Perelhetünk az USA-ban, ha az adatokat a GDPR védi?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az amerikai és az európai jogrendszer közötti különbségek alapvető konfliktushoz vezethetnek, amelyet a technológiai megoldásokkal talán fel lehet oldani.

A kereskedelmi globalizációval folyamatosan növekszik a határon átnyúló peres ügyek és kormányzati vizsgálatok száma. Emiatt elkerülhetetlen az amerikai elektronikus ügykezelési rendszer és a más kontinenseken – például Európában – hatályos adatvédelmi rendelkezések összehangolása.

Azonban az amerikai és az európai jogrendszer, eljárási rendszer és adatvédelmi gondolkodás olyan gyökeresen eltér egymástól, hogy a jogi összeütközések feloldhatatlannak látszanak. A rendelkezésre álló technológiák (például az automatikus besorolási rendszerek) kétoldalú használata egyaránt növelheti az USA ügyfelderítési rendszerének és az EU adatvédelmi rendelkezéseinek való megfelelést.

Hogyan alakul a személyes adatok védelme az EU-ban és az USA-ban?

Az EU-ban a személyes adatok védelmét alapvető emberi jognak tekintik. 2018. május 25-e óta a GDPR minden európai polgár, mint érintett személyes adatát védi – köztük az USA-ban folyamatban lévő jogi eljárásokban felhasznált személyes adatokat is – az egész EU-ban, illetve a harmadik országba való adattovábbítás során

A GDPR az EU 1995-ben elfogadott adatvédelmi irányelvét váltotta fel, amelynek tagállami átültetése sok helyen elmaradt, ezért az európai és a tagállami jog gyakran került konfliktusba egymással. A GDPR minden olyan adatkezelőre alkalmazandó az egész világon, amely EU állampolgárok és az EU –ban állandó lakhellyel rendelkezők adatait gyűjti, feldolgozza, kezeli, vagy tárolja, így például a rendelkezéseit az EU-ban kereskedelmi tevékenységet folytató külföldi vállalkozásoknak is be kell tartaniuk. A GDPR következtében sokkal körültekintőbben és biztonságosabban kell kezelni a személyes adatokat.

A GDPR előírja, hogy az érintettek információt kérhetnek az adatkezelőktől, hogy milyen személyes adatukat kezelik, azt hogyan kezelik, másolatot kérhetnek a kezelt adatokról, illetve kérhetik az adatok törlését és elfeledtetését is. A fenti jogok biztosítása érdekében a az adatkezelőknek tudniuk kell, hogy kiről pontosan milyen személyes adatot kezelnek, pontosan hol kezelik, hogyan biztosítják az adatbiztonságot és  azok hogyan törölhetők. Ezenkívül sok országban vannak előírások a személyes adatok törlésére, így például egy elbocsátott munkavállaló adatait egy bizonyos határidő után törölni kell. A GDPR megsértése miatt kiszabott bírság összege elérheti a 20 millió eurót vagy a globális árbevétel 4%-át.

Az USA-ban ezzel szemben még csak tervezik egy szövetségi adatvédelmi törvény megalkotását, egyelőre csak szektorális szabályokban biztosított az érzékeny adatok védelme (például: pénzügyi adatok, egészségügyi adatok). Tagállami szinten a tavaly elfogadott kaliforniai fogyasztói adatvédelmi törvényt érdemes kiemelni, amelyre csak „mini-GDPR”-ként hivatkoznak az USA-ban, de ez is csak 2020. január 1-jével fog hatályba lépni. Más tagállamok és hatóságok egyelőre csak tervezik egy hasonló szabályozás bevezetését.

Az USA ügyfelderítési rendszere és az EU adatvédelmi rendelkezései közötti összeütközések

A jogrendszerek közötti összeütközés néhány olyan eseten keresztül mutatjuk be, amely napi mint nap előfordulhat.

• Egy érintett kéri a személyes adatainak elfeledtetését a GDPR alapján, de az adatot egy amerikai eljárásban fel kell használni, ezért azt továbbra is tárolni kellene;
• Egy fájl tárolására biztosított jogszabályi határidő lejár, de azt egy amerikai eljárásban továbbra is fel kellene használni.;
• Egy fájlt fel kellene használni egy amerikai eljárásban, de az a GDPR szerinti érzékeny adatokat tartalmaz.

Az amerikai bírósági gyakorlat szerint mindez nem jelentene problémát, mivel az amerikai bíróságok szerint az amerikai igazságszolgáltatás működéséhez fűződő érdek, az amerikai eljárások lefolytatása, a feltételezhetően releváns európai adatok és bizonyítékok beszerzése, illetve az azokhoz való hozzáférés felülír minden európai adatvédelmi rendelkezést, amely ellentétes ezzel az érdekkel. A GDPR hatálybalépése előtt, ha az amerikai ügyekben ilyen kérdés merült fel, akkor az európai határozatok nehézkes amerikai végrehajtása, az adatvédelmi bírságok relatív kis összege és az amerikai per elvesztése között kellett mérlegelni, ezért az európai adatvédelmi szabályok sokszor háttérbe szorultak. A GDPR hatálybalépésével a bírságok jelentősen emelkedtek, illetve az EU ígéretet tett arra, hogy azokat keményen behajtja, ezért az európai adatvédelmi követelményeket is komolyan kell venni.

Mit tehetünk a mindkét jognak való megfelelés érdekében?

Hogyan tudják a szervezetek egyszerre teljesíteni az USA joga alapján fennálló, bizonyítékok és adatok szolgáltatására vonatkozó kötelezettségeiket, úgy, hogy egyben a GDPR adattörlési követelményeinek is megfeleljenek? Ideális esetben a cégek tisztában vannak azzal, hogy az eljárás lefolytatásához milyen személyes adatokat kell kezelniük, azokat hol tárolják, és hogyan tudják megőrizni. Ehhez érdemes egy „jogvita akciótervet” készíteni, amelyet szükség esetén elő lehet venni, illetve egy adattérképet is érdemes készíteni, amelyből kiderül, hogy a cég milyen személyes adatokat, pontosan hol tárol, kik az adatok tulajdonosai és azokat kik kezelik a szervezeten belül, megmutatja továbbá, hogy azok őrzése kinek a felelőssége és milyen korlátozásokkal használható fel. Ezeket a GDPR compliance során is lehet alkalmazni például akkor, amikor érkezik egy adatokhoz való hozzáférésre, adatok törlésére vagy elfeledtetésére vonatkozó érintetti kérelem.

(Fontos, hogy a GDPR 13. cikkében szereplő tájékoztatást akkor is meg kell adnunk az  érintettnek, ha külföldön, például egy amerikai követelés érvényesítése érdekében kezeljük az adatait. A GDPR lehetővé teszi, hogy megfelelő jogalap fennállása esetén a követelés érvényesítéséhez szükséges adatokat az érintett törlési vagy elfeledtetés iránti kérelme esetén is a bírósági eljárás, vagy a végrehajtás jogerős lezárulásáig jogszerűen kezeljük. Ha emiatt az érintett kérésének nem tudunk eleget tenni, tájékoztatni kell őt, hogy a kérését miért nem lehet teljesíteni, illetve, hogy panaszával az illetékes adatvédelmi hatósághoz vagy bírósághoz fordulhat. – szerk.)

Az olyan cégek számára, ahol a nagy méret vagy a strukturálatlan adatkezelés miatt (például e-mailekben lévő fájlokban tárolt adatok) nehezebb az adattérkép elkészítése, megoldást jelenthetnek az automatikus rendszerező szoftverek. Sok cégnek előnyére válhat, ha egy jól felépített adatkezelési program részeként használják ezeket a szoftvereket, így egyszerre meg tudnak felelni az USA ügyfelderítési és a GDPR adatvédelmi követelményeinek. Ezek a szoftverek úgy tudnak eleget tenni a GDPR adatminimalizálási és adatkezelési követelményeinek, hogy közben azonosíthatóan megőrzik azokat az adatokat, amelyek az amerikai ügyfelderítési eljárás lefolytatásához elengedhetetlenül szükségesek.

Sokan gondolhatják, hogy kiküszöbölhetik a problémát, ha a felhőben tárolják az adatokat, ezzel kibújhatnak a GDPR alól. A valóság ezzel szemben az, hogy a felhőben tárolt adatokat valójában szerverek tárolják, amelyek fizikailag akár az EU-ban is lehetnek, így nem kerülhető ki a GDPR követelményeinek való megfelelés. Az USA ügyfelderítési szabályozása alól sem lehet a GDPR-ra vagy a felhő alapú tárolásra hivatkozva kibújni, mivel a felhőben tárolt adatok a bizonyító fél birtokában, őrizetében, kezelésében lévő adatoknak minősülnek.

A GDPR 49. cikke ugyan lehetőséget biztosít az adatkezelő számára, hogy eltérjen az általános szabályoktól, ha követelését akarja az érintettel szemben érvényesíteni. de ez az eu-s jogalkotó szerint nem jelentheti a személyes adatok védelmének figyelmen kívül hagyását, ezért a GDPR által előírt adatminimalizálást, átlátható adatkezelést és a személyes adatok védelmére vonatkozó rendelkezéseket ebben az esetben is be kell tartani. Egyelőre még nem világos, hogy a GDPR ezen rendelkezése hogyan érinti az EU-n kívül a folyamatban lévő eljárásokat, hogyan kell azokat alkalmazni az EU-n kívüli, határokon átnyúló adatkezelésekre vagy adattovábbításokra.

A jogi eljárásokban való felhasználás és az adatvédelem együttes megvalósítása érdekében a szervezeteknek adatkezelési politikát kell kidolgozniuk. Eddig az eljárások és az adatvédelem alapvetően külön kezelendő jogterületek voltak, ma már azonban mindkét szabályozás figyelembe vétele szükséges ahhoz, hogy jogait az eljárásokban hatékonyan, ugyanakkor a személyes adatok védelmével összhangban tudjuk érvényesíteni. A közös cél a vállalatok által kezelt adatok azonosítása, megértése és hatékony kezelése. Ugyan a cégvezetés vagy a gazdasági vezetés felé nehezen indokolható, hogy miért vásároljuk adatelemző szoftvert, amiből látszólag nincs gazdasági haszon, de manapság már egyre több helyen van erre egy szervezeti közös pénzalap, amelyből ezek a szoftverek beszerezhetők.

A GDPR miatt előre kell gondolkodni, fel kell mérni, hogy az adott személyes adatot egy későbbi bírósági eljárásban vajon kell-e majd használni, illetve számolni kell az adatvédelmi kockázattal, ha külföldi adatokat kezelünk.

Napjainkban tehát elengedhetetlen, hogy az üzleti életben már kezdetektől figyelembe vegyük az adatvédelmi előírásokat, amikor az ügyfelek adatait tároljuk, kezeljük, feldolgozzuk, ezért ajánlott egy adatkezelési terv felállítása, és automatikus rendszerező programok használata.

(law.com)

---