Az EUB-hoz tizenegy kérdést nyújtott be az ír High Court. Az EUB szabadon átfogalmazhatta a kérdéseket, és csak néhány kérdéssel foglalkozhatott. Ez a GYIK egyszerű áttekintést ad az ítéletről és a megválaszolt kérdésekről. A legfontosabb kérdésekkel foglalkozik, amelyek az embereknek és a vállalkozásoknak az EUB ítéletével kapcsolatban felmerülhetnek.
(I) Az ügy tárgya
Milyen EU-USA adattovábbításokat nem érint ez az ügy?
Egyszerűbben fogalmazva: a személyes adatok "szükséges" továbbítása nem érintett.
Ez az ügy elsősorban a személyes adatok feldolgozásának önkéntes "kiszervezését" érinti az Egyesült Államokba.
Az ügy nem érinti: (1) a nem "személyes adatoknak" minősülő adatokat; és (2) az Egyesült Államokba irányuló "szükséges" adattovábbításokat (pl. e-mailek az USA-ba, foglalások az USA-ban stb.) - a legtöbb esetben ezek az adattovábbítások a GDPR 49. cikkében foglalt "mentességet" élveznek.
Ez az eset tehát nem jelenti azt, hogy az EU-ból nem lehet e-maileket vagy üzeneteket küldeni az USA-ba. Minden olyan állítás, amely ezt sugallja, egyszerűen helytelen.
Ennek ellenére sok uniós vállalatnak továbbra is felül kell vizsgálnia kiszervezési gyakorlatát, ha személyes adatait amerikai szolgáltatók dolgozzák fel. Az ilyen adatok amerikai címzettjeinek is hasonló felülvizsgálatot kell végezniük, ha a vonatkozó amerikai megfigyelési törvények, például a FISA 702. számú törvény alapján kötelezettségek vonatkoznak rájuk.
Mi a különbség a feldolgozás "kiszervezése" és a feltétlenül "szükséges" adattovábbítás között az USA-ba, beleértve az e-mailek küldését, a szállodai foglalásokat vagy az üzleti tranzakciókat?
"Szükséges" adattovábbítás: A legtöbb esetben, amikor az adatokat az USA-ba kell továbbítani (pl. szállodafoglalás, e-mail küldése valakinek az USA-ban, az EU és az USA közötti szokásos üzleti tranzakciók stb.), a GDPR 49. cikkében foglalt mentességek ("eltérések") alkalmazandók. Az ilyen típusú adattovábbítások az adattovábbításhoz használt egyéb jogi eszközök, például a szabványos szerződési feltételek (SCC), az adatvédelmi pajzs vagy a kötelező erejű vállalati szabályok (BCR) érvényességétől függetlenül megengedettek.
Kiszervezés: A kiszervezés azt jelenti, hogy a személyes adatokat csak azért tárolják az Egyesült Államokban, mert egyszerűbb, olcsóbb vagy praktikusabb azokat egy amerikai szolgáltatónál tárolni, mint Európában, még akkor is, ha az adatokat technikailag az EU/EGT-n belül is lehetne tárolni. Itt általában nincs általános mentesség ("eltérés") a GDPR 49. cikke alapján az adatok USA-ba történő továbbítására. Helyette olyan jogi eszközt kell alkalmazni, mint az SCC, a Privacy Shield vagy a BCR, de ezeket az eszközöket az EUB bizonyos helyzetekben érvénytelennek vagy használhatatlannak nyilváníthatja. Ma a Privacy Shieldet érvénytelennek nyilvánították. Ezen túlmenően az SCC-ket nem használhatják a Facebook és más amerikai vállalatok, amelyek amerikai felügyelet alá tartoznak.
Ez az ügy az USA-n kívüli országokba történő adattovábbításokra vonatkozik?
Az ügy közvetlenül nem érint ilyen adattovábbításokat.
Az ügynek azonban közvetett következményei vannak. A vállalatoknak az eddigieknél sokkal alaposabban kell majd felülvizsgálniuk az EU-n kívüli országokban nyújtott védelem tényleges szintjét. Az SCC-k tekintetében például a felügyeleti jogszabályokkal való ütközés ugyanolyan fontos az olyan országok jogszabályai tekintetében, mint Kína vagy Oroszország.
(II) A fogyasztókat érintő következmények
Az EU/EGT fogyasztók továbbra is közvetlenül használhatják az amerikai (vagy más harmadik országbeli) szolgáltatásokat?
A legpraktikusabban fogalmazva, a felhasználók tudatosan küldhetik saját személyes adataikat közvetlenül egy harmadik országba, például egy kínai weboldal használata esetén.
Más személyek (pl. barátok, kollégák) adatait azonban nem lehet közvetlenül megosztani egy amerikai szolgáltatóval, kivéve, ha az érintettek szabadon adott, konkrét, tájékozott és egyértelmű beleegyezését adták ehhez.
Az EU-/EGT-felhasználók továbbra is használhatják az amerikai (vagy más harmadik országbeli) szolgáltatásokat közvetve (egy uniós leányvállalaton keresztül)?
Sok esetben az EU/EGT-felhasználók egy amerikai vállalat uniós leányvállalatával kötnek szerződést. Ilyen például a Google Ireland, a Facebook Ireland, a Microsoft Luxembourg vagy az Amazon Luxembourg.
Ezekben az esetekben az uniós vállalatok felelősek azért, hogy a személyes adatok USA-ba irányuló "vállalaton belüli" áramlása megfeleljen a GDPR-nak. A vállalatoknak mostantól alaposan meg kell vizsgálniuk minden ilyen adatáramlást, és azt, hogy az adatokat Európában vagy más, jobb adatvédelmi védelmet biztosító országban kell-e tárolniuk, ahelyett, hogy az USA-ba továbbítanák egy olyan vállalatnak, amely az amerikai felügyelet alatt követi őket.
(III) Következmények a vállalatok számára
Az EU-/EGT-vállalatok továbbra is végezhetnek-e "szükséges" személyes adatok továbbítását az USA-ba?
A legtöbb esetben igen: Igen.
A GDPR 49. cikke tartalmaz egy listát az ilyen adattovábbításokat lehetővé tevő "eltérésekről". Ez általában az USA-ban működő vállalkozásoktól történő megrendelésekre, az amerikai szállodákban történő foglalásokra, az USA-ba irányuló e-mailek küldésére és általában minden olyan szolgáltatásnyújtásra vonatkozik, amelyhez logikusan szükség van EU-USA adattovábbításra. Az ilyen adattovábbítások nem képezik az ügy részét, és az ítélet nem érinti őket.
Folytathatják-e az EU-/EGT-vállalatok a személyes adatok feldolgozásának "kiszervezését" az USA-ba?
A legtöbb esetben igen: Valószínűleg nem.
A leggyakrabban használt amerikai adatfeldolgozók az amerikai megfigyelési törvények, például a FISA 702-es törvény hatálya alá is tartoznak, amelyek előírják számukra, hogy megfelelő védelem nélkül adjanak át személyes adatokat az amerikai kormánynak. Az ilyen kötelezettségek hatálya alá tartozó adatfeldolgozóknak történő adattovábbítás az EUB megállapítása szerint sérti a GDPR-t.
Továbbra is kiszervezhetik-e az EU/EGT-vállalatok a személyes adatok feldolgozását az Egyesült Államokon kívüli más országokba?
Igen, ha az adott országban nincsenek ellentétes jogszabályok.
Az ügy nem változtatja meg a GDPR adattovábbításra vonatkozó szabályait. Ahogy korábban is, minden uniós vállalatnak ellenőriznie kell, hogy vannak-e olyan jogszabályok egy harmadik országban, amelyek felülírhatják az uniós adatvédelmi jogszabályokat. Ilyen esetekben a személyes adatok nem adhatók ki az adott harmadik országba.
Ha például a személyes adatok feldolgozását kiszervezik A országba, az uniós adatkezelőnek biztosítania kell, hogy a címzett rendelkezik a szükséges intézkedésekkel, de azt is, hogy nincs olyan ellentétes jogszabály, amely A országban alkalmazandó és felülírja ezeket az intézkedéseket.
Mostantól minden adattovábbítás tilos az EU-ból/ EGT-ből az USA-ba?
Nem, egyáltalán nem - két okból:
- A legtöbb adattovábbítás nem "személyes adatokat", hanem valamilyen más adatformát tartalmaz. Az ilyen adattovábbításokat még a GDPR sem szabályozza.
- A személyes adatok "szükséges" adattovábbításainak többsége (pl. egy e-mail, egy üzenet vagy egy szállodai foglalás elküldésekor) továbbra is a 49. cikkben foglalt mentesség hatálya alá tartozik. Ezek az adattovábbítások az ítélet után is folytatódhatnak, és az ítélet nem érinti őket.
Az ügy az uniós adatok valamennyi amerikai címzettjét érinti?
Nem. csak azokra a vállalatokra vonatkozik, amelyek az USA megfigyelési törvényeinek hatálya alá tartoznak, vagy azokra a vállalatokra, amelyek olyan szolgáltatókat vesznek igénybe, amelyek ezen amerikai megfigyelési törvények hatálya alá tartoznak.
A FISA 702 például csak az "elektronikus hírközlési szolgáltatókra" vonatkozik. Az olyan iparágak, mint a bankok, légitársaságok, szállodák, hajózási társaságok, árueladások és hasonlók általában nem tartoznak e törvények hatálya alá. E fogalmak és az amerikai törvények tekintetében azonban van némi kétértelműség. Szükségesnek tűnik az amerikai kormányzat tisztázása.
A gyakorlatban azonban egy (a FISA hatálya alá nem tartozó) bank maga is igénybe vehet egy (a FISA hatálya alá tartozó) "elektronikus hírközlési szolgáltatót". Ez azt jelenti, hogy a bank adataihoz az "elektronikus hírközlési szolgáltatón" keresztül lehet hozzáférni. Vagy nem megfelelően titkosított adatokat is továbbíthat, ami például lehetővé tenné az adatok "lehallgatását" a víz alatti kábeleken keresztül történő továbbítás során (amint azt az EO 12.333. sz. rendelet lehetővé teszi). Ezért a teljes adatáramlást értékelni kell.
Hogyan lehet az EUB döntését a gyakorlatban végrehajtani?
Az ítéletet követően a vállalatoknak egyénileg kell felülvizsgálniuk, hogy szükségük van-e változtatniuk a gyakorlatukon. Kötelesek leállítani a jogellenes adattovábbításokat. Ez nem újdonság. A "Safe Harbor" ítéletet követően számos uniós vállalat váltott el az amerikai szolgáltatóktól.
Azoknak a vállalatoknak, amelyek most illegálisan továbbítanak adatokat amerikai címzetteknek, a lehető leggyorsabban le kell állítaniuk minden ilyen adattovábbítást, hogy elkerüljék, hogy a GDPR értelmében akár 20 millió eurós vagy a globális forgalmuk 4%-át kitevő bírsággal kelljen szembenézniük. A nemzeti adatvédelmi hatóságoknak (DPA-k) kötelességük e büntetések végrehajtása.
Az uniós vállalatok felhasználói kérhetik, hogy ezek a vállalatok állítsák le személyes adataik továbbítását az Egyesült Államokba. Ha a vállalatok nem tesznek eleget ezeknek a kéréseknek, a felhasználók panaszt tehetnek az adatvédelmi hatóságnál, vagy pert indíthatnak a helyi bíróságon. Ez előzetes végzéshez és/vagy érzelmi kártérítéshez vezethet. Számos uniós országban fogyasztói csoportok, munkavállalói tanácsok és más szervek is indíthatnak kollektív vagy csoportos kereseteket, ha egy vállalat továbbra is jogalap nélkül továbbítja a személyes adatokat.
Mit tehetnek az EU/EGT-vállalatok?
A vállalatoknak fel kell mérniük, hogy személyes adataik feldolgozását ki kell-e szervezniük amerikai adatfeldolgozókhoz. Ha igen, akkor meg kell határozniuk az adattovábbítás jogalapját (pl. a GDPR 49. cikkében foglalt eltérések, az SCC-k, a Privacy Shield vagy a BCR).
A legtöbb amerikai felhőszolgáltató "elektronikus hírközlési szolgáltatónak" minősül, és ezért a vonatkozó amerikai megfigyelési törvények, például a FISA 702-es törvény hatálya alá tartozik.
Míg a legtöbb más iparági ágazat nem tartozik e törvények hatálya alá, addig igénybe vehetnek olyan "elektronikus hírközlési szolgáltatókat", amelyek igen, ami valójában közvetett hozzáférést biztosít az adatokhoz. Más felügyeleti eszközöket, mint például az EO 12.333, szintén figyelembe kell venni. Az EO 12.333 lehetővé teszi a "tranzitmegfigyelést", például a nem megfelelően titkosított adatokhoz való hozzáférést, miközben azok a transzatlanti kábeleken haladnak át.
Ha a vállalatok nem tudnak élni a GDPR 44-50. cikkei szerinti, az adattovábbítást lehetővé tevő jogi eszközök egyikével sem, akkor az összes vonatkozó személyes adatot vissza kell továbbítaniuk az EU-ba/EGT-be, és olyan adatfeldolgozót kell találniuk az EU/EGT-n belül vagy bármely más olyan országban, ahol a személyes adatok megfelelő védelme biztosított.
Mit tehetnek az amerikai vállalatok?
Az amerikai vállalatoknak felül kell vizsgálniuk, hogy rájuk vagy alvállalkozóikra vonatkoznak-e a vonatkozó amerikai felügyeleti törvények, és hogy adattovábbításaikat olyan szinten titkosítják-e, amely biztosítja, hogy a továbbítás során ne lehessen "lehallgatni" az adatokat. A felülvizsgálatot követően tájékoztatniuk kell az EU/EGT-ügyfeleiket, ha az ítélet érinti a személyes adatok feldolgozását.
Hosszú távon tanácsos lehet bizonyos adatfeldolgozási tevékenységeket az Egyesült Államokból áthelyezni, vagy beszélni a választott képviselőkkel arról, hogy az amerikai megfigyelési törvények milyen hatással vannak az amerikai vállalatok külföldi ügyfelekkel való üzletkötési lehetőségeire. Azt is reméljük, hogy az amerikai vállalkozások beszélni fognak az amerikai törvényhozókkal a nemzetközi ügyfeleiknek nyújtott védelem hiányáról.
(IV) POLITIKAI KÖVETKEZMÉNYEK
Hogyan oldható meg hosszú távon az amerikai megfigyelési törvények és az uniós adatvédelmi törvények közötti konfliktus?
Ha az USA meg akarja őrizni pozícióját a világ fő IT-szolgáltatójaként, akkor az amerikai felügyeleti törvényeket sürgősen meg kell reformálni. Az USA-nak olyan alapvető adatvédelmi védelmet kell bevezetnie, amely legalább az amerikai állampolgárok számára már biztosított védelemmel egyenértékű. Ellenkező esetben nagyon valószínűtlen, hogy a külföldi ügyfelek továbbra is amerikai szolgáltatókat fognak igénybe venni.
Amint az Egyesült Államok felügyeleti jogszabályait ilyen módon megreformálják, az uniós vállalatok ismét folytathatják az EU és az Egyesült Államok közötti adattovábbítást, és az Európai Bizottság képes lesz új, stabil eszközöket kibocsátani, amelyek ezt lehetővé teszik.
Hogyan folytatódhat az EU-USA adattovábbítás a jövőben?
Alapvetően az uniós adatvédelmi és az amerikai felügyeleti jogszabályok közötti konfliktussal állunk szemben: Az uniós jogszabályok a személyes adatok védelmét írják elő, míg az amerikai jogszabályok a felügyeletet.
A magánélethez való jog és az adatvédelem Európában alapvető jog, ahogyan azt az EU Alapjogi Chartájának 7. és 8. cikke is rögzíti. Mind a 27 tagállamnak egyhangúlag meg kell állapodnia az ezen alapvető jogok bármilyen módosításáról. Az Európai Bizottság megpróbált olyan kivételeket elfogadni, mint a "biztonságos kikötő" és az "adatvédelmi pajzs", de az amerikai megfigyelési törvények szükséges reformja nélkül ezek folyamatosan nem felelnek meg az uniós alapjogoknak. Az eredmény a mostanihoz hasonló határozatok, amelyek érvénytelenné teszik a kivételeket.
Az USA 2008-ban messzemenő megfigyelési törvényeket vezetett be a nem amerikai személyekre vonatkozóan. Ha az USA visszavonná ezeket a megfigyelési törvényeket, vagy az USA-n kívüli személyek számára ugyanazt a védelmet biztosítaná, mint ami az amerikai személyekre vonatkozik, akkor nagyon valószínű, hogy az USA-t olyan országnak tekintenék, amely az uniós jog alapján "megfelelő védelmet" biztosít a személyes adatoknak, ha megfelelő jogorvoslatot nyújt.
Az EU egyszerűen elfogadhat-e egy másik határozatot, ha az adatvédelmi pajzs érvénytelenné válik?
Elméletileg az Európai Bizottság (tudatosan) kiadhat egy újabb érvénytelen határozatot, ha az EUB érvényteleníti az "Adatvédelmi pajzsot". Mivel a probléma az amerikai jogban rejlik, ez nagy valószínűséggel jogi kihíváshoz vezetne, amelynek eredményeképpen az EUB az új határozatot is érvénytelenítené. Nagyon valószínűtlen, hogy ez politikailag elfogadható lenne. A vállalkozásoknak is szükségük van egy jogilag stabil megoldásra.
Ez az ítélet és a "biztonságos kikötővel" kapcsolatos korábbi ítélet is az Alapjogi Chartán alapul. Mind a 27 uniós tagállam egyhangú megállapodására lenne szükség az uniós szerződések módosításához, hogy az Európai Bizottság jogilag megalapozott adattovábbítási határozatot hozhasson az EU-USA adattovábbításra vonatkozóan.
A megoldás tehát az amerikai jogalkotó kezében van, akinek ki kell igazítania vagy vissza kell vonnia a jelenlegi amerikai megfigyelési törvényeket.
Nem csupán protekcionizmus ez az EU részéről?
Nem. Ez az ügy valójában az Európai Bizottság ellen irányul. Az uniós jog számos lehetőséget biztosít a nemzetközi adattovábbításra - mindaddig, amíg a magánélet védelmének alapszintjét betartják.
A valóságban az EU politikai ága (az Európai Bizottság és a tagállamok) támogatja az EU-USA adattovábbítást, de az EUB már korábban is kételyeket fogalmazott meg az USA-val kötött ilyen megállapodások jogszerűségével kapcsolatban, tekintettel az uniós alapjogok lehetséges megsértésére. Hasonlóképpen az Európai Parlament is kételyeket fogalmazott meg ezekkel az ügyletekkel kapcsolatban.
Ha összehasonlítjuk az amerikai vállalatokra vonatkozó "adatvédelmi pajzsot" az EU belső GDPR-jával, akkor egyértelmű, hogy az amerikai vállalatok sokkal gyengébb szabályok betartásával férhetnek hozzá az EU nagy piacához, mint amilyeneket az uniós vállalatoknak követniük kell. Ez versenyelőnyhöz juttatja az amerikai vállalatokat.
