Pajzsról páncélra kell váltaniuk a vállalatoknak

2010-ben a Facebook egyik adatvédelmi jogásza egy teremnyi unott joghallgatónak tartott előadást azt taglalva, hogy a vállalat hogyan kezeli a felhasználók adatait. Egyikük érdeklődését felcsigázta a téma és eldöntötte, hogy az egyetemi dolgozatát arról fogja írni, hogy a Facebook mennyire nincs tisztában az európai adatvédelmi szabályozásokkal. Ehhez kikérte a róla őrzött adatokat, amik nemcsak az összes általa likeolt oldalt és megbökött embert tartalmazták, de még a törölt üzeneteit is. Érezte, hogy ez így nem lesz jó, úgyhogy megírta a dolgozatát, nekiment a Facebooknak és mellékesen megreformálta az adatvédelmet.

Az egykori joghallgató, Maximillian Schrems már kettő, a nevével fémjelzett ítélettel büszkélkedhet, a legutóbbi egészen friss; idén júliusban hozta meg az Európai Unió Bírósága. A Schrems II. ítélet amellyel részleteiben foglalkozott már egy cikk az Arsbonin, kimondta az adatvédelmi pajzs érvénytelenségét. A pajzs megalkotásakor azt a feladatot szánták neki, hogy az Unióból Amerikába továbbított személyes adatok az óceánon túl is megfelelő védelmet kapjanak. Nagyon kényelmes megoldás volt, hiszen egy online adatbázisban ellenőrizhettük, hogy az adott vállalat beregisztrált-e az Egyesült Államok Kereskedelmi Minisztériumánál és ha megtaláltuk, igazából nem nagyon volt más teendő.

A Bíróság viszont megállapította, hogy a fennálló jogi keretek között ezek az adatok mégsem élveztek megfelelő védelmet, hiszen az USA hatóságai nemzetbiztonsági vagy honvédelmi indokkal gyakorlatilag korlátlanul hozzáférhettek. Ráadásul az Uniós polgároknak a bíróságok előtt nem volt lehetőségük a jogaik érvényesítésére az amerikai hatóságokkal szemben. Tehát az összes olyan adattovábbítás, amely a pajzs jogcímén történt, hirtelen elvesztette a jogalapját, az érintett cégek lábai alól pedig kicsúszott a talaj.

Van-e élet a Schrems II. után?

Az ítélet nem csak az Amerikába adatot továbbítók számára okoz fejfájást, ugyanis ez alapján minden, az EGT tagállamain kívüli országba történő adattovábbításnál vizsgálni kell a címzett által az adatoknak biztosított védelmet.

A cégek szerencsére nem maradtak opciók nélkül, bár gyorsan kell dönteniük, hiszen a Bíróság nem szabott ki türelmi időt. Választhatnak az SCC-k, a BCR-ok és a GDPR 49. cikke által nyújtott megoldások között. Azonban ez a három nem egyenértékű, mindenképp érdemes megfontolni a választást, mielőtt pánikszerűen rábökünk az egyikre.

 

Az SCC-ket, azaz általános adatvédelmi kikötéseket nem tépázta meg az ítélet, azokat továbbra is lehet adattovábbításra alkalmazni. Ez is a kényelmesebb megoldások között szerepel, akárcsak a pajzs, hiszen az alapját adó egységes minta dokumentumok közül csak ki kellett választani a megfelelőt, kitölteni, majd hozzácsatolni a mellékleteket. Ezek az Európai Bizottság által jóváhagyott általános szerződéses feltételek, amelyek az adattovábbító és a fogadó fél elfogadása után alkalmazhatóak is.  Célratörő és egyszerű módszer volt.

(Az első Schrems ítélet előtt a Facebook SCC-je mindössze két oldalt áldozott a nemzetközi adattovábbítás témájának.)

Miért a múlt idő? Mert a Schrems II ezen is csavart egyet, amikor kiemelte, hogy innentől kezdve az adatátadó és az adatátvevő feladata annak értékelése, hogy az érintett harmadik országban biztosítják-e a megkövetelt védelmi szintet (ami gyakorlatilag az uniós szinttel egyezik meg). Tehát az automatizmust felváltotta az adattovábbítást megelőző ellenőrzés, és a továbbítás felfüggesztése, ha kiderül, hogy a címzett nem felel meg a feltételeknek. Ez azzal jár együtt, hogy szükség lehet kiegészítő intézkedésekre és konkrét, eseti vizsgálatokra, ami némileg csökkenti a kényelem faktort. Illetve még várhatóak további iránymutatások ezzel kapcsolatban, úgyhogy valószínű, hogy a feltételrendszer hamarosan változni fog. Ennek ellenére a Facebook például átállt erre a megoldásra az ítéletet követően.

Ha valaki inkább másra hagyná a védelmi szint felülvizsgálatát, annak a BCR, azaz a kötelező erejű vállalati szabályozás jó alternatívának tűnhet. Ez gyakorlatilag egy belső szabályozás, amelyet egy vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja hoz létre. A nevéből is látszik, hogy kötelező erővel bír az adatkezelőkre és feldolgozókra, attól függetlenül, hogy az Unióban vagy egy harmadik ország területén találhatók. Tehát egységesíti a védelem szintjét és nemcsak névlegesen, hiszen kikényszeríthető a csoport tagjaitól és a munkavállalóktól is. Az SCC-vel szemben lényeges pozitívumot jelent, hogy a felügyeleti hatóság végzi a védelmi szint felmérését az engedélyeztetési eljárás során.

 A kötelező erejű vállalati szabályok leginkább az olyan nemzetközi felépítésű vállalatcsoportok számára lehetnek ideálisak, melyek működése komplex adatáramlásokkal jár együtt. A BCR hátránya azonban egyrészt a korábban említett pozitívuma is; a jóváhagyási eljárás, ami jelentős erőforrásokat és nem mellesleg időt is igényel. Ráadásul az adatvédelmi pajzs megszűnése után több érintett is e mellett döntött, így várható az engedélyezési eljárás lassulása is. Másrészt pedig például egy alvállalkozó bevonása esetén már nem működőképes ez a rendszer.

Mi történik a vállalatokkal, amik eddig a BCR-okra támaszkodtak?

Az Európai Adatvédelmi Testület egyértelművé tette, hogy a Schrems II. ítélet a BCR-okra is vonatkozik, de mit is jelent ez a gyakorlatban pontosan? Egyelőre úgy tűnik, hogy nem plusz tartalmat, de lehet, hogy egyéb garanciákra majd szükség lesz a megfeleléshez. Ezzel pedig pont az adattovábbítás gördülékenysége sérül.

Tekintve, hogy a BCR jóváhagyása hosszadalmas és költséges, a módszer elveszti a praktikusságát, ha mellette még esetenkénti analízist is kell végeznie a vállalatnak, hogy felmérje a védelmet. Ennek ellenére a Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján látható, hogy mennyi adatkezelő tette már le a voksát a módszer mellett.

A mágikus 49. cikk

Az ítélet szövege a GDPR 49. cikkére hivatkozik, mint eszközre, amivel el lehet kerülni az ítélet utáni joghézagot. Ez a cikk, ami talán az egyik legizgalmasabb része a rendeletnek, a különös helyzetekben biztosított eltérésekkel foglalkozik. Ez azonban csak akkor kínál további lehetőségeket az adattovábbításra, ha nincs vagy érvénytelen a megfelelőségi határozat (mint az ítélet miatt az USA felé) és nem érvényesülnek a 46. cikkbe foglalt garanciák (tehát például egy BCR), ahogy azt az erről készült iránymutatás is kihangsúlyozza.

A cikk többféle eltérést részletez, amely azonban talán a legrelevánsabb, az az érintettek hozzájárulásáról szóló pont.

Ez kiskaput nyújt a vállalatoknak ahhoz, hogy magánszemélyek adatait az USA-ba továbbítsák, de csakis akkor, ha ahhoz az érintettek előtte kifejezetten hozzájárultak.

Akkor hogyan is kell hozzájárulni?

Felmerülhet a kérdés, hogy az elvárt „kifejezett hozzájárulás” mennyivel több egy „sima” hozzájárulásnál. A rendelet egyik iránymutatása szerint az érintett hozzájárulást kifejező nyilatkozata megvalósulhat egy írásbeli nyilatkozattal vagy online kétlépcsős megerősítési keretek között, sőt akár még telefonon keresztül is (bár ez utóbbi a bizonyítás miatt nem javasolt). Tehát az nem elég, ha a magánszemély csak elfogadja, hogy az általános szerződési feltételek mindenre kiterjednek.

Ráadásul a hozzájárulásnak nem csak kifejezettnek, hanem önkéntesnek is kell lennie, illetve (és ez buktatót jelenthet) kellően részletes, előzetes tájékoztatáson kell alapulnia. Ez magával vonja, hogy a vállalatoknak kötelessége felhívni a magánszemélyek figyelmét arra az ijesztő tényre, hogy az adatok továbbítása után azok védelme nem feltétlenül biztosított. Marketing szempontból talán nem ez tűnik a legígéretesebb megoldásnak, de tényleges erőt ad a magánszemélynek ahhoz, hogy az adatairól rendelkezhessen és akár vissza is vonhassa a hozzájárulását.

A 49. cikk egyéb különös helyzeteket is megemlít az érintett hozzájárulásán túl. Szintén rendelkezik arról, amikor az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges, illetve ha az az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges. Ritkábban előforduló engedélyezett esetek, amikor az adattovábbítás fontos közérdekből vagy jogi igények előterjesztése, érvényesítése és védelme miatt szükséges.

Akkor is engedélyezi az adattovábbítást, ha az az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

Utolsó esetben pedig, ha a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető. Ez utóbbit azonban kizárólag akkor engedélyezi, ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

A fenti feltételek közül legalább az egyiknek teljesülnie kell, hogy ezt a cikket lehessen alkalmazni, kiegészülve a NAIH szerint egy, az adattovábbítás minden körülményére kiterjedő vizsgálattal, ami az adatkezelő feladatai közé tartozik.

Betölthető-e az ítélet utáni űr?

Mivel még várhatóak további iránymutatások az ítélet utáni adattovábbítási kérdésekre reagálva, nagyon nehéz jelenleg megmondani, hogy melyik módszer tudja majd teljeskörűen helyettesíteni az adatvédelmi pajzsot.

A 49. cikk alkalmazása azonban ideális megoldás lehet, ha nincsenek egyéb elérhető továbbítási mechanizmusok és természetesen, ha adottak a cikkben foglalt feltételek. Az eddig erre hagyatkozó vállalatok valószínűleg továbbra is tudják majd ezt alkalmazni kiegészítő rendelkezések és plusz garanciák nélkül. Ráadásul maga az ítélet is erre a cikkre hivatkozik, amikor megindokolja, hogy miért nem kell fenntartani a pajzs joghatásait.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.