Tovább késik az új tengerentúli személyesadat-továbbítási keretrendszer az EU és az USA között

2022. márciusában Ursula von der Leyen, az Európai Bizottság elnöke és Joe Biden, az Amerikai Egyesült Államok elnöke közös politikai nyilatkozatban jelentették be, hogy 2022 végére az ún. Trans-Atlantic Data Privacy Framework (Keretmegállapodás) keretében harmadszorra is rendezni kívánják az európai polgárok személyes adatainak Egyesült Államokba való továbbításának helyzetét. Az alapelvekben ugyan megállapodtak, de ezidáig konkrét lépések nem születtek a Keretmegállapodás jogi keretek közé emelése kapcsán, így egyre valószínűbb, hogy a 2022 év végi határidőt nem fogják tudni betartani a felek.

Az ügy háttere: Az Atlanti-óceán túloldalára történő adattovábbítás az Európai Unió Bíróságának 2020-ban hozott Schrems II. döntése – amely a GDPR-ral szemben fennálló hiányosságai okán érvénytelennek nyilvánította az adattovábbítás akkori kereteit (EU-USA Adatvédelmi pajzs határozat) – óta fennálló szabályozatlan helyzete jelentős bonyodalmakat okoz, amely érinti a legnagyobb platform és social média szolgáltatókat is.

Az EUB Schrems II. ügyben tett megállapításaira reflektálva az új Keretmegállapodásban lefektetett alapelvek között szerepel az amerikai nemzetbiztonsági szolgálatokhoz továbbított adatok korlátozott hozzáférésének és felhasználásának rögzítése; egy független és kötelező erejű döntésre jogosult kétlépcsős jogorvoslati rendszer felállítása (Data Protection Review Court); valamint a továbbított adatokhoz hozzáférő szervezetekre vonatkozó szigorú szabályok kidolgozása.

A Keretmegállapodás megszületésével az EU és az USA jelentős lépést tenne egy új, GDPR 45. cikk szerinti megfelelőségi határozat meghozatala felé, amely alapján a személyes adatok szabadon áramolhatnának az EU és az USA között. Azonban, amíg erre nem kerül sor, az adatkezelők számára marad az uniós szerződéses modell klauzulák (SCC), valamint az ún. kötelező erejű vállalati szabályok alkalmazása a transzatlanti adattovábbításhoz, amelyek ugyanakkor jelentős többletfeladatot rónak az érintett piaci szereplőkre.

Az Európai Adatvédelmi Testület egyébként üdvözölte az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet biztosító keretrendszer kidolgozását, és kifejezte az abban való aktív részvételi szándékát.


Írta

Olvass tovább