Deloitte Az EU – USA adatvédelmi pajzs mechanizmusának bukásának hatása - kit érint és milyen alternatíváik vannak

Iulia Antonie, a Deloitte Közép-Európa véleményanyaga Adatvédelmi vezető, és Silvia Axinescu, szenior Ügyvezető munkatárs a Reff & Egyesületeknél|Deloitte Legal

bukásának

Az Európai Unió Bíróságának (EUB) az EU – USA adatvédelmi pajzsnak nevezett, az Európai Unió (EU) és az Amerikai Egyesült Államok (USA) közötti személyes adatok továbbítását lehetővé tevő megállapodást érvénytelenítő ítélete mind a személyes adatok védelmével foglalkozó szakemberek körében, de különösen a multinacionális vállalatok körében. Ezek elsősorban olyan vállalatok, amelyek adatokat továbbítanak anyavállalatoknak, vagy azok, amelyek amerikai cégek szolgáltatásait veszik igénybe, például felhőszolgáltatók.

Mielőtt azonban felmérnénk az eseménynek az érintett vállalatok tevékenységére gyakorolt ​​hatását, több szempontot is ki kell emelni.

Mi volt az EU – USA adatvédelmi pajzs mechanizmusa?

A program lehetővé tette az amerikai vállalatok számára, hogy regisztráljanak az Egyesült Államok Kereskedelmi Minisztériumának weboldalán, és maguk igazolják az adatvédelmi pajzs betartását, és megfeleljenek a megfelelő személyes adatok védelmi követelményeinek. E program betartása megkönnyíti az uniós polgárok adatainak továbbítását az amerikai vállalatok számára, és bizalmat ad az EU partnereinek és a személyes adatok védelméért felelős hatóságainak abban, hogy az európaiak adatait a GDPR követelményeinek megfelelően dolgozzák fel.

Az EU – USA Privacy Shield program alternatívái

Fontos megjegyezni, hogy a személyes adatokat nem minden esetben továbbították az Egyesült Államokba az EU – USA Privacy Shield program keretében. Van olyan vállalat, amely vagy nem tartotta be ezt a keretet, vagy megfelelőbbnek tartotta a GDPR által kínált egyéb lehetőségeket.

  • A felajánlott mechanizmus egyik alternatívája Adatvédelmi pajzs használatból áll Kötelező vállalati szabályok, a társaság által kidolgozott és a személyes adatok védelméért felelős hatóságok által jóváhagyott szabályzat. E szabályok szerint a személyes adatok továbbíthatók az EU-n kívüli országokba. A kötelező vállalati szabályok alkalmazásának fő hátránya, hogy csak az ugyanazon vállalatcsoporton belül lebonyolított transzferekre vonatkoznak, és nem használhatók fel az ügyfél-szállító kapcsolatban.
  • Használat az Európai Bizottság által elfogadott általános szerződési feltételek valószínűleg ez a legszélesebb körben használt lehetőség a személyes adatok védelme érdekében tett intézkedések megfelelőségének bizonyítására, amely egy olyan rendelkezésekből áll, amelyek külön mellékletként zárulnak az amerikai vállalatokkal folytatott kereskedelmi kapcsolatokban. Ezeket a vállalatok az Európai Bizottság weboldalán érhetik el. A július 16-án, csütörtökön meghozott döntés fenntartja ezt az adattovábbítási lehetőséget az Egyesült Államok felé.

A fent leírt két alternatíva mellett a GDPR más megfelelő módszereket biztosít az adatátvitel elérésére, amelyeket jelenleg nehezebb megvalósítani, de amelyek kihasználása várhatóan a közeljövőben növekedni fog.

Ezek tartalmazzák:

  • a felek közötti olyan szerződési feltételek alkalmazása, amelyekhez nincs szükség a Bizottság jóváhagyására, de az illetékes adatvédelmi hatóság engedélyével kell rendelkezniük;
  • az illetékes felügyeleti hatóság által kiadott és az Európai Bizottság által jóváhagyott szabványos záradékok használata;
  • az illetékes felügyeleti hatóság által jóváhagyott magatartási kódex használata;
  • az amerikai vállalat tanúsítása az EU-tagállam szintjén létező jóváhagyott mechanizmusokkal összhangban.

Az EUB határozatának hatása a vállalatokra

Az Európai Bíróság döntése csak azokat a vállalatokat érinti, amelyek személyes adatokat továbbítottak az EU – USA adatvédelmi pajzs keretében. Ezekben az esetekben a bíróság döntését követően értékelni kell az átutalásokat és sürgősen végre kell hajtani az említett alternatívák egyikét.

Az EUB döntése valószínűleg különösen aggasztotta a felhőszolgáltatásokat használókat. Ami az e kategóriába tartozó szolgáltatókat illeti, 2018 óta (a GDPR hatálybalépésének éve) óta lépéseket tettek a személyes adatok továbbításának kérdésének kezelése érdekében. A felhőszolgáltatókkal kötött szerződések többek között garanciát tartalmaztak a polgárok adatainak az EU területén történő tárolására vonatkozóan.

Összegzésként elmondható, hogy bár az EUB-határozat hatással van a személyes adatok továbbítására, az érintett vállalatoknak vannak életképes alternatívái, hogy folytassák üzleti tevékenységüket az adatbiztonság területén és a vonatkozó előírások betartásával.