Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Kiemelendő az Európai Unió Bíróságának ítélete azért is, mert az az Egyesült Államokba történő adattovábbítással járó minden adatkezelés megfelelőségének feltételeit változtatja meg jelentősen azzal, hogy az EU-USA adatvédelmi pajzs határozatot érvénytelennek nyilvánította, továbbá harmadik országba történő adattovábbítások tekintetében is általános követelményeket rögzít.
Az Európai Unió Bíróságának Ítélete
Az Európai Unió Bírósága a Facebook által Írországban kezelt személyes adatok Egyesült Államokba való továbbításával, és így az amerikai szervereken való tárolásával kapcsolatban felmerült kérelem vonatkozásában a 2010/87 számú bizottsági határozat és a Bizottság EU-USA adatvédelmi pajzs határozat (2016/1250) érvényességét is vizsgálta.
Ennek eredményeként az EU-USA adatvédelmi pajzs határozatot érvénytelennek nyilvánította, míg az általános adatvédelmi kikötéseket, mint a harmadik országba adatfeldolgozók részére történő adattovábbítások lehetséges jogi alapját tartalmazó 2010/87 határozat kapcsán nem talált olyan körülményt, mely a határozat érvényességét érintette volna.
Ugyanakkor rögzítette azt is, hogy amennyiben általános adatvédelmi kikötések alapján kerül sor harmadik országba történő adattovábbításra, abban az esetben olyan védelmi szinttel kell rendelkezni, amely lényegében azonos az Európai Unióban biztosított védelmi szinttel.
Ezzel összefüggésben a Bíróság kimondta, hogy e védelmi szint értékelésének figyelembe kell vennie mind az Unióban letelepedett adatkezelő és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak az így továbbított adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit.
A Bíróság az adatvédelmi pajzs tekintetében alapvetően azt vizsgálta, hogy azon személyes adatok esetén, amelyeket harmadik országba továbbítanak, az adott országnak olyan védelmi szinttel kell rendelkeznie, amely lényegében azonos az Unióban biztosított védelmi szinttel.
A Bíróság álláspontja szerint azonban az Egyesült Államok szabályozása nem felel meg az uniós jogban az arányosság elve által megkövetelt követelményeknek, elsősorban azért, mert az USA szabályozása szerinti megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak, másodsorban pedig azért, mert a nem amerikai személyek számára szolgáló garanciákat, így jogorvoslati lehetőséget a kapcsolódó szabályozás nem biztosítja megfelelően.
Fentiekre tekintettel a Bíróság érvénytelennek nyilvánította az EU-USA adatvédelmi pajzs határozatot.
Ennek pedig alapvető következménye az, hogy az Egyesült Államokba önmagában az adatvédelmi pajzs hatálya alatt, azaz a 2016/1250 számú határozat alapján kizárólag a GDPR általános szabályaira figyelemmel kötött adattovábbítási szerződések alapján történt eddig jogszerű adattovábbítások további intézkedés nélkül a bíróság ítéletére figyelemmel jogsértőnek minősülnek.
Mindezek alapján haladéktalanul szükséges valamennyi adatkezelőnek mind az USA-ba történő, mind pedig minden további harmadik országba történő adattovábbítással járó adatkezeléseiket, illetve adattovábbításaikat és szerződéses kapcsolataikat felülvizsgálni.
Ennek keretében fontos továbbá, hogy egyedileg szükséges megvizsgálni, hogy az általános adatvédelmi kikötések alkalmazhatóak-e, az adott szerződéses partner esetén megfelelő garanciák állnak-e rendelkezésre, azaz jogszerűen van-e mód az adott adatfeldolgozót a továbbiakban igénybe venni – hangsúlyozták a Kovács Réti Szegheő Ügyvédi Iroda szakértői.
(A második részt hamarosan közöljük – a szerk.)
