Alapjaiban kell újraszabályozni az Egyesült Államokba irányuló adattovábbításokat
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az Európai Unió Bíróságának 2015. szeptember 23-án közzétett ítélete alapjaiban kérdőjelezi meg a személyes adatok külföldre történő továbbításának eddigi gyakorlatát.
Az uniós adatvédelmi irányelvvel összhangban Magyarországon az információs önrendelkezésről és az információszabadságról szóló törvény (a továbbiakban: „Info tv.”) rendelkezik a személyes adatok harmadik országba történő továbbításáról. Az Info. tv. értelmében személyes adat akkor továbbítható harmadik országba, ha ahhoz az érintett kifejezetten hozzájárult, vagy ha a személyes adatok kezelésének egyéb jogalapja fennáll és a célországban az adatvédelem megfelelő szintje biztosított – mondta el Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere.
Az adatvédelem megfelelő szintje akkor biztosított, ha kötelező szervezeti szabályozások vannak érvényben a továbbítás alanyaira vonatkozóan, illetve, ha a megfelelő védelmi szintet nemzetközi szerződés vagy az Európai Unió kötelező erejű jogi aktusa megállapítja. Az Európai Unió Bírósága most egy ilyen kötelező erejű aktus, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” (vagy, ahogy a köznyelvben ismertebb, „Safe Harbour”) adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, „Biztonságos Kikötő határozat” érvénytelenségét mondta ki. A döntés alapvetően érinti az Info tv. hatálya alá tartozó olyan adatkezelők tevékenységét, akik a Biztonságos Kikötő határozat alapján továbbítottak adatokat külföldi adatkezelőhöz, vagy a határozatra hivatkozva vették igénybe külföldi adatfeldolgozó szolgáltatásait.
Az Európai Unió Bíróságának ítélete a fentieken túl egyértelműen kimondja azt is: a nemzeti adatvédelmi hatóságok minden esetben vizsgálhatják, hogy adattovábbítás esetén a célország ténylegesen biztosítja-e az adatvédelem megfelelő szintjét. A tagállamok az Európai Unió Bírósága szerint akkor is rendelkeznek ezzel a hatáskörrel, ha az adatvédelem megfelelő szintjét a tárgyban az Európai Bizottság kötelező erejű jogi aktusa már megállapította.
A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) közleményben üdvözölte az uniós döntést, jelezve egyúttal, hogy alapjaiban kell újraszabályozni az Egyesült Államokba irányuló adattovábbításokat. A NAIH már jelenleg is kiemelten foglalkozik a kérdéssel, és az Európai Unió más tagállamaival egységesen alakítja majd ki az álláspontját a követendő gyakorlatról.
Tekintettel arra, hogy Magyarországról is számos adatkezelő továbbít személyes adatokat az Egyesült Államokba, vagy működik együtt az Egyesült Államokban tevékenykedő adatfeldolgozóval, az Európai Bíróság döntése számos gyakorlati kérdést és problémát felvet. Abban az esetben ugyanis, ha az adattovábbítás eddig a Biztonságos Kikötő határozat alapul vételével történt, az adatkezelőnek a jövőben más garanciát kell felmutatnia az adatvédelem megfelelő szintjének biztosítására, ha nem kívánja beszerezni minden érintett kifejezett hozzájárulását az adattovábbításhoz vagy adatfeldolgozáshoz.
Az adatkezelő és a harmadik országban tevékenykedő másik fél dönthetnek úgy, hogy az EU kötelező jogi aktusával elfogadott modellszerződéseket (általános szerződési feltételeket) alkalmazva szerződnek egymással. Multinacionális vállalat esetében továbbá a közelmúltban már Magyarországon is lehetővé vált a kötelező szervezeti szabályok (angolul „Binding Corporate Rules”) alkalmazása, amelyek azonban csak a vállalatcsoporton belül biztosítják az adatvédelem megfelelő szintjét.
A fentieken túl az adatkezelőnek a jogszerű adattovábbítási gyakorlat kialakításakor feltétlenül figyelembe kell majd vennie a NAIH jövőbeli útmutatásait, ajánlásait, illetve az esetleges jogszabályváltozásokat is – emelte ki Párkányi Rita ügyvéd.
