Szerző: Dr. Ivanics Krisztina
Azt gondolom, hogy a GDPR fejezetek közül igazi csemege a nemzetközi adattovábbításra vonatkozó rész (V. fejezet), ami kifejezetten ínyenceknek ajánlott. Ebben a cikkben megpróbálom összefoglalni azokat a nemzetközi eseményeket, amelyek ebből a fejezetből erednek és aktívan tartják az adatvédelmi szakértői közösséget.
A nemzetközi adattranszferek esetében leggyakrabban alkalmazott két megoldást vizsgálom bővebben a következőkben, mivel a legújabb fejlemények ezeket illetik. A Privacy Shield kerül egyéni górcsövem alá az Általános Szerződéses Feltételek (Standard Contractual Clauses, SCC) mellett, finoman érintve, de nem kibontva számos egyéb témát.
Az SCC minta dokumentumokat hosszú évekkel ezelőtt dolgozta ki a Bizottság (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en), és véleményem szerint értelmezhetetlenül általánosra sikerültek. Eddig az volt az alapvetés, hogy csupán a megfelelő SCC kiválasztásával, mellékletének kitöltésével és a szerződés megkötésével a felek eleget tettek a GDPR nemzetközi adatátadásra vonatkozó elvárásainak. Az SCC törzsszövegből és mellékletből áll, ám a törzsszöveghez nyúlni nem szabad, különben elveszíti érvényességét, ezért az üzlet számára csupán az a lehetőség maradt hátra, hogy a mellékletbe tegye bele mindazt, amit relevánsnak ítélt meg az adott adattranszfer tekintetében. Jellemzően nem szorgoskodtak a cégek a dokumentumok testre szabásával. Ékes példa a dokumentum rendkívül általános szintjére a Schrems I. ügyiratai között ma is fellehető Facebook SCC, amely csupán két oldalban részletezte a FB által végzett nemzetközi adattovábbításokkal érintett adatok körét, adatkezelés célját, adatkezelési műveleteket, stb.
Még az irányelv hatálya alatt dolgozta ki az Európai Unió Bizottsága és az USA az un. Safe Harbour megállapodást, ami hosszú évekig jogilag biztonságos keretet adott az EU-ból az USA-ba történő adatexport és ottani adatfelhasználás számára. A Safe Harbour rendszer gyakorlatilag ön-minősítésen alapuló rendszer volt, amikor az adott USA cégek maguk dönthették el, hogy megfelelnek-e az elfogadott alapelveknek, és ha igen, elhelyezhették a Safe Harbour jelzést weboldalukon, szolgáltatásukon, jelezvén, hogy ők jogszerű keretek között használják az adatokat. Valójában semmilyen tényleges előzetes ellenőrzés nem képezte részét a rendszernek és csak néha-néha hallottunk esetekről, amikor kiderült, hogy a magukat biztonságosként, jogszerűen eljáróként feltüntető cégek nem tökéletesen feleltek ennek meg.
Amikor megszületett a Schrems I. döntés (2015. október), egy pillanatra a világ megfagyott és komolyan elkezdett mindenki azon töprengeni, hogyan tovább? Az európai adatvédelmi hatóságok azonnal türelmi időt hirdettek, mondván, az új helyzetet intézményi szinten kell megoldani. Ekkor munkába lendült az EU Bizottsága, tárgyalt USA-beli partner szervezeteivel és nyélbe ütötték 2016 júliusára a Privacy Shield elnevezésű megállapodást. A Privacy Shield átláthatóbb elvek mentén került kialakításra, mint a korábbi Safe Harbour, de a minősítés, rendszerbe való bekerülés logikája változatlan maradt, mert elsősorban a cégek saját megítélésén alapult. A helyzet ingatagságát mégsem ez okozta, hanem egy sokkal magasabb szintű konfliktus, amit Max Schrems a dokumentum elfogadásának első pillanatától hirdetett.
A Schrems II. néven elhíresült ítéletében az Európai Unió Bírósága 2020. július 16-án kimondta – többek között – a Privacy Shield érvénytelenségét, mert nem látja biztosítottnak a személyes adatok védelmét az USA adott jogi keretei között. Egyrészt nevesített egyes, adatvédelmi ön-korlátozásokat nem tartalmazó nemzetbiztonsági jogköröket rögzítő jogszabályokat (pl. Section 702 FISA and EO 12333), amelyek szinte korlátlan hozzáférést engednek/biztosítanak bármely, USA bűnmegelőzési joga alá eső vállalkozás birtokában lévő adatokhoz. Másrészt az EU állampolgárok jogorvoslathoz való jog teljes hiányát rója fel az EUB. Számos szakcikk elolvasása után arra a következtetésre jutottam, hogy ember nincs, aki ma meg tudná mondani, hogy milyen USA szerveknek, milyen célból, milyen adatokhoz, milyen módon, stb. van hozzáférése akár az EU polgárainak adatait illetően.
A Privacy Shield érvénytelenítésével azonnal megszűnt az a helyzet, amikor örömmel nyugtáztuk, hogy nincs további teendőnk, ha a https://www.privacyshield.gov/ oldal adatbázisában megtaláltuk a leendő USA szolgáltató szerződéses partner adott szolgáltatását. A döntést követően a Privacy Shield és az azon alapuló nemzetközi adattovábbítás egy csapásra a múlt részévé vált.
AZ EUB ugyanakkor nem hagyta teljesen eszköztelenül a nemzetközi adattovábbítással érintett cégeket, mert azt is kimondta, hogy az Általános Szerződéses Feltételek (Standard Contractual Clauses, SCCs) viszont érvényben maradnak. Tulajdonképpen ez a lehetőség maradt az egyetlen valódi eszköz a legtöbb vállalkozás számára, mivel a Kötelező Vállalati Szabályok (Binding Corporate Rules – BCRs) kizárólag cégcsoportok esetén jelenthet – költséges és bonyolult – megoldást.
Az EUB az SCC egyszerű, „copy- paste” alkalmazhatóságán is csavart egyet, mondván, hogy az SCC is csak akkor töltheti be a GPDR szerinti szerepét, ha a célország jogrendjében az adatvédelem lényegében az EU-ban (és a GDPR-ban) biztosított szinten létezik. Az EUB akként vizionálta a feladatot, hogy az SCC megkötése előtt a felek (adatátadó/importőr és adatátvevő/exportőr) case-by-case megvizsgálják az egyes adatátadási eseteket, eldöntik, hogy az adott adatkezelésre vonatkozik-e olyan szabály az adott célországban (különösen a közhatalmi szervek vonatkozásában), amely nem megfelelő a GDPR-ral összevetve, pl. a hatóságok és bíróságok adatokhoz való hozzáférése hogyan valósulhat meg? A vizsgálat szempontrendszere emellett magánszemély fókuszú is, ezért azt is figyelembe kell venni, hogy az egyén számára állnak-e rendelkezésre megfelelő biztosítékok, érvényesíthető jogok és valódi jogorvoslatot biztosító eszközök? A feltárást követően, a GDPR védelmi szintjéhez képest fennálló hiányosságok, ellentmondások esetén a feleknek szerződéses keretek között kell rendezniük a hiányosságokat, ellentmondásokat, amennyiben lehetséges, megfelelő biztosítékok kidolgozásával. Gyakorlatilag a vizsgálat jelentős része a risk assessment-en túl arra kell, hogy fókuszáljon, hogy vajon az USA importőr cég a bűnmegelőzési rezsim alá tartozik-e és ha igen, mikor, hogyan szál vitába az adott hatósággal az adatok védelme érdekében. Természetesen, ügyelni kell arra is, hogy az így kialakított szerződéses „védelmi” vagy kiegészítő biztosítékok az adott jogrend keretei között valóban az elvárt cél tudják szolgálni és ne csak üres klauzulák maradjanak. Ha a felek nem találnak megoldást, akkor a nemzetközi adattovábbítás nem tud jogszerűen megvalósulni, ezért azt fel kell függeszteni vagy be kell szüntetni, vagy ha mégis folytatni kívánják, akkor jelenteni kell az adatvédelmi hatóság felé, vállalva a következményeket.
Gyakran alkalmazták cégek azt az alternatívát, hogy USA szolgáltató EU-ban elhelyezett szerverein tárolták az adataikat és kizárólag ott tartózkodó kollégák fértek hozzájuk, elkerülve ezáltal az adatok nemzetközi mozgását. Ez a megoldás azonban „üres biztosítékká” vált 2018 nyarán, amikor megszületett a CLOUD Act. Ezzel a jogszabállyal az USA nemzetbiztonsági szerveinek közvetlen hozzáférése nyílt meg bármely USA szolgáltató nem USA-ban elhelyezett szerverein tárolt ügyféladatokhoz. (Ez anno a híres Microsoft ügy „lezárásaként” született meg (https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States). Ez a törvény pont a holland szerverparkok biztonságába vetett hitet semmisítette meg, mert adott esetben az ott tárolt e-mail fiókban lévő levelezést is ki kellett adnia a szolgáltatónak a hatóság felé. Tehát a lehetséges kiegészítő biztosítékok között biztosan hátrébb sorolandó az EU szerver park, mint „safe harbour”.
Bizonyos értelemben hasznos ötlettel ált elő a napokban (2020. szeptember 8.) a svájci adatvédelmi hatóság, amikor (a Svájc – USA Privacy Shield érvénytelenítése mellett) azt tanácsolja a vállalkozások számára, hogy USA szolgáltatók EU (felhő) tárhelyeit úgy használják, hogy vigyék a saját titkosító kulcsukat vagy titkosítási megoldásukat (bring-your-own-key (BYOK), bring-your-own-encryption (BYOE). Nem mondja ki, de világos, hogy a CLOUD-ra kívántak választ adni. A svájci döntéshozó is hozzáteszi, hogy amennyiben ez a megoldás nem működik és/vagy a szerződéses biztosítékokkal együtt sem biztosított a személyes adatok megfelelő védelme, akkor az adattovábbítás nem támogatott az adott ország felé.
Az EUB ítélet után a piac néhány napig várta, hogy türelmi időt hirdessenek a hatóságok, de ehelyett az Európai Adatvédelmi Testület (European Data Protection Board, EDPB) iránymutatása jelent meg (2020. július 23.) a leggyakoribb kérdésekről, értelmezve az ítélet kulcsgondolatit. https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en
A dokumentum vége felé, amikor már az izgalmasabb részek következnek, az egyik fejezet címe a „kiegészítő biztosítékok” fordulatot viseli. Sajnos, a szöveg üres, a dokumentum írásakor az EDPB-nek sem volt annyi muníciója, hogy ötleteket adjon a piac számára jogi, technológiai vagy szervezeti kiegészítő intézkedésekre abban az esetben, ha az exportőr országa nem biztosít megfelelő védelmet (tehát az összes USA cég által nyújtott szolgáltatásra).
További fejlemény, hogy 2020. szeptember 4-én az EDPB bejelentette, két szakbizottságot is felállítanak a Schrems II. ítéletet követően, amelyek közül az egyik kifejezetten az ígért kiegészítő megoldások kidolgozására hivatott a piaci vállalkozások támogatása érdekében. Azt gondolom, hogy ez egy nagyon jó irány, mert sem az EU-ban, sem az USA-ban nincs olyan tanácsadó, aki pontosan és az elvárt szinten meg tudná fogalmazni a kiegészítő intézkedések csokrát vagy akár néhányat is közülük. Az sem lett volna üdvözítő megoldás, ha az EU adatvédelmi hatóságai egyenként adnak ki iránymutatásokat ezekre az intézkedésekre, mert globális szolgáltatásokról van szó, amelyekre globális válaszokat kell adni. Azt ígérik, hogy hamarosan előállnak az ötleteikkel, amelyet természetesen mi, jellemzően jogkövető, most azonban bizonytalan és a jogszerűtlenség szélére sodort vállalkozások nagyon várunk. Természetesen, az EDPB hangsúlyozza, hogy bármi is szülessék, senki nem fogja megúszni a valódi munkát, mert nem „dobozos” terméket fognak legyártatni és igenis mindenkinek végig kell majd mennie a saját vizsgálati, megoldás-keresési folyamatán.
A másik szakbizottság feladata nem kevésbé érdekes, mert az ő feladata lesz egységes válaszok, megállapítások és eljárások kidolgozása a Max Schrems, és az általa képviselt szervezet (None of Your Business, NOYB) 2020. augusztus 17-én 101 online vállalkozás ellen tett feljelentése miatt a különböző EU adatvédelmi hatóságoknál indult eljárásokban. Ezek azok a sajtóból is ismert ügyek, amelyek az indexet, időképet és a 24.hu-t érintik, mert továbbra is alkalmazzák a Facebook Connect-et és/vagy Googly Analytics-et, azaz az EUB döntés után is nemzetközi adattovábbítást folytatnak, immár jogellenesen. A magyar online szolgáltatók ügye az osztrák hatóság előtt van. A keresetek szerelmeseinek ajánlom: https://noyb.eu/en/eu-us-transfers-complaint-overview. A szakbizottság létrejötte és munkája igen fontos lépés abban a tekintetben, hogy az egyes EU adatvédelmi hatóságok ne maguk állítsák fel az USA-ba történő adattovábbítások (többé vagy kevésbé szigorú) feltételeit, hanem egységes, EU szintű elvárások fogalmazódjanak meg.
Az EU adatvédelmi hatóságoknak az EUB ítélet után „csőre töltött” puska van a kezében, amit talán használni is fognak, ha úgy ítélik meg, hogy jogellenes adatátadás került a látókörükbe. Szeptember elején épp ennek jegyében az ír hatóság küldött egy megkeresést a Facebooknak felhívva a figyelmét arra, hogy az SCC nem képez megfelelő jogalapot a továbbiakban a kiegészítő biztosítékok hiánya miatt és a jogellenes adattovábbítás megszüntetésére hívta fel a címzettet. Ez volt az első alkalom, amikor a Facebook fontos döntéshozóinak megemelkedett a szemöldöke és elkezdték komolyan venni az EU-ban folyó hatósági, bírósági eljárások (potenciális) következményeit. A hónap feléig kaptak határidőt véleményük kifejtésére, amelyet további hatósági lépések követhetnek, akár további hatóságok bevonása mellett. Egyes elemzők szerint arra a pontra jutott a helyzet, amikor akár a Facebook lobbi erejének köszönhetően az USA jogszabályai változhatnak, akár a Facebook létezhet EU és USA verzióban, megfelelve a jogi elvárásoknak.
Finnországban az Adatvédelmi Hatóság „piackutatást” tart, aminek keretében szeptember elején levélben keresett meg cégeket az USA-ba történő adattovábbításokról érdeklődve. A hatóság tudni szeretné, hogy a még folyamatban lévő adatátadások a Privacy Shield-en vagy SCC-n alapulnak, milyen kiegészítő biztosítékokat alakítottak ki a cégek és mit vár a piac a helyi hatóságtól?
Nagyon nehéz összegzést adni ennyi esemény és fejlemény tükrében.
A wait and see minden bizonnyal a vállalkozások igen jelentős részénél alkalmazható, mivel annál sokkal többet nem nagyon lehet tenni, mint várni az EDPB szakbizottság iránymutatását az SCC kiegészítő biztosítékokról vagy az EU Bizottság új SCC szövegeit (amelyeket karácsonyi ajándéknak ígérnek) vagy beszerezni ügyes titkosító szoftvereket, amit sokan a pillanatnyilag egyetlen üdvözítő megoldásként látnak.
Az biztosan nem jó eljárás, ha USA szolgáltatók nyomásának eleget téve alávetjük magunkat az általuk javasolt SCC-nek, anélkül, hogy elvégeznénk a kockázatelemzést és/vagy a kiegészítő intézkedések kialakítását.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.