EGT-n kívüli adattovábbítások – mire érdemes figyelni a hatósági gyakorlat alapján?


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR alapján egy európai szervezet vagy vállalat (mint adatátadó) csak abban az esetben továbbíthat személyes adatokat az Európai Gazdasági Térségen („EGT”) kívüli országban található partnerének, illetve tárolhat személyes adatokat EGT-n kívüli szolgáltatónál, ha az adatátadás, illetve az adathozzáférés során megfelelő garanciák biztosítják a személyes adatok védelmét. Cikkünkben bemutatjuk, hogy a megfelelő garanciák jellegével kapcsolatban az EU adatvédelmi hatóságai hogyan értelmezik a GDPR rendelkezéseit. Mivel a GDPR az EU minden országában irányadó, a külföldi hatóságok megállapításait – NAIH iránymutatás hiányában – a magyarországi adatátadóknak is érdemes figyelembe venniük.

1. Az EGT-n kívüli adattovábbítások jogszabályi háttere

Ha az Európai Bizottság az adott EGT-n kívüli országról úgynevezett „megfelelőségi határozatban” nem állapítja meg, hogy jogszabályai a GDPR-hoz hasonló szintű védelmi szintet biztosítanak a személyes adatoknak (ilyen ország például az Egyesült Királyság, Dél-Korea vagy Izrael), akkor az adatmegosztás során az adatátadó saját maga kell gondoskodjon a megfelelő garanciákról. Vállalatcsoporton kívüli adattovábbítások esetén jelenleg az egyetlen alkalmazható garancia, ha az adatátadó és az adatátvevő az Európai Bizottság által 2021. június 4-én újonnan kibocsátott általános adattovábbítási szerződési feltételeket (standard contractual clauses a továbbiakban: „SCC”) kötnek.

1.1. Új kötelezettségek az SCC-ben

Az új SCC az Európai Adatvédelmi Testület (a továbbiakban: „EDPB”) 01/2020 és 02/2020 számú ajánlásai alapján további, a GDPR-ban eredetileg nem szereplő intézkedéseket ír elő az adatátadók számára. A legfontosabb, hogy az adatátadóknak „adattovábbítási kockázatértékelés” formájában értékelniük kell azoknak a feltételeknek a megvalósulását, amelyek mellett a GDPR-nak megfelelő módon továbbíthatnak személyes adatokat az EGT-n kívülre. A kockázatértékelés során kiemelt figyelmet kell fordítani a célország jogszabályainak vizsgálatára – ez az Európai Unió Bíróságának (a továbbiakban: „EUB”) 2020. július 16-i, úgynevezett „Schrems II” ítéletét követően vált alapkövetelménnyé. Ebben az ítéletben az EUB az Amerikai Egyesült Államok (a továbbiakban: „USA”) Külföldi Hírszerzési Megfigyelési Törvényéről (Foreign Intelligence Surveillance Act – a továbbiakban: „FISA”) állapította meg, hogy nem felel meg az uniós jogban az arányosság elvéhez társított minimális követelményeknek, ezért az SCC használatán túl az adatátadóknak további kiegészítő intézkedéseket kell megvalósítaniuk, hogy az adattovábbítás során biztosítsák a GDPR által elvárt megfelelő garanciákat.

1.2. Kiegészítő intézkedések elfogadása az adattovábbítással kapcsolatban

A fent említett kiegészítő intézkedéseket az SCC mellett tehát akkor kell megvalósítani, ha az adattovábbítási kockázatértékelés alapján az adatátadó megállapítja, hogy a továbbított személyes adatokat nem illeti meg az EU szabályozásával lényegében megegyező védelem. Ezek az intézkedések lehetnek szerződéses, szervezési és technikai intézkedések. Technikai intézkedés például az adatok titkosítása vagy álnevesítése, szerződéses vagy szervezési intézkedés például a hatóságok általi adatokhoz való hozzáférés átláthatóságának biztosítása, „hátsó ajtók” és a titkosító kulcs átadásával kapcsolatos kötelezettségek tilalma, valamint megerősített audit és érintetti jogok biztosítása.

GDPR

2. Az EGT-n kívüli adattovábbításokkal kapcsolatos hatósági gyakorlat

A fent említett kiegészítő intézkedéseket rögzíteni kell az SCC-ben – a gyakorlati nehézség azonban az, hogy egyelőre kevés és nem igazán konkrét iránymutatás áll rendelkezésre az adatvédelmi hatóságok részéről azzal kapcsolatban, hogy milyen intézkedéseket fogadnak el megfelelőnek. Az alábbiakban összefoglaljuk az elmúlt év legfontosabb hatósági megállapításait, amik hasznos kiindulópontul szolgálhatnak a kiegészítő intézkedések kialakítása során.

2.1. Tilos a MailChimp és a Cloudfare használata

Az EDPB ajánlásainak kibocsátását követően az első jelentős, EGT-n kívüli adattovábbításokkal kapcsolatos döntést a bajor adatvédelmi hatóság hozta meg. A hatóság jogszerűtlennek találta, hogy egy müncheni székhelyű képes újság, a FOGS Magazin a MailChimp nevű népszerű hírlevélküldő szolgáltatást használta. A szolgáltatás igénybevételéhez a címzettek e-mailcímeit továbbítani kellett a MailChimp üzemeltetője számára, melynek során a GDPR által elvárt megfelelő garanciákat a MailChimp által használt SCC biztosította. A hatóság véleménye szerint azonban az SCC megkötése önmagában még nem elég, mivel a MailChimp a már említett FISA alapján elektronikus hírközlési szolgáltatónak minősül, így az általa tárolt e-mail címekhez hozzáférhetnek az illetékes amerikai hatóságok. (A MailChimp nyilvánosan elérhető, 2019-re vonatkozó, úgynevezett „átláthatósági jelentése” szerint mintegy 15 alkalommal kapott is ilyen hatósági megkeresést.) Emiatt a kockázat miatt a FOGS Magazinnak fel kellett volna mérnie, hogy szükség van-e további biztonsági intézkedésekre annak megakadályozása érdekében, hogy az amerikai hatóságok hozzáférjenek a továbbított adatokhoz. Bírság kiszabására nem került sor, mivel hírlevelek kiküldése mindössze két alkalommal történt meg, és a hatóság felhívását követően a vállalkozás felhagyott a MailChimp további használatával.

Hasonló aggályok miatt a portugál adatvédelmi hatóság megtiltotta a portugál statisztikai intézet (INE) számára, hogy a 2021-es népszámlálás keretében több mint 6,5 millió személyről gyűjtött adatok tárolására a Cloudflare, Inc. nevű kaliforniai cég felhőszolgáltatását vegye igénybe.

A MailChimp és a Cloudfare ugyanakkor széles körben elterjedt szolgáltatások, amelyek használatával kapcsolatban korábban nem merültek fel hatósági aggályok, így a gyakorlatban nehéz lehet elfogadtatni az adatátadókkal, hogy mostantól alternatív szolgáltatást kell keresniük, hiszen egy átlagos vállalkozás nincs abban a tárgyalási pozícióban, hogy az SCC-n túl további kiegészítő intézkedéseket fogadtasson el egy MailChimp-hez vagy Cloudfare-hez hasonló szolgáltatást nyújtó vállalattal.

2.2. Többletfeladatok a Google Fonts használata során

Egy müncheni bíróság 2022. január 20-i ítéletében a Google Fonts használatának a jogszerűségét vizsgálta. A Google Fonts segítségével egyszerűen és ingyenesen helyezhetők el honlapokon, Android és iOS alkalmazások felületén előre meghatározott betűtípusok. A weboldalak üzemeltetői választhatnak, hogy a weboldal megjelenítéséhez felhasznált betűtípust a saját szerverükön, vagy a Google szerverein tárolják. Ha utóbbi lehetőséget választják, a weboldaluk látogatóinak IP-címét meg kell osztaniuk a Google-el. A bíróság megállapította, hogy látogatót nem lehet kötelezni az adattovábbítás elfogadására, valamint alternatív megoldásként biztosítani kell a betűtípusok helyi szerveren való tárolását. Ezen túlmenően az ítélet a panaszos információs önrendelkezési jogának megsértése miatt 100 EUR kártérítést állapított meg. Kérdés, hogy a gyakorlatban mennyiben tudnak a vállalkozások megfelelni az ítéletben meghatározott szempontoknak. A weboldal tartalma ugyanis nem töltődhet be addig, amíg a látogató nem fogadja el, vagy utasítja el a Google Fonts használatát, az utóbbi esetre pedig rendelkezésre kell állnia egy tartalék betűtípusnak a weboldal Google Fonts nélküli megjelenítésére. Ez kettős terhet ró a fejlesztőkre a weboldal optimalizálása szempontjából, és a weboldal forgalmát is visszavetheti.

2.3. A Google Analytics tiltása

A Google Analytics segít az alkalmazások és webhelyek üzemeltetőinek megérteni, hogy a felhasználók hogyan használják webhelyeiket és alkalmazásaikat – például egy online újság melyik rovatának van a legtöbb olvasója, vagy egy online áruház esetében milyen gyakran lépnek ki a vásárlók a választott termékek megvásárlása nélkül. Az osztrák adatvédelmi hatóság 2021. december 22-én hozott döntése értelmében a Google Analytics használata során nem elég kizárólag a Google online elérhető SCC-jét elfogadni, hanem kiegészítő szerződéses, technikai és szervezési intézkedések is szükségesek. A hatóság a Google Inc. által vállalt intézkedéseket (például: átláthatósági jelentés közzététele, a felhasználók értesítése a hatósági adatkérésekről) nem találta megfelelőnek. A döntés csak az adattovábbítás jogellenességét állapította meg, egyéb intézkedést nem hozott, mert a weboldal üzemeltetéséért való felelősséget az eljárás során egy müncheni székhelyű német társaság vette át. A gyakorlatban a hatóság döntése azt jelenti, hogy a vállalkozások nem használhatják a Google Analytics-et, a döntés ugyanis nem tartalmaz iránymutatást azzal kapcsolatban, hogy egyébként milyen intézkedések lehetnek megfelelőek a kapcsolódó adattovábbítás során.

2.4. A titkosítás megfelelő intézkedés lehet

Vannak azonban esetek, amikor a bíróságok az EGT-n kívüli felhőszolgáltató által alkalmazott kiegészítő intézkedéseket megfelelőnek nyilvánították. A francia legfelsőbb közigazgatási bíróság szerint a COVID-19 oltással kapcsolatos időpontfoglalások és a kapcsolódó személyazonosító adatok AWS szervereken való tárolása nem ellentétes a GDPR rendelkezéseivel. Ugyan fennállt a lehetősége annak, hogy az USA kormányzati szervei hozzáférést kérjenek a személyes adatokhoz, de az AWS szerverein tárolt adatokat titkosították, így sem harmadik fél, sem maga az AWS nem tudott azokhoz hozzáférni – a titkosítási kulcsok egy, az adatkezelő által megbízott, megbízható harmadik fél ellenőrzése alatt álltak.

A belga legfelsőbb közigazgatási bíróság 2021. augusztusában szintén megerősítette, hogy az SCC használata mellett a titkosítás megfelelő kiegészítő intézkedés, ha az adatkezelő a titkosítási kulcsot ellenőrzése alatt tartja. A bíróság az alapul fekvő ügyben azt vizsgálta, hogy a flamand hatóságok az állami nyilvántartásokban kezelt személyes adatokat jogszerűen tárolják-e az AWS szerverein.

3. Összefoglaló

A fenti hatósági döntések alapján, amennyiben a magyarországi adatátadók továbbra is adatokat szeretnének továbbítani az EGT-n kívüli partnereik számára, illetve igénybe akarják venni személyes adatok kezelésével járó szolgáltatásaikat, fokozottan figyelniük kell az adatvédelmi megfelelés egyes lépéseire. Ilyen különösen az adattovábbítási kockázatértékelés elvégzése, valamint az SCC használata mellett a kiegészítő szerződéses, technikai és szervezési intézkedések szükségességének ellenőrzése. Kiemelt figyelemmel kell eljárni a MailChimp, valamint az egyes Google eszközök használata során, mert ezekkel kapcsolatban az egyes európai országok adatvédelmi hatóságai már megállapítottak hiányosságokat.

külföldi adattovábbítás




Kapcsolódó cikkek

2024. november 19.

Több mint sportjog

A legendás professzorra emlékeztek a VI. Sárközy Tamás Sportjogi Konferencián.