Új EU-USA adatvédelmi keretrendszer – Megállapodás az adattovábbításról
Ahogy tavaly áprilisban már írtunk róla, az Európai Bizottság és az Amerikai Egyesült Államok közös politikai nyilatkozatban jelentették be, hogy egy új adatvédelmi keretrendszeren dolgoznak, ezzel megoldva a transzatlanti adatátvitel kiszámíthatóságával és megbízhatóságával kapcsolatos, a korábbi Privacy Shield megállapodás érvénytelenítése utáni bizonytalanságot. Mutatjuk, miről van szó.
2023. július 10-én az Európai Bizottság elfogadta az EU-USA adatvédelmi keretre vonatkozó megfelelőségi határozatot. Az új keretrendszerben részt vevő amerikai vállalatokhoz tehát biztonságosan továbbíthatóak a személyes adatok az EU-ból, azonban ehhez az érintett amerikai cégeknek meg kell felelniük bizonyos elvárásoknak.
Mit kell tenniük az amerikai cégeknek?
A megállapodás több, részletesen meghatározott adatvédelmi kötelezettség teljesítését követeli meg az amerikai vállalatoktól. Ilyenek például, hogy vállalják az EU-ból származó személyes adatok törlését, – ha azt a felhasználó kéri, vagy azok már nem szükségesek ahhoz a célhoz, amely alapján kezelik őket – valamint biztosítják a személyes adatok védelmét akkor is, ha azokat harmadik felekkel osztanák meg.
Bemutatkozik a DPRC
Természetesen a problémák nem „csak” a vállalatok gyakorlatai miatt merültek fel korábban, hanem az Egyesült Államok jogi környezete is adatvédelmi kockázatot jelentett. Az új megállapodás szerint az amerikai hírszerző szolgálatok az uniós adatokhoz való hozzáférésének szükséges és arányos mértékére való korlátozása mellett előírja a DPRC – azaz Adatvédelmi Felülvizsgálati Bíróság – létrehozását is. A DPRC egy független és pártatlan bíróság, melyhez az uniós magánszemélyek közvetlenül is fordulhatnak vitás helyzetek esetén. Ha az adatokat a DPRC vizsgálata szerint is úgy gyűjtötték vagy kezelték, hogy az megsértette az új biztosítékokat, akkor a hatóság elrendelheti az adatok törlését.
A keretrendszert az Egyesült Államok Kereskedelmi Minisztériuma igazgatja és ellenőrzi, az amerikai vállalatok esetén pedig az Egyesült Államok Szövetségi Kereskedelmi Bizottsága kényszeríti ki a keretrendszernek való megfelelést.
Az első kritikák
A korábbi hasonló megállapodások (Safe Harbour, majd Privacy Shield) legfőbb kritikusa a noyb osztrák adatvédelmi szervezet – Max Schrems vezetésével – már a megállapodás körvonalazódása pillanatában komoly bírálattal fogadta az új keretrendszert, ám a július 10-i elfogadást követően még súlyosabb kritikákkal álltak elő.
Új cikkükben felháborodásuknak adtak hangot, miszerint az új adatvédelmi keretrendszer továbbra sem oldja meg azt az alapvető problémát, hogy az amerikai FISA 702-es szabályozás lehetővé teszi az amerikai hírszerzési szerveknek a külföldi adatok gyűjtését, elemzését és más hírszerző ágakkal való megosztását nemzetbiztonsági célokból. Ezt egyébként az amerikai alkotmány szerint amerikai állampolgárok adataival nem tehetik meg, és az alapvető konfliktus is abból az érvelésből adódik, hogy az Egyesült Államok hatóságai szerint ebben a kérdésben hiába lenne alkotmánysértő az ilyen szintű és jellegű megfigyelés, a külföldi állampolgárok nem rendelkeznek az amerikai alkotmány jogaival, így ezek megsértése nem sérti az alkotmány 4. kiegészítését.
Új vizsgálat a láthatáron
A jogvédő szervezet már előre jelezte, hogy készen állnak megtámadni az új keretrendszert az Európai Unió Bíróságánál, ám ez várhatóan nem lesz gyors folyamat. A saját becsléseik szerint is 2024-2025 magasságában várható végleges döntés – Azonban tudva, hogy az előző 2 adatvédelmi keretrendszert is a noyb munkája és panaszai után semmisítették meg, és az új keretrendszer esetén is valós problémákat derítenek fel, hasonló kimenetelre számíthatunk.
Mit tanácsolunk?
Úgy tűnik, hogy jelenleg az új EU-USA adatvédelmi keretrendszer alapján az abban részt vevő amerikai vállalatokkal továbbra is zavartalanul történhet adattovábbítás, ám a várható vizsgálattal és az amerikai FISA 702-es szabályozásának módosítása nélkül ez újra csak ideiglenes megoldás lesz.
Ezért a Crosssec Solutions szakértői továbbra is azt javasolják, hogy az adatfeldolgozók és szolgáltatók kiválasztásakor érdemes előnyben részesíteni az EU-s vállalatokat, hiszen nekik mindenféleképpen meg kell felelniük a GDPR elvárásainak, ezért biztosan megfelelő adatvédelmi garanciákat nyújtanak – ellenkező esetben pedig megfelelő hatósági kontrollal büntethetők és számon is kérhetők.
