Az Európai Bizottság 2023. július 10-én elfogadta az Európai Unió és az Egyesült Államok közötti Transzatlanti Adatvédelmi Keretrendszerre (Trans-Atlantic Data Privacy Framework) vonatkozó megfelelőségi határozatát. A megfelelőségi határozat az elfogadás napján hatályba lépett.
Az EU és az USA közötti adatáramlás kihívásainak és szabályozásának előzményeiről (Safe Harbour és Privacy Shield) Dr. Molnár Adél kolléganőnk részletes összefoglalója itt olvasható.
A megfelelőségi határozat kimondja, hogy az adatvédelmi keretrendszerben részt vevő vállalatok vonatkozásában az Egyesült Államokba történő adattovábbítás során a személyes adatok lényegében az uniós szintnek megfelelő védelemben részesülnek.
Miért fontos ez?
Mert az Egyesült Államok, ez a hatalmas és ennél fogva nagyon lassan forduló tankhajó, az Európai Unió (és végső soron egy osztrák kisember) nyomására irányt változtatott, pontosabban megteremtette a jogi kereteit az uniós polgárok személyes adataival kapcsolatos adatkezelési, benne a hírszerzési adatkezelési gyakorlata irányváltoztatásának és annak uniós normákhoz való közelítésének. Ez akkor is hatalmas változás, ha mindennek a háttérben elsősorban nem magasztos célok, mint a jogszerűség, tisztességes eljárás és az átláthatóság érvényre juttatásának szándéka, hanem alapvetően gazdasági érdekek állnak.
A – majd’ napra pontosan – három évvel ezelőtt meghozott Schrems II. ítélettől indulva hosszú út vezetett el a megfelelőségi határozat kiadásáig. Ennek – csak említés szintjén – része volt, hogy von der Leyen elnök és Biden elnök elvi megállapodást kötött az új transzatlanti adattovábbítási keretrendszer létrehozásáról 2022. márciusában. Majd 2022. októberében – az Európai Unió Bírósága megállapításainak rendezése érdekében – Biden aláírta az „Egyesült Államok hírszerzési tevékenységeire vonatkozó biztosítékok megerősítéséről” szóló végrehajtási rendeletet (Executive Order).
Hogy miért is fontos és mit jelent ez a megfelelőségi határozat és a keretrendszer gyakorlati szempontból?
Egyfelől, a rendelet következtében az amerikai hírszerző ügynökségek – bár továbbra is hozzáférhetnek, de – csak a szükséges és arányos mértékben férhetnek hozzá a személyes adatainkhoz.
Uniós magánszemélyként pedig, ha az Egyesült Államokba továbbították az adatainkat, a hírszerző ügynökségek kifogásolt adatkezelési tevékenységével kapcsolatban mostantól kezdve kétszintű jogorvoslati fórumhoz fordulhatunk jogvédelemért.
Első fokon az adatkezelés ellen – a GDPR-ból ismert – panasszal élhetünk, amelyet az adott tagállami adatvédelmi hatóság útján terjeszthetünk elő. Panaszunkat az amerikai hírszerző közösség polgári szabadságjogok védelméért felelős tisztviselője vizsgálja ki.
Másodfokon pedig az újonnan létrehozott, független és pártatlan Adatvédelmi Felülvizsgálati Bírósághoz (DPRC) fellebbezhetünk jogorvoslatért, amihez az Egyesült Államok jogi segítséget is nyújt.
Másfelől – és adatkezelőként számunkra ez a hangsúlyosabb – kiléptünk egy három éve tartó szürke zónából. Újra, további intézkedések (SCC, BCR) nélkül is jogszerű lehet a személyes adatoknak az Unióból az USA-ba történő továbbítása, például tipikusan az amerikai technológiai szolgáltatók adatfeldolgozóként való használata, ha azok vállalják az adatvédelmi keretrendszer követelményeinek való megfelelést. Ilyen követelmény az adatvédelem alapelveinek (célhoz kötöttség vagy az adattakarékosság stb.) érvényesítése vagy az érintetti jogok biztosítása az uniós magánszemélyek viszonylatában.
Hogy a megfelelőségi határozat, így az Egyesült Államok – a fentiek alapján finomhangolt – jogi keretrendszere és adatvédelmi gyakorlata kiállja-e a próbát? Erre térjünk vissza jövőre. A tapasztalatokat egy év múlva értékeli a Bizottság. Ennek eredményessége esetén, pedig legalább négy éves gyakorisággal izgulhatunk a tankhajó irányváltoztatásának (és így végső soron az általunk végzett adattovábbítások) megfelelőségéért.
Persze, csak akkor, ha Herr Schrems közbe nem szól addig…
Forrás: link
