Az Európai Unió Bírósága egy közelmúltban hozott ítéletével érvénytelenítette az Európai Bizottság Safe Harbour („Biztonságos Kikötő”) rendszert megalapozó határozatát, amely az USA-ba történő adattovábbítás elsődleges módját szabályozta. A döntés kimondta, hogy az amerikai jog nem biztosítja a személyes adatok megfelelő védelmét, így alapjaiban kell újraszabályozni az Egyesült Államokba irányuló adattovábbítás módját.
A döntés minden olyan vállalkozásra hatással van, amely valamilyen formában adatot továbbít az USA területére és azt korábban a Safe Harbour rendszerre alapozta. „Számos hazai vállalat is igénybe vesz egyesült államokbeli székhelyű felhőszolgáltatót, így minden vállalkozásnak érdemes még egyszer ellenőriznie, hogy az általa kezelt személyes adatokat továbbítja-e az USA területére” – hívja fel a figyelmet Szabó Levente Antal, a KLART Szabó Legal alapító partnere. Hozzáteszi: az adatkezelőknek proaktív módon kell eljárniuk annak érdekében, hogy csökkentsék az esetleges offshore adatkezelésből származó jogi és üzleti kockázatukat.
A kicsik csak nehezen tudnak megfelelni
Amennyiben a vállalat továbbra is folytatni kívánja az USA-ba történő adattovábbítást az adatkezelőnek ajánlott mielőbb átállnia valamilyen alternatív jogi megoldásra. „Az ilyen alternatív megoldások alkalmazása esetén azonban az adatkezelő maga köteles ellenőrizni, hogy a személyes adatok megfelelő védelme az irányelv alapján megvalósul-e, ez pedig jelentős erőforrásokat - jogi kockázatok kezelése, anyagi források - vonhat el a vállalatoktól” – jegyzi meg Dudás Gábor, a KLART Szabó Legal partnere, adatvédelmi szakértője. Hozzáteszi: a kkv szektor számára a megfelelés különösen megterhelő lehet, tekintettel arra is, hogy a kisvállalatok a „kötelező szervezeti szabályozás” elnevezésű jogi megoldás előnyeit jellemzően nem tudják kihasználni.
Amennyiben egyes adatkezelők a döntés hatására eltávolítják a korábban továbbított személyes adatokat az USA-ban található szerverekről, és valamely más, EGT-n kívüli országba, különösen Indiába, Malajziába, vagy Thaiföldre tervezik kiszervezni az adatok további feldolgozását, akkor érdemes azt is figyelembe venniük, hogy bár az Európai Bíróság ítélete kifejezetten az EU-USA viszonyára vonatkozik, az európai cégeknek más országokban fennálló adattovábbítási kapcsolatait is indokolt lehet hasonló alapon felülvizsgálni.
Alternatív jogi megoldások
Azok a vállalatok, illetve szolgáltatók, amelyek továbbra is folytatnák az USA-ba történő adattovábbítást, a következő alternatív jogi megoldásokat vehetik számításba. Az egyik az USA-ba történő adattovábbítás vonatkozásában a Bizottság által jóváhagyott modellklauzulák (Standard Contractual Clauses) kialakítása, azonban ezek aláírása és aláíratása jelentős adminisztratív terhet ró a kiterjedt ügyfélkörrel rendelkező szolgáltatókra.
Megoldás lehet még a kötelező szervezeti szabályozás - Binding Corporate Rules (BCR) - alkalmazása is, de ez csak adott vállalatcsoporton belüli adatáramlások esetén működik. Előbbiek mellett az érintett magánszemélyek előzetes, önkéntes és kellően részletes tájékoztatáson alapuló hozzájárulásának beszerzése is feltétele lehet az USA-ba történő adattovábbításnak. A hozzájárulás akkor tekinthető érvényesnek, ha az érintett figyelmét az USA-ba történő adattovábbítás veszélyeire is teljes körűen felhívják, ami csökkenheti az együttműködési hajlandóságot, illetve adott esetben az adatkezelőbe vetett vásárlói bizalmat is.
Az Európai Bíróság kifogásai
Az EUB álláspontja szerint a Safe Harbour rendszerről szóló bizottsági határozat azért érvénytelen, mert az USA hatóságai hozzáférhettek az EU-ból ide továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint nemzetbiztonsági érdekből a feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették.
A Bíróság a nemzetbiztonsági célú felhasználások kapcsán is hiányolta a garanciákat, többek között azt, hogy az érintett személyeknek nem volt olyan jogorvoslati lehetősége, amely hozzáféréshez, helyesbítéshez vagy törléshez való jogaik érvényesítését tette volna lehetővé. Az Európai Unió Bírósága továbbá azt is megállapította, hogy az egyes tagállamok adatvédelmi hatóságainak jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy egy személy adatainak harmadik országba történő továbbítása tiszteletben tartja-e az irányelvben támasztott követelményeket.