Megszűnt az Adatvédelmi Pajzs, új helyzet az európai személyes adatok USA-ba történő továbbítása kapcsán

Szerző(k): Dr. Zalavári György LL.M. | 2020.09.03 | Adatvédelem

Az Európai Bíróság 2020. július 16. napján közzétett döntése alapján, amely a Maximillian Schrems, osztrák adatvédelmi aktivista által a Facebook Ireland Ltd. ellen kezdeményezett ügyben született, az EU és az USA közötti adattovábbításra vonatkozó, Adatvédelmi Pajzs (Privacy Shield) megfelelőségi határozat érvénytelenné vált.

A GDPR alapján nem szabad a személyes adatokat az Európai Gazdasági Térségen kívüli államok területére továbbítani, ha a fogadó állam nem biztosítja személyes adatok GDPR által előírt védelmét. Ezt a követelményt igazolhatja egy adott ország tekintetében egy megfelelőségi határozat, és ez volt az USA tekintetében az Adatvédelmi Pajzs, azaz a 2016/1250. számú határozat.

A megfelelőségi határozat azért volt fontos, mert ezen határozat alapján az amerikai cégek egy ellenőrzéssel, tanúsítással együtt járó nyilvántartásba vételi eljárás lefolytatásával tudták igazolni, hogy az adatvédelem tekintetében az általuk alkalmazott adatvédelmi megoldások megfelelnek az európai standardoknak.

Ennek az a következménye, hogy az Európából az Egyesült Államokba történő jogszerű adattovábbítás megnehezült, minden egyes amerikai adatkezelőnek ki kell részletesen, önállóan dolgozni az európai személyes adatok kezelése kapcsán annak az igazolását, hogy az adatkezelés megfelel minden tekintetben a GDPR elvárásainak.

Az eddig az Adatvédelmi Pajzsot alkalmazó amerikai cégek (közöttük a Facebook, a Google, vagy az Adobe) is kénytelenek teljesen új alapokra helyezni az adatkezelésüket az Európából származó személyes adatok tekintetében, és az ellenőrzött, újonnan kialakított eljárásaik kapcsán igazolniuk kell minden esetben, hogy azok GDPR elvárásainak megfelelnek.

Kézenfekvő megoldás lehet azonban az is ezen cégek számára, hogy az adatkezeléseiket minden tekintetben Európában végezzék, elkerülve ezzel az EU-n kívüli országba történő adattovábbítást.

Kiemelendő, hogy a GDPR 58. cikk (2) bekezdése alapján eljárva, a felügyeleti hatóság akár a harmadik országba történő adatkezelés tilalmát, korlátozását is elrendelheti, ha az az EU-n kívüli adatkezelés tekintetében megállapítja, hogy az adatkezelési tevékenység megsértette a GDPR rendelkezéseit vagy az adatfolyamat védelmi szintje nem megfelelő.

A tevékenység során felmerülő adatvédelmi kérdések tekintetében keresse szakértőnket, Dr. Zalavári György adatvédelmi szakjogászt.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.