A Safe Harbor bukását követően az USA-ba történő adattovábbítás új jogszabályi keretének kialakítása új szakaszba lépett: 2016. február 29-én az Európai Bizottság nyilvánosságra hozta az Adatvédelmi Pajzs, azaz a Privacy Shield érvénybe lépéséhez szükséges dokumentumokat, így megismerhetővé váltak a kapcsolódó részletszabályok is.
2016. február 2-án politikai megállapodás született az Európai Bizottság és az Egyesült Államok között a nemzetközi adattovábbítás új keretéről, vagyis a Privacy Shield létrehozásáról. A Privacy Shield célja, hogy az Európai Bíróság által az azóta elhíresült Schrems ítéletben 2015. október 6-án érvénytelennek minősített Safe Harbor helyébe lépve biztosítsa, hogy ne sérüljenek az európai polgárok alapvető jogai az EU és az USA közötti adatáramlás során. A folyamat következő lépeseként 2016. február 29-én a Bizottság nyilvánosságra hozta a Privacy Shieldhez kapcsolódó dokumentációt.
Alapelvek, a szabályozás jellege
„A gyakorlatban a Privacy Shield alkalmazása hasonló lesz a Safe Harbour elvei mentén kialakult rendszerhez, mivel az adatvédelmi követelmények és alapelvek többnyire megegyeznek a két szabályozási mechanizmusban. Néhány alapelv mindazonáltal pontosításra került, így például az adatkezelőt terhelő tájékoztatási kötelezettség tartalma tekintetében az Európai Bizottság pontosabb követelményrendszert állított fel” – mondta el Párkányi Rita, a KCG Partners Ügyvédi Társulás adatvédelmi szakértője.
A cégek általi önkéntes vállaláson alapuló jelleg sem változik. A cégeknek tehát továbbra is nyilatkozatot kell tenniük arról, hogy vállalják a Privacy Shieldben meghatározott, a személyes adatok feldolgozására és az alapjogok garantálására vonatkozó kötelezettségeket. A cégek az önkéntes vállalásuk alapján felkerülhetnek az Egyesült Államok Kereskedelmi Minisztériuma által vezetett listára és jogszerűen végezhetnek adattovábbítást.
A Privacy Shield megfelelő végrehajtása érdekében a Kereskedelmi Minisztérium felügyeleti jogköre kibővül. Szigorúbban fogja vizsgálni a csatlakozni kívánó szervezetek önkéntes vállalásait, valamint aktívan fogja felügyelni, hogy a csatlakozott szervezetek mennyiben teljesítik a vállalt kötelezettségeket és szükség esetén akár törölheti is a jogsértő szervezetet a listáról.
A Privacy Shield 4 fő eleme
- A Privacy Shield alapján az európai polgárok személyes adatait kezelő szervezeteknek szigorú kötelezettségeket kell betartaniuk az adatkezelésre és az alapjogok garantálására vonatkozóan, mely során meg kell felelniük a transzparencia követelményének. A kötelezettségek megfelelő teljesítését átfogó felügyelet fogja biztosítani, többek között a Kereskedelmi Minisztérium részéről.
- Az uniós polgárok jogainak hatékony védelme érdekében a Privacy Shield az alábbi jogorvoslati lehetőségeket rögzíti. Az érintettektől érkező panaszokat az adatkezelő szervezetnek 45 napon belül meg kell válaszolnia. Emellett panasz esetén alternatív vitarendezési mód (ADR) is ingyenesen igénybe vehető. A nemzeti adatvédelmi hatóságok a hozzájuk érkező panaszokat az Egyesült Államok kijelölt szerveivel együttműködve vizsgálják ki. További lehetőségként a választottbírósági út is elérhető lesz a panaszosok számára. Végül, de nem utolsó sorban rendkívül jelentős lépésként 2016. február 24-án az amerikai bírósági jogorvoslatról szóló törvény („Judicial Redress Act”) elfogadásával megnyílt a lehetőség az uniós állampolgárok előtt, hogy az Egyesült Államok bíróságai előtt közvetlenül is érvényesíthessék a jogellenes adatkezeléssel kapcsolatos követeléseiket.
- Az Egyesült Államok írásbeli kötelezettséget vállalt arra nézve, hogy kormányzati szerveinek hozzáférése uniós állampolgárok személyes adataihoz kizárólag a szükséges és arányos mértékben, megfelelő korlátozások és felügyeleti mechanizmusok mellett történhet. Az USA kizárta annak lehetőségét, hogy a továbbított személyes adatokat megkülönböztetés nélküli vagy tömeges megfigyelés alatt tartsa. Jogorvoslati mechanizmusként pedig független ombudsman felállításáról született döntés, aki köteles kivizsgálni a kormányzati megfigyelésekkel kapcsolatban érkező panaszokat.
- Átfogó ellenőrzésre évenként kerül majd sor, ahol az Európai Bizottság és az Egyesült Államok Kereskedelmi Minisztériuma közösen vizsgálják a Privacy Shield követelményeinek végrehajtását és az Egyesült Államok kormányzati szerveinek adathozzáférésére vonatkozóan vállalt kötelezettségek teljesítését.
A Privacy Shield megítélése
Az új keretrendszer alkalmazása a gyakorlatban a szervezetek számára több feladattal járhat, illetve nagyobb körültekintést igényelhet. Így a cégeknek rendszeresen felül kell majd vizsgálniuk az önkéntes kötelezettségvállalásaikat, az adatvédelmi szabályzatukat kötelesek lesznek elérhetővé tenni a honlapjukon, valamint kötelesek lesznek megfelelően megválaszolni a hozzájuk érkező panaszokat. Azoknak a szervezeteknek, amelyek eddig is maradéktalanul végrehajtották a Safe Harbor követelményeit, a szigorodó felügyelet és ellenőrzés, valamint a kiszélesedő jogorvoslati lehetőségek nem jelentenek jelentős többletkötelezettségeket, ugyanakkor azoknak a szervezeteknek, akik a Safe Harbor teljesítését csupán egy űrlap kitöltésében látták, a Privacy Shield alkalmazása komoly kihívásokat jelenthet.
A Privacy Shieldet üdvözlő vélemények szerint az USA felé történő adattovábbítás átláthatóbbá válhat és erősebb védelemben részesülhet. A kritikus vélemények szerint azonban a Privacy Shield gyorsan a Safe Harbor sorsára juthat, különösen arra tekintettel, hogy e vélemények szerint az USA nem adott megfelelő garanciákat a kormányzati adathozzáférések korlátozására vonatkozóan.
A következő lépések
„A tagállamok adatvédelmi hatóságainak vezetőiből álló 29-es Munkacsoport ezekben a hetekben véleményezi az Európai Bizottság által közzétett határozat tervezetet. Az Európai Bizottság a 29-es Munkacsoport véleményének ismeretében és a tagállami képviselőkből álló bizottsággal folytatott konzultációt követően dönthet a Privacy Shieldet életbe léptető határozat elfogadásáról” – tájékoztatott Párkányi Rita.