A social médiát ellepték a postok: kivonul a Facebook és Instagram. Sok a félreérthető tájékoztatás és az egyelőre alaptalan riogatás a legnépszerűbb közösségi oldalak megszűnésével, Európából való kivonulásával kapcsolatban. Ahogy mondani szokták, nem eszik olyan forrón a kását. - teszi hozzá Hajnerné dr Horváth Barbara adatbiztonsági és adatvédelmi szakjogász, GDPR szakértő. Őt kérdeztem meg a témában.
Adatvédelem és Facebook?
A jelenlegi hírek az ír adatvédelmi hatóság döntéstervezetén alapulnak. Egy tervezetről van szó, amit az érintett európai adatvédelmi hatóságok 4 héten belül véleményeznek majd. Tehát egyelőre nincs szó végleges döntésről, az ügy több irányba is alakulhat. Előfordulhat, hogy valamelyik érintett felügyeleti hatóság releváns és megalapozott kifogást emel a döntéstervezettel kapcsolatban és ezt az ír adatvédelmi hatóság méltányolja, majd új döntés tervezetet készít elő, amit 2 héten belül kell a felügyeleti hatóságoknak ismét véleményezni.
“Olyan eset is előfordulhat, hogy az ír adatvédelmi hatóság nem találja relevánsnak és megalapozottnak az érintett felügyeleti hatóság kifogását, így nem veszi azt figyelembe, a döntés ez esetben a GDPR rendeletben rögzített egységességi mechanizmus alapján születik majd meg. Arról nem is beszélve, hogy az Európai Adatvédelmi Testület is beszállhat az eljárásba” - teszi hozz a szakértő.
Amennyiben végül megszületik a végleges döntés, természetesen az ellen bírósági jogorvoslatra is lehetőség lesz. Így bizony hosszú ideig elhúzódhat még ez az ügy. Tehát nem kell kongatni a vészharangokat.
Mi több, keveset beszélünk róla, hogy mi alapján indult el a hatóság eljárása. Ahogy több adatvédelmi ügyben, jelen esetben is, Maximilian Schrems osztrák aktivista, ügyvéd nyújtott be panaszt az ír adatvédelmi hatósághoz a Meta adattovábbítási gyakorlata ellen. Max Schrems egy korábbi nyilatkozatában azt közölte, arra számít, valamelyik felügyeleti hatóság kifogással él majd, így aztán várhatóan elhúzódik az ügy.
De mi a gond a Meta adatkezelésével?
Valójában az adatok továbbítása történik szabálytalanul, ugyanis 2020-ban az Európai Bíróság érvénytelenítette az ún. Privacy Shield (adatvédelmi pajzs) egyezményt, amelynek feltételei alapján jogszerűen lehetett személyes adatokat továbbítani az Európai Unióból az USA-ba. A Privacy Shield érvénytelenítésével olyan helyzet állt elő, melynek következtében jelenleg nincs érvényben lévő megfelelőségi határozat az USA vonatkozásában, ami jelentősen akadályozza az európai vállalatok szabályos adatkezelését, az Egyesült Államokba való adattovábbítások vonatkozásában.- mondja a szakértő.
Tehát hogyan lehet jogszerűen személyes adatokat továbbítani az EU-ból harmadik országokba?
Jó tudni, hogy a GDPR rendelet tartalmazza azokat a feltételeket, melyek megfelelő garanciát nyújthatnak a személyes adatokat harmadik országba történő továbbítására. Főszabály szerint akkor továbbíthatóak harmadik országba személyes adatok, ha a harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. És ez nagyon fontos! A megfelelő védelmi szint meglétét adott ország tekintetében az Európai Bizottság ún. megfelelőségi határozatban állapítja meg.
Az Egyesült Államok tekintetében a Bizottság az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló határozatban úgy ítélte meg, amennyiben olyan USA-beli szervezet felé történik az adattovábbítás, amely csatlakozott a Privacy Shield-hez, a megfelelő védelmi szint biztosítottnak tekintendő az adatvédelmi pajzs határozat alapján.
Ha nincs megfelelőségi határozat adott harmadik ország esetében, avagy olyan USA-beli címzett részére történik az adattovábbítás, amely nem csatlakozott a Privacy Shield-hez, adattovábbításra kizárólag akkor kerülhet sor, ha az adatkezelő a GDPR rendeletben meghatározottak szerint megfelelő garanciákat nyújt, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
Amennyiben pedig nincs megfelelőségi határozat és megfelelő garancia sem áll rendelkezésre az adattovábbításhoz, úgy szintén a GDPR rendelet határozza meg azokat a különös helyzetekben biztosított eltéréseket, amelyek alapján eseti jelleggel sor kerülhet személyes adat harmadik országba történő továbbításra (pl. az érintett kifejezett hozzájárulása alapján).
Mi vár ránk, felhasználókra?
“Az EU és az USA jelenleg egy új adatvédelmi egyezményről tárgyal, ami lehetővé tenné, hogy az abban foglaltak betartásával szabályosan továbbíthassák az európai cégek az adatokat az USA-ba. A tárgyalások azonban lassan haladnak, így valószínűleg egy ideig még nélkülöznünk kell a jogi háttér megnyugtató rendezését.
Véleményem szerint előbb utóbb megoldódik ez a faramuci helyzet és megszületik egy új megfelelőségi határozat. Nyilván ehhez szükség van mindkét fél (EU, USA) együttműködésére a feltételek kialakítása tekintetében, beleértve ebbe az amerikai jogszabályok módosítását és az amerikai hatóságok eljárásai során alkalmazott adatvédelmi garanciák betartását, a megfelelő jogorvoslati rendszer kialakítását az érintettek számára. A lényeg, hogy az érintettek számára a GDPR rendeletben garantált védelmi szint az ilyen adattovábbítások során ne sérüljön.” - szögezte le dr Horváth Barbara adatbiztonsági és adatvédelmi szakjogász, GDPR szakértő.