Az Európai Unió Bírósága érvénytelenítette az EU-USA Adatvédelmi Pajzsot

  • Az Európai Unió Bírósága (EUB) 2020. július 16. napján közzétett ítéletében döntést hozott az adatvédelmi jog jelenleg talán egyik legfontosabb ügyében, az ún. Schrems II ügyben (a döntés elérhető itt: C-311/18).
  • Az ügy kiemelkedő jelentőségű, hiszen komoly hatással lehet a globális digitális gazdaságra, elsősorban személyes adatoknak az Európai Gazdasági Térségen kívüli továbbítására. 
  • A jogvita megismerése előtt azonban szükséges bemutatni, hogy melyek a vitatott jogintézmények és mi a jelentőségük: Kozma Zoltán és Almásy Márk, a DLA Piper Hungary szakértői az alábbiakban erre tesznek kísérletet.

Előzmények

Az Általános Adatvédelmi Rendelet, csakúgy mint az egykori Adatvédelmi Irányelv, tiltja a személyes adatok Európai Gazdasági Térségen kívüli államok területére történő továbbítását, amennyiben ezen államok nem biztosítják a személyes adatok megfelelő szintű védelmét. A megfelelő szintű védelem azonban megállapítható az Európai Bizottság döntése (ilyen döntés született többek között pl. Japán, Svájc, Kanada, vagy az Adatvédelmi Pajzs használatára limitáltan az USA tekintetében), vagy az Európai Bizottság által jóváhagyott Általános Szerződési Feltételek adatátadó és adatátvevő közötti megkötése alapján. Az Adatvédelmi Pajzs (és elődje a Safe Harbor) lényegét tekintve azt jelenti, hogy az amerikai vállalkozások egy egyszerű öntanúsítás és regisztráció útján tudják igazolni az adatvédelmi előírásoknak való megfelelésüket, ezáltal biztosítva a megfelelő szintű védelmet az adattovábbításhoz. Az Általános Szerződési Feltételek megkötésével az EU-s adattovábbító és az EU-n kívüli adatátvevő felek szintén viszonylag egyszerűen tudják biztosítani a személyes adatok megfelelő szintű védelmét.

A Schrems ügyek középpontjában az Adatvédelmi Pajzs (korábban Safe Harbor) és az Általános Szerződési Feltételek uniós jognak való megfelelősége áll.

A mostani jogvita nem előzmény nélküli. A Schrems II ügy lényegében annak az adatvédelmi jogi eljárásnak a folytatása, amely hivatalosan Max Schrems, osztrák adatvédelmi aktivista és a Facebook között zajlott. Schrems úr aggályai középpontjában az Egyesült Államok hírszerző ügynökségei és az amerikai vállalkozások közötti együttműködés foka állt, különös tekintettel arra, hogy a Facebook EU-s állampolgárok személyes adatait osztja meg az amerikai Nemzeti Hírszerző Ügynökséggel (National Intelligence Agency, NSA). Ezért 2013-ban az ír adatvédelmi hatóságnál panasszal élt az írországi Facebookkal szemben, azt állítva, hogy az ír leányvállalat EU-s állampolgárok személyes adatainak anyavállalathoz történő (tehát az Egyesült Államokba irányuló) továbbítása sérti az állampolgárok uniós jogban biztosított alapvető jogait. Az ügy eljutott az Európai Unió Bíróságáig is, amelynek lényegében azzal kellett foglalkoznia, hogy az akkor hatályos Safe Harbor intézményrendszer ellentétes-e az uniós joggal, sérti-e az Unió Alapjogi Chartájának vonatkozó rendelkezéseit.

Az EUB 2016. októberében megjelent döntésében egyetértett Schrems úr érveivel, megállapítva, hogy a Safe Harbor intézményrendszer nem biztosít megfelelő, az adatvédelmi irányelvben (ekkor az Általános Adatvédelmi Rendelet, a GDPR még nem született meg) és az Alapjogi Chartában biztosított jogokkal egyenértékű védelmet. Az EUB a döntésével érvénytelennek nyilvánította a Safe Harbor intézményrendszert, így ennek alkalmazására hivatkozással már nem lehetett többé személyes adatokat továbbítani az Egyesült Államokba. A fentiek a „Schrems I” ügy néven váltak ismertté. A döntés következtében vállalkozások ezrei kezdték el alkalmazni az ún. Általános Szerződési Feltételeket, mint az Egyesült Államokba történő adattovábbításuk jogszerűségét biztosító szerződést, majd később a Bizottság elfogadta a Safe Harbor helyébe lépő – de azzal hasonlóságokat mutató – Adatvédelmi Pajzsot is. Ezzel el is jutunk a Schrems II ügyhöz.

Adatvédelmi Pajzs

A fenti EUB döntés nyomán az ír felügyeleti hatóság felhívta Schrems Urat, hogy fogalmazza újra a panaszát, tekintettel arra, hogy a Bíróság érvénytelennek nyilvánított a Safe Harbor intézményrendszert. Az ír hatóság által – Schrems Úr újrafogalmazott panasza alapján – kezdeményezett bírósági eljárásban, az ír felsőbíróság ismét az EUB-hoz fordult, két jogintézményt érintve, amelyek az Európából származó személyes adatok továbbításának engedélyezését körvonalazzák: az Általános Szerződési Feltételeket és az immár a Safe Harbor intézményrendszer helyébe lépő, de azzal lényegi hasonlóságokat mutató EU-USA Adatvédelmi Pajzsot. Az ügy a legfrissebb állomása az Egyesült Államok bűnüldözési joga és az európai adatvédelmi szabályozás közötti ütközetnek. Az eljárás nagy horderejű és minden olyan vállalkozás számára releváns, amelyek személyes adatokat továbbítanak az Európai Unió határait átlépve. Az alapvető ellentmondás az ügyben, hogy az amerikai állam szuverénnek tekintett joga, hogy tömeges megfigyeléseket végezzen, ezáltal hozzáférve EU-s állampolgárok személyes adataihoz – az érintettek részére biztosított bármilyen garancia hiányában – összeegyeztethetetlen-e az uniós jog által alapjogként biztosított személyes adatok védelméhez való joggal.

Az Európai Unió Bírósága 2020. július 16-án tette közzé a döntését az ügyben.

Mindazonáltal, az EUB nagy jelentőségű döntése, hogy a Safe Harbor intézményrendszert bevezető bizottsági határozat helyébe lépő, EU-USA Adatvédelmi Pajzs által biztosított védelem megfelelőségéről szóló 2016/1250/EU bizottsági határozatot is érvénytelennek nyilvánította.

Az EU-USA Adatvédelmi Pajzs érvénytelenítése körében az EUB megállapította, hogy a határozat – hasonlóan a Safe Harbor intézményrendszer megfelelőségét elismerő határozathoz – a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, amely így lehetővé teszi a beavatkozást az EU-s állampolgárok alapvető jogaiba, amennyiben személyes adataikat az Egyesült Államokba továbbítják. A Bíróság érvelése szerint az Egyesült Államok által alkalmazott, a személyes adatok védelmének korlátozásai (az amerikai hatóságok hozzáférési és felhasználási jogosultsága a személyes adatok tekintetében)

nem úgy lettek szabályozva, hogy megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményekkel lényegében azonos követelményeknek, amennyiben az e szabályozáson alapuló megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak”.

Az EUB megítélése szerint az Adatvédelmi Pajzs az érintetteknek nem biztosított bíróság előtt érvényesíthető jogokat, ezáltal e személyek számára nem elérhető jogorvoslati lehetőség olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos garanciákat nyújtana. Az Adatvédelmi Pajzs keretében létrehozott ombudsman-típusú jogvédelem erre alkalmatlan, állapította meg a Bíróság.

Általános Szerződési Feltételek

Az EUB megállapította, hogy az Általános Szerződési Feltételeket kihirdető 2010/87/EU bizottsági határozatnak az Alapjogi Chartára tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely a határozat érvényességét érintené. Tehát az Általános Szerződési Feltételeket továbbra is lehet használni a személyes adatok harmadik országokba (így többek között az USA-ba) történő továbbítására.

Bár az Általános Szerződési Feltételek érvényességét az EUB döntése nem érintette, mindazonáltal e körben is jelentős megállapításokat tett. Az adatkezelők (adatátadók) a továbbiakban a nemzetközi adattovábbításaik során nem állhatnak meg az Általános Szerződési Feltételek megkötésénél, hanem széleskörű vizsgálatot és értértékelést kell lefolytatniuk annak megállapítása érdekében, hogy az adattovábbítás célországában ténylegesen érvényesülni tudnak-e a személyes adatok védelmére vonatkozó garanciák. Amennyiben nem, úgy az Általános Szerződés Feltételek megkötése ellenére sem lesz jogszerű az adattovábbítás.

Az EUB ugyanis megállapította, hogy a Bizottság által jóváhagyott Általános Szerződés Feltételek rendelkeznek az adatátadó és az EGT-n kívüli adatátvevő azon kötelezettségéről, hogy ellenőrizzék, az adott harmadik ország (azaz az adatátvevő országa) megfelelő védelmi szintet biztosít-e, és ha nem, akkor az adatátvevőnek a kötelességévé teszik az adatátadó tájékoztatását arról, hogy a személyes adatok megfelelő szintű védelme nem biztosítható. Ebben az esetben az Unióban letelepedett adatkezelő az adattovábbítást felfüggeszti és/vagy a szerződéstől eláll. Az adatvédelmi hatóságok pedig a GDPR alapján kötelesek felfüggeszteni vagy megtiltani a Bizottság által elfogadott Általános Szerződési Feltételeken alapuló adattovábbítást olyan harmadik országba, amelyben a személyes adatok megfelelő szintű védelme nem biztosítható, feltéve, hogy az adatkezelő (adatátadó) nem függesztette fel vagy fejezte be a továbbítást.

Ez további terhet helyezhet az adatkezelőkre – összhangban a GDPR-ban nevesített elszámoltathatóság alapelvével – a nemzetközi adattovábbítások tervezése során.


A cikk szerzői:

                           

Kozma Zoltán                                       Almásy Márk
Csoportvezető ügyvéd                       Ügyvédjelölt
zoltan.kozma@dlapiper.com            mark.almasy@dlapiper.com
LinkedIn profil                                     LinkedIn profil