dr. Domokos Márton a DIMSZ Adatvédelmi és adatbiztonsági tagozatának vezetője helyezi kontextusba az Európai Bíróság Privacy Shielddel kapcsolatos új ítéletét, ezzel kapcsolatos teendőket.
Miért fontos ez a döntés?
Mert a cégeken és a szervezeteknek felül kell vizsgálniuk az USA-ba történő adattovábbításait, az USA-ban található szerződéses partnereikkel való együttműködésüket. Akinek eddig csak az EU-USA adatvédelmi pajzs (Privacy Shield) adatvédelmi önszabályozási keretrendszer biztosított megfelelő védelmet USA-ban lévő társaságnak történő adattovábbítás esetén, annak meg kell keresnie a partnerét, hogy kössenek Standard Contractual Clause-t (SCC-t). Ha a cég vagy szervezet ezt elmulasztja, akkor az nem GDPR konform, bírságolható.
Kiket érint?
Minden olyan céget és szervezetet, amely a Privacy Shield által biztosított adatvédelmi tanúsításra hagyatkozik USA-ba történő adattovábbításokkal kapcsolatban.
Milyen adatkezeléseket érint? (Honnan tudjuk, hogy bennünket is érint?)
A döntés minden olyan USA-ban történő személyes adattovábbítást érint, és az onnan történő adathozzáférést érint, amit a 2016-os Privacy Shield tett lehetővé. Ez azokra a cégekre vonatkozik, akik a továbbított személyes adatokat az Egyesült Államokban használják fel, tárolják vagy adják tovább és ehhez rendelkeznek a Privacy Shield tanúsítással. A regisztrált cégeket itt lehet ellenőrizni: https://www.privacyshield.gov/list.
Milyen konkrét teendő van érintettség esetén?
Ez gyakorlatban azt jelenti, hogy az EU-s szervezetek és társaságok a továbbiakban nem hagyatkozhatnak az amerikai partner Privacy Shield által biztosított adatvédelmi tanúsításra, hanem az USA-ba történő adattovábbításokkal kapcsolatban a személyes adatoknak harmadik országbeli adatkezelők vagy adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételeket (un. EU Model Clauses vagy Standard Contractual Clauses) kell kötniük.
Van-e más szabályozás, amit ez a változás szintén érint?
Ha az USA-ba történő adattovábbítások tekintetében az USA-beli vállalat csatlakozott a Privacy Shield-hez, a GDPR úgy tekintette, hogy megfelelő védelmet biztosít a számára az EU-ból továbbított személyes adatoknak, és nincs szükség az adattovábbítással kapcsolatban további védelmi intézkedésekre (például adattovábbítási szerződések megkötésére).
Meddig érvényes a Privacy Shield?
A Privacy Shieldet az EU bírosága a határozatában érvénytelenítette.
Mi történik akkor, ha valaki nem teszi meg a szükséges lépéseket?
A GDPR megfelelőség fenntartásához, ha a továbbított személyes adatok biztonsága nem garantálható a célországban, az adattovábbításokat fel kell függeszteni. Ha ez nem történik meg, akkor az adatvédelmi hatóság elrendelheti az adattovábbítás felfüggesztését vagy megszűntetését, továbbá a GDPR alapján bírságot is szabhat ki az európai cégre, illetve szervezetre.
Arra számítunk, hogy a következő hetekben az adatvédelmi hatóságok útmutatást adnak, hogy az érintett vállalatok számára van-e türelmi idő adattovábbításaik felülvizsgálatára.
