Kép: Pixabay

Idén február 2-án politikai megállapodás született az Európai Bizottság és az Egyesült Államok között a nemzetközi adattovábbítás új keretéről, vagyis a Privacy Shield létrehozásáról. A Privacy Shield célja, hogy az Európai Bíróság által az azóta elhíresült Schrems ítéletben 2015. október 6-án érvénytelennek minősített Safe Harbor helyébe lépve biztosítsa, hogy ne sérüljenek az európai polgárok alapvető jogai az EU és az USA közötti adatáramlás során. A folyamat következő lépeseként 2016. február 29-én a Bizottság nyilvánosságra hozta a Privacy Shieldhez kapcsolódó dokumentációt. (Az EU új adatvédelmi szabályai 2018-tól élnek majd.)

A Privacy Shield alapelvei, a szabályozás jellege

„A gyakorlatban a Privacy Shield alkalmazása hasonló lesz a Safe Harbour elvei mentén kialakult rendszerhez, mivel az adatvédelmi követelmények és alapelvek többnyire megegyeznek a két szabályozási mechanizmusban. Néhány alapelv mindazonáltal pontosításra került, így például az adatkezelőt terhelő tájékoztatási kötelezettség tartalma tekintetében az Európai Bizottság pontosabb követelményrendszert állított fel.” – ismerteti Párkányi Rita, a KCG Partners Ügyvédi Társulás adatvédelmi szakértője.

A cégek általi önkéntes vállaláson alapuló jelleg sem változik. A cégeknek tehát továbbra is nyilatkozatot kell tenniük arról, hogy vállalják a Privacy Shieldben meghatározott, a személyes adatok feldolgozására és az alapjogok garantálására vonatkozó kötelezettségeket. A cégek az önkéntes vállalásuk alapján felkerülhetnek az Egyesült Államok Kereskedelmi Minisztériuma által vezetett listára és jogszerűen végezhetnek adattovábbítást.

A Privacy Shield megfelelő végrehajtása érdekében a Kereskedelmi Minisztérium felügyeleti jogköre kibővül. Szigorúbban fogja vizsgálni a csatlakozni kívánó szervezetek önkéntes vállalásait, valamint aktívan fogja felügyelni, hogy a csatlakozott szervezetek mennyiben teljesítik a vállalt kötelezettségeket és szükség esetén akár törölheti is a jogsértő szervezetet a listáról.

A Privacy Shield 4 fő eleme

A Privacy Shield alapján az európai polgárok személyes adatait kezelő szervezeteknek szigorú kötelezettségeket kell betartaniuk az adatkezelésre és az alapjogok garantálására vonatkozóan, mely során meg kell felelniük a transzparencia követelményének. A kötelezettségek megfelelő teljesítését átfogó felügyelet fogja biztosítani, többek között a Kereskedelmi Minisztérium részéről.

Az uniós polgárok jogainak hatékony védelme érdekében a Privacy Shield az alábbi jogorvoslati lehetőségeket rögzíti: Az érintettektől érkező panaszokat az adatkezelő szervezetnek 45 napon belül meg kell válaszolnia. Emellett panasz esetén alternatív vitarendezési mód (ADR) is ingyenesen igénybe vehető. A nemzeti adatvédelmi hatóságok a hozzájuk érkező panaszokat az Egyesült Államok kijelölt szerveivel együttműködve vizsgálják ki. További lehetőségként a választottbírósági út is elérhető lesz a panaszosok számára. És végül, de nem utolsó sorban rendkívül jelentős lépésként 2016. február 24-án az amerikai bírósági jogorvoslatról szóló törvény („Judicial Redress Act”) elfogadásával megnyílt a lehetőség az uniós állampolgárok előtt, hogy az Egyesült Államok bíróságai előtt közvetlenül is érvényesíthessék a jogellenes adatkezeléssel kapcsolatos követeléseiket.

Az Egyesült Államok írásbeli kötelezettséget vállalt arra nézve, hogy kormányzati szerveinek hozzáférése uniós állampolgárok személyes adataihoz kizárólag a szükséges és arányos mértékben, megfelelő korlátozások és felügyeleti mechanizmusok mellett történhet. Az USA kizárta annak lehetőségét, hogy a továbbított személyes adatokat megkülönböztetés nélküli vagy tömeges megfigyelés alatt tartsa. Jogorvoslati mechanizmusként pedig független ombudsman felállításáról született döntés, aki köteles kivizsgálni a kormányzati megfigyelésekkel kapcsolatban érkező panaszokat.

Átfogó ellenőrzésre évenként kerül majd sor, ahol az Európai Bizottság és az Egyesült Államok Kereskedelmi Minisztériuma közösen vizsgálják a Privacy Shield követelményeinek végrehajtását és az Egyesült Államok kormányzati szerveinek adathozzáférésére vonatkozóan vállalt kötelezettségek teljesítését.

Több feladat, nagyobb körültekintés

Az új keretrendszer alkalmazása a gyakorlatban a szervezetek számára több feladattal járhat, illetve nagyobb körültekintést igényelhet. Így a cégeknek rendszeresen felül kell majd vizsgálniuk az önkéntes kötelezettségvállalásaikat, az adatvédelmi szabályzatukat kötelesek lesznek elérhetővé tenni a honlapjukon, valamint kötelesek lesznek megfelelően megválaszolni a hozzájuk érkező panaszokat. Azoknak a szervezeteknek, amelyek eddig is maradéktalanul végrehajtották a Safe Harbor követelményeit, a szigorodó felügyelet és ellenőrzés, valamint a kiszélesedő jogorvoslati lehetőségek nem jelentenek jelentős többletkötelezettségeket, ugyanakkor azoknak a szervezeteknek, akik a Safe Harbor teljesítését csupán egy űrlap kitöltésében látták, a Privacy Shield alkalmazása komoly kihívásokat jelenthet.

A Privacy Shieldet üdvözlő vélemények szerint az USA felé történő adattovábbítás átláthatóbbá válhat és erősebb védelemben részesülhet. A kritikus vélemények szerint azonban a Privacy Shield gyorsan a Safe Harbor sorsára juthat, különösen arra tekintettel, hogy e vélemények szerint az USA nem adott megfelelő garanciákat a kormányzati adathozzáférések korlátozására vonatkozóan.

Következő lépések

„A tagállamok adatvédelmi hatóságainak vezetőiből álló 29-es Munkacsoport ezekben a hetekben véleményezi az Európai Bizottság által közzétett határozat tervezetet. Az Európai Bizottság a 29-es Munkacsoport véleményének ismeretében és a tagállami képviselőkből álló bizottsággal folytatott konzultációt követően dönthet a Privacy Shieldet életbe léptető határozat elfogadásáról.” – tájékoztatott Párkányi Rita ügyvéd.