A koronavírus-járvánnyal összefüggésben néhány hét alatt többszöröződött meg Magyarországon az otthonról dolgozók száma 2020 első negyedévének végén. Cégek tízezrei szervezik, és munkavállalók százezrei végzik azóta is minden egyes nap a munkájukat online videókonferencián keresztül. A Meet, a Zoom, a Webex, a Skype, a GoToMeeting és a Teams lettek az üzletmenet folytonosság biztosításának legfontosabb eszközei. Azonban ezek az eszközök jelentik egyben a legnagyobb fenyegetést is azzal, hogy úgy továbbíthatják az adatokat az Egyesült Államokba, hogy ott már nem védi azokat a GDPR. Így nem csupán a személyes adatok bizalmassága sérülhet, hanem egyben súlyos adatvédelmi bírságot is kockáztatnak a vállalkozások.

Az Európai Unió általános adatvédelmi rendelete, a GDPR a bevezető rendelkezései közt írja elő, hogy az üzleti kapcsolatok nemzetközivé válása miatt elkerülhetetlen, hogy az uniós polgárok személyes adatait az EU-n kívüli országban kezeljék vagy dolgozzák fel. A rendelet azt is előírja, hogy a személyes adatokat csak akkor lehet ezekbe az országokba elküldeni, ha a célországok legalább olyan védelmi szintet biztosítanak, mint amit a GDPR előír.

Mindenkit megfigyelhetnek

Maximilian Schrems osztrák jogász 2012-ben kikérte a Facebooktól a róla tárolt személyes adatokat. Az adatok 1200 oldalt tettek ki, de még nagyobb volt Schrems megdöbbenése, amikor rájött, hogy semmi garancia nincs arra, hogy a Facebook ezt a rengeteg érzékeny posztot, személyes fényképet, bizalmas üzenetet ne adja ki a „nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek teljesítéséhez” akár az FBI-nak, akár más amerikai hírszerző hatóságnak anélkül, hogy ő erről tudna és fellebbezhetne ellene. Ekkoriban robban ki a Snowden ügy is, amiből kiderült, hogy az Egyesült Államok hírszerző ügynökségei, kiváltképp az NSA nagyjából mindenről és mindenkiről számolatlanul, és hatékony jogérvényesítési lehetőségek nélkül gyűjtik a személyes adatokat.

Schrems az ír adatvédelmi felügyeletnél kérte, hogy tiltsák meg a Facebook Irelandnak, hogy továbbítsa az adatait az USA-beli anyavállalathoz. Panaszát a „Safe Harbour” elnevezésű bizottsági határozatra hivatkozva elutasították, mely szerint az USA megfelelő védelmi szintet biztosít. Schrems tovább ment és végül az EU Bírósága neki adott igazat az Schrems I. elnevezésű ítéletében és érvénytelenítette a Safe Harbour rendeletet és EU 2016-ban egy határozattal létrehozta az EU-USA „Privacy Shield” Adatvédelmi Pajzsot, amelyhez azok az amerikai szervezetek csatlakozhattak, akik vállalták a szigorú felételek betartását és így már minden további nélkül lehetett nekik EU-s polgárok személyes adatait a tengerentúlra egyéb jogi garanciák alkalmazása nélkül továbbítani. Más országokkal külön megfelelőségi határozatot hozott az EU. Ezek nélkül szinte csak az érintett kifejezett hozzájárulásával lehet kiküldeni a személyes adatait.

Nincs kibúvó

A Privacy Shield határozat lehetővé tette, hogy az önként csatlakozó adatkezelők továbbra is továbbíthassák a személyes adatokat az USA-ba. Az Adatvédelmi Pajzs azonban nem oldotta meg azt a problémát, hogy az amerikai hírszerzésre vonatkozó törvények nem korlátozzák arányosan a hatóságok adatszerzési felhatalmazását és nincsenek garanciák benne a nem amerikai polgárok számára, így eleve kizárt, hogy teljesítse a megfelelő védelmi szintre vonatkozó uniós szabályokat.

Ráadásul a Pajzs nem rendezte azt sem, hogy az uniós polgároknak nincs lehetősége panaszt tenni és fellebbezni a jogtalanul, például „tömeges megfigyelés keretében” történő adathasználat ellen az USA-ban.

Max Schrems ezért újra pert indított és újra nyert. Az EU Bírósága egy hosszú és bonyolult eljárás után, azonnali hatállyal megszüntette a Privacy Shield rendeletet és az Egyesült Államok elveszítette az adattovábbítás körében, a többi harmadik országgal szemben élvezett kiemelt elbánást.

A Cloud Act-el 2018-ban ellehetetlenült az a lehetőség is, miszerint az amerikai szolgáltató EU-ban lévő szerverein tárolták az adatokat és csak az ottani munkatársak fértek hozzájuk és így nem történt határokon átnyúló adattovábbítás. Mivel a törvénnyel az USA hírszerző szerveinek közvetlen hozzáférése lett bármely amerikai szolgáltató nem az Egyesült Államokban lévő szerverein tárolt ügyféladatokhoz, ami ellentétes a GDPR rendelkezéseivel.

Törvényes lehetőség van, gyakorlati útmutató nincs

A EU Bíróság ugyanakkor alapos vizsgálat után fenntartotta a Standard Contractual Clauses (SSC), azaz Általános Szerződési Feltételeken (ÁSZF) alapuló adattovábbítás lehetőségét. Így a szervezeteknek az ÁSZF-ek és úgynevezett Binding Corporate Rules (BCR), azaz Kötelező érvényű Vállalati Szabályok kikötése mellett lehetőségük van a személyes adatok harmadik országba történő továbbítására és az ottani feldolgozására. Az adattovábbításnak azonban minden egyes esetben meg kell felelnie a GDPR-ban lefektetett garanciáknak.

A BCR a vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások által létrehozott belső szabályzat, ami garanciát biztosít a megfelelő adatkezelésre az egy vállalkozáscsoportba tartozó, ám uniós és azon kívüli országban letelepedett vállaltok közti adattovábbításnál. a BCR-t az illetékes adatvédelmi hatóság hagyja jóvá.

Az ÁSZF használatának feltétele, hogy az adattovábbító az adattovábbítás előtt elvégezzen egy kifejezetten az adattovábbítás körülményeire vonatkozó, többrétű vizsgálatot és meggyőződön arról, hogy az adatot fogadó országban megfelelő a védelmi szint, legyen szó az USA-ról, vagy bármelyik országról.

A teszt során részletesen vizsgálni kell az ÁSZF kikötéseit és szükség esetén ki kell egészíteni többletgaranciákkal, valamint az adattovábbítás a körülményeivel és módjával. Ezen felül értékelni kell a fogadó ország jogrendszerének ide vonatkozó elemeit, keretét. Továbbá figyelembe kell venni a fogadó ország hatóságainak hozzáférését az adatokhoz és a hatóságok, bíróságok döntése elleni hatékony jogorvoslat lehetőségét.

Ha a vizsgálat eredménye szerint megfelelő a harmadik ország védelmi szintje, akkor nincs akadálya a törvényes adattovábbításnak. Ebben az esetben célszerű a vizsgálat minden részletét alaposan dokumentálni, hogy később elkerülhető legyen az adatvédelmi hatósági büntetés.

Amennyiben a harmadik országban nem megfelelő a védelmi szint, akkor azonnal fel kell függeszteni vagy meg kell szüntetni az adattovábbítást. Ha a szervezet mégis szeretné folytatni az adatok továbbítását, akkor erről értesíteni kell az adatvédelmi hatóságot, amely felfüggeszti vagy megtiltja az adatok átadást, ha azok védelme máshogy nem biztosítható.

Ezen felül az érintett kifejezett és eseti hozzájárulásával lehet továbbítani a személyes adatait akkor, ha előtte megfelelően tájékoztatták az adattovábbítással kapcsolatos kockázatokról. Szerződés teljesítése esetén szintén eseti jelleggel a teljesítéshez szükséges mértékig lehet továbbítani az adatokat.

Az EU két szakbizottságot is létrehozott az adattovábbítás jogi kereteinek és gyakorlati megvalósításának kialakítására, azonban egységes iránymutatás még nem született. Eközben Max Schrems 2020. augusztus 17-én újabb 101 online vállalkozás, köztük az Index, az Időkép és a 24.hu ellen tett feljelentést az EU-s adatvédelmi hatóságoknál jogellenes adattovábbítás miatt, mivel használják a Facebook Connect és a Google Analytics alkalmazásokat.

Segítünk

Amíg hiányzik a hivatalos állásfoglalás, a Black Cell Magyarország azt javasolja valamennyi ügyfelének, hogy ellenőrizze az adatkezelési és transzatlanti adattovábbítási folyamatait. Ennek keretében azonosítsa a harmadik országba, legfőképp az USA-ba irányuló adattovábbításokat és azt, hogy ez milyen jogi keretrendszer szerint valósul meg. Ha a Privacy Shield alapján történik az adattovábbítás, akkor azt azonnal fel kell függeszteni vagy meg kell szüntetni. Minden más esetben körültekintő vizsgálatot kell lefolytatni.

Különösen fontos a felülvizsgálat azoknál a szervezeteknél, akik felhőszolgáltatást (pl. Microsoft SharePoint vagy Azure, Google Workspace, Amazon AWS, IBM Cloud vagy Cloud Paks) vesznek igénybe, hiszen sokszor előfordul, hogy az adatok tárolását, feldolgozását az USA-ban lévő szerver végzi.

Amennyiben kérdése van az Önöknél történő adattovábbítás jogszerűségével kapcsolatban, forduljon bizalommal Black Cell Magyarország szakembereihez.

Pin It on Pinterest