Élet a Privacy Shield után

Bizonyára minden, a témában érintett adatkezelő, illetve adatfeldolgozó értesült már arról, hogy az Európai Unió Bírósága a 2020. július 16-i döntésében (Schrems II ítélet) érvénytelennek nyilvánította az EU–USA adatvédelmi pajzs - azaz a Privacy Shield - által biztosított adatvédelem megfelelőségéről szóló 2016/1250 határozatot. A Bíróság döntésének következménye, hogy a határozat az ítélet meghozatalától fogva nem alkalmazható.

Mire szolgált a Privacy Shield?

A Privacy Shield keretrendszert az Egyesült Államok Kereskedelmi Minisztériuma és az Európai Bizottság fogadta el abból a célból, hogy az EU-USA közötti adattovábbítás a GDPR által meghatározott adatvédelmi követelményeknek megfeleljen. Az általános adatvédelmi rendelet („GDPR”) alapján ugyanis a személyes adatok csak akkor továbbíthatók valamely harmadik országba, ha a Bizottság megállapította, hogy az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. Fontos kiemelni, hogy a Privacy Shield érvénytelenítése és az eddigiek szerint garantált védelmi szint hiánya nem teszi lehetetlenné az adatok továbbítását, viszont maga a folyamat, vagyis az adattovábbítás keretén belüli adatkezelések vizsgálata a korábbiaknál összetettebb elemzést igényel.

Hogyan továbbíthatók ezek után a személyes adatok az USA-ba?

Először is a vállalkozásoknak azt érdemes végig gondolniuk, hogy érinti-e őket az adatvédelmi pajzsról szóló határozat érvénytelenítése. Érintett vállalkozások lehetnek különösen azok, amelyek

• amerikai szolgáltatók informatikai megoldásait használják (pl. Zoom, CISCO stb.);
• amerikai tulajdonú vállalatok európai leányvállalatai, vagy
• amerikai informatikai szolgáltatók pl. hosting szolgáltatásait veszik igénybe.

A Privacy Shield érvénytelenítésének következménye, hogy az USA-ba történő adattovábbításra a GDPR által biztosított alternatívát kell választani. Ehhez azonban elengedhetetlen annak meghatározása, hogy az adatok továbbítására adatkezelők, avagy adatkezelő és adatfeldolgozó között kerül-e sor.

Mi a megoldás?

A következő pontokban azt vizsgáljuk meg, hogy amerikai informatikai szolgáltató (adatfeldolgozó) hosting szolgáltatásának igénybevétele esetén mit szükséges tennie az adatkezelőnek ahhoz, hogy az USA-ba történő adattovábbítás megfelelőségi határozat hiányában is megfeleljen a GDPR előírásainak.

1. lépés: Az adattovábbítási folyamatok feltérképezése

Fontos, hogy pontos ismeretekkel rendelkezzünk arról, hogy az általunk kezelt személyes adatok tárolási helye hol található, azok honnan hova kerülnek továbbításra, és mely címzettek részére. Ne feledkezzünk el arról az eshetőségről sem, ha az adatfeldolgozónk szintén továbbít adatokat pl. annak okán, hogy az adatok felhő alapú tárolására saját maga is szerződik. (Pl.: Adatkezelő (EU) → Adatfeldolgozó (USA, Hosting) → Adatfeldolgozó (Szingapúr, Cloud)

Az adatok tárolása mellett az adatok továbbításában érintett szolgáltatókat is figyelembe kell venni. Ilyenek lehetnek az internetszolgáltatók, mobilszolgáltatók, melyek infrastruktúráján keresztül haladnak a kommunikációs csatornák, és köztes országokon áthaladva különböző fokú biztonságot jelenthetnek a továbbított adatok bizalmasságára és sértetlenségére vonatkozóan. Továbbá fel kell térképezni, hogy mely harmadik felek férhetnek hozzá az adatfeldolgozó jogrendszere szerint a továbbított adatokhoz. Pl. bizonyos esetekben előfordulhat, hogy adott ország hatóságai részére lehetőséget kell biztosítani az adatokhoz való hozzáférésre, akár a titkosítási kulcsok átadásával.

Amennyiben a titkosítási algoritmus alkalmazása és a titkosítás során működtetett kulcskezelés módja is a legjobb ismert gyakorlatok szerint történik, úgy ezen intézkedések megfelelőnek tekinthetők a biztonságos adattovábbítás megvalósítására.

A személyes adat jellegétől megfosztott, anonimizált adatok továbbítása is hathatós megoldás lehet, amennyiben biztosított, hogy csak a küldő és fogadó fél rendelkezik az azonosításhoz szükséges információkkal.
A gyakorlati megvalósítást azonban minden esetben egyedi elbírálás alapján szükséges értékelni és belátni.

2. lépés: Az adattovábbítás jogi szabályozásának felülvizsgálata

Mivel a Privacy Shield már nem alkalmazható, minden egyes adattovábbítási tevékenység egyedi besorolást igényel annak meghatározása kapcsán, hogyan szabályozzuk a folyamatokat.

3. lépés: A harmadik ország jogszabályainak és joggyakorlatának kiértékelése

A harmadik ország jogszabályainak való megfeleltetést, csakúgy, mint minden compliance elem vizsgálatát, az adatkezelőnek az elszámoltathatóság elvével összhangban dokumentálni szükséges.

4. lépés: Kiegészítő technikai intézkedések azonosítása és adaptálása

Amennyiben a 3. lépésben feltárásra kerül, hogy a harmadik ország joga vagy joggyakorlata korlátozza az adatvédelmi garanciák érvényesülését, kiegészítő intézkedésekre van szükség.

Kérjük vegye figyelembe, hogy bármely kiegészítő technikai intézkedés csak akkor tekinthető hatékonynak, ha a 3. lépésben feltárt konkrét hiányosságokat orvosolja és a GDPR rendelkezéseivel összhangban azonos szintű védelmet biztosít. A kiegészítő intézkedések alkalmazását szerződéses kötelezettségvállalásként definiálni szükséges.

5. lépés: Konzultáció

Előfordulhat, hogy hivatalos intézkedés keretében konzultálni kell az illetékes felügyeleti hatósággal.

6. lépés: Folyamatos utánkövetés

Kérjük vegye figyelembe, hogy szükséges a személyes adatok továbbításával kapcsolatos garanciák meglétének folyamatos monitorozása és újraértékelése, amely összetett adatkezelési folyamatok esetében komoly odafigyelést igényel.