Harmadik országnak minősül az EU területén kívül elhelyezkedő valamennyi ország.

A GDPR 44. cikke előírja, hogy személyes adatok harmadik országba történő továbbítása során mind az adattovábbítást végrehajtó adatkezelőnek, mind az adatokat fogadó adatkezelőnek vagy adatfeldolgozónak legalább a GDPR-ban meghatározott adatvédelem szintjét kell garantálnia. Több döntés is született a harmadik országba történő adattovábbítások kapcsán a GDPR 2018-as alkalmazandóvá válása óta, melyekben az Európai Unió Bírósága, illetve nemzeti adatvédelmi hatóságok bírálták el az eljárások tárgyát képező adattovábbítási gyakorlat.

1. Az új adatvédelmi keretrendszer

Az USA és az Európai Bizottság 2022. márciusában különállóan közzétett közleményben nyilvánította ki, hogy egy új transzatlanti adatvédelmi keretrendszer kialakítása mellett kötelezte el magát, amelynek alapvető célja a jelenlegi adatvédelmi jogi aggályok orvoslása. A keretrendszer legfontosabb feladata, hogy újrateremtse az Európai Unióból az Egyesült Államokba történő adattovábbítás jogi mechanizmusait, illetve garanciális szabályait. Az Egyesült Államok az egyelőre elvi megállapodás értelmében kötelezettséget vállal, hogy az állami szervek által végzett hírszerzési tevékenység kiterjedése szükséges és arányos legyen a meghatározott nemzetbiztonsági célok elérésével. Ennek megfelelően bizonyos korlátokat állít a magánszemélyek jogaira, szabadságaira és magánszférájára vonatkozóan, ami biztosítani fogja az Európai Unióból továbbított személyes adatok védelmét, ezen felül pedig jogorvoslati lehetőséget biztosít az érintettek számára abban az esetben, ha bebizonyosodik, hogy jogszerűtlenül váltak az amerikai hírszerzési tevékenységet folytató állami ügynökségek „célpontjává”.

Az Egyesült Államok szerint az új keretrendszer biztosítja például, hogy a hírszerzési céllal végzett adatgyűjtés csak akkor megengedett, hogyha az jogos nemzetbiztonsági érdekek és célok előmozdításához szükséges, és nem érintheti aránytalan mértékben az egyének magánéletet és a polgári szabadságjogok védelmét. Ezen felül az EU állampolgárai jogorvoslatért folyamodhatnak egy új, többszintű jogorvoslati fórumhoz, amely magában foglal egy független adatvédelmi felülvizsgálati bíróságot, mely teljes hatáskörrel rendelkezik a panaszok elbírálására és szükség esetén korrekciós intézkedések elrendelésére is. További pontként fogalmazza meg az Egyesült Államok, hogy az új adatvédelmi és polgári szabadságjogokat érintő rendelkezések érvényesülése feletti hatékony felügyelet biztosítása érdekében az amerikai hírszerző ügynökségek új eljárásokat vezetnek be. Az amerikai szervezeteknek és vállalatoknak pedig tanúsítania kell majd az Egyesült Államok Kereskedelmi Minisztériumának, hogy az új keretrendszerben foglalt alapelveket betartják.

2. Az új adatvédelmi keretrendszer megteremtésének szüksége és háttere, előzményei

Az Amerikai Egyesült Államok és az Európai Unió közötti adattovábbítások kapcsán egészen az Európai Unió Bíróságának 2020. július 16-án hozott ítéletéig (Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems, a továbbiakban: „Schrems II-ítélet”) az ún. adatvédelmi pajzs („Privacy Shield) volt alkalmazandó, amely az ebben részt vevő szervezetek kötelezettségeit és az egyének személyes adatainak felhasználásával kapcsolatos jogait tartalmazta és amely az Európai Bizottság határozata alapján garantálta a megfelelő szintű védelmet. A Schrems II-ítéletben az Európai Unió Bírósága kimondta az adatvédelmi pajzsról szóló határozat érvénytelenségét, mivel úgy ítélte meg hogy az Egyesült Államok jogrendszere és különösen olyan, az egyének megfigyelésére alkalmas programok alkalmazása az amerikai szervezetek és vállalatok által, melyek az amerikai jog szerint lehetővé teszik, hogy a nemzeti hatóságok hozzáférjenek az Európai Unióból továbbított személyes adatokhoz nemzetbiztonsági célokból, a személyes adatok védelmének sérülését eredményezik, nem biztosított a GDPR-ban foglalt adatvédelmi követelményeknek megfelelő biztonsági szint a transzatlanti adattovábbítások során. Különösen aggályosnak ítélte az Európai Unió Bírósága továbbá, hogy az adatvédelmi pajzs keretében nem volt biztosított az Európai Unió állampolgárai számára a bírósághoz vagy egyéb illetékes hatósághoz fordulás joga.

Mivel a globalizáció eredményeképpen az EU és az USA szoros gazdasági kötelékeket ápol, a személyes adatok továbbítása elkerülhetetlen és szükséges a kereskedelmi kapcsolatok fenntartásához és különösen a digitális szolgáltatások igénybevételéhez. Számos tranzakcióhoz személyes adatokat kell megadnunk, erre a legkézenfekvőbb példa internetes megrendelés leadása webshopban. Emellett meg kell említenünk a különböző közösségi oldalak használatát is, melyek használata esetén személyes adataink szintén amerikai szerverekre kerülhetnek.

A fenti példák alapján összefoglalóan megállapítható, hogy rendkívül aggályos annak ténye és tudata, hogy előfordulhat, hogy egy tevékenységét az Európai Unión belül végző adatkezelő megfelelő biztonsági garanciák hiányában továbbítja személyes adatainkat, majd azok az Egyesült Államokban kerülnek felhasználásra, ahol a jogszabályok nem tiltják, hogy adott esetben állami szervek korlátozás nélkül hozzáférjenek azokhoz, nem beszélve akár jelentős érdeksérelmet okozó adatvédelmi incidensek bekövetkezéséről.

3. Schrems első kritikája

Max Schrems az Egyesült Államok és az Európai Bizottság által közzétett közleményekre fejezte ki első kritikus reakcióit. Többek között hangsúlyozza, hogy csupán egy „elvi megállapodást” („political announcement”) tartalmaznak a közzétett közlemények, melyek konkrét kidolgozott rendelkezéseket nem tartalmaznak. Inkább politikai nyilatkozatnak tekinti és e körben kiemeli, hogy ilyen már 2015-ben és a továbbiak során is született, melyet jogi kötőerővel nem ruháztak fel, így akár kijelenthető, hogy „harmadik alkalommal kezdődik ugyanaz a játék”. Schrems továbbá nyilvánvalónak tartja, hogy ez az elvi megállapodás szimbolikus jelentőséggel bír, amelyet az Európai Bizottság elnöke, Ursula von der Leyen fontosnak tartott, de a brüsszeli szakértők körében nincs támogatottsága a közleményeknek, mivel az Egyesült Államok eddig nem hozott érdemi intézkedést, így előrelépés nem történt.

4. Észrevételeink

A nemzetközi „elvi megállapodások” vagy politikai jellegű nyilatkozatok és megállapodások vonatkozásában általánosan megállapítható, hogy hosszas két- vagy többoldalú tárgyalásokat, egyeztetési folyamatokat igényelnek, így jelenleg nem előre látható, hogy az Egyesült Államok és az Európai Bizottság által közzétett közlemények nyomán mikor fog jogi kötőerővel bíró megállapodás születni. Alapvetően azzal szembesülünk, hogy két merőben eltérő általános jogelvekkel, jogi hagyományokkal rendelkező entitás törekszik megállapodni olyan kérdésekben, melyek mély gyökerekkel rendelkező jogintézmények és eltérő értelmezésben megjelenő szabadságjogok összehangolását, módosítását igényelné annak érdekében, hogy az Európai Unió oldaláról teljesen aggálymentes és egységes adatvédelmi jog és gyakorlat kerülhessen megteremtésre.

További időt igényel a tárgyalások és egyeztetések lefolytatásán kívül az az Egyesült Államok által megfogalmazott és vállalt kötelezettség, hogy az amerikai szervezetek és vállalatok addig nem lehetnek részesei az új adatvédelmi keretrendszernek, amíg azt el nem fogadják, illetőleg az erre kijelölt szervnek megfelelőségüket tanúsítják. Ennek megvalósítása az elkötelezett szervezetek és vállalatok számára hosszú hónapokat vehet igénybe.

Összefoglalóan megállapítható, hogy az elvi megállapodásnak hosszú utat kell bejárnia, amire jogi kötőerővel bíró megállapodás keletkezik belőle.

Amennyiben kérdése van az adatvédelem témakörében, vagy szüksége van adatkezelési és adatvédelmi tanácsadás szolgáltatásunkra, keressen a lenti elérhetőségeink egyikén:

Miklós Péter – adatvédelmi jogász

Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu