Következő lépések az uniós vállalatok számára és GYIK

Teljesen tisztában vagyunk azzal, hogy sok adatkezelőt megvisel az Európai Unió Bíróságának az EU-USA adattovábbításról szóló közelmúltbeli ítélete és a türelmi idő hiánya. Az alábbiakban összefoglaltuk a leggyakoribb kérdéseket és válaszokat. Két mintaszöveget is mellékelünk, amelyet bármelyik amerikai vagy amerikai kötődésű uniós partnerének elküldhet. A gyors fellépés fontos tényező lehet, ha az adatvédelmi hatóság az EUB ítéletének be nem tartása miatt bírságokat fontolgat. Az elkövetkező napokban frissíteni fogjuk ezeket a GYIK-eket, és a felhasználók ("érintettek") számára külön GYIK-eket és mintaszövegeket teszünk közzé. Értesítsen minket, ha bármilyen visszajelzése van.

Az uniós adatkezelők által teendő lépések

A "Schrems II" ítéletről szóló EDPB GYIK-ekkel összhangban előzetes ajánlásunk az, hogy az adatkezelők tegyék meg a következő lépéseket:

1. Tekintsék át az összes külső adatáramlást (beleértve az uniós adatfeldolgozók vagy adatkezelők felé történő adatáramlást is, amelyek viszont nem uniós jogalanyoknak továbbíthatnak adatokat) a harmadik országokba irányuló adatáramlások tekintetében
2. Határozza meg a vonatkozó jogalapot (pl. megfelelőség, 49. cikk, adatvédelmi pajzs, SCC-k stb.)
3. Az 50 USC § 1881a (= FISA 702) és a 12.333 EO vonatkozásában különösen az amerikai "elektronikus hírközlési szolgáltatók" és az USA-ba irányuló minden olyan adatáramlás azonosítása, amely nincs biztosítva az NSA által végzett lehallgatás ellen (lásd az alábbi mintakérelmeket)
4. Állítsa le az adattovábbítást, ha:
   • Ön vagy valamelyik partnerünk még mindig használja az adatvédelmi pajzsot
   • Az érintett amerikai szervezet "elektronikus hírközlési szolgáltató" vagy
   • Nem tudja megvédeni adatforgalmát az NSA lehallgatása ellen
5. Értesítse az adatvédelmi hatóságot, ha a negatív értékelés ellenére továbbra is használja az SCC-ket, a BCR-eket vagy bármely más eszközt

Amerikai szolgáltatókhoz vagy az Egyesült Államokhoz kötődő szolgáltatókhoz intézett mintakérések

Ezeket a mintakérelmeket használhatja az EU-USA adatáramlás leggyakoribb típusaihoz, amelyeket az EUB ítélete érinthet:

• Amerikai adatimportőrökhöz intézett mintakérelem, ha továbbra is SCC-ket használ ("eseti elemzés")
  • Noyb fedőlap nélküli változat
  • Word változat (szerkeszthető)
  • ODT változat (szerkeszthető)
• Mintakérés az EU-ban/EGT-ben adatfeldolgozást végző, de az USA-hoz kötődő szolgáltatókhoz ("eseti elemzés")
  • Noyb fedőlap nélküli változat
  • Word változat (szerkeszthető)
  • ODT változat (szerkeszthető)

Hamarosan további modellkérelmeket adunk hozzá más helyzetekre vonatkozóan.

GYIK EU-s vállalatok számára

• Milyen következményekkel jár, ha nem teszek lépéseket?

Az EUB kiemelte, hogy az adatkezelőknek és (ha az adatkezelők inaktívak) az adatvédelmi hatóságoknak kötelességük eljárni az adattovábbítás felfüggesztése vagy megtiltása érdekében (az ítélet 134. pontja), ha nincs érvényes jogi eszközük az adattovábbításra. Ez azt jelenti, hogy ebben az esetben nincs lehetőség "türelmi időre".

A GDPR értelmében 20 millió EUR vagy a globális forgalom 4%-ának megfelelő büntetés jár, ha érvényes jogi aktus nélkül folytatja az adattovábbítást (a GDPR 83. cikke (5) bekezdésének c) pontja). A nem kormányzati szervezetek, a munkavállalói tanácsok vagy az egyéni felhasználók panaszt tehetnek vagy pert indíthatnak, akár érzelmi károkozásért is.

Valószínű, hogy az adatvédelmi hatóság nem fog bírságot kiszabni az adatkezelőre, ha az adatkezelő bizonyítani tudja, hogy az EUB ítéletének való megfelelés érdekében a lehető leggyorsabban megtette az összes intézkedést. Ez az oldal azt a célt szolgálja, hogy az adatkezelők bizonyítani tudják ezeket a lépéseket.

• Tekintse át, ha üzleti szempontból külföldre kell adatokat továbbítania!

Sok esetben a külső, nem EU/EGT-n kívüli szolgáltatókat úgy választották ki, hogy kevéssé vették figyelembe a következményeket. Ezért sok esetben lehetőség van arra, hogy EU/EGT szolgáltatóra (vagy egy "megfelelő" országból, például Svájcból származó szolgáltatóra) váltson, és ezáltal teljesen elkerülje az adattovábbítással kapcsolatos problémákat.

Még ha egy EU/EGT-állambeli szolgáltató igénybevétele kezdetben költségesebbnek is tűnik, az EU/EGT-n kívüli adatátvitel jogszerűvé tételével töltött idő többe kerülhet, mint amennyit egy olcsóbb külföldi ajánlaton megtakarít.

• Ha továbbra is az SCC-ket használja az EU-n kívüli/ EGT-n kívüli szolgáltatónak történő adattovábbításhoz, mit kell tennie?

Az adatkezelőnek és az érintett szolgáltatónak "eseti elemzést" kell végeznie (az ítélet 134. pontja), hogy ellenőrizze, van-e olyan nemzeti jogszabály, amely a szolgáltatóra vonatkozik, és amely sérti a GDPR-t és az Alapjogi Chartát.

Általában azok a jogszabályok, amelyek lehetővé teszik a közös jogalkalmazók számára az adatokhoz való hozzáférést egyedi esetekben és bírói jóváhagyás esetén, összhangban lesznek az uniós joggal. A kevésbé demokratikus, messzemenő hozzáférés ("tömeges feldolgozás") vagy a bírói felülvizsgálat nélküli hozzáférés formái nem felelnek meg az uniós jognak.

• Mit kell tennem, ha kifejezetten az SCC-ket használom egy amerikai szolgáltatónak történő adattovábbításhoz?

A legtöbb amerikai felhőszolgáltató a FISA 702. cikke alá tartozik, és Ön már nem fogja tudni használni őket. Az 50 USC § 1881(b)(4) bekezdésében szereplő "elektronikus hírközlési szolgáltató" meghatározás felsorolja:

• Távoli számítástechnikai szolgáltatások szolgáltatói,
• Elektronikus kommunikációs szolgáltatások szolgáltatója,
• Távközlési szolgáltatók,
• Bármely más hírközlési szolgáltató, aki hozzáféréssel rendelkezik a vezetékes vagy elektronikus hírközléshez, akár az ilyen hírközlés továbbítása, akár az ilyen hírközlés tárolása során, és
• bármely ilyen szervezet bármely tisztviselője, alkalmazottja vagy ügynöke.

Ha nem biztos benne, megkérdezheti a szolgáltatóját, hogy ők maguk is a FISA 702 hatálya alá tartoznak-e és/vagy rendelkeznek-e megfelelő védelemmel a harmadik fél által végzett megfigyeléssel szemben (a FISA 702 és/vagy az EO 12.333 értelmében). Mivel minden helyzet más és más, előzetes mintakérdéseket készítettünk, amelyeket ingyenesen felhasználhat, hogy többet megtudjon arról, hogy az Ön amerikai feldolgozási megoldása megfelel-e az ítéletnek:

Letöltés: Minta kérdések az SCC-k használatához egy amerikai szolgáltatóval.

• Ha olyan szolgáltatót használok, amely az EU/EGT-ben dolgozza fel az adatokat, de egy amerikai vállalathoz kapcsolódik (vagy azt használja), mit kell tennem?

A FISA 702 és az EO 12.333 nem tartalmaz területi korlátozást. Azokra az EU-ban található szerverekre is vonatkoznak, amelyeket amerikai "elektronikus hírközlési szolgáltató" üzemeltet, vagy ahol bizonyos műveleteket amerikai szolgáltatóhoz szerveznek ki. A tárhelyszolgáltatás helye tehát lényegtelen.

Bizonyos esetekben a szolgáltatók kellőképpen korlátozhatják az amerikai szervezetek tényleges hozzáférését ("birtoklása, őrzése vagy ellenőrzése"), így egy EU/EGT-szerver ténylegesen kívül esik az amerikai kormányzat hatókörén. Ez lehet a helyzet például akkor, ha egy uniós jogalanyt a GDPR kötelez arra, hogy ne adjon át adatokat az amerikai anyavállalatnak, és az amerikai anyavállalatnak nincs tényleges hozzáférése.

Mivel minden helyzet más és más, előzetes mintakérdéseket készítettünk, amelyeket ingyenesen felhasználhat, hogy többet megtudjon arról, hogy az Ön uniós adatfeldolgozási megoldása megfelel-e az ítéletnek:

Letöltés: Az EU-n belüli tárhelyszolgáltatásra vonatkozó mintakérdések, az USA-ra mutató hivatkozással

• Mi a helyzet a tranzitfelügyelettel?

A C-311/18 ítélet 183. pontjában az EUB azt is megállapította, hogy az amerikai "tranzitmegfigyelés" (mint például az "Upstream" vagy a víz alatti kábelek lehallgatása) sérti az uniós alapjogokat.

A GDPR szempontjából azt az előzetes álláspontot képviseljük, hogy a személyes adatokkal való ilyen külső beavatkozás elsősorban a GDPR 32. cikke ("az adatkezelés biztonsága") alá tartozik. Az adatexportőrnek és adatimportőrnek tehát megfelelő technikai és szervezési intézkedéseket kell végrehajtania az átadott adatok NSA/FBI általi lehallgatással szembeni védelme érdekében.

Tekintettel arra, hogy az USA kormánya hatalmas hatáskörrel rendelkezik a titkosítás feltörésére, minden egyes adattovábbítási helyzetben elsősorban technikai kérdés, hogy lehetséges-e és hogyan lehetséges a technikai megoldás. Az amerikai kormány azt állítja, hogy az Upstreamhez hasonló programokhoz elsősorban "szelektorokat" (például e-mail címeket, IP-címeket vagy telefonszámokat) használ. Bármilyen technikai megközelítésnek ezért biztosítania kell, hogy az ilyen szelektorok a végponttól végpontig tartó titkosítási réteg alatt legyenek. A közvetlen kommunikáció számos formája (például a PGP-vel titkosított e-mail) esetében a "szelektorok" maguk nincsenek titkosítva.

A fenti mintakérdések segítségével megkérdezheti szolgáltatóját a tranzitmegfigyelés elleni intézkedésekről.

• Létezik lista azokról az amerikai szolgáltatókról, amelyek e megfigyelési törvények hatálya alá tartoznak?

Nincs teljes lista a 702 FISA (50 USC § 1881a) hatálya alá tartozó összes amerikai szolgáltatóról, mivel minden "elektronikus hírközlési szolgáltató" e törvény hatálya alá tartozik. Az "elektronikus hírközlési szolgáltató" meghatározása az 50 USC § 1881(b)(4) bekezdésében található.

Ugyanakkor számos vállalat még úgynevezett "átláthatósági jelentéseket" is közzétett, amelyek felsorolják a FISA hatálya alá tartozó hozzáféréseket. Ez lehetővé teszi számunkra, hogy tudjuk, hogy ezek a vállalatok biztosan FISA-rendelet hatálya alatt állnak.

Néhány példát itt találhat (sok más vállalat egyszerűen nem oszt meg ilyen információkat, annak ellenére, hogy a FISA 702 hatálya alá tartozik):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (korábbi Oath és Yahoo)

Verizon

• Ki felel a C-311/18 dokumentumból eredő következmények végrehajtásának költségeiért?

Ha Ön korábban az SCC-ket használta átutalásaihoz, a törvény nem változott. Bármely nem EU/EGT szolgáltatónak kötelessége volt tájékoztatni Önt az olyan jogszabályokról, mint a FISA 702 és az EO 12.333. Ha ezt nem tette meg, akkor a 2004/915/EK határozat mellékletének II. záradéka vagy a 2010/87/EK határozat mellékletének 5. záradéka b) pontja alapján felelős az SCC-k törléséből és az adatoknak az EU-ba/EGT-be történő visszatovábbításából eredő valamennyi költségért.

Az adatvédelmi pajzsról szóló határozat az Európai Bizottság téves végrehajtási határozata volt. Elméletileg az EUMSZ 340. cikke alapján kártérítési igényt lehet benyújtani az EU-val szemben.

• Használhatom-e egyszerűen a GDPR 49. cikkét az összes amerikai adattovábbításra?

Az EDPB azon az állásponton van, hogy a 49. cikk csak "alkalmi és nem ismétlődő adattovábbításokra" alkalmazható, ami a 49. cikket olyan egyedi helyzetekre korlátozza, amikor a felhasználók kifejezett hozzájárulást adtak, vagy ha az adattovábbítás szigorúan szükséges egy szerződés teljesítéséhez (pl. külföldi szállásfoglalás).

Egyes állításokkal ellentétben az adatfeldolgozási műveletek kiszervezése nem szigorúan "szükséges" a szerződés teljesítéséhez, ha elméletileg Ön egy EU/EGT szolgáltatót is igénybe vehetne, vagy az adatokat házon belül is feldolgozhatná. Az adatkezelőknek azt is szem előtt kell tartaniuk, hogy az érintettek bármikor visszavonhatják hozzájárulásukat.

Bár a 49. cikk lehetővé teszi az "alapszintű" kommunikáció fenntartását a világ bármely országával (Svájctól Észak-Koreáig), ez csak a feltétlenül szükséges adattovábbítások esetében jelent eltérést.

Link: 2/2018. sz. iránymutatás a 49. cikk alóli eltérésekről

• Hogyan lehet felmérni, hogy a harmadik ország joga összeegyeztethető-e az uniós alapjogokkal?

A Schrems I ítéletet követően, 2016-ban a 29. cikk szerinti munkacsoport (jelenleg EDPB) egyértelmű iránymutatást adott arról, hogy mi tekinthető és mi nem tekinthető az alapvető jogokba való indokolt beavatkozásnak egy demokratikus társadalomban az adatvédelmi jog tekintetében (a Charta 7. és 8. cikke). Ebben a munkadokumentumban az adatvédelmi hatóságok már négy európai alapvető garanciát határoztak meg, amelyeket tiszteletben kell tartani azokban az országokban, ahová uniós adatokat küldenek:

A. Az adatfeldolgozásnak világos, pontos és hozzáférhető szabályokon kell alapulnia;

B. Bizonyítani kell a szükségességet és az arányosságot a kitűzött törvényes célok tekintetében;

C. Független felügyeleti mechanizmusnak kell léteznie;

D. Az egyén számára hatékony jogorvoslatnak kell rendelkezésre állnia.

Megfigyelhető, hogy az EUB legalább két pontot használt fel az iránymutatásból az adatvédelmi pajzs érvénytelenítésére. Ezért hasznos lehet, ha először ezt a munkadokumentumot tekinti át.

Link: A 29. cikk alapján létrehozott munkacsoport 237. munkadokumentuma