Az uniós bíróság érvénytelenítette az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást

Jogtudor - 2020-07-16

- Az Európai Unió Bírósága érvénytelenítette csütörtökön az EU és az Egyesült Államok között létrejött, a személyes adatok továbbítását lehetővé tevő adatvédelmi megállapodást.

A Facebook közösségi portált érintő ítéletében a luxembourgi székhelyű uniós bíróság kimondta, hogy a nemzeti törvényhozóknak szigorúbb intézkedéseket kell tenniük a felhasználói adatok továbbítása terén a magánélet védelme érdekében.

A bírák aggodalmukat fejezték ki amiatt, hogy az úgynevezett adatvédelmi pajzs rendelkezései alapján továbbított adatok "nem korlátozódnak a feltétlenül szükséges információkra" az uniós állampolgárok adatainak amerikai feldolgozásakor

Mint emlékeztettek, az általános adatvédelmi rendelet (GDPR) szerint az érzékeny adatok csak akkor továbbíthatók valamely unión kívüli országba, ha az adott ország ezen adatok számára megfelelő védelmi szintet biztosít. Az adatok továbbítása csak akkor lehetséges, ha az érintettek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.

A bíróság ezzel összefüggésben arra figyelmeztetett, hogy a személyes adatok védelméről szóló amerikai korlátozások nincsenek úgy szabályozva, hogy megfeleljenek az uniós jogban a feltétlenül szükséges mértékű arányosság elve követelményeinek. Az említett amerikai szabályozásból semmilyen módon nem derül ki, hogy léteznének a személyes adatok továbbítását, felhasználását és tanulmányozását érintően a nem amerikaiak számára szóló garanciák.

Kijelentették, az adattovábbítás szabályait felügyelő hatóságok kötelesek felfüggeszteni vagy megtiltani a személyes adatok unión kívüli országba irányuló továbbítását, ha úgy vélik, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be vagy nem lehet őket ott tiszteletben tartani. Illetve akkor, hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható.

Mindezek ismeretében az uniós bíróság kimondta: az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást semmisnek kell tekinteni, mert az adatvédelmi rendelet nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana. Illetve nem hatalmazzák fel az illetékes ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon.

A bíróság ugyanakkor úgy ítélte meg, hogy a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat továbbra is érvényes. Ez azt jelenti, hogy az adatátvitel folytatódó ellenőrzése mellett az EU-nak és az Egyesült Államoknak új rendszert kell kidolgozni, amely biztosítja, hogy az európaiak adatai ugyanolyan védelemben részesüljenek az Egyesült Államokban, mint az unióban.