those risks and respect the EU data protection acquis.”
Habár a WP29 állásfoglalás nem tartalmazza, de az egyik ilyen alternatív (üzleti/technikai) megoldás lehet a személyes adatok “hazaköltöztetése”, azaz hogy azokat nem az USA területén, hanem az EU-ban (EGT területén) vagy olyan országok területén kezelik, amelyekről a Bizottság már elismerte, hogy megfelelő szintű védelmet nyújtanak.
Amiről hallgat a munkacsoport – hozzájárulás
Az állásfoglalásban szintén nincs szó arról, hogy személyes adatok elvileg továbbíthatóak lennének az USÁ-ba az érintett magánszemélyek hozzájárulása alapján is, amely esetben nem lenne szükség alternatív jogi megoldásokra (SCCs, BCRs). A hallgatás oka valószínűleg az, hogy a WP29-et alkotó nemzeti adatvédelmi hatóságok sem egységesek a hozzájárulás megítélésével kapcsolatban. Az egyik véglet a német Schleswig-Holstein tartomány adatvédelmi hatóságának (ULG) álláspontja, amely szerint az USA-beli tömeges megfigyelés ellentétes az önkéntes hozzájárulás koncepciójával (lásd pl. a NAIH nemrég kiadott ajánlását az előzetes tájékoztatásról), ezért a hozzájárulás még akkor sem fogadható el, ha részletes tájékoztatásul alapul. Továbbá az ULG szerint az ilyen hozzájárulás a német jog alapján közerkölcsbe ütközne, ezért érvénytelen lenne. Az ULG nyilatkozata itt olvasható (németül). A háttérben tehát valószínűleg az van, hogy ezzel a kétségtelenül nagyon kemény állásponttal nem minden hatóság ért egyet, ezért a WP29 kompromisszum hiányában inkább hallgat a hozzájárulásról.
Összefoglalás
A WP29 állásfoglalása alapján az adatkezelőknek ajánlott azonnal átállniuk valamilyen alternatív jogi megoldásra (SCCs, BCRs, esetleg hozzájárulás), de ezek is csak átmeneti megoldásoknak tekinthetőek. A türelmi idő 2016 januárjának végéig tart, ha ugyanis eddig a Bizottság addig nem dolgoz ki biztosan működő jogszerű megoldást az USÁ-val, akkor az adatvédelmi hatóságok megindítják a vizsgálatokat. Ebben az esetben az egyetlen biztos megoldásnak az tűnik, ha az adatokat az USÁ-ból az EU-ba (az EGT területére) vagy más, megfelelő szintű védelmet nyújtó országokba migrálják.
Egyébként maga Maximilian Schrems, illetve a mögötte álló csoport is közzétette saját véleményét az alternatív megoldásokról, amely itt olvasható (angolul).
dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000
***
A fenti írás a szerző (“dr. Halász Bálint, ügyvéd, Knight Bird & Bird Iroda”) és a forrás (“Twobirdsideas.hu” és a bejegyzésre mutató link, ha lehetséges) feltüntetésével átvehető, többszörözhető és hozzáférhetővé tehető, kivéve ha a felhasználásra fizetős tartalomszolgáltatás keretében (pl. paywall mögött) kerül sor. Az engedély nem terjed ki az átdolgozásra. Egyebekben a Felhasználási Feltételek rendelkezései irányadóak.