Az Európai Unió Bíróságának nemrégiben megjelent, ún. Schrems II. ügyben (C-311/18) hozott ítélete jelentős változásokat hozott az Egyesült Államokba irányuló adattovábbítások területén. A 2020. július 16-án kelt döntésében a Bíróság érvénytelennek nyilvánította a Bizottság korábbi, 2016/1250. számú, az ún. EU-USA adatvédelmi pajzs (angol nevén: Privacy Shield) által biztosított védelem megfelelőségéről hozott határozatát, megállapította ugyanakkor, hogy a harmadik országbeli adatfeldolgozóknak történő adattovábbításról szóló általános szerződési feltételeket (angolul: standard contractual clauses) rögzítő bizottsági határozat továbbra is érvényes, annak ellenére, hogy az még az Európai Általános Adatvédelmi Rendeletet (ún. GDPR) megelőzően született.
A fenti döntése során a Bíróság a GDPR adattovábbítással kapcsolatos követelményeit az Európai Alapjogi Charta fényében vizsgálta, amelynek során arra a következtetésre jutott, hogy a Privacy Shield megállapodás nem biztosít megfelelő jogorvoslatot az érintett személyek számára az amerikai hírszerzési szervezetek adatkezelése esetén, valamint, hogy ezen szervezetek adatkezelése kapcsán nem feltétlenül érvényesülnek az európai szabályozáshoz hasonló adatvédelmi, továbbá az érintettek magánéletét és egyéb jogait védő garanciák. A fenti Schrems II. ügyben hozott határozat megjelenését követően Max Schrems, a fenti eset névadója által alapított NOYB nevű szervezet több mint 100 panaszt nyújtott be olyan adatkezelők ellen, amelyek – akár közvetetten, amerikai szolgáltatók, például a Google vagy a Facebook megoldásainak igénybevételével – továbbra is a Privacy Shield alapján továbbítanak személyes adatokat az Egyesült Államok területére.
A Bíróság fenti döntése és az azt követő transzatlanti adattovábbítással kapcsolatos vita azért is lényeges, mivel a fenti Schrems II. döntést megelőzően az Egyesült Államokba történő adattovábbítások során (ideértve például egyes közösségi médiaszolgáltatók, valamint számos amerikai technológiai cég szolgáltatásának igénybevételét) az európai adatkezelőknek jellemzően elegendő volt ellenőrizniük, hogy amerikai partnerük szerepel-e a Privacy Shield megállapodásban résztvevő szervezetek listáján, és áttekinteniük az ezen partnerek által biztosított, személyes adatok kezelésére vonatkozó szerződéses feltételeket.
A Bíróság fenti döntését követő bizonytalan helyzetben az európai adatkezelőknek lényegesen óvatosabban kell eljárniuk amerikai partnereiknek történő adattovábbításaik, illetve ezen partnerek termékeinek és szolgáltatásainak igénybevétele során, és a fenti Privacy Shield megállapodás helyett eltérő garanciát kell találniuk az adattovábbításaikhoz, ideértve például a fenti általános szerződési feltételek megkötését, egyéb megfelelő garanciákat, kötelező erejű vállalati szabályokat, vagy – kivételes esetekben – a GDPR által különös helyzetekben biztosított eltéréseket. Mindez azért is lényeges elvárás, mivel feltehetően éveket vesz majd igénybe, amíg a Privacy Shield felülvizsgálatra kerül vagy a helyébe egy új bizottsági megfelelőségi határozat lép, amely remélhetőleg már biztos alapot képez az Egyesült Államokba történő adattovábbítások számára.
A borítókép forrása: Pixabay
