Az ír adatvédelmi hatóság (Data Protection Commissioner – „DPC”) 2022. júliusi sajtóértesülések szerint megtiltaná a Facebookot és Instagramot Európában üzemeltető Meta Platforms Ireland Ltd.-nek az amerikai anyavállalata (Meta Inc.) részére történő adattovábbításokat.

Az erről szóló szalagcímek a Facebook és az Instagram európai betiltását vizionálják – a cikkünkben közelebbről megvizsgáljuk, valóban sor kerülhet-e erre, és ha igen, mikor, valamint milyen jogi eljárásokat követően.

Mit mond pontosan az ír adatvédelmi hatóság?

A DPC eljárásának közvetlen előzménye, hogy az Európai Unió Bírósága („CJEU”) 2020. júliusában az úgynevezett Schrems II döntésében” érvénytelenítette az USA „Privacy Shield” adatvédelmi keretrendszeréhez csatlakozott vállalatok (mint például a Meta Inc.) számára történő adattovábbításokat engedélyező Európai Bizottsági határozatot. Ezen túlmenően

a CJEU ítélete szerint az Európai Gazdasági Térségen kívülre történő adattovábbítások során a legtöbb cég által használt általános adattovábbítási feltételek (standard contractual clauses – “SCC“) is csak további szerződéses és technikai biztosítékok mellett használhatók.

A Schrems II ítélet nyomán a DPC az USA-ba történő adattovábbítások megfelelőségét hivatalból indított eljárásban vizsgálja. A DPC készülő határozatának („Határozattervezet”) a fent említett sajtóértesülés szerint központi eleme, hogy

megtiltaná a Meta által az SCC alapján EU-ból az USA-ba történő adattovábbításokat.

A Határozattervezet elfogadása esetén

a Meta számára tehát nem maradna további eszköz a Facebook és az Instagram működéséhez szükséges, rendszeres EU-US adattovábbítások jogszerűségének biztosítására.

Ezek az adattovábbítások ugyanakkor szükségesek az említett közösségi platformok működéséhez, így azok leállítása valóban a Facebook és az Instagram szünetelését jelentheti Európában.

Mi jön most?

A Határozattervezet nem nyilvános, ezért a lehetséges következmények elemzése során a sajtóértesülésben írtakból lehet kiindulni.

A DPC a GDPR 60. cikke (Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között) szerinti együttműködési mechanizmus keretében elküldte a Határozattervezetét az EU összes érintett adatvédelmi hatóságának, amelyeknek ezen mechanizmus keretében lehetőségük van kifogásolni a Határozattervezetben foglaltakat.

Az érintett adatvédelmi hatóságok a GDPR 4. cikk 22. pontja értelmében azok a hatóságok, amelyeket a vizsgált adatkezelés érint, mert 1) a Meta Platforms Ireland Ltd. a felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; 2) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy 3) panaszt nyújtottak be az említett felügyeleti hatósághoz. Ugyan a DPC által megszólított adatvédelmi hatóságok pontos köre nem ismert, a fenti definíció 2) pontja alapján számos uniós hatóság tekinthető érintett felügyeleti hatóságnak.

Ezzel megindult a GDPR VII. fejezetében szabályozott, az érintett adatvédelmi hatóságok bevonásával zajló együttműködési eljárás. Az együttműködési eljárásban, mint eljárást kezdeményező fél, a DPC jár el fő felügyeleti hatóságként.

Mit mondhat a többi adatvédelmi hatóság?

Az eljárás ezt követően az alábbiak szerint alakul:

1. Az érintett adatvédelmi hatóságok négy héten belül, azaz 2022. augusztus 4-ig emelhettek releváns és megalapozott kifogást a Határozattervezettel szemben.

2. Amennyiben valamely érintett adatvédelmi hatóság kifogást nyújt be, és

a) azzal a DPC egyetért: A GDPR 60. cikk (5) bekezdése értelmében a DPC a kifogás alapján módosított döntéstervezetet benyújtja a többi érintett adatvédelmi hatóságnak, hogy azok véleményezhessék. A módosított Határozattervezet tekintetében az érintett hatóságoknak további két hét áll rendelkezésre a véleményezésre.

b) azzal a DPC nem ért egyet: A GDPR 60. cikk (4) bekezdése értelmében az ügyet a GDPR 63. cikke szerinti egységességi mechanizmus keretében, a GDPR 65. cikkében meghatározott vitarendezési eljárásban

  • A vitarendezési eljárás keretében az Európai Adatvédelmi Testület („EDPB”) a tagjai kétharmados többségével, egy hónapon belül kötelező erejű döntést fogad el, amely kiterjed a releváns és megalapozott kifogásban szereplő összes kérdésre, különösen arra, hogy a GDPR rendelkezéseit megsértette-e a Meta. Ez az egy hónapos határidő szükség esetén további egy hónappal meghosszabbítható. A döntést az EDPB részéről indokolni kell, és el kell küldeni a DPC-nek, valamint minden érintett felügyeleti hatóságnak, amelyekre nézve kötelező erővel rendelkezik.
  • Amennyiben az EDPB nem tud a tagjai kétharmados többségével döntést hozni, a második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el.
  • A DPC indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy az EDPB bejelentette döntését elfogadja jogerős döntését.

3. Amennyiben egyik érintett felügyeleti hatóság sem nyújt be kifogást: A GDPR 60. cikk (6) bekezdése értelmében úgy kell tekinteni, hogy a DPC és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az így rájuk nézve kötelező.

Gyakorlati következmények

Ahogy az a fenti elemzésből is látszik,

a DPC eljárása a Határozattervezet megküldésével még kezdeti fázisában tart, és a jelenlegi körülmények között távol áll attól, hogy abból biztos és végleges következtetéseket lehessen levonni az eljárás kimenetelére vonatkozóan

– már csak azért sem, hiszen a DPC Határozattervezete nem nyilvános, így a hatóság pontos érvelése egyelőre nem ismert.

Továbbá, tekintve, hogy a DPC határozatát az illetékes ír bíróságok előtt a későbbiekben meg lehet támadni, az eljárás akár évekig is elhúzódhat.

Az adatvédelmi jogi szempontú elemzést tovább árnyalja, hogy a kérdés a Meta piaci helyzetéből adódóan számos felet érint, és közvetve a teljes EU-US adattovábbítási problémakörre kihatással van. Mivel jelenleg is zajlanak a Joe Biden amerikai elnök és Ursula Van der Leyen, ez Európai Bizottság elnöke által 2022. március 25-én bejelentett új EU-US adattovábbítási keretrendszert előkészítő tárgyalások, még az is lehet, hogy a DPC eljárása okafogyottá válik, és a Meta a Privacy Shield-en, valamint az SCC-n túl egy új keretrendszer szerint biztosítani tudja az adatvédelmi megfelelést. A megfelelő adattovábbítási mechanizmusok kialakításán kívül az adatvédelmi megfelelés másik alternatívája lehet a Meta által már kezdeményezett uniós adatközpontok létrehozása (például: 1 milliárd euróból épülő adatközpont Spanyolországban). Az adatközpontok működése kialakításakor szintén figyelembe kell venni a GDPR megfelelési követelményeit, különösen az US székhelyű anyavállalatok uniós adatközpontokban tárolt adatokhoz való hozzáférési jogosultságait, és a részükre történő adattovábbításokat.