Az Európai Unió Bíróságának 2015. szeptember 23-án közzétett ítélete alapjaiban kérdőjelezi meg a személyes adatok külföldre történő továbbításának eddigi gyakorlatát.

Az uniós adatvédelmi irányelvvel összhangban Magyarországon az információs önrendelkezésről és az információszabadságról szóló törvény („Infotörvény”) rendelkezik a személyes adatok harmadik országba történő továbbításáról. Az Infotörvényértelmében személyes adat akkor továbbítható harmadik országba, ha ahhoz az érintett kifejezetten hozzájárult, vagy ha a személyes adatok kezelésének egyéb jogalapja fennáll és a célországban az adatvédelem megfelelő szintje biztosított – magyarázta Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere.

Az adatvédelem megfelelő szintje akkor biztosított, ha kötelező szervezeti szabályozások vannak érvényben a továbbítás alanyaira vonatkozóan, illetve ha a megfelelő védelmi szintet nemzetközi szerződés, vagy az Európai Unió kötelező erejű jogi aktusa megállapítja. Az Európai Unió Bírósága most egy ilyen kötelező erejű aktus, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” (vagy ahogy a köznyelvben ismertebb, „SafeHarbour”)adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, „Biztonságos Kikötő határozat”érvénytelenségét mondta ki. A döntés alapvetően érinti az Infotörvényhatálya alá tartozó olyan adatkezelők tevékenységét, akik a Biztonságos Kikötő határozat alapján továbbítottak adatokat külföldi adatkezelőhöz, vagy a határozatra hivatkozva vették igénybe külföldi adatfeldolgozó szolgáltatásait.

Az Európai Unió Bíróságának ítélete a fentieken túl egyértelműen kimondja azt is, hogy a nemzeti adatvédelmi hatóságokminden esetben vizsgálhatják, hogy adattovábbítás esetén a célország ténylegesen biztosítja-e az adatvédelem megfelelő szintjét. A tagállamok az Európai Unió Bírósága szerint akkor is rendelkeznek ezzel a hatáskörrel, ha az adatvédelem megfelelő szintjét a tárgyban az Európai Bizottság kötelező erejű jogi aktusa már megállapította.

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) közleményben üdvözölte az uniós döntést, jelezve egyúttal, hogy alapjaiban kell újraszabályozni az Egyesült Államokba irányuló adattovábbításokat. A NAIH már jelenleg is kiemelten foglalkozik a kérdéssel, és az Európai Unió más tagállamaival egységesen alakítja majd ki az álláspontját a követendő gyakorlatról.

Tekintettel arra, hogy Magyarországról is számos adatkezelő továbbít személyes adatokat az Egyesült Államokba, vagy működik együtt az Egyesült Államokban tevékenykedő adatfeldolgozóval, az Európai Bíróság döntése számos gyakorlati kérdést és problémát felvet. Abban az esetben ugyanis, amennyiben az adattovábbítás eddig a Biztonságos Kikötő határozat alapul vételével történt, az adatkezelőnek a jövőben más garanciát kell felmutatnia az adatvédelem megfelelő szintjének biztosítására, ha nem kívánja beszerezni minden érintett kifejezett hozzájárulását az adattovábbításhoz vagy adatfeldolgozáshoz.

Az adatkezelő és a harmadik országban tevékenykedő másik fél dönthetnek úgy, hogy az EU kötelező jogi aktusával elfogadott modellszerződéseket (általános szerződési feltételeket) alkalmazva szerződnek egymással. Multinacionális vállalat esetében továbbá a közelmúltban már Magyarországon is lehetővé vált a kötelező szervezeti szabályok (angolul „BindingCorporateRules”) alkalmazása, amely azonban csak a vállalatcsoporton belül biztosítja az adatvédelem megfelelő szintjét.

A fentieken túl az adatkezelőnek a jogszerű adattovábbítási gyakorlat kialakításakor feltétlenül figyelembe kell majd vennie a NAIH jövőbeli útmutatásait, ajánlásait, illetve az esetleges jogszabályváltozásokat is – emeli ki Párkányi Rita ügyvéd.