Az Európai Unió és az Egyesült Államok ezer szállal kötődik egymáshoz; a személyes adatok továbbítása kapcsolatuk fontos és szükséges része, különösen napjaink globális digitális gazdaságában. Rengetegszer előfordul, hogy az adatok gyűjtését az EU-ban egy amerikai cég fiókirodája vagy üzleti partnere végzi, majd továbbítja őket. Ez történik akkor is, amikor online vásárolunk árut vagy szolgáltatást, közösségi médiát vagy felhőalapú adattárolási szolgáltatást használunk (ilyen például a közkedvelt Mailchimp igénybevétele is).
A problémát az okozza, hogy a GDPR szigorú feltételekhez köti a harmadik országba – konkrétan az EGT tagállamain kívülre – történő adattovábbítást. Ezen feltételek jelenleg nem állnak fenn az Egyesült Államok vonatkozásában.
A GDPR 45. cikkének (3) bekezdése felhatalmazza a Bizottságot olyan tartalmú határozat meghozatalára, mely arról rendelkezik, hogy egy nem uniós ország „megfelelő szintű védelmet”, azaz a személyes adatok védelmének olyan szintjét biztosítja, amely lényegében egyenértékű a védelem szintjével az EU-ban. A megfelelőségről szóló határozatok azt eredményezik, hogy a személyes adatok szabadon áramolhatnak az EU (és Norvégia, Liechtenstein és Izland) területéről egy harmadik országba, biztonságosan, minden további akadály nélkül és anélkül, hogy az EU-s adatkezelőknek további külön adatvédelmi garanciákat kellene bevezetniük az adattovábbításhoz.
Az eddigi próbálkozások
Az USA és az EU közötti személyes adatok áramlását a 2000-ben aláírt Safe Harbour szabályozta elsőként. 2013-ban kiderült, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) tömeges adatgyűjtést folytat, és Európai Bíróság 2015-ben hatályon kívül helyezte a Safe Harbour egyezményt, tekintettel arra, hogy az unió állampolgárainak személyes adatainak védelme nem biztosított. 2016-ban új adattovábbítási keretrendszer került elfogadásra, a Privacy Shield (Adatvédelmi Pajzs) megállapodás, melynek egyik célja volt, hogy a bűnüldözési és nemzetbiztonsági adatgyűjtési gyakorlatot keretek közé szorítsa, továbbá lehetővé tette, hogy az EU-s állampolgárok bírósághoz forduljanak, ha jogellenesen figyelték meg őket. 2020-ban egy lelkes osztrák jogász, Max Schrems kezdeményezésére az Európai Unió Bírósága (EUB) a Schrems II. ügyben kimondta az EU USA Adatvédelmi Pajzs érvénytelenségét, mert nem látta biztosítottnak a személyes adatok védelmét az adott jogi keretei között. Az indokolásban többek között az szerepel, hogy az USA nemzetbiztonságra hivatkozva, korlátlan hozzáféréssel rendelkezett a személyes adatokhoz, nem volt biztosított az EU állampolgárok jogorvoslati joga, voltaképpen nem látta biztosítottnak, hogy az európai adatokba ne nézhessen be valamelyik amerikai kormányhivatal. Az Európai Unió és az Egyesült Államok közötti adatáramlást övező jogbizonytalanság 2021-re oda vezetett, hogy az európai adatvédelmi hatóságok olyan ügyekben adtak ki elmarasztaló határozatokat, mint a Google Analytics, a Google Fonts és a Stripe.
Könnyen belátható, hogy igencsak aggályos annak ténye és tudata, hogy előfordulhat, hogy egy EU-ban tevékenykedő adatkezelő megfelelő biztonsági garanciák hiányában továbbít személyes adatokat, majd azok az USÁ-ban kerülnek felhasználásra, ahol a jogszabályok nem tiltják, hogy adott esetben állami szervek korlátozás nélkül hozzáférjenek azokhoz, nem beszélve egy esetleges adatvédelmi incidens bekövetkezéséről.
2022 – 2023: a megnyugtató rendezés ígérete
Miután a Bíróság az EU-USA adatvédelmi pajzsról szóló korábbi megfelelőségi határozatot érvénytelenítette, az Európai Bizottság és az Egyesült Államok kormánya egyeztetéseket kezdeményezett egy új adatvédelmi megállapodásról. Egy éve, 2022. márciusában von der Leyen elnök és Biden elnök bejelentették, hogy elvi megállapodás született az új transzatlanti adattovábbítási keretrendszer létrehozásáról, ezt követően az amerikai elnök októberben aláírta „Az Egyesült Államok hírszerzési tevékenységeihez kapcsolódó biztosítékok megerősítéséről” szóló végrehajtási rendeletet, amelyet az amerikai igazságügyminiszter által elfogadott rendeletek egészítettek ki. Ez a két rendelet átülteti az USA kötelezettségvállalásait az amerikai jogba, kiegészítve ezzel az amerikai vállalatok kötelezettségvállalásait is. Ennek alapján a Bizottság 2022. december 13-án elindította a megfelelőségi határozat elfogadására irányuló eljárást az EU és az Egyesült Államok közötti adatvédelmi keretrendszerre vonatkozóan.
A most nyilvánosságra hozott, az Egyesült Államok jogi keretrendszerének bizottsági értékelését tükröző megfelelőségi határozattervezet arra a következtetésre jut, hogy az az uniós jogi kerethez hasonló biztosítékokat nyújt az EU-ból az USÁ-ba továbbított személyes adatok részére.
Első lépésként a Bizottság benyújtotta a megfelelőségi határozattervezetét az Európai Adatvédelmi Testületnek (EDPB), majd ennek döntését követően a Bizottság az uniós tagállamok képviselőiből álló illetékes bizottság, illetve az Európai Parlament jóváhagyását kéri. Ezek után fogadhatja el a Bizottság a végleges megfelelőségi határozatot. Várakozásaink szerint ez a 2023-as évben megtörténik. Ezt követően az elfogadott EU-USA adatvédelmi keretrendszerhez csatlakozó, a feltételeket elfogadó amerikai vállalatok felé megnyugtatóan továbbíthatók a személyes adatok.
Ha megszületik a megfelelőségi határozat, akkor – a különösen a KKV szektorban jellemző – amerikai digitális platformok használata jogszerűvé válhat, így a GDPR hatály alá tartozó társaságok és szervezetek egy további, jelenleg megoldatlan dilemmára kapnak jogszerű megoldást.
