CLVPartners

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után

Olvasási idő: 4 perc

A 2026. június 29-én meghozott amerikai legfelsőbb bírósági döntés (Trump v. Slaughter; a továbbiakban: „Döntés”) valószínűleg hatással lesz az Európai Unió és az Egyesült Államok közötti nemzetközi adattovábbítások jogi megítélésére, és fordulatot hozhat az e területet érintő jelenlegi gyakorlatban.

Az Amerikai Egyesült Államok Legfelsőbb Bírósága („Legfelsőbb Bíróság”) a döntésben az egységes végrehajtó hatalom elméletére támaszkodva arra a következtetésre jutott, hogy az Egyesült Államokban működő valamennyi független végrehajtó hatóság alkotmányellenesnek minősül. A Döntés közvetlenül érinti a Szövetségi Kereskedelmi Bizottságot („FTC”) is.

Ez a fejlemény az európai adatvédelmi jog szempontjából kiemelt jelentőséggel bír, mivel az Európai Bizottság („Bizottság”) 2023/1795. számú végrehajtási határozatával elfogadott, jelenleg hatályos EU–USA Adatvédelmi Keret („EU–USA Data Privacy Framework”, a továbbiakban: „Keret”) az FTC-t nevezte meg, mint az adatvédelmi szabályok betartásáért felelős független felügyeleti szerv.

Hírlevelünkben összefoglaljuk az Európai Unió és az Egyesült Államok közötti adattovábbítási gyakorlat legfontosabb szabályait, valamint áttekintjük, hogy a vállalatoknak milyen változásokra kell felkészülniük a Döntés következtében.

A GDPR szerinti harmadik országokba történő adattovábbítás szabályozási rendszere és a Schrems-ítéletek öröksége

A személyes adatok védelméről szóló 2016/679 rendelet („GDPR”) alapján a személyes adatok harmadik országba történő továbbítása főszabály szerint kizárólag akkor jogszerű, ha az adott ország megfelelő védelmi szintet biztosít. A megfelelőség vizsgálata során kiemelt szempont, hogy a harmadik ország rendelkezik-e olyan független és hatékony adatvédelmi felügyeleti hatósággal, amely képes az adatvédelmi szabályok betartásának tényleges érvényesítésére és kikényszerítésére. Ennek hiánya vagy elégtelen működése esetén ugyanis nem biztosítható az uniós szintű védelemhez hasonló garanciarendszer. Éppen ezért a Bizottság csak akkor fogadhat el megfelelőségi határozatot egy harmadik ország vonatkozásában, ha a vizsgált ország jogrendszere – többek között egy ilyen független felügyeleti szerv révén – biztosítja a személyes adatok megfelelő szintű védelmét.

E körben szükséges továbbá megemlíteni, hogy az Európai Unióból az Egyesült Államokba irányuló adattovábbítások jogi keretrendszere hosszú ideje bizonytalanságokkal terhelt. Az Európai Unió Bírósága a Schrems I és Schrems II ügyekben hozott ítéleteiben korábban érvénytelenítette az EU és USA közötti adattovábbításokra vonatkozó Safe Harbor, majd a Privacy Shield keretrendszert is. A bíróság döntését azzal indokolta, hogy az Egyesült Államokban alkalmazott tömeges megfigyelési gyakorlatok, valamint a hatékony jogorvoslati lehetőségek hiánya miatt az érintettek számára nem biztosított az uniós adatvédelmi szabályoknak megfelelő védelmi szint.

Ezt követően egyfajta „harmadik generációs” adattovábbítási megfelelőségi határozatként került bevezetésre a jelenlegi Keret, amely az Egyesült Államok vonatkozásában az FTC-t nevesíti független felügyeleti hatóságként. A Döntés következtében ugyanakkor kétségessé vált, hogy az FTC esetében a függetlenség fennállásához szükséges feltételek továbbra is biztosítottak.

Miért releváns ez uniós adatkezelők számára?

Az elmúlt évtizedekben számos uniós vállalat szervezte ki adatfeldolgozási tevékenységeit amerikai felhőszolgáltatókhoz. A GDPR azonban egyértelműen rögzíti, hogy a vállalatok személyes adatokat harmadik országba – így az Egyesült Államokba is – kizárólag abban az esetben továbbíthatnak jogszerűen, ha az adattovábbítás megfelelő garanciák és jogalap mellett történik.

Az adattovábbítások egyik lehetséges jogalapját az úgynevezett megfelelőségi határozatok jelentik. Az Európai Unió és az Egyesült Államok közötti viszonylatban jelenleg a Keret tölti be ezt a funkciót. Megfelelőségi határozat hiányában az adattovábbításra kizárólag akkor kerülhet sor jogszerűen, ha az érintett szervezet megfelelő garanciákat biztosítanak, például az Európai Bizottság által elfogadott általános adatvédelmi kikötések („SCC”) alkalmazása, illetve kötelező erejű vállalati szabályok („BCR”) bevezetése mellett.

Ha megállapításra kerül, hogy az FTC a továbbiakban nem felel meg a Keretben előírt függetlenségi követelményeknek, valószínűsíthető, hogy az Európai Bizottság a jövőben felülvizsgálja, illetve adott esetben hatályon kívül helyezi a Keretet.

Hangsúlyozzuk, hogy e fejlemény nem kizárólag a Keret alapján megvalósuló adattovábbításokat érintheti. Azok az adatkezelők is érintetté válhatnak, amelyek SCC-ket vagy BCR-eket alkalmaznak, mivel a GDPR szerinti elszámoltathatóság elvéből következően a vállalatok az adattovábbítási hatásvizsgálat keretében kötelesek értékelni, hogy a harmadik ország joga biztosítja-e a szükséges védelmi szintet. Amennyiben e vizsgálat eredményeként az állapítható meg, hogy az amerikai jogrend – különösen a hatósági hozzáférés vagy a jogorvoslati mechanizmusok tekintetében – nem nyújt megfelelő garanciákat, úgy az SCC-k vagy a BCR-ek alkalmazása önmagában nem elegendő az adattovábbítás jogszerűségének fenntartásához, így azok sem biztosíthatnak megfelelő alapot az Egyesült Államokba történő adattovábbításhoz.

Javasolt lépések

Mindezek alapján a jelenlegi fejlemények fokozott körültekintést tesznek szükségessé minden olyan adatkezelő részéről, amely az Egyesült Államokba irányuló nemzetközi adattovábbításban érintett. Közvetlen, azonnali lépést nem kíván meg a döntés, inkább a belső folyamatok felülvizsgálata és kockázatmenedzsment indokolt:

az adattovábbításokra vonatkozó belső eljárásrendek átfogó felülvizsgálata;

az adattovábbítási hatásvizsgálatok naprakésszé tétele;

annak mérlegelése, hogy szükséges-e további technikai intézkedéseket bevezetni, ideértve például a titkosítás alkalmazását;

alternatív adatfeldolgozási megoldások feltérképezése.

Összegzés

Megállapítható tehát, hogy a Keret megfelelőségének bizonyossága nem egyértelmű, ugyanakkor maga a Keret mindaddig hatályban marad, amíg azt a Bizottság vissza nem vonja, vagy az Európai Unió Bírósága meg nem semmisíti. Ennek következtében a Döntés jelenleg nem gyakorol közvetlen hatást az uniós adatkezelőkre. A vállalatoknak ugyanakkor érdemes felülvizsgálni az Egyesült Államokba történő adattovábbításokkal kapcsolatos gyakorlatukat, és szükség esetén alternatív megoldások bevezetését előkészíteni.

Kép forrása: pexels.com, Mark Stebnicki

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.