adatvédelem
Üzlet

Kint is vagyok, bent is vagyok – hogyan adhat és kaphat adatokat egy furcsa adatkezelő?

Szabó S. László, Szabó Consulting
Használhatom-e a Google analitikai szolgáltatását a webhelyemen? Mi van, ha ügyfeleimmel szkájpolni akarok? Tárolhatom-e adataimat az Amazon felhőszolgáltatásában? Mindezek Amerikai szolgáltatók, de némelyikük Európában tárolja az adatokat. Európaiak személyes adataihoz férnek hozzá, de az USA törvényei alá esnek. A hozzáférés egyes eseteiben vontakoznak rájuk az európai adatvédelmi jogszabályok (alapvetően a GDPR, az Általános Adatvédelmi Rendelet), míg más esetekben adattovábbításról beszélünk.

Az adattovábbítás egyike azoknak a fogalmaknak, amelyeket fontosságuk ellenére nem definiál a GDPR. Angolul transfer, amikor, szemben a transmission-nal, az adatátadással, a szermélyes adatok az Európai Unión, pontosabban az Európai Gazdasági Térségen (EGT, amely az EU-n kívül az EFTA-országokat foglalja magában, a továbbiakban ezt a két fogalmat, hasonlóan a GDPR-hez, az EGT értelmében használjuk) kívülre kerülnek. Miután az Európai Bizottság jóváhagyta és közzétette a személyes adatok harmadik országokba történő továbbítására használható Általános Szerződési Feltételeket, az EDPB, a tagállami adatvédelmi hatóságok vezetőiből és az Európai adatvédelmi Biztosból álló Európai Adatvédelmi testület közzétette iránymutatás-tervezetét arról, hogy hogyan lehet személyes adatokat továbbítani az adatkezelők egy speciális típusától és feléjük: akiknek székhelye ugyan az EGT-n kívül van, de mégis kötelezik őket az európai adatvédelmi szabályok. Valószínűleg mert az ezen szervezetekre irányadó adatvédelmi jog ennél fogva eltér földrajzi elhelyezkedésüktől, az iránymutatás utal arra is, hogy a testület hogyan értelmezi az adattovábbítást.

Egy adott ország joga általában saját területén, valamint saját állampolgáraira, illetve a területén élőkre érvényes. Az európai jog az EU vagy – ha az EGT-n belüli együttműködés területeire vonatkozik – az EU és az EFTA országokra és, sajátos feltételekkel, Svájcra érvényes. Az adatok területén két lényeges kivétel van ez alól: az USA hatóságainak területen kívüli megfigyelési jogai és a GDPR híres 3 (2) cikke. A GDPR és az Egyesült Államok nemzetbiztonsági megfigyeléseinek összeütközése vezetett a két Schrems-ügyhöz, amelyek nyomán az Európai Bíróság ítélete szinte ellehetetlenítette személyes adatok továbbítását az Egyesült Államokba. Az USA szolgáltatók – és a legismertebb informatikai szolgáltatók amerikaiak –, úgy próbálják megtartani európai ügyfeleiket, hogy szolgáltatásaikat európai leányvállalataikon keresztül nyújtják és az adatokat európai adatközpontokban tárolják.

Senki nem volt azonban biztos benne, hogy elegendő-e az adatokat Európában tárolni ahhoz, hogy az adattovábbítás nehézségeit elkerüljék. A fő kockázat az amerikai megfigyelési jogok terülten átnyúló hatálya: nem csak amerikai cégek leányvállalatai, hanem olyan európai cégek is kötelesek lehetnek megfelelni a P.A.T.R.I.O.T. act-nak, amelyeknek jeletős amerikai üzletei vannak, még Európában tárolt adataikhoz is kötelesek lehetnek hozzáférést biztosítani. A Microsoft és a Google megpróbált ellentmondani, és ez eredményezte (miután az USA Legfelsőbb Bírósága nem volt hajlandó eldönteni, hogy a két cég ügyében meghozott két ellentétes alsóbírósági ítélet közül melyik jogszerű) a CLOUD act-ot, amelyet különböző szakértők különbözőképpen értelmeznek. Ezért, noha az EDPB iránymutatása nem old meg mindent, fontos lépés a tisztázás felé.

A konkrét háttér az uniós adatvédelmi törvények Európán kívüli hatálya, amelyet a 3. cikk 2. bekezdése fejez ki. Emellett viszont azok az Unión kívüli adatkezelők is kötelesek saját államuk jogszabályainak is megfelelni, akik a GDPR hatálya alá tartoznak, vagy mert szolgáltatásokat ajánlanak EU lakosoknak (például e-kereskedők, játékplatformok vagy szociális hálók, akár ingyenesek, akár pénzt kérnek szolgáltatásaikért) vagy mert megfigyelik személyeknek az Unión belül tanúsított viselkedését, mint például a hirdetésszolgáltatók vagy web analitika vagy szintén a szociális hálók. Ezért az adattovábbítás szempontjából különleges helyzetben vannak, akár küldői, akár fogadói (címzettjei) az adatoknak.

Valószínűleg ez a speciális helyzet az, amely miatt az EDPB felvállalta az adattovábbítás meghatározását. Az adattovábbítás mint fogalom az adatvédelemben olyan esetekre van fenntartva, amikor a küldő a GDPR hatálya alá esik, míg a címzett nem. Ez a megfogalmazás (az EDPB iránymutatás előtt) azért volt kétértelmű, mert legalább két módon lehet definiálni az adattovábbítást: fizikailag (bármilyen nehéz is ez a felhőszolgáltatások korában) és joghatóság szerint. Az alapkérdés ez: ha egy amerikai cég egy európai adatkezelőtől kapott személyes adatokat Európában tárol, ez adattovábbításnak számít-e vagy nem? Bármi is a válasz azonban, nem feledkezhetünk meg az amerikai nemzetbiztonsági jog területen kívüli hatásáról. Azért beszélünk amerikairól, mert a legtöbb fontos informatikai szolgáltató amerikai. Aztán jön a kérdés: mi a helyzet az amerikai cégek európai leányvállalataival?

Az EDPB iránymutatása az adattovábbítást úgy határozza meg, mint adatok átadását vagy elérhetővé tételét az EGT-n kívüli székhelyű (ú.n. harmadik országbeli) címzettek (importőrök) részére. Tehát adatok átadása az EU-n kívülre vagy EGT-n kívüli országok joghatósága alá önmagában nem eredményezi az átadás adattovábbítássá minősítését. Az iránymutatás azonban rögtön hozzáteszi, hogy minden esetben, amikor nincs adattovábbítás, de fennáll az uniós adatvédelmi jog által előírt védelem nélküli hozzáférés kockázata, ezeket a kockázatokat az adatkezelőnek ki kell értékelni és ki kell küszöbölnie. Hasonlóképpen értékelni és kezelni kell a kockázatokat, ha az adatokat Európán kívül tárolják vagy egy európai adatfeldolgozó alvállalkozója van az EGT-n kívül vagy külföldi megfigyelési törvények hatálya alá esik. Az adattovábbítás formális követelményei ezzel együtt nem érvényesek.

A szabályok természetesen nem emelik ki az USÁ-t, hasonló megfigyelési törvényeket érvényesítő más országokba vagy más ilyen országok vállalatainak leányvállalatai számára történő adatátadás, nem csak a felügyelet és jogorvoslat hiányosságai, hanem a területen túlnyúló hatás esetén is – Kína új adatvédelmi törvényének is van például ilyen – hasonló kockázatok jelentkeznek. Ezért szükséges egy adattovábbítási hatásvizsgálat, de az Egyesült Államokra ezt az Európai bíróság elvégezte helyettünk, és negatív eredményre jutott. Más országokkal kapcsolatban felmerülhet a kérdés, hogy ha az Európai Bizottság egy megfelelőségi határozat kiadása előtt hónapokig vagy akár egy évig is vizsgálja, hogy egy ország adatvédelmi rendszere megfelelő-e, mit tehet egy egyszerű adatkezelő, és hogyan juthat pozitív eredményre, ha a Bizottság nem találta „megfelelőnek” az adott országot. Az első, könnyű válasz. hogy nem minden országot vizsgáltak meg és lehetnek olyan országok, amelyek megfelelő szintű védelmet biztosítanak, de nem készült rájuk megfelelőségi határozat.

Ez azonban nem a valós válasz. Véleményem szerint kétféle követelmény merül fel, ha adatokat továbbítunk egy szervezetnek: azok, amelyek szerződésben rögzíthetők, vagyis amelyeknek a teljesítése csak az adatok címzettjétől függ és azok, amelyek hatáskörén kívül esnek. Egy megfelelőségi határozat esetén az első típusú követelmények is már mind rögzítésre kerültek a célország adatvédelmi jogában. Ha nincs megfelelőségi határozat, az Általános Szerződési Feltételek tartalmazzák mindezeket a követelményeket, sőt, kicsit többet is, mert az adattovábbítási hatásvizsgálat eredményére is hivatkoznak. Alternatív megoldások is léteznek, például kötelező érvényű vállalati szabályok vagy adatvédelmi tanúsítások, illetve ad hoc szerződések, ezek szintén a célország szabályozásában nem szereplő kötelezettségeket rögzítik és egy adatvédelmi hatóság (általános vagy egyedi) jóváhagyását igénylik.

A második típusba főleg azok a kötelezettségek tartoznak, amelyek a szervezeteket kötelezik, hogy a hatóságok számára az adatokhoz hozzáférést adjanak és, egyes esetekben, adatokat nyilvánosságra hozzanak. Ez utóbbi kötelezettségre hivatkozik például az a nyilatkozat, amelyet Törökország csatolt az Európa Tanács 108. számú adatvédelmi konvenciójának ratifikációjához. Ezek a kötelezettségek az adatvédelmi jogok megsértését jelenthetik, mert a nemzeti jog betartása nem zárható ki szerződésekkel. Ezért az adatovábbítási hatásvizsgálatnak nem kell megvizsgálnia, hogy a fogadó ország joga előír-e olyan kötelezettségeket, amelyek szerződésben is rögzíthetőek (olyanokat, mit amelyeket említettünk, amelyek teljesítése nem ütközik az adatátvevő törvényi kötelezettségeibe, csak nincs is törvényileg előírva számukra), csak azokat a kockázatokat, amelyek szerződéses úton nem küszöbölhetők ki.

Az IAPP (International Association of Privacy Professionals, a legjelentősebb adatvédelmi szakmai szervezet felkérte Isabelle Vereeckent, az EDPB titkárságának vezetőjét, hogy beszéljen az iránymutatás hátteréről és következtetéseiről.

Az adattovábbítás definícióján túlmenően a webes szeminárium a dokumentum fő mondanivalójára koncentrált, vagyis arra, hogy hogyan fogadhatnak és küldhetnek személyes adatokat azok az adatkezelők, akik a GDPR 3. Cikk 2. bekezdése alapján esnek az európai adatvédelmi jog hatálya alá, vagyis szolgáltatásokat nyújtanak az unióba vagy uniós alanyok viselkedését figyelik meg. Mind adatküldők, ezek a szervezetek be kell tartsák a GDPR-t akkor is, ha saját országukba továbbítanak személyes adatokat, miután más szervezetek ebben az országban nem esnek a GDPR hatálya alá. Isabelle Vereecken kihangsúlyozta, hogy nem a szervezetre, hanem az adatkezelésre vonatkozik a 3. cikk 2. bekezdése, ezért ez a kötelezettség mindig fennáll, ha az adatok címzettje az átadótól eltérő szervezet. Így az ugyanazon vállatcsoport két tagja közötti adatáramlás is adattovábbításnak minősül, például amikor egy európai leányvállalat a harmadik országbeli központtal közösen kezeli vagy egymással megosztja az adatokat.

A hazai jogszabályok betartásának kötelezettségéből  az is következik, hogy az EGT-n kívüli címzett esetében akkor se mellőzhetők az adattovábbítás követelményei, ha az adatok átadását követő műveletekre vonatkozik a GDPR. Viszont, miután ezáltal ez köti is az átvevőt, nem szükséges az összes általános szerződési feltételeket kikötni, a megállapodás csak azokat a kérdéseket kell rendezze, amelyeket a GDPR nem ír elő. Az alábbi ábra mutatja a fő eseteket:

Kihangsúlyozta az előadó azt is, hogy az adattovábbításban mindig kell legyen egy adatküldő, tehát ha egy magánszemély saját kezdeményezésére osztja meg saját adatait egy harmadik országbeli szervezettel, mint például amikor közvetlenül a neten vásárol vagy ha egy európai cég alkalmazottja külföldről csatlakozik a cég számítógépes rendszeréhez (noha külföldi szolgáltatót vesz igénybe), ez nem adattovábbítás. Az Európai Bíróság egy régi ítéletét is megemlítette, amely szerint, ha egy munkavállaló megadja adatait egy olyan szervezetnek, amely nem a munkáltatója, az nem adattovábbítás – véleményem szerint azért, mert se szolgáltatásnyújtás nincs számára, sem a viselkedését nem figyelik meg.

Arról is hallottunk az IAPP webes szemináriumán, hogy egy adatkezelés mikor esik a 3. cikk 2. bekezdésének első albekezdése alá: ez azt igényli, hogy az adatkezelő szolgáltatásokat ajánljon a felhasználó országa felé. Ha tehát a felhasználó kezdeményezi a tranzakciót anélkül, hogy a platform (például az e-kereskedő) ajánlja azt, a platform nem esik a GDPR hatálya alá, míg ha a felhasználó viselkedését (például böngészési tevékenységét) megfigyelik a tranzakció során a felhasználó kezdeményezése nélkül, akkor a második albekezdés feltételei teljesülnek, és az európai adatvédelmi szabályokat érvényesíteni kell.

Megvitatásra került az az eset is, ha az unióban működő adatfeldolgozók dolgoznak egy harmadik országbeli adatkezelő megbízásából: az megbízottnak csak az adatfeldolgozókra vonatkozó szabályokat kell betartania. Ha azonban visszaküld személyes adatokat az őt megbízó adatkezelőnek (vagyis nem csak összesített adatokat közöl vele), akkor meg kell felelnie a GDPR V. fejezetének is. A Bizottság által kibocsájtott Általános Szerződési Feltételek tartalmaznak is egy erre szolgáló modult.

Titkárságvezetője szerint az EDPB mélyebben meg fogja vizsgálni az V. fejezet egy másik vitatott pontját, amely szerint biztosítani kell, hogy a természetes személyek számára a GDPR által garantált védelmet ne ássa alá az adattovábbítás. Ez azt jelenti, hogy még ha kivételek alapján adják is át az adatokat, amelyek esetén nincs szükség a formális feltételek teljesítésére (megfelelőségi határozat, általános szerződési feltételek stb.), óvintézkedéseket kell foganatosítani az adatokkal érintett személyek jogainak védelmére. Csak remélni lehet, hogy ezek az irányelvek nem lesznek annyira szigorúak, mint amilyeneket az EDPB az adattovábbítási eszközöket kiegészítő további intézkedésekről szóló ajánlásai előírnak.

A jogi biztonság bizonyosan hasznos lesz, de talán egy gyakorlatiasabb megközelítés lehetne a kockázatorientált kezelés. A fent említett ajánlásokat az IAPP eredeti tervezetüknél rugalmasabbnak ítéli meg, de lehetne még jobban figyelembe venni a valós kockázatokat, ahogy ez a cikk is bemutatja.

A cikk szerzője Szabó S. László adatvédelmi szakértő, a Szabó Consulting ügyvezetője.

A cikk a szerző véleményét tükrözi, amely nem feltétlenül esik egybe a Portfolio szerkesztőségének álláspontjával.

Ha hozzászólna a témához, küldje el meglátásait a velemeny@portfolio.hu címre. A Portfolio Vélemény rovata az On The Other Hand. A rovatról itt írtunk, a megjelent cikkek pedig itt olvashatók.

A címlapkép forrása: Getty Images.

elemző
francia ország koronavírus járvány hullám omikron
kariko katalin
who getty stock
feher haz
auchan
antony blinken
horvátország zászló

MNB Intézet A fánk-hatás

A pandémia alaposan megbolygatta az ingatlanpiaci folyamatokat. Két kutató arra a kérdésre kereste a választ, hogy...

2022. február 22.
Portfolio Agrár Klub: Sorsdöntő év következik? - A magyar agrárium kilátásai 2022-től
2022. február 24.
Private Investor Day 2022
2022. április 6.
Agrárium 2022
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Infostart.hu

Privát banki tanácsadó

Privát banki tanácsadó
Online előadás
Hosszú távú portfólió építés ETF-ek segítségével, osztalékrészvények, gyorsnövekedésű részvények.
Ajándék ötlet
Alapmű mindenkinek, akit érdekel a tőzsde világa.
elemző