16 juillet 2020
In this month's C-311/18 (known as Schrems II) ruling, the Court of Justice of the European Union (CJEU) has raised significant obstacles to multinational corporations that transfer the personal data of European users to their servers in the US. The data protection experts of Taylor Wessing Budapest were the first to interpret the court's decision.
Jelentős akadályokat gördített az Európai Unió Bírósága (EUB) a mai C-311/18. számú, Schrems II. néven elhíresült döntésében azon multinacionális nagyvállalatok elé, amelyek az USA-ban található szervereikre továbbítják az európai adatalanyok személyes adatait. A Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői elsőként értelmezték a bírósági döntést.
Ilyen adattranszferre eddig a GDPR szerint akkor kerülhetett sor, ha az Európai Bizottság megfelelőségi határozatban elismerte, hogy az adott harmadik ország jogrendszere megfelelő (GDPR-ral egyenértékű) védelmi szintet biztosít. Ennek hiányában megfelelő garanciákat biztosító mechanizmusokra lehet támaszkodni. Az EUB részéről azonban ma a két leggyakrabban alkalmazott adattovábbítási módszer, a kizárólag EU-USA viszonylatban alkalmazható Privacy Shield (adatvédelmi pajzs) és a bármely harmadik országbeli transzferre vonatkozó ún. általános adatvédelmi kikötések (Standard Contractual Clauses - SCC) súlyos ütéseket kapott.
János Kopasz | a Taylor Wessing Budapest adatvédelmi szakértője.
2018-ban, a GDPR hatályba lépésének apropóján, Schrems újabb panaszt nyújtott be a Facebook ellen, mely szerinte rákényszeríti a felhasználókat az adatgyűjtési feltételeik elfogadására. Az ügy kapcsán az ír legfelsőbb bíróság előzetes döntéshozatalt kezdeményezett az EUB előtt. Ennek keretében került górcső alá a két leggyakoribb EGK-n kívüli adattovábbítási mechanizmus.
Az EUB a mai ítéletében megállapította, hogy a Safe Harbour utódja, a Privacy Shield sem nyújt megfelelő védelmet az európai adatalanyok személyes adatainak. Az USA-ban ugyanis továbbra is elsőbbséget élveznek a nemzetbiztonsági megfontolások és a titkosszolgálati megfigyelések esetén nem biztosított a GDPR által megkövetelt célhoz kötöttség, adattakarékosság és a szükségesség.
Bár az SCC megfelelőségét megállapító Európai Bizottsági döntés továbbra is érvényes, a mai döntés ugyanúgy fejfájást okozhat a harmadik országokba irányuló adattovábbítást alkalmazó, és e tekintetben az SCC-re támaszkodó feleknek. Az EUB ugyanis a mai döntésében lényegében felhatalmazást adott a nemzeti adatvédelmi hatóságoknak arra, hogy a szerződésben kikötött SCC ellenére megtiltsa az ilyen adattranszfereket, ha úgy találja, hogy a harmadik országbeli adatimportáló a gyakorlatban nem tud megfelelni ezeknek a klauzuláknak.
Dániel Ódor | a Taylor Wessing Budapest adatvédelmi csoportjának vezető partnere.
Available in Hungarian
Available in Hungarian
par Dániel Ódor, MRICS et Kinga Harza