CLVPartners

adattovábbítás

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után

Olvasási idő: 4 perc

A 2026. június 29-én meghozott amerikai legfelsőbb bírósági döntés (Trump v. Slaughter; a továbbiakban: „Döntés”) valószínűleg hatással lesz az Európai Unió és az Egyesült Államok közötti nemzetközi adattovábbítások jogi megítélésére, és fordulatot hozhat az e területet érintő jelenlegi gyakorlatban.

Az Amerikai Egyesült Államok Legfelsőbb Bírósága („Legfelsőbb Bíróság”) a döntésben az egységes végrehajtó hatalom elméletére támaszkodva arra a következtetésre jutott, hogy az Egyesült Államokban működő valamennyi független végrehajtó hatóság alkotmányellenesnek minősül. A Döntés közvetlenül érinti a Szövetségi Kereskedelmi Bizottságot („FTC”) is.

Ez a fejlemény az európai adatvédelmi jog szempontjából kiemelt jelentőséggel bír, mivel az Európai Bizottság („Bizottság”) 2023/1795. számú végrehajtási határozatával elfogadott, jelenleg hatályos EU–USA Adatvédelmi Keret („EU–USA Data Privacy Framework”, a továbbiakban: „Keret”) az FTC-t nevezte meg, mint az adatvédelmi szabályok betartásáért felelős független felügyeleti szerv.

Hírlevelünkben összefoglaljuk az Európai Unió és az Egyesült Államok közötti adattovábbítási gyakorlat legfontosabb szabályait, valamint áttekintjük, hogy a vállalatoknak milyen változásokra kell felkészülniük a Döntés következtében.

A GDPR szerinti harmadik országokba történő adattovábbítás szabályozási rendszere és a Schrems-ítéletek öröksége

A személyes adatok védelméről szóló 2016/679 rendelet („GDPR”) alapján a személyes adatok harmadik országba történő továbbítása főszabály szerint kizárólag akkor jogszerű, ha az adott ország megfelelő védelmi szintet biztosít. A megfelelőség vizsgálata során kiemelt szempont, hogy a harmadik ország rendelkezik-e olyan független és hatékony adatvédelmi felügyeleti hatósággal, amely képes az adatvédelmi szabályok betartásának tényleges érvényesítésére és kikényszerítésére. Ennek hiánya vagy elégtelen működése esetén ugyanis nem biztosítható az uniós szintű védelemhez hasonló garanciarendszer. Éppen ezért a Bizottság csak akkor fogadhat el megfelelőségi határozatot egy harmadik ország vonatkozásában, ha a vizsgált ország jogrendszere – többek között egy ilyen független felügyeleti szerv révén – biztosítja a személyes adatok megfelelő szintű védelmét.

E körben szükséges továbbá megemlíteni, hogy az Európai Unióból az Egyesült Államokba irányuló adattovábbítások jogi keretrendszere hosszú ideje bizonytalanságokkal terhelt. Az Európai Unió Bírósága a Schrems I és Schrems II ügyekben hozott ítéleteiben korábban érvénytelenítette az EU és USA közötti adattovábbításokra vonatkozó Safe Harbor, majd a Privacy Shield keretrendszert is. A bíróság döntését azzal indokolta, hogy az Egyesült Államokban alkalmazott tömeges megfigyelési gyakorlatok, valamint a hatékony jogorvoslati lehetőségek hiánya miatt az érintettek számára nem biztosított az uniós adatvédelmi szabályoknak megfelelő védelmi szint.

Ezt követően egyfajta „harmadik generációs” adattovábbítási megfelelőségi határozatként került bevezetésre a jelenlegi Keret, amely az Egyesült Államok vonatkozásában az FTC-t nevesíti független felügyeleti hatóságként. A Döntés következtében ugyanakkor kétségessé vált, hogy az FTC esetében a függetlenség fennállásához szükséges feltételek továbbra is biztosítottak.

Miért releváns ez uniós adatkezelők számára?

Az elmúlt évtizedekben számos uniós vállalat szervezte ki adatfeldolgozási tevékenységeit amerikai felhőszolgáltatókhoz. A GDPR azonban egyértelműen rögzíti, hogy a vállalatok személyes adatokat harmadik országba – így az Egyesült Államokba is – kizárólag abban az esetben továbbíthatnak jogszerűen, ha az adattovábbítás megfelelő garanciák és jogalap mellett történik.

Az adattovábbítások egyik lehetséges jogalapját az úgynevezett megfelelőségi határozatok jelentik. Az Európai Unió és az Egyesült Államok közötti viszonylatban jelenleg a Keret tölti be ezt a funkciót. Megfelelőségi határozat hiányában az adattovábbításra kizárólag akkor kerülhet sor jogszerűen, ha az érintett szervezet megfelelő garanciákat biztosítanak, például az Európai Bizottság által elfogadott általános adatvédelmi kikötések („SCC”) alkalmazása, illetve kötelező erejű vállalati szabályok („BCR”) bevezetése mellett.

Ha megállapításra kerül, hogy az FTC a továbbiakban nem felel meg a Keretben előírt függetlenségi követelményeknek, valószínűsíthető, hogy az Európai Bizottság a jövőben felülvizsgálja, illetve adott esetben hatályon kívül helyezi a Keretet.

Hangsúlyozzuk, hogy e fejlemény nem kizárólag a Keret alapján megvalósuló adattovábbításokat érintheti. Azok az adatkezelők is érintetté válhatnak, amelyek SCC-ket vagy BCR-eket alkalmaznak, mivel a GDPR szerinti elszámoltathatóság elvéből következően a vállalatok az adattovábbítási hatásvizsgálat keretében kötelesek értékelni, hogy a harmadik ország joga biztosítja-e a szükséges védelmi szintet. Amennyiben e vizsgálat eredményeként az állapítható meg, hogy az amerikai jogrend – különösen a hatósági hozzáférés vagy a jogorvoslati mechanizmusok tekintetében – nem nyújt megfelelő garanciákat, úgy az SCC-k vagy a BCR-ek alkalmazása önmagában nem elegendő az adattovábbítás jogszerűségének fenntartásához, így azok sem biztosíthatnak megfelelő alapot az Egyesült Államokba történő adattovábbításhoz.

Javasolt lépések

Mindezek alapján a jelenlegi fejlemények fokozott körültekintést tesznek szükségessé minden olyan adatkezelő részéről, amely az Egyesült Államokba irányuló nemzetközi adattovábbításban érintett. Közvetlen, azonnali lépést nem kíván meg a döntés, inkább a belső folyamatok felülvizsgálata és kockázatmenedzsment indokolt:

az adattovábbításokra vonatkozó belső eljárásrendek átfogó felülvizsgálata;

az adattovábbítási hatásvizsgálatok naprakésszé tétele;

annak mérlegelése, hogy szükséges-e további technikai intézkedéseket bevezetni, ideértve például a titkosítás alkalmazását;

alternatív adatfeldolgozási megoldások feltérképezése.

Összegzés

Megállapítható tehát, hogy a Keret megfelelőségének bizonyossága nem egyértelmű, ugyanakkor maga a Keret mindaddig hatályban marad, amíg azt a Bizottság vissza nem vonja, vagy az Európai Unió Bírósága meg nem semmisíti. Ennek következtében a Döntés jelenleg nem gyakorol közvetlen hatást az uniós adatkezelőkre. A vállalatoknak ugyanakkor érdemes felülvizsgálni az Egyesült Államokba történő adattovábbításokkal kapcsolatos gyakorlatukat, és szükség esetén alternatív megoldások bevezetését előkészíteni.

Kép forrása: pexels.com, Mark Stebnicki

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után Read More »

GDPR a Brexit után – Adattovábbítás EU-n kívülre

Több évnyi tárgyalást követően az Egyesült Királyság („UK”) hivatalosan is kilépett az Európai Unióból, ez által az UK „harmadik országgá” vált. Szeretnénk megragadni ezt az alkalmat, hogy bemutassuk az UK-ra vonatkozó speciális szabályokat és az EU-n kívülre történő adattovábbítások általános szabályokat.
Adattovábbítás az Egyesült Királyságba

Ahogy a Brexitről szóló legutóbbi cikkünkben megjegyeztük, bizonyos változások csak idővel lépnek életbe. Az EU és az UK közötti kilépési megállapodás alapján a kilépést egy átmeneti időszak követi 2020. december 31-ig. Ebben az átmeneti időszakban a GDPR továbbra is hatályos marad az UK-ban, így az UK az idei év végéig nem számít harmadik országnak.

Mi történik az átmeneti időszakot követően?

Fontos megjegyezni, hogy bármely adat, amelynek kezelését az átmeneti időszak végét megelőzően kezdték el, a továbbiakban is a GDPR szabályai alapján kell kezelni. Így az átmeneti időszak alatt UK-ba továbbított adatok részére a GDPR-ral azonos szintű védelmet kell garantálni.

Az átmeneti időszakot követően az UK-nak és az EU-nak kell tisztáznia az adatvédelem részletszabályait. Természetesen a legtöbb adatkezelőnek az lenne a legkézenfekvőbb, ha az UK továbbra is a GDPR-t alkalmazná.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

Azonban egy megállapodás nélküli, „no-deal” Brexit esetén, illetve ha a megállapodás az adatvédelemről nem rendelkezik, az UK-ra is az EU-n kívülre történő adattovábbítás szabályait kellene alkalmazni.

Az EU-n kívülre történő adattovábbítás

Az egyik legjobban kihangsúlyozott általános szabálya a GDPR-nak az, hogy az EU területén kívülre történő adattovábbítás nem megengedett, csak kevés kivétel esetén. Ezen kivételeknek három kategóriáját különböztethetjük meg, a megfelelőségi határozatokat a 45. cikk alapján, a megfelelő garanciákat a 46. cikk alapján és különös helyzetekben biztosított eltéréseket a 49. cikk szerint.

Megfelelőségi határozatok

A Brexit szempontjából a második legjobb megoldás az EU Bizottság által meghozott megfelelőségi határozat lenne. Az adat speciális szabály vagy jóváhagyás nélkül továbbítható azon harmadik országokba, amelyekben az adatvédelem szintje megfelelőnek ítéltetik. A döntés ugyan a Bizottság mérlegelésére tartozik, ezt egy meglehetősen valószínű végkimenetel, mivel az UK nemzeti joga is magas adatvédelmi követelményeket támaszt.

Megfelelő garanciák

Ha az UK-t nem találnák megfelelőnek, a következő lehetőség, hogy az adatkezelők, illetve adatfeldolgozók nyújtsanak megfelelő garanciákat. Ezen garanciákat a Bizottság, illetve a felügyeleti hatóság kell jóváhagyja/ elfogadja. A legrelevánsabb garanciák az alábbiak:

• vállalatcsoport kötelező erejű vállalati szabályai (a felügyeleti hatóság hagyja jóvá);
• általános adatvédelmi kikötések (a Bizottság fogadja el);
• általános adatvédelmi kikötések (a felügyeleti hatóság elfogadja, a Bizottság jóváhagyja);
• jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy;
• jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

A fent említett lehetőségek vagy az adatkezelő részéről igényelnek nagy erőfeszítéseket (pl. kötelező erejű vállalati szabályok vagy magatartási kódexek előkészítése) vagy a felügyeleti hatóság proaktivitását igénylik (általános adatvédelmi kikötések elfogadása). A GDPR hatályba lépése óta általános adatvédelmi kikötések még nem kerültek elfogadásra. Ennek következtében a legtöbb adatkezelő számára a megfelelő garanciák biztosítása túl magas belépési küszöböt jelenthet.

Különös helyzetekben biztosított eltérések

Az utolsó lehetőség az különös helyzetekben biztosított eltérések, amelyeket kizárólag kivételes esetekben lehet alkalmazni és nem szolgálhatnak rendszeres adattovábbítás jogalapjaként. Ezen esetek közül a legrelevánsabbak az alábbiak:

• az érintett kifejezett hozzájárulását adta, miután tájékoztatták a harmadik országba történő adattovábbítás veszélyeiről;
• az adattovábbítás olyan szerződés teljesítéséhez szükséges, amelyben egyik fél az érintett, másik fél az adatkezelő, vagy amelyet az érintett érdekében kötöttek;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• z adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

Mindenesetre, amennyiben az adatkezelő ezen eltéréseket alkalmazza az EU-n kívüli adattovábbítás jogalapjaként, az adattovábbításra csak akkor kerülhet sor, ha az nem ismétlődő jellegű és csak korlátozott számú érintettre vonatkozik, továbbá az adatkezelő köteles bizonyítani a kényszerítő erejű jogi érdekét és tájékoztatni mind a felügyeleti hatóságot, mind az érintetteket. Ez tekinthető a legkevésbé kedvező lehetőségnek az adatkezelők részére a tájékoztatási kötelezettségek miatt.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

GDPR a Brexit után – Adattovábbítás EU-n kívülre Read More »

Hír az infotörvény 2015. október 1. napjától hatályos változásról

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotörvény”) 2015. október 1. napi hatállyal módosult.

A változások új lehetőséget teremtenek a személyes adatok harmadik országba történő továbbításával kapcsolatosan, ugyanis lehetőség nyílik arra, hogy kötelező szervezeti szabályozás (úgynevezett „binding corporate rules”, „BCR”) kidolgozásával és alkalmazásával az adatkezelő megfelelő szintű védelmet biztosítson az adatok harmadik országba történő továbbításához. Ez különösen fontos változás most, hogy az Európai Bíróság érvénytelennek nyilvánította a Safe Harbour Egyezmény néven ismert megállapodást.

A fenti, jelentős módosításokon túl az Infotörvény érintettek jogaival kapcsolatos rendelkezései is változtak, továbbá változott a NAIH által kiszabható bírság összege is, amely ekként (az eddigi tízmillió forint helyett) húszmillió forintig terjedhet.

 

További kérdéseire készséggel válaszolnak a CLVPartners jogászai:
Dr. Csabai Marianna
H-1126 Budapest, Tartsay Vilmos u. 3. Tel: + 36 1 488 7008 Fax: + 36 1 488 7009

Hír az infotörvény 2015. október 1. napjától hatályos változásról Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.