Új EU-USA adatvédelmi megállapodás a láthatáron
Az Európai Bizottság és az Amerikai Egyesült Államok 2022 március végén, közös politikai nyilatkozatában jelentette be, hogy megállapodtak egy új adatvédelmi keretrendszerről. Az elvi megállapodás célul tűzi a transzatlanti adatátvitel kiszámíthatóságának és megbízhatóságának tényleges megvalósítását, megszüntetve ezzel a Privacy Shield érvénytelenítése után kialakult bizonytalanságot.
De nézzük meg, milyen előzményei voltak ennek az új - vagy inkább újraélesztett – együttműködésnek, és mit is takar valójában?
Az előző megoldás - Privacy Shield
2016 és 2020 között az EU-USA között életben volt az úgynevezett adatvédelmi pajzs, azaz a Privacy Shield megállapodás. Ennek az volt a lényege, hogy személyes adatok továbbítása az EU-ból egy amerikai vállalathoz (így például az olyan népszerű, és széles körben használt szolgáltatókhoz, mint a Facebook, a Google, vagy akár a Microsoft) csak akkor minősült jogszerűnek és megengedettnek, ha a vállalat a személyes adatok kezelése során meghatározott, szigorú adatvédelmi szabályok és biztosítékok szerint járt el, melyeket a megállapodás rögzített. Az adatvédelmi pajzsban részt vevő amerikai szervezetek száma csaknem elérte a 6300-at.
2020 júliusa - Az együttműködés vége
Az Európai Unió Bíróságának a Schrems II. ügyben hozott ítélete azonban, 2020 júliusában érvénytelennek nyilvánította az EU-USA adatvédelmi pajzsot. Ezt követően, egészen napjainkig bizonytalanság övezi az amerikai anyavállalatú cégekhez (Facebook, Google, hogy csak a két legnagyobbat említsük) történő adattovábbítást. Ezzel összhangban, az utóbbi hónapokban több európai adatvédelmi hatóság (például az osztrák és a francia is) kimondta határozatában, hogy álláspontja szerint például a Google Analytics használata sérti a GDPR szabályait, a Facebook anyacége a Meta pedig arra figyelmeztetett, hogy leállíthatja Európában a Facebookot és az Instagramot az adatáramlással kapcsolatos bizonytalanságok miatt.
Mondhatni, már nagyon időszerű volt, hogy előrelépés történjen az ügyben, ami most – elviekben – meg is valósult. Az USA kereskedelmi minisztere és az EU igazságügyi biztosa március 25-én kiadott nyilatkozata szerint megállapodás született egy új transzatlanti adatvédelmi keretrendszerről. Hangsúlyozzuk, hogy ez még csak egy politikai elvi nyilatkozat, nem egy konkrét tervezet - amiről a következőket érdemes tudni:
A megállapodás célja az Európai Unió Bírósága által korábban már felvetett adatvédelmi problémákra, aggályokra megoldást találni, ami az USA-ba történő adattovábbítást illeti. Az új keretszabályok szerint a személyes adatok folyamatosan, szabadon és biztonságosan áramolhatnak majd az EU és az amerikai vállalatok között.
Mit várhatunk az új megállapodástól?
Az USA felé elvárás az, hogy a nemzetbiztonsági hatóságaik csak a céljaik eléréséhez szükséges és arányos mértékben férjenek hozzá európai személyes adatokhoz, amire most ígéretet tettek: új szabályokat és biztosítékokat vezetnek be, amelyek korlátozzák a nemzetbiztonsági hatóságok hozzáférését az európai személyes adatokhoz. Az amerikai hírszerző hatóságok új előírásokat, eljárásokat fogadnak el a magánélethez fűződő jogok és polgári szabadságok biztosítása érdekében. A nyilatkozat kilátásba helyezi, hogy ezeknek a hatóságoknak az adatkezelése hatékony felügyelet alá kerül, illetve az érintett személyeknek hatékony jogorvoslati lehetőségeket fognak biztosítani.
Azon amerikai nagyvállalatoknak, amelyek EU-ból továbbított személyes adatokat dolgoznak fel – a korábbi gyakorlathoz hasonlóan – rendszeresen igazolni kell majd az adatvédelmi követelményeknek való megfelelést. A most kiadott nyilatkozat szerint az USA kötelezettséget vállal mindezek megvalósítására. Ilyen például egy teljesen független adatvédelmi bíróság létrehozása, ami az USA kormányán kívüli személyekből állna, mintegy felváltva a korábbi ombudsman szerepét (korábban hozzá lehetett fordulni adatvédelmi panaszokkal). Az adatvédelmi bíróságnak teljes jogköre lenne az érintetti kérelmek elbírálására és adott esetben jogorvoslati intézkedésekre.
Hogy ez a gyakorlatban pontosan mit fog jelenteni? Azt láthatjuk, hogy ezek nagyon általános megfogalmazások, kevés konkrétummal, azonban a cél az, hogy a most elfogadott elvi megállapodásból, kötelezettségvállalásból tényleges jogi előírások, illetve egy végrehajtási rendeletet szülessen. Ez pedig alapját képezhetné az Európai Bizottság USA-ra vonatkozó megfelelőségi határozatának.
A kritikák már megérkeztek
A végeredményt az óriási adatkezelő vállalatokon kívül az adatvédelmi aktivisták is nagyon várják már. A Max Schrems nevével fémjelzett noyb osztrák adatvédelmi, nonprofit jogvédő szervezet már meg is fogalmazta ezzel kapcsolatos aggályait, mely szerint valódi reform most sem fog történni. Élesen bírálták, hogy csak egy politikai bejelentés született, tényleges megoldások helyett, ami még nagyobb bizonytalanságot szül. Az aktivista előre bocsátotta továbbá, hogy ő és a szervezet minden lehetőséget meg fog ragadni, hogy az Európai Unió Bíróságához forduljanak az európai személyes adatok védelme érdekében.
Mi a Crosssec Solutions csapatával mindent megteszünk annak érdekében, hogy Ügyfeleink adatkezelési folyamatai megfeleljenek a GDPR elvárásainak. Ha szeretne többet olvasni GDPR és adatvédelem témában, cikkeinket elérheti erre a linkre kattintva. Tudjuk, hogy az adatvédelmi megfelelés bonyolult kérdés, azonban szakértőink hatékony, gyakorlati segítséget nyújtanak vállalata GDPR megfeleléséhez, legyen szó egyéni-, mikro, kis-, közepes- vagy nagyvállalati szintű megoldásokról. Forduljon hozzánk bizalommal, segítünk!
