Teendők az EGT-n kívüli adattovábbításokkal kapcsolatban Schrems II után – a „passzív megfelelésen” túl

Szerzők: dr. Domokos Márton és dr. Horváth Katalin

2020. november 11-én az Európai Adatvédelmi Testület („EDPB”) két ajánlást tett közzé, amelyek az Európai Unió Bíróságának Schrems II ítélete nyomán útmutatást nyújthatnak a szervezeteknek az EGT-n kívüli adattovábbításaik megfelelőségének biztosításával kapcsolatban.

  • 01/2020 számú ajánlás a személyes adatok uniós szintű védelmének betartását biztosító, a továbbítási eszközöket kiegészítő intézkedésekről; ez egy tervezet, 2020. december 21-ig észrevételezheti a nyilvánosság, a végleges változatot ezt követően adja ki az EDPB (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – „SMR Ajánlás”);
  • 02/2020 számú ajánlás a megfigyelési intézkedésekre vonatkozó alapvető európai garanciákról (Recommendations 02/2020 on the European Essential Guarantees for surveillance measuresEEG Ajánlás”).

A két, több mint 50 oldalas dokumentum részletesen leírja, hogyan kell a szervezeteknek értékelniük és dokumentálniuk azoknak a feltételeknek a megvalósulását, amelyek mellett a GDPR-nak megfelelő módon továbbíthatnak személyes adatokat az EGT-n kívülre, a Schrems II ítélet megállapításait is figyelembe véve.

Az SMR Ajánlás 6 lépésben határozza meg, mit kell tenniük a szervezeteknek az értékelés során. Az értékelés részét képezi az EEG Ajánlásban meghatározott szempontok vizsgálata is – ennek fő fókusza, hogy a célországban a bűnüldözési és nemzetbiztonsági célú megfigyelések (surveillance) során megfelelően biztosított-e a személyes adatok védelme.

1. lépés az SMR Ajánlás alapján: Adattérkép készítése (data mapping), illetve hatályosítása
A személyes adatokat továbbító szervezeteknek (adatexportőrök) nyilván kell tartaniuk, milyen személyes adatokat továbbítanak az EGT-n kívülre. Ez tulajdonképpen a GDPR 30. cikke által előírt nyilvántartási kötelezettség megismétlése, azzal, hogy az EDPB által adott specifikus esetek – újbóli továbbítások (onward transfer, például al-adatfeldolgozók számára), távoli hozzáférés biztosítása (például támogatás nyújtásakor), EGT-n kívüli felhőben történő adattárolás – felmérésére nem biztos, hogy a szervezetek korábban megfelelő figyelmet fordítottak.

2. lépés az SMR Ajánlás alapján: Az adattovábbítási eszközök (transfer tools) azonosítása és a célország vizsgálata
Az adatexportőröknek minden egyes EGT-n kívüli adattovábbítás esetében meg kell határozniuk a megfelelő adattovábbítási eszközt a GDPR V. fejezete alapján. Ha az adatokat az Európai Bizottság által (a személyes adatok védelme szempontjából) „megfelelőnek” minősített országba továbbítják, vagy a GDPR 49. cikke szerint nem ismétlődő, korlátozott számú érintettre vonatkozó, „kivételes” adattovábbítás történik, akkor nincs szükség további teendőre.

Ha az adatokat az EU Bizottság által korábban jóváhagyott adattovábbítási mintaszerződések (Standard Contractual Clauses – SCC) vagy kötelező erejű vállalati szabályok (Binding Corporate Rules – BCR) segítségével továbbítják, a feleknek biztosítani kell, hogy a személyes adatok a célországban az EU szabályozásával „lényegében megegyező” (essentially equivalent) védelmet élvezzenek. Vagyis: meg kell vizsgálják, hogy a célország jogszabályai vagy gyakorlata tartalmaz-e olyan előírást, ami hatással lehet az SCC vagy a BCR megfelelő alkalmazását. Ezt a követelményt a GDPR nem tartalmazza – új követelmény az EU adatvédelmi gyakorlatában.

3. lépés az SMR Ajánlás alapján: A célország vizsgálata és ennek dokumentálása (transfer impact assessment)
Az EGT-n kívüli célország vizsgálatában nyújtanak segítséget az EEG Ajánlásban meghatározott szempontok.

Az EGT-n kívüli célország vonatkozásában négy fő alapelv teljesülését kell vizsgálni, és megfelelően dokumentálni:
(i) Az adatkezelésnek világos, pontos és hozzáférhető szabályokon kell alapulnia. Az adatexportőrnek fel kell mérnie, hogy a célországban világos és pontos-e a megfigyelési intézkedések jogalapja, hatálya és alkalmazása.
Ez magában foglalja az alábbi feltételek vizsgálatát:

  • a megfigyelés alá eső személyek kategóriáinak a pontos meghatározása,
  • azoknak a körülményeknek és feltételeknek az ismerete, amelyek mellett az illetékes hatóságok felhatalmazást kapnak a megfigyeléshez,
  • a megfigyelési intézkedés időtartamának korlátozásai,
  • a megfigyelés során gyűjtött adatok vizsgálata, felhasználása és tárolása során követendő eljárás,
  • a megfigyelési adatok továbbításával kapcsolatos óvintézkedések,
  • az érintettek adatvédelmi jogainak lehetséges korlátozása.

A fentiek során figyelembe kell venni az adatimportőrre alkalmazandó jogszabályokat, a célország hatósági és ítélkezési gyakorlatát, valamint a tudományos intézmények és civil szervezetek állásfoglalásait.

A fő kérdés, amit vizsgálni kell: mi a kockázata az adatokhoz való jogszerűtlen hozzáférésnek? Az SMR Ajánlás azt is hangsúlyozza, hogy szubjektív tényezők – például az adatokhoz való hozzáférés valószínűsége – nem játszhatnak szerepet az értékelésben.

(ii) Bizonyítani kell az elérni kívánt jogszerű célok szükségességét és arányosságát. Az adatexportőrnek fel kell mérnie, hogy a megfigyelési célok specifikusak, korlátozottak és objektív kritériumokkal igazolhatók-e. Vannak-e például olyan jogszabályok, amelyek engedélyezik a hatóságok számára az elektronikus hírközlési tartalmakhoz való általános hozzáférést, illetve vannak-e korlátozások ezzel kapcsolatban, valamint lehetséges-e a személyes adatok megkülönböztetés és korlátozás nélküli kezelése.

(iii) A megfigyelési intézkedések megfelelőségét független fórum kell felügyelje. Az adatexportőrnek fel kell mérnie, hogy a célországban szükség van-e a megfigyelési intézkedések előzetes (bírósági) engedélyezésére, és a megfigyelési intézkedések végrehajtását hatékony, független és pártatlan fórum – általában bíró vagy parlamenti szerv – felügyeli-e. A forgalmi és helymeghatározási adatok valós idejű gyűjtése esetén például kell-e előzetesen ellenőrizni, hogy az csak a feltétlenül szükséges kereteken belül történik-e, illetve sürgős esetben van-e lehetőség utólagos felülvizsgálatra.

(iv) Az érintettek hatékony jogorvoslati lehetőségekkel kell rendelkezzenek. Az adatexportőrnek fel kell mérnie, hogy van-e átfogó adatvédelmi jogszabály vagy független adatvédelmi hatóság, továbbá biztosítottak-e az érintettek jogai és jogorvoslati lehetőségei a hatóságokkal szemben, például jogszerűtlen hatósági adathozzáférés esetén. Vizsgálni kell továbbá, lehetséges-e az érintettek értesítése, ha megfigyelési céllal hozzáférnek az adataikhoz.

4. lépés az SMR Ajánlás alapján: kiegészítő védelmi intézkedések (supplementary measures) elfogadása
Ha az EEG Ajánlásban meghatározott szempontok alapján az adatexportőr megállapítja, hogy a továbbított személyes adatokat nem illeti meg az EU szabályozásával „lényegében megegyező” védelem, megfelelő kiegészítő védelmi intézkedésekben kell megállapodni az adatimportőrrel.

Ezek az intézkedések lehetnek szerződéses, technikai vagy szervezési jellegűek.

Vannak olyan helyzetek, amikor a technikai intézkedések önmagukban elegendők (például titkosítás, álnevesítés, megosztott vagy több fél által végzett adatfeldolgozás), hogy megakadályozzák a személyes adatokhoz való hozzáférést az EGT-n kívüli célországban, különösen hatóságok részéről, illetve megfigyelési céllal.

A szerződéses vagy szervezési intézkedések kiegészíthetik a technikai intézkedéseket: például előírhatják a konkrét technikai intézkedések alkalmazását, a hatóságok általi adatokhoz való hozzáférés átláthatóságát, „hátsó ajtók” és a titkosító kulcs átadásával kapcsolatos kötelezettségek tilalmát, megerősített audit és érintetti jogokat, az adathozzáférés megadása előtt azonnali tájékoztatási kötelezettséget, ún. “warrant canary” módszer alkalmazását, kötelezettségvállalást az adatátadást elrendelő határozatok megtámadására.

Ha nem sikerül megfelelő kiegészítő intézkedést találni, például azért, mert az EGT-n kívüli célország tiltja vagy akadályozza az adott intézkedés alkalmazását, vagy az adatimportőr nem tudja az adott intézkedést alkalmazni, fel kell függeszteni, vagy le kell állítani az adattovábbítást.

5. lépés az SMR Ajánlás alapján: az SCC vagy a BCR kiegészítése
A 4. lépésben azonosított kiegészítő intézkedéseket rögzíteni kell az SCC-ben vagy a BCR-ben.

6. lépés az SMR Ajánlás alapján – az adattovábbítás megfelelőségi szintjének nyomonkövetése:
A GDPR szerinti elszámoltathatóság folyamatos kötelezettség. Az adatexportőröknek folyamatosan és megfelelő időközönként (vagy jelentős változások esetén) ellenőriznünk kell, és újra kell értékelnünk az EGT-n kívüli országokba továbbított adatok védelmi szintjét, a fenti lépéseken keresztül.