In this month's C-311/18 (known as Schrems II) ruling, the Court of Justice of the European Union (CJEU) has raised significant obstacles to multinational corporations that transfer the personal data of European users to their servers in the US. The data protection experts of Taylor Wessing Budapest were the first to interpret the court's decision.
Újra kísért a GDPR – Az EUB elkaszálta a Privacy Shield-et, hogyan tovább az amerikai adattovábbításokkal?
Jelentős akadályokat gördített az Európai Unió Bírósága (EUB) a mai C-311/18. számú, Schrems II. néven elhíresült döntésében azon multinacionális nagyvállalatok elé, amelyek az USA-ban található szervereikre továbbítják az európai adatalanyok személyes adatait. A Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői elsőként értelmezték a bírósági döntést.
Ilyen adattranszferre eddig a GDPR szerint akkor kerülhetett sor, ha az Európai Bizottság megfelelőségi határozatban elismerte, hogy az adott harmadik ország jogrendszere megfelelő (GDPR-ral egyenértékű) védelmi szintet biztosít. Ennek hiányában megfelelő garanciákat biztosító mechanizmusokra lehet támaszkodni. Az EUB részéről azonban ma a két leggyakrabban alkalmazott adattovábbítási módszer, a kizárólag EU-USA viszonylatban alkalmazható Privacy Shield (adatvédelmi pajzs) és a bármely harmadik országbeli transzferre vonatkozó ún. általános adatvédelmi kikötések (Standard Contractual Clauses - SCC) súlyos ütéseket kapott.
Az ügy előzményei Max Schremshez, egy osztrák adatvédelmi aktivistához köthetők, aki korábban már alapjaiban megrengette az EU-n kívülre történő adattovábbítások rendszerét. Schrems 2013-ban az Európában írországi központtal üzemelő Facebook ellen nyújtott be panaszt az Európai Adatvédelmi Biztoshoz, mert a Facebook amerikai szervereken tárolta az európai felhasználók személyes adatait is, amelyekhez az amerikai titkosszolgálati szervek szabadon hozzáférhettek. Ezt az első csatát 2015-ben megnyerte, mivel az EUB érvénytelenné nyilvánította a Privacy Shield elődjének tekinthető Safe Harbour programot”
János Kopasz | a Taylor Wessing Budapest adatvédelmi szakértője.
2018-ban, a GDPR hatályba lépésének apropóján, Schrems újabb panaszt nyújtott be a Facebook ellen, mely szerinte rákényszeríti a felhasználókat az adatgyűjtési feltételeik elfogadására. Az ügy kapcsán az ír legfelsőbb bíróság előzetes döntéshozatalt kezdeményezett az EUB előtt. Ennek keretében került górcső alá a két leggyakoribb EGK-n kívüli adattovábbítási mechanizmus.
Az EUB a mai ítéletében megállapította, hogy a Safe Harbour utódja, a Privacy Shield sem nyújt megfelelő védelmet az európai adatalanyok személyes adatainak. Az USA-ban ugyanis továbbra is elsőbbséget élveznek a nemzetbiztonsági megfontolások és a titkosszolgálati megfigyelések esetén nem biztosított a GDPR által megkövetelt célhoz kötöttség, adattakarékosság és a szükségesség.
Bár az SCC megfelelőségét megállapító Európai Bizottsági döntés továbbra is érvényes, a mai döntés ugyanúgy fejfájást okozhat a harmadik országokba irányuló adattovábbítást alkalmazó, és e tekintetben az SCC-re támaszkodó feleknek. Az EUB ugyanis a mai döntésében lényegében felhatalmazást adott a nemzeti adatvédelmi hatóságoknak arra, hogy a szerződésben kikötött SCC ellenére megtiltsa az ilyen adattranszfereket, ha úgy találja, hogy a harmadik országbeli adatimportáló a gyakorlatban nem tud megfelelni ezeknek a klauzuláknak.
Ez főleg az USA-ba adatokat továbbító cégeknek jelenthet problémát. Az eddig az adatvédelmi pajzsot alkalmazóknak új adattovábbítási megoldások után kell nézniük, vagy a komplett adatkezelésüket Európába kell áthelyezniük. Ha az USA-ba történő adattranszfer szükséges, az SCC marad az egyetlen reális út, de ez is kockázatos, mert folyamatosan fennáll a veszélye annak, hogy valamelyik európai adatvédelmi hatóság megálljt parancsol majd az adattovábbításnak”
Dániel Ódor | a Taylor Wessing Budapest adatvédelmi csoportjának vezető partnere.