GDPR-útikalauz: adatbiztonság az EU-n kívül is
Adattovábbítás harmadik országba? Az engem biztosan nem érint, hiszen nemhogy EU-n kívüli, de külföldi ügyfeleim sincsenek – gondolhatja rengeteg vállalkozó vagy cégvezető. De biztosan így van? Ön tudja például, hogy internetes tárhelyszolgáltatójának pontosan hol is vannak a világban a szerverei? Mert ha véletlenül az EU-n kívül, máris érintett lehet – akár tudtán kívül is. Mindenképpen érdemes tehát némi figyelmet fordítani az ilyen adattovábbítás tudnivalóira, lehetőségeire, szabályszerűségére is – már mutatjuk is a legfontosabbakat.
Ha van a GDPR-nak különösen kényes területe, a 3. országba (tehát az Európai Unión kívülre) történő adattovábbítás biztosan az egyik ilyen. Hiszen miközben az adatvédelem hétköznapi gyakorlati szabályai azért mára talán már minden cégvezető vagy kisvállalkozó előtt kezdenek kikristályosodni, az simán előfordulhat, hogy valóban nem is tudjuk, érintettek vagyunk egy harmadik országbeli adattárolásban, -továbbításban.
Partnerválasztás GDPR-szemmel: a térképre is figyeljünk!
E kérdésben tehát előrelátóan kell gondolkodnunk, és már beszállítóink, szolgáltató partnereink megválasztásakor sokat kellene nyomnia a latban, hogy földrajzilag hol található a cég (hol van bejegyezve a központja); az adatközpontjai, szerverei, és hogy milyen adatkezelési garanciákat vállal.
Márpedig tapasztalataink szerint ezekre a szempontokra csak ritkán gondolnak a vállalkozások, pedig sokszor a mindennapi munka során is igénybe vesznek olyan szolgáltatásokat, amelyek teljes egészében EU-n kívüli adatkezeléssel járnak – elég csak a levelezésre, az irodai szoftverekre, felhőtárhelyekre, célszoftverekre vagy a közösségi médiára gondolni. Ezeknél aztán gyakran elmarad a megfelelő garanciák ellenőrzése, számonkérése. Így végül nem lesz jogszerű az együttműködés, ami pedig nemcsak az ügyfelek, hanem a munkavállalók kapcsán is kockázatot, egy NAIH vizsgálatnál pedig garantált pénzbírságot jelent.
Mivel a nagy technológiai multik jellemzően amerikaiak (Facebook, Google, Microsoft, Amazon), így a kérdés leggyakrabban az Egyesült Államokba továbbított adatok esetében kerül napirendre; és egyébként éppen velük is áll az öreg kontinens ezügyben rendszeresen hadilábon. (Az úgynevezett Schrems-döntésekről, az Adatvédelmi Pajzsról írt korábbi részletes anyagunk ITT olvasható)
Dávid és Góliát: egy osztrák jogász győzelme a Facebook fölött
A probléma nem újkeletű, de jelentősebb nemzetközi figyelmet egy osztrák adatvédelmi aktivista, Max Schrems jóvoltából kapott egy évtizede. Ő a Facebook adatvédelmi jogsértései miatt nyújtott be panaszt az ír adatvédelmi hatósághoz, de az ügy végül az EU Bíróságán végződött. Amelynek következtében végül az uniós polgárok adatainak védelme érdekében a Bizottság létrehozta az úgynevezett Adatvédelmi Pajzsot (Privacy Shield). A közkeletű utalással Schrems I. döntésnek nevezett kezdeményezéshez végül ötezernél több amerikai vállalat csatlakozott önként, garantálva ezzel az európai polgárok adatainak elvárt védelmét.
Az idő azonban mintha a rendszer ellen dolgozott volna, az évek során a tényleges megvalósítás kezdett kikopni az elvek mellől. Schrems pedig, mert egyre kevésbé látta biztosítottnak jogai érvényesülését, újabb panaszt nyújtott be a Facebook ellen – most az amerikaiak nemzetbiztonsági érdekekre hivatkozó adatkezelési gyakorlatát kifogásolva. Az Unió Bírósága újra vizsgálódott, és újra neki adott igazat. Ám mert egyben tehetetlennek is látta saját magát (hatáskörök és megfelelő nyomást gyakorolni képes törvényi háttér híján) az ügyben, csak annyit tehetett, hogy 2020 júliusában azonnali hatállyal érvénytelenítette a Privacy Shieldet (Schrems II. ítélet).
Rés a pajzson: az EU-n kívülre csak egyedi megoldásokkal
Azóta tehát mindazon cégeknek és szervezeteknek, amelyek korábban a Pajzs védelme alatt továbbítottak adatokat az Államokba, új megoldásokat kell keresniük, új általános szerződési feltételeket (úgynevezett EU Model Clauses vagy Standard Contractual Clauses) kell kötniük. A jelenlegi szabályozatlanság persze senkinek sem jó, így régóta egyeztetnek a felek egy új EU–USA adatvédelmi megállapodás tető alá hozásáról. Jelenleg a politikai szándéknyilatkozat elfogadásán jutottak túl, most következhet a konkrétumok kidolgozása. (A témáról a tavasszal ITT írtunk bővebben) .
Addig is, amíg ez meg nem születik, az Európán kívüli jogszerű adattovábbításra maradnak a GDPR V. fejezetének iránymutatásai, amelyek alapján mégis lehetséges – kellő körültekintéssel és informálással persze – az adattovábbítás. Fontos, hogy bizonyos (jellemzően a különösen érzékeny, például egészségügyi) adatokat a szokásosnál is korlátozottabban és nagyobb odafigyeléssel kell kezelni.
Az egyik lehetőség az „Adattovábbítás megfelelőségi határozat alapján”. Ilyenkor az Európai Bizottság hoz egy határozatot, amelyben, ha vizsgálata ezt alátámasztja, megállapítja, hogy a 3. ország megfelelő adatvédelmi szintet garantál. Az, hogy egy adott ország képes-e erre, a neten ma már könnyen ellenőrizhető – a francia adatvédelmi hatóság például egy térképes tájékoztatót mutat GDPR-kompatibilis országokról.
A következő opció az „Adattovábbítás megfelelő garanciák alapján”. E körbe tartoznak az általános adatvédelmi kikötések (SCC), azaz standardizált szabályok, amelyek megkönnyítik a GDPR-megfelelőséget. Az Európai Bizottság a legújabb szabályokat tavaly júniusban tette közzé, és ez alapján az idén december 27-ig minden pedig minden meglévő szerződést át kell alakítani az új SCC-kre.
A jóváhagyott „Kötelező erejű vállalati szabályok” (BCR) egy vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások csoportján belüli szervezetekhez irányuló nemzetközi adattovábbítások során alkalmazhatóak.
A sor végén ott vannak még a „Különös helyzetekben biztosított eltérések” (bővebben a GDPR 49. cikkében), amelyek közül a legfontosabb egyben a legismertebb is, vagyis az érintett – informált döntése alapján megadott – saját hozzájárulása.
Bármelyik esetről beszélünk is, egyvalami mindegyiknél elvárás: az érintettek megfelelő tájékoztatása, aminek a kötelező elemeit egyébként a GDPR 13. cikke gyűjti csokorba.
Az tehát sosem késő, hogy azon cégek, szervezetek, amelyek – a fenti példák szerint akár tudtukon kívül – az EU-n kívülre továbbítanak személyes adatokat, áttekintsék ennek jogszerűségét, garanciáit, és ha szükséges, felülvizsgálják gyakorlatukat. Amiben a Crosssec Solutions tanácsadói ugyancsak szakértő segítséget tudnak nyújtani.
