Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Szerzőnk szerint mindaddig, amíg az USA vonatkozó szabályai nem változnak, addig velük jogszerű „megerősített és tartós adatvédelmi mechanizmust” nem lehet kidolgozni.
Mi már korábban szóltunk – akár ezzel is kezdhetjük ezt a cikket, amelyben hírt adunk az Európai Bíróság legfrissebb döntéséről, amely – egyezően a korábbi cikkünkben leírt aggályokkal – érvényteleníti az EU-USA Adatvédelmi Pajzs megfelelőségéről szóló Bizottsági határozatot. A C‑311/18. számú ügyben 2020. július 16. napján meghozott ítélet főbb megállapításai rámutatnak arra, hogy az EU újra ugyanazokat a köröket futja, csakhogy végre jogszerűen továbbíthassanak adatot az USA-ba, de újra sikertelenül…
Az európai és az amerikai szemlélet az adatvédelmet illetően alapvetően eltér: az EU szinte indokolatlanul szigorú adatvédelmi szabályokat alkalmaz, míg az USA hatóságai nemzetbiztonsági, vagy honvédelmi indokkal szinte korlátlan adatgyűjtési jogosultságokkal rendelkeznek. Hatalmas tehát az eltérés már az alapvető megközelítésben is, mégis az élénk gazdasági kapcsolatok miatt ki kellett alakítani egy olyan keretrendszert, amelyben az uniós polgárok személyes adatainak az USA-ba történő továbbítása jogszerű lehet, hiszen a mindennapok alapvető gazdasági működéséhez ez ma már elengedhetetlen. Az első ilyen próbálkozást, az Európai Bizottság Safe Harbour határozatát a Facebook-ügyként ismertté vált Schrems-ítélettel az Európai Bíróság 2015-ben érvénytelenné nyilvánította. A rendszerrel több probléma is volt, leginkább az, hogy öntanúsításon alapult és így névleges volt, a jogrendszer pedig nem biztosította a megfelelő védelmi szintet hatékony jogorvoslat híján, így a Bíróság megsemmisítette azt. Ezután az EU és az USA rekord gyorsasággal, már 2016-ra tető alá hozott egy megállapodást egy hasonlóan öntanúsításon alapuló keretrendszerről, ez az Adatvédelmi Pajzs. A megállapodásról az Európai Bizottság gyorsan meghozott egy végrehajtási határozatot, amelyben megállapította, hogy „az Egyesült Államok megfelelő szintű védelmet biztosít az Unióból az Egyesült Államokbeli szervezetekhez továbbított személyes adatok tekintetében” és így újra – névleg – jogszerűen folyhatott a személyes adatok továbbítása az USA-ba.
Tavaly év végén a fent hivatkozott cikkünkben – sorra véve a most feltárt aggályokat – tettük fel a szkeptikus kérdést, hogy jutottunk-e előrébb az Adatvédelmi Pajzs bevezetésével, és most meg is kaptuk az Európai Bírósági választ: egyáltalán nem. Ahogy azt prognosztizáltuk, a rés túl széles volt a pajzson ahhoz, hogy a pajzs elássa védelmi funkcióját.
Amint arról már korábban írtunk, a megfelelő védelmi szint biztosítása a harmadik országba irányuló adattovábbítások alapfeltétele. Ezen jogi fogalom pontos jelentése a Schrems ítéletben került kidolgozásra, mely szerint a „megfelelő védelmi szint” az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet jelent. Ezen kiindulópont alapján nem meglepő, hogy az EUB arra jutott, hogy az USA-ban jelenleg sem biztosított ez a megfelelő védelmi szint.
Az EUB C‑311/18. számú ítéletében megállapításra került, hogy sem a Foreign Intelligence Surveillance Act (FISA) 702. cikke, sem az 12333. Elnöki Rendelet nem felel meg az arányosság elvéhez társított követelményeknek, és nem lehet úgy tekinteni, hogy az e rendelkezéseken alapuló megfigyelési programok a feltétlenül szükséges mértékre korlátozódnának, mivel az adatvédelmi pajzs szabályrendszere az érintett személyek jogai helyett a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít.
Ettől is nagyobb probléma, hogy egyik jogszabály sem biztosít az érintett személyeknek olyan jogokat, amelyek az amerikai hatóságokkal szemben érvényesíthetők lennének a bíróságok előtt, így e személyek nem rendelkeznek hatékony jogorvoslathoz való joggal. Bár az Adatvédelmi Pajzs egyik legfontosabb vívmánya az Adatvédelmi Pajzs Ombudsmanja intézményének bevezetése volt, de az ítélet most megállapította, hogy megkérdőjelezhető az ombudsmannak a végrehajtó hatalomtól való függetlensége. Az ítélet azt is rögzíti, hogy az USA nem teljesítette azon korábbi kötelezettségvállalását, miszerint a hírszerzési szervezeteinek orvosolnia kell a szabályok ombudsman által észlelt megsértését. Sőt, megállapításra került, hogy az ombudsmannak nincs felhatalmazása arra, hogy e szervezetekkel szemben kötelező erejű határozatokat hozzon, és nem tartalmaz olyan jogszabályi garanciákat sem, amelyekre az érintett személyek hivatkozhatnának. Ennélfogva az EUB szerint az ombudsmani mechanizmus nem biztosít megfelelő jogorvoslati lehetőséget.
Összességében az EUB ítélete szerint az Adatvédelmi Pajzs megfelelőségéről hozott Európai Bizottsági határozat teljes egészében érvénytelen, így mindazon adattovábbítás, amely mindeddig ezen a jogcímen történt – és valljuk be, ilyen volt az adattovábbítások döntő többsége –, egyik napról a másikra jogalapját vesztette. A Bíróság ítélete érdekes módon rögzíti, hogy a megsemmisített határozat nem teremt joghézagot, mivel a GDPR 49. cikke pontosan megállapítja, hogy ilyen esetekben milyen módon lehet adattovábbítást végezni. Tekintsük át a megmaradt jogalapokat.
Az ítélet szerint az adatkezelők a Bizottság által kialakított általános adatvédelmi kikötéseket (ÁSZF) a továbbiakban is alkalmazhatják az adattovábbítások jogszerűségének biztosítására, ezek érvénytelenségét nem állapította meg a Bíróság. Az ítélet azonban rámutat arra is, hogy a modell klauzulák alkalmazása esetén a harmadik ország védelmi szintjének vizsgálata nem történik meg, hiszen a felek csak megegyeznek, hogy a klauzulák biztosította adatvédelmi szabályok szerint járnak el, így azok önmagukban nem jelenthetnek elegendő eszközt a hatékony védelmére. Emiatt ezután lényegesen nagyobb felelősség terheli az adattovábbítókat abban, hogy az adott harmadik ország joga biztosítja-e az elvárt védelmi szintet. Az adattovábbítónak vizsgálnia kell a harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és a megállapításait szükség szerint tudnia kell igazolni is.
A másik lehetőség a GDPR 46. cikkben szabályozott ún. Kötelező erejű vállalati szabályok (BCR) bevezetése, amely egy olyan magatartási-kódex, amely alkalmazása esetén a nemzeti adatvédelmi hatóságok által jóváhagyott módon történik az adattovábbítás a harmadik országban működő vállalkozáscsoport-tag részére, további mennyiségi vagy jogi korlátozás, az érintett kifejezett hozzájárulása és más hatósági adminisztratív kötelezettség nélkül. Ezáltal saját cégstruktúrájára szabott mechanizmusok alapján, a vállalkozáscsoporton belül harmadik országba is jogszerűen továbbíthat személyes adatokat, megszüntetve ezzel a fentiekhez hasonló gazdasági, politikai kitettségét.
Utolsó lehetőségként a GDPR 49. cikkében szabályozott és az ítéletben is felhívott ún. Különös helyzetekben biztosított eltérések intézménye jelenthet átmeneti megoldást. Ennek keretében azonban kizárólag ideiglenes jelleggel történhet adattovábbítás, és a jogszerűséghez az adatkezelőknek igazolniuk kell, hogy nem áll rendelkezésre sem megfelelőségi határozat, sem más alkalmazható adattovábbítási mechanizmus.
Láthatjuk, hogy a kialakult helyzet aggályos, mivel egyik jogi eszköz sem alkalmas tömeges, vagy rendszeres műveletek biztosítására. Ebben a pillanatban is adattovábbítási műveletekkel milliónyi személyes adat kerül az USA-ba, és feltételezhető, hogy ezek a műveletek nem állnák ki a jogszerűség próbáját. Hiába kötik meg ugyanis a felek az ÁSZF klauzulát, ha az adatok ugyanúgy az USA-ba kerülnek továbbításra, ahol jogerős ítéletben megállapított módon nincs megfelelő védelmi szint biztosítva. Mindaddig tehát, amíg az USA jogrendszere a személyek jogai helyett a nemzetbiztonság érdekének elsőbbségére épít és mindaddig, amíg az uniós polgároknak nem biztosított a hatékony jogorvoslathoz való jog, addig az ÁSZF-en alapuló adattovábbítás meglehetősen aggályos. Ugyanígy a BCR sem jelent érdemi megoldást, mert bár itt a nemzeti adatvédelmi hatóság által jóváhagyott módon történne az adattovábbítás a harmadik országban működő vállalkozáscsoport-tag részére, de a fentiek ismeretében melyik nemzeti adatvédelmi hatóság fogadná el, hogy az USA-ba történő adattovábbítás során az adatkezelők mégis megfelelő védelmi szintet tudnak biztosítani? A kör bezárult.
A helyzet tehát nehezen megoldhatónak tűnik, ahogy ilyen volt az elmúlt évtizedben is. Feltehetőleg ismét az Európai Bizottság lesz az, amely megpróbál megoldást találni, amint az erről sietve kiadott közleményük is tanúskodik: „Az Európai Bizottság azonnal felveszi a kapcsolatot amerikai partnereivel, hogy közösen megerősített és tartós adatvédelmi mechanizmust dolgozzanak ki”.
Az már csak a saját véleményünk, hogy mindaddig, amíg az USA vonatkozó szabályai nem változnak, addig velük jogszerű „megerősített és tartós adatvédelmi mechanizmust” nem lehet kidolgozni.
