A mai naptól életbe lépett az EU-USA adatvédelmi pajzsa. A VJT & Partners szakértője szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről. Milyen lépéseket kell tenniük az érintett magyar cégeknek?
A transzatlanti adatáramlás új keretéről szóló adatvédelmi pajzs 2016. augusztus 1-én végre hivatalosan is életbe lépett. A hír üdvözlendő, de vajon mennyire lesz a pajzs életképes? Kiállja-e majd az Európai Bíróság próbáját?
A VJT & Partners szakértője, dr. Várady Endre szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről.
A Schrems vs. Facebook-ügy
A VJT & Partners szakértői korábbi írásukban ismertették az osztrák jogász, Max Schrems Facebook ellen indított perét, melynek következményeképpen az Európai Bíróság kimondta a biztonságos kikötő (Safe Harbour) érvénytelenségét.
Az indoklás szerint az USA hatóságai hozzáférhettek az EU-ból továbbított személyes adatokhoz, és azokat nem a nemzetbiztonság védelméhez feltétlenül szükséges és arányos módon kezelték.
A több százmilliárdnyi dollár értékű transzatlanti forgalom érdekében az EU és az USA komoly tárgyalásokba bocsátkozott. Most elérkezett a régóta várt pillanat: hosszas egyeztetés után 2016. augusztus 1-én végre hivatalosan is életbe lép az adatvédelmi pajzs (Privacy Shield), a transzatlanti adatáramlás új keretéről szóló megállapodás.
Hogyan működik az adatvédelmi pajzs?
Az Európai Unió területéről csak azoknak az amerikai vállalatoknak továbbítható személyes adat, akik szerepelnek az adatvédelmi pajzs listáján. A vállalatok akkor kerülnek fel az adatvédelmi pajzs listára, ha önkéntesen vállalják a rendszer adatvédelmi alapelveire vonatkozó szabályozás maradéktalan betartását.
Az Egyesült Államok Kereskedelmi Minisztériuma rendszeresen felülvizsgálja a résztvevő cégeket, így annak ellenére, hogy a rendszer önkéntes alapon működik, a szabályok betartása jogilag kikényszeríthető. Abban az esetben, ha a vállalatok nem teljesítik az elvárt követelményeket, szankciókat rónak ki rájuk és eltávolítják őket a listáról.
Az adatvédelmi pajzs kétségkívül fontos előrelépés a biztonságos kikötőhöz képest. A hírszerzés céljából történő nagy mennyiségű adatgyűjtés korlátozva lett, az uniós polgárok jogi védelemben részesülnek az USA-ban (így például Európa adatvédelmi hatóságaihoz fordulhatnak, akik az USA illetékes hatóságaival együtt kivizsgálják az ügyet).
Ezen túl kidolgozásra kerültek megfelelő felülvizsgálati és kikényszeríthetőségi mechanizmusok is – fejtette ki dr. Várady Endre.
Mit hoz a jövő?
A jelentős előrelépések ellenére az adatvédelmi pajzs túlélése kétséges. Az adatvédelmi pajzs nem biztos, hogy kiállja az Európai Bíróság próbáját, hiszen a rendszer továbbra is lehetővé teszi az uniós állampolgárok tömeges megfigyelését. Maga Max Schrems, a Facebook per megindítója ennek kapcsán kijelentette, hogy az új szabályrendszer is meg fog bukni, amint eléri az EU bíróságot.
Az adatvédelmi pajzs életbe lép, de a bizonytalanság továbbra is fennáll. A magyar cégeknek azonban haladéktalanul lépniük kell az USA-ba történő adattovábbítások legalizálása" érdekében.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.
Mit tegyen a cégem?
Az érintett magyar cégeknek haladéktalanul lépniük kell az USA-ba történő adattovábbítások legalizálása" érdekében. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.
Mit tehetünk ebben a bizonytalan helyzetben? Több megoldás is lehetséges:
Az adatvédelmi pajzs lista ellenőrzése – Ha az érintett amerikai cég a listán szerepel, akkor nincs ok aggodalomra, mivel az adatvédelmi pajzs egyenlőre érvényes jogi keretnek minősül. Hosszú távon azonban érdemes más alternatív megoldásokban is gondolkodni, mivel a szakértő kritikusok szerint az adatvédelmi pajzs a biztonságos kikötő sorsára juthat.
Kötelező szervezeti szabályozás (Binding Corporate Rules (BCR)) alkalmazása – A BCR tűnik most a leginkább biztos adatvédelmi megoldásnak. Ez a modell azonban csak a vállalatcsoporton belüli adattovábbításokra alkalmas, külső cégek esetén nem. A BCR a kötelező tagállami jóváhagyás miatt ugyanakkor költséges és időigényes megoldás.
Modell szerződés (Standard Contracual Clauses (SCC)) megkötése – A biztonságos kikötő bedőlése után sok nemzetközi cég (így a Facebook is) az EU Bizottság által előre kidolgozott SCC-re tért át, mivel ezt a szerződésformát viszonylag gyorsan lehetett alkalmazni. A SCC azonban nem minden üzleti modellre alkalmas, mivel a szerződést minden adattovábbító és fogadó félnek alá kell írnia. Ez különösen hátrányos a dinamikus, sokszereplős cégcsoportok esetében, ahol a tagok gyakran változnak.
A Modell szerződés ellen szól továbbá, hogy Max Schrems ismét nehezményezte a Facebook adatkezelési gyakorlatát az ír adatvédelmi hatóság előtt. Ezúttal azt állítja, hogy a Facebook az SCC-re sem támaszkodhat, mert az amerikai hírszerzés itt is ugyanúgy tömegesen vizsgálja az európaiak személyes adatait. Az ügy valószínűleg az Európai Bíróság elé fog kerülni, így az SCC is a biztonságos kikötő sorsára juthat.
Hozzájárulás beszerzése – Az érintettek kifejezett hozzájárulásának beszerzése esetén elvileg nem kell további jogalap az USA-ba történő adattovábbításhoz. A hozzájárulás azonban csak akkor érvényes, ha az megfelelő előzetes tájékoztatáson alapul. A NAIH egyre szigorúbb gyakorlata tükrében ennek jelenleg kevés cég felel meg.
Összegzés
A magyar vállalatok nincsenek könnyű
helyzetben, hiszen a jelenlegi ingatag transzatlanti
környezetben komoly kihívást jelent a
megbízható és tartós mechanizmusok
megteremtése.
A cégeknek ezért javasolt adatvédelmi
jogászok véleményét kikérni,
akik az adatkezelések sajátosságai
alapján segíthetnek a testre szabott
megoldások kialakításában –
hívta fel végül a figyelmet a VJT & Partners
szakértője.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
