Érvénytelen az EU-USA Adatvédelmi Pajzs - Az Európai Bíróság ítéletet hozott a kiemelt jelentőségű Schrems II ügyben

2020.07.19. Jogi Fórum / Kozma Zoltán és Almásy Márk / DLA Piper Hungary / Advocatus / Európai Unió Bírósága

Az Európai Unió Bírósága (EUB) döntött az adatvédelmi jog jelenleg talán egyik legfontosabb ügyében, az ún. Schrems II ügyben (a döntés elérhető itt: C-311/18). Az ügy kiemelkedő jelentőségű, komoly hatással lehet a globális digitális gazdaságra, elsősorban személyes adatoknak az Európai Gazdasági Térségen kívüli továbbítására. De melyek a vitatott jogintézmények és mi a jelentőségük? - Kozma Zoltán és Almásy Márk, a DLA Piper Hungary szakértői válaszolnak a kérdésre.

Előzmények

Az Általános Adatvédelmi Rendelet, csakúgy mint az egykori Adatvédelmi Irányelv, tiltja a személyes adatok Európai Gazdasági Térségen kívüli államok területére történő továbbítását, amennyiben ezen államok nem biztosítják a személyes adatok megfelelő szintű védelmét. A megfelelő szintű védelem azonban megállapítható az Európai Bizottság döntése (ilyen döntés született többek között pl. Japán, Svájc, Kanada, vagy az Adatvédelmi Pajzs használatára limitáltan az USA tekintetében), vagy az Európai Bizottság által jóváhagyott Általános Szerződési Feltételek adatátadó és adatátvevő közötti megkötése alapján. Az Adatvédelmi Pajzs (és elődje a Safe Harbor) lényegét tekintve azt jelenti, hogy az amerikai vállalkozások egy egyszerű öntanúsítás és regisztráció útján tudják igazolni az adatvédelmi előírásoknak való megfelelésüket, ezáltal biztosítva a megfelelő szintű védelmet az adattovábbításhoz. Az Általános Szerződési Feltételek megkötésével az EU-s adattovábbító és az EU-n kívüli adatátvevő felek szintén viszonylag egyszerűen tudják biztosítani a személyes adatok megfelelő szintű védelmét.

A Schrems ügyek középpontjában az Adatvédelmi Pajzs (korábban Safe Harbor) és az Általános Szerződési Feltételek uniós jognak való megfelelősége áll.

A mostani jogvita nem előzmény nélküli. A Schrems II ügy lényegében annak az adatvédelmi jogi eljárásnak a folytatása, amely hivatalosan Max Schrems, osztrák adatvédelmi aktivista és a Facebook között zajlott. Schrems úr aggályai középpontjában az Egyesült Államok hírszerző ügynökségei és az amerikai vállalkozások közötti együttműködés foka állt, különös tekintettel arra, hogy a Facebook EU-s állampolgárok személyes adatait osztja meg az amerikai Nemzeti Hírszerző Ügynökséggel (National Intelligence Agency, NSA). Ezért 2013-ban az ír adatvédelmi hatóságnál panasszal élt az írországi Facebookkal szemben, azt állítva, hogy az ír leányvállalat EU-s állampolgárok személyes adatainak anyavállalathoz történő (tehát az Egyesült Államokba irányuló) továbbítása sérti az állampolgárok uniós jogban biztosított alapvető jogait. Az ügy eljutott az Európai Unió Bíróságáig is, amelynek lényegében azzal kellett foglalkoznia, hogy az akkor hatályos Safe Harbor intézményrendszer ellentétes-e az uniós joggal, sérti-e az Unió Alapjogi Chartájának vonatkozó rendelkezéseit.

Az EUB 2016. októberében megjelent döntésében egyetértett Schrems úr érveivel, megállapítva, hogy a Safe Harbor intézményrendszer nem biztosít megfelelő, az adatvédelmi irányelvben (ekkor az Általános Adatvédelmi Rendelet, a GDPR még nem született meg) és az Alapjogi Chartában biztosított jogokkal egyenértékű védelmet. Az EUB a döntésével érvénytelennek nyilvánította a Safe Harbor intézményrendszert, így ennek alkalmazására hivatkozással már nem lehetett többé személyes adatokat továbbítani az Egyesült Államokba. A fentiek a „Schrems I” ügy néven váltak ismertté. A döntés következtében vállalkozások ezrei kezdték el alkalmazni az ún. Általános Szerződési Feltételeket, mint az Egyesült Államokba történő adattovábbításuk jogszerűségét biztosító szerződést, majd később a Bizottság elfogadta a Safe Harbor helyébe lépő – de azzal hasonlóságokat mutató – Adatvédelmi Pajzsot is. Ezzel el is jutunk a Schrems II ügyhöz.

Adatvédelmi Pajzs

A fenti EUB döntés nyomán az ír felügyeleti hatóság felhívta Schrems Urat, hogy fogalmazza újra a panaszát, tekintettel arra, hogy a Bíróság érvénytelennek nyilvánított a Safe Harbor intézményrendszert. Az ír hatóság által – Schrems Úr újrafogalmazott panasza alapján – kezdeményezett bírósági eljárásban, az ír felsőbíróság ismét az EUB-hoz fordult, két jogintézményt érintve, amelyek az Európából származó személyes adatok továbbításának engedélyezését körvonalazzák: az Általános Szerződési Feltételeket és az immár a Safe Harbor intézményrendszer helyébe lépő, de azzal lényegi hasonlóságokat mutató EU-USA Adatvédelmi Pajzsot. Az ügy a legfrissebb állomása az Egyesült Államok bűnüldözési joga és az európai adatvédelmi szabályozás közötti ütközetnek. Az eljárás nagy horderejű és minden olyan vállalkozás számára releváns, amelyek személyes adatokat továbbítanak az Európai Unió határait átlépve. Az alapvető ellentmondás az ügyben, hogy az amerikai állam szuverénnek tekintett joga, hogy tömeges megfigyeléseket végezzen, ezáltal hozzáférve EU-s állampolgárok személyes adataihoz – az érintettek részére biztosított bármilyen garancia hiányában – összeegyeztethetetlen-e az uniós jog által alapjogként biztosított személyes adatok védelméhez való joggal.

Az Európai Unió Bírósága 2020. július 16-án tette közzé a döntését az ügyben.

Mindazonáltal, az EUB nagy jelentőségű döntése, hogy a Safe Harbor intézményrendszert bevezető bizottsági határozat helyébe lépő, EU-USA Adatvédelmi Pajzs által biztosított védelem megfelelőségéről szóló 2016/1250/EU bizottsági határozatot is érvénytelennek nyilvánította.

Az EU-USA Adatvédelmi Pajzs érvénytelenítése körében az EUB megállapította, hogy a határozat – hasonlóan a Safe Harbor intézményrendszer megfelelőségét elismerő határozathoz – a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, amely így lehetővé teszi a beavatkozást az EU-s állampolgárok alapvető jogaiba, amennyiben személyes adataikat az Egyesült Államokba továbbítják. A Bíróság érvelése szerint az Egyesült Államok által alkalmazott, a személyes adatok védelmének korlátozásai (az amerikai hatóságok hozzáférési és felhasználási jogosultsága a személyes adatok tekintetében) „nem úgy lettek szabályozva, hogy megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményekkel lényegében azonos követelményeknek, amennyiben az e szabályozáson alapuló megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak”.

Az EUB megítélése szerint az Adatvédelmi Pajzs az érintetteknek nem biztosított bíróság előtt érvényesíthető jogokat, ezáltal e személyek számára nem elérhető jogorvoslati lehetőség olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos garanciákat nyújtana. Az Adatvédelmi Pajzs keretében létrehozott ombudsman-típusú jogvédelem erre alkalmatlan, állapította meg a Bíróság.

Általános Szerződési Feltételek

Az EUB megállapította, hogy az Általános Szerződési Feltételeket kihirdető 2010/87/EU bizottsági határozatnak az Alapjogi Chartára tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely a határozat érvényességét érintené. Tehát az Általános Szerződési Feltételeket továbbra is lehet használni a személyes adatok harmadik országokba (így többek között az USA-ba) történő továbbítására.

Bár az Általános Szerződési Feltételek érvényességét az EUB döntése nem érintette, mindazonáltal e körben is jelentős megállapításokat tett. Az adatkezelők (adatátadók) a továbbiakban a nemzetközi adattovábbításaik során nem állhatnak meg az Általános Szerződési Feltételek megkötésénél, hanem széleskörű vizsgálatot és értértékelést kell lefolytatniuk annak megállapítása érdekében, hogy az adattovábbítás célországában ténylegesen érvényesülni tudnak-e a személyes adatok védelmére vonatkozó garanciák. Amennyiben nem, úgy az Általános Szerződés Feltételek megkötése ellenére sem lesz jogszerű az adattovábbítás.

Az EUB ugyanis megállapította, hogy a Bizottság által jóváhagyott Általános Szerződés Feltételek rendelkeznek az adatátadó és az EGT-n kívüli adatátvevő azon kötelezettségéről, hogy ellenőrizzék, az adott harmadik ország (azaz az adatátvevő országa) megfelelő védelmi szintet biztosít-e, és ha nem, akkor az adatátvevőnek a kötelességévé teszik az adatátadó tájékoztatását arról, hogy a személyes adatok megfelelő szintű védelme nem biztosítható. Ebben az esetben az Unióban letelepedett adatkezelő az adattovábbítást felfüggeszti és/vagy a szerződéstől eláll. Az adatvédelmi hatóságok pedig a GDPR alapján kötelesek felfüggeszteni vagy megtiltani a Bizottság által elfogadott Általános Szerződési Feltételeken alapuló adattovábbítást olyan harmadik országba, amelyben a személyes adatok megfelelő szintű védelme nem biztosítható, feltéve, hogy az adatkezelő (adatátadó) nem függesztette fel vagy fejezte be a továbbítást.

Ez további terhet helyezhet az adatkezelőkre – összhangban a GDPR-ban nevesített elszámoltathatóság alapelvével – a nemzetközi adattovábbítások tervezése során.

_________________________________________________________________________________

A C-311/18. sz. ügyben hozott ítélet - Data Protection Commissioner kontra Facebook Ireland és Schrems

A Bíróság érvénytelennek nyilvánítja az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot. Ezzel szemben a Bíróság úgy ítéli meg, hogy a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat érvényes.

Az általános adatvédelmi rendelet1 (GDPR) úgy rendelkezik, hogy az ilyen adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. E rendelet szerint a Bizottság megállapíthatja, hogy a harmadik ország a belföldi joga vagy a nemzetközi kötelezettségei alapján megfelelő védelmi szintet biztosít2. Az ilyen megfelelőségi határozat hiányában az ilyen továbbítás csak akkor végezhető el, ha a személyes adatok Unióban letelepedett átadója megfelelő garanciákat ír elő, amelyek különösen a Bizottság által elfogadott általános adatvédelmi kikötéseken alapulhatnak, és ha az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek3. Egyébiránt a GDPR pontosan meghatározza azokat a feltételeket, amelyek mellett a megfelelőségi határozat vagy a megfelelő garanciák hiányában sor kerülhet az ilyen továbbításra4.

Maximillian Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta a Facebook felhasználója. Az Unió területén lakó többi felhasználóhoz hasonlóan M. Schrems személyes adatait a Facebook Ireland részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítja, és azokat ott kezelik. M. Schrems panaszt nyújtott be az ír felügyeleti hatósághoz, amely lényegében arra irányul, hogy utóbbi tiltsa meg ezen adattovábbításokat. Arra hivatkozott, hogy az Egyesült Államok joga és gyakorlatai nem biztosítanak elégséges védelmet azzal szemben, hogy az ezen országba továbbított adatokhoz a hatóságok hozzáférjenek. Ezt a panaszt többek között azzal az indokkal utasították el, hogy a Bizottság a 2000/520 határozatában5 (az úgynevezett „biztonságos kikötőről” szóló határozat) megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít. 2015. október 6-án hozott ítéletében a Bíróság, amely a High Court (felsőbíróság, Írország) által előzetes döntéshozatal céljából előterjesztett kérdés alapján járt el, e határozatot érvénytelennek nyilvánította (a továbbiakban: Schrems I ítélet)6.

A Schrems I ítélet nyomán, és azt követően, hogy az ír bíróság ez alapján megsemmisítette az e panaszt elutasító határozatot, az ír felügyeleti hatóság felhívta M. Schremset, hogy fogalmazza újra a panaszát figyelemmel arra, hogy a Bíróság érvénytelennek nyilvánította a 2000/520 határozatot. Az újrafogalmazott panaszában M. Schrems fenntartja, hogy az Egyesült Államok nem nyújt elégséges védelmet az ezen országba továbbított adatok számára. Kéri, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba történő továbbítását, amelyet a Facebook Ireland immár a 2010/87 határozat7 mellékletében szereplő általános adatvédelmi kikötések alapján végez. Mivel az ír felügyeleti hatóság úgy vélte, hogy M. Schrems panaszának kezelése többek között a 2010/87 határozat érvényességétől függ, eljárást indított a High Court (felsőbíróság) előtt annak érdekében, hogy ez utóbbi előzetes döntéshozatal iránti kérelmet nyújtson be a Bírósághoz. Ezen eljárás megindítását követően a Bizottság elfogadta az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot8 (az úgynevezett „adatvédelmi pajzsról” szóló határozat).
Az előzetes döntéshozatal iránti kérelmében az előterjesztő bíróság a GDPR-nek a 2010/87 határozatban szereplő általános adatvédelmi kikötéseken alapuló személyesadat-továbbításra való alkalmazhatóságáról, az ilyen továbbítás keretében az e rendelet által megkövetelt védelmi szintről és az ebben az összefüggésben a felügyeleti hatóságokra háruló kötelezettségekről kérdezi a Bíróságot. Továbbá a High Court felveti mind a 2010/87 határozat, mind pedig a 2016/1250 határozat érvényességének kérdését.

Ítéletében a Bíróság megállapítja, hogy 2010/87 határozatnak az Alapjogi Chartára tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené. Ezzel szemben a Bíróság érvénytelennek nyilvánítja a 2016/1250 határozatot.

A Bíróság mindenekelőtt úgy ítéli meg, hogy az uniós jog és különösen a GDPR alkalmazandó a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítására, még abban az esetben is, ha ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik. A Bíróság pontosítja, hogy a valamely harmadik ország hatóságai általi adatkezelés e típusa nem zárhatja ki az ilyen továbbítást a rendelet hatálya alól.

Az ilyen továbbítás keretében megkövetelt védelmi szint tekintetében a Bíróság úgy ítéli meg, hogy a GDPR rendelkezései által e célból előírt követelményeket, amelyek a megfelelő garanciákra, az érvényesíthető jogokra és a hatékony jogorvoslati lehetőségekre vonatkoznak, úgy kell értelmezni, hogy azon személyeknek, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel kell rendelkezniük, amely lényegében azonos a Charta fényében értelmezett e rendelet által az Unióban biztosított védelmi szinttel. Ezzel összefüggésben a Bíróság kimondja, hogy e védelmi szint értékelésének figyelembe kell vennie mind az Unióban letelepedett adatkezelő és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak az így továbbított adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit.

Az ilyen továbbítással összefüggésben a felügyeleti hatóságokra háruló kötelezettségek kapcsán a Bíróság úgy ítéli meg, hogy e hatóságok – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – többek között kötelesek felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha úgy vélik e továbbítás sajátos körülményeire tekintettel, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő maga nem függesztette fel vagy fejezte be az ilyen továbbítást.

A Bíróság ezt követően a 2010/87 határozat érvényességét vizsgálja. A Bíróság szerint e határozat érvényességét nem kérdőjelezi meg önmagában az, hogy az e határozatban szereplő általános adatvédelmi kikötések szerződéses jellegük miatt nem kötik azon harmadik ország hatóságait, amelybe az adatokat továbbíthatják. Ezzel szemben a Bíróság kimondja, hogy ez az érvényesség attól függ, hogy az említett határozat tartalmaz-e olyan hatékony mechanizmusokat, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy az uniós jog által megkövetelt védelmi szintet tiszteletben tartsák, és hogy a személyes adatok ilyen kikötéseken alapuló továbbítását az e kikötések megsértése, illetve tiszteletben tartásuk lehetetlensége esetén felfüggesszék vagy megtiltsák. A Bíróság megállapítja, hogy a 2010/87 határozat ilyen mechanizmusokat alakít ki. E tekintetben többek között azt hangsúlyozza, hogy e határozat bevezeti az adatkezelő és az adattovábbítás címzettje azon kötelezettségét, hogy előzetesen ellenőrizzék, hogy az érintett harmadik országban tiszteletben tartják-e ezen védelmi szintet, és e címzettet arra kötelezi, hogy tájékoztassa az adatátadót arról, ha esetleg nem képes eleget tenni az általános adatvédelmi kikötéseknek, ez utóbbi pedig köteles felfüggeszteni az adattovábbítást és/vagy az előbbivel kötött szerződéstől elállni.

A Bíróság végül a 2016/1250 határozat érvényességét vizsgálja azokra a követelményekre tekintettel, amelyek a GDPR-ből következnek, utóbbit a Chartának a magán- és családi élet tiszteletben tartására, a személyes adatok védelmére és a hatékony bírói jogvédelemre vonatkozó rendelkezései fényében értelmezve. E tekintetben a Bíróság megállapítja, hogy e határozat a 2000/520 határozathoz hasonlóan a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, amely így lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek az adatait az Unióból e harmadik országba továbbítják. A Bíróság szerint a személyes adatok védelmének korlátozásai, amelyek az Egyesült Államok azon belső szabályozásából erednek, amelyek az amerikai hatóságok által az Unióból e harmadik országba továbbított ilyen adatokhoz való hozzáférésre és azok felhasználására vonatkoznak, és amely korlátozásokat a Bizottság a 2016/1250 határozatban értékelt, nem úgy lettek szabályozva, hogy megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményekkel lényegében azonos követelményeknek, amennyiben az e szabályozáson alapuló megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az e határozatban szereplő megállapítások alapján a Bíróság kimondja, hogy egyes megfigyelési programok esetében az említett szabályozásból semmilyen módon nem következik, hogy létezne az abban foglalt, e programok végrehajtására vonatkozó felhatalmazás korlátozása, sem pedig az, hogy fennállnának az esetlegesen érintett, nem amerikai személyek számára szóló garanciák. A Bíróság hozzáteszi, hogy bár ugyanez a szabályozás tartalmaz olyan követelményeket, amelyeket be kell tartaniuk az amerikai hatóságoknak az érintett megfigyelési programok végrehajtása során, nem biztosít az érintett személyek számára az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat.

A bírói jogvédelem létezése kapcsán a Bíróság úgy ítéli meg, hogy ellentétben azzal, amit a Bizottság a 2016/1250 határozatban megállapított, az e határozatban szereplő ombudsmani mechanizmus nem biztosít e személyek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos garanciákat nyújtana, amelyek biztosíthatnák mind az e mechanizmus által előírt ombudsman függetlenségét, mind pedig az olyan normák meglétét, amelyek felhatalmazzák az említett ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon. Mindezen indokok alapján a Bíróság megállapítja a 2016/1250 érvénytelenségét.

_________________________________________________________________________________

1A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.).

2A GDPR 45. cikke.

3A GDPR 46. cikkének (1) bekezdése és (2) bekezdésének c) pontja.

4A GDPR 49. cikke.

5A 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, 2000. július 26-i 2000/520/EK bizottsági határozat (HL 2000. L 215., 7. o.; magyar nyelvű különkiadás 16. fejezet, 1. kötet, 119. o.).

6A Bíróság 2015. október 6-i C-362/14. sz. Schrems-ügyben hozott ítélete

7A 2016. december 16-i (EU) 2016/2297 bizottsági végrehajtási határozattal (HL 2016. L 344., 100. o.) módosított, a 95/46 irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozat (HL 2010. L 39., 5. o.).

8A 95/46 irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozat (HL 2016. L 207., 1. o.).

  • kapcsolódó anyagok
ADATVÉDELEM
EURÓPAI UNIÓ JOGA
EURÓPAI UNIÓ
EURÓPAI UNIÓ BÍRÓSÁGA
USA