Érvénytelen az EU és az USA közötti adatvédelmi megállapodás

Az Európai Unió Bírósága érvénytelenítette csütörtökön az EU és az Egyesült Államok között létrejött, a személyes adatok továbbítását lehetővé tevő adatvédelmi megállapodást.

A Facebook közösségi portált érintő ítéletében a bíróság kimondta, hogy a nemzeti törvényhozóknak szigorúbb intézkedéseket kell tenniük a felhasználói adatok továbbítása terén a magánélet védelme érdekében.

A bíróság ugyanakkor úgy ítélte meg, hogy a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat továbbra is érvényes.

Ez azt jelenti, hogy az adatátvitel folytatódó ellenőrzése mellett az EU-nak és az Egyesült Államoknak új rendszert kell kidolgozniuk, amely biztosítja, hogy az európaiak adatai ugyanolyan védelemben részesüljenek az Egyesült Államokban, mint az unióban.

Az Általános Adatvédelmi Rendelet (GDPR) úgy rendelkezik, hogy az ilyen adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. A rendelet szerint a Bizottság megállapíthatja, hogy a harmadik ország a belföldi joga vagy a nemzetközi kötelezettségei alapján megfelelő védelmi szintet biztosít-e. Az ilyen megfelelőségi határozat hiányában a továbbítás csak akkor végezhető el, ha a személyes adatok Unióban letelepedett átadója megfelelő garanciákat ír elő, amelyek különösen a Bizottság által elfogadott általános adatvédelmi kikötéseken alapulhatnak, és ha az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.

Maximillian Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta a Facebook felhasználója. Az Unió területén lakó többi felhasználóhoz hasonlóan Schrems személyes adatait a Facebook Ireland részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítja, és azokat ott kezelik. Schrems panaszt nyújtott be az ír felügyeleti hatósághoz, amely lényegében arra irányul, hogy utóbbi tiltsa meg ezen adattovábbításokat. Arra hivatkozott, hogy az Egyesült Államok joga és gyakorlatai nem biztosítanak elégséges védelmet azzal szemben, hogy az ezen országba továbbított adatokhoz a hatóságok hozzáférjenek.

Ezt a panaszt többek között azzal az indokkal utasították el, hogy a Bizottság korábbi határozatában megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít, majd ezt a High Court (felsőbíróság, Írország) érvénytelennek nyilvánította. Ezt követően az ír felügyeleti hatóság felhívta Schremset, hogy fogalmazza újra a panaszát. Az újrafogalmazott panaszában Schrems fenntartotta, hogy az Egyesült Államok nem nyújt elégséges védelmet az ezen országba továbbított adatok számára. Kérte, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba történő továbbítását. Az ír felügyeleti hatóság eljárást indított a High Court (felsőbíróság) előtt annak érdekében, hogy ez utóbbi előzetes döntéshozatal iránti kérelmet nyújtson be a Bírósághoz. Ezen eljárás megindítását követően a Bizottság elfogadta az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló határozatot (az úgynevezett „adatvédelmi pajzsról” szóló határozat). A Bíróság úgy ítélte meg, hogy az uniós jog és különösen a GDPR alkalmazandó a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítására, még abban az esetben is, ha ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.

Az ilyen továbbítás keretében megkövetelt védelmi szint tekintetében a Bíróság úgy ítéli meg, hogy azon személyeknek, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel kell rendelkezniük, amely lényegében azonos a GDPR rendelet által az Unióban biztosított védelmi szinttel.

A felügyeleti hatóságok kötelesek felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha úgy vélik, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be.

A Bíróság szerint a személyes adatok védelmének korlátozásai, amelyek az Egyesült Államok azon belső szabályozásából erednek, amelyek az amerikai hatóságok által az Unióból e harmadik országba továbbított ilyen adatokhoz való hozzáférésre és azok felhasználására vonatkoznak, nem úgy lettek szabályozva, hogy megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményeknek.