ARTICLE
26 January 2018

Életbe Lépett az EU-USA Adatvédelmi Pajzsa

A mai naptól életbe lépett az EU-USA adatvédelmi pajzsa. A VJT & Partners szakértője szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről.
Hungary Privacy

A mai naptól életbe lépett az EU-USA adatvédelmi pajzsa. A VJT & Partners szakértője szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről. Milyen lépéseket kell tenniük az érintett magyar cégeknek?

A transzatlanti adatáramlás új keretéről szóló adatvédelmi pajzs 2016. augusztus 1-én végre hivatalosan is életbe lépett. A hír üdvözlendő, de vajon mennyire lesz a pajzs életképes? Kiállja-e majd az Európai Bíróság próbáját?

A VJT & Partners szakértője, dr. Várady Endre szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről.

A Schrems vs. Facebook-ügy

A VJT & Partners szakértői korábbi írásukban ismertették az osztrák jogász, Max Schrems Facebook ellen indított perét, melynek következményeképpen az Európai Bíróság kimondta a biztonságos kikötő (Safe Harbour) érvénytelenségét.

Az indoklás szerint az USA hatóságai hozzáférhettek az EU-ból továbbított személyes adatokhoz, és azokat nem a nemzetbiztonság védelméhez feltétlenül szükséges és arányos módon kezelték.

A több százmilliárdnyi dollár értékű transzatlanti forgalom érdekében az EU és az USA komoly tárgyalásokba bocsátkozott. Most elérkezett a régóta várt pillanat: hosszas egyeztetés után 2016. augusztus 1-én végre hivatalosan is életbe lép az adatvédelmi pajzs (Privacy Shield), a transzatlanti adatáramlás új keretéről szóló megállapodás.

Hogyan működik az adatvédelmi pajzs?

Az Európai Unió területéről csak azoknak az amerikai vállalatoknak továbbítható személyes adat, akik szerepelnek az adatvédelmi pajzs listáján. A vállalatok akkor kerülnek fel az adatvédelmi pajzs listára, ha önkéntesen vállalják a rendszer adatvédelmi alapelveire vonatkozó szabályozás maradéktalan betartását.

Az Egyesült Államok Kereskedelmi Minisztériuma rendszeresen felülvizsgálja a résztvevő cégeket, így annak ellenére, hogy a rendszer önkéntes alapon működik, a szabályok betartása jogilag kikényszeríthető. Abban az esetben, ha a vállalatok nem teljesítik az elvárt követelményeket, szankciókat rónak ki rájuk és eltávolítják őket a listáról.

Az adatvédelmi pajzs kétségkívül fontos előrelépés a biztonságos kikötőhöz képest. A hírszerzés céljából történő nagy mennyiségű adatgyűjtés korlátozva lett, az uniós polgárok jogi védelemben részesülnek az USA-ban (így például Európa adatvédelmi hatóságaihoz fordulhatnak, akik az USA illetékes hatóságaival együtt kivizsgálják az ügyet).

Ezen túl kidolgozásra kerültek megfelelő felülvizsgálati és kikényszeríthetőségi mechanizmusok is – fejtette ki dr. Várady Endre.

Mit hoz a jövő?

A jelentős előrelépések ellenére az adatvédelmi pajzs túlélése kétséges. Az adatvédelmi pajzs nem biztos, hogy kiállja az Európai Bíróság próbáját, hiszen a rendszer továbbra is lehetővé teszi az uniós állampolgárok tömeges megfigyelését. Maga Max Schrems, a Facebook per megindítója ennek kapcsán kijelentette, hogy az új szabályrendszer is meg fog bukni, amint eléri az EU bíróságot.

Az adatvédelmi pajzs életbe lép, de a bizonytalanság továbbra is fennáll. A magyar cégeknek azonban haladéktalanul lépniük kell az USA-ba történő adattovábbítások legalizálása" érdekében.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.

Mit tegyen a cégem?

Az érintett magyar cégeknek haladéktalanul lépniük kell az USA-ba történő adattovábbítások legalizálása" érdekében. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.

Mit tehetünk ebben a bizonytalan helyzetben? Több megoldás is lehetséges:

Az adatvédelmi pajzs lista ellenőrzése – Ha az érintett amerikai cég a listán szerepel, akkor nincs ok aggodalomra, mivel az adatvédelmi pajzs egyenlőre érvényes jogi keretnek minősül. Hosszú távon azonban érdemes más alternatív megoldásokban is gondolkodni, mivel a szakértő kritikusok szerint az adatvédelmi pajzs a biztonságos kikötő sorsára juthat.

Kötelező szervezeti szabályozás (Binding Corporate Rules (BCR)) alkalmazása – A BCR tűnik most a leginkább biztos adatvédelmi megoldásnak. Ez a modell azonban csak a vállalatcsoporton belüli adattovábbításokra alkalmas, külső cégek esetén nem. A BCR a kötelező tagállami jóváhagyás miatt ugyanakkor költséges és időigényes megoldás.

Modell szerződés (Standard Contracual Clauses (SCC)) megkötése – A biztonságos kikötő bedőlése után sok nemzetközi cég (így a Facebook is) az EU Bizottság által előre kidolgozott SCC-re tért át, mivel ezt a szerződésformát viszonylag gyorsan lehetett alkalmazni. A SCC azonban nem minden üzleti modellre alkalmas, mivel a szerződést minden adattovábbító és fogadó félnek alá kell írnia. Ez különösen hátrányos a dinamikus, sokszereplős cégcsoportok esetében, ahol a tagok gyakran változnak.

A Modell szerződés ellen szól továbbá, hogy Max Schrems ismét nehezményezte a Facebook adatkezelési gyakorlatát az ír adatvédelmi hatóság előtt. Ezúttal azt állítja, hogy a Facebook az SCC-re sem támaszkodhat, mert az amerikai hírszerzés itt is ugyanúgy tömegesen vizsgálja az európaiak személyes adatait. Az ügy valószínűleg az Európai Bíróság elé fog kerülni, így az SCC is a biztonságos kikötő sorsára juthat.

Hozzájárulás beszerzése – Az érintettek kifejezett hozzájárulásának beszerzése esetén elvileg nem kell további jogalap az USA-ba történő adattovábbításhoz. A hozzájárulás azonban csak akkor érvényes, ha az megfelelő előzetes tájékoztatáson alapul. A NAIH egyre szigorúbb gyakorlata tükrében ennek jelenleg kevés cég felel meg.

Összegzés

A magyar vállalatok nincsenek könnyű helyzetben, hiszen a jelenlegi ingatag transzatlanti környezetben komoly kihívást jelent a megbízható és tartós mechanizmusok megteremtése.
A cégeknek ezért javasolt adatvédelmi jogászok véleményét kikérni, akik az adatkezelések sajátosságai alapján segíthetnek a testre szabott megoldások kialakításában – hívta fel végül a figyelmet a VJT & Partners szakértője.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More