A bíróság ugyanis szigorúbb intézkedéseket várna el a személyes adatok védelmében. A döntés új helyzet elé állította azokat cégeket, amelyek az Egyesült Államokba továbbítanak személyes adatokat.
A globális, elsősorban online működő amerikai cégeknek bizonyos esetekben az adataikat – azaz felhasználóik érzékeny személyes adatait – meg kell osztaniuk nemzetbiztonsági szolgálataikkal. Az EU-ban azonban ezt szigorú adatvédelmi szabályok tiltják.
A Privacy Shield egyezmény ezt az ellentmondást szándékozott feloldani, a bíróság viszont hatályon kívül helyezte. Álláspontja szerint a szabályozás az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekeit helyezte előtérbe.
Ítéletében kimondta:
az Egyesült Államok joga nem felel meg a GDPR által elvárt arányosságnak sem, mivel a megfigyelések nem a feltétlenül szükséges mértékre korlátozódnak.
Emellett az uniós polgárokat védő GDPR-garanciák is sérültek azáltal, hogy az Egyesült Államok ombudsmani rendszere nem biztosítja az érintetteknek, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat.
A bíróság álláspontja szerint az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, a cégek más módon is gondoskodhatnak arról, hogy a személyes adatoknak az Egyesült Államokba való továbbítása jogszerű legyen. Ennek alapvetően három formája lehet.
A tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül kötelező erejű vállalati szabályokat hozhatnak információtovábbításra. Ennek előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya viszont, hogy nem terjed ki a cégcsoporton kívüli szerződéses partnerek adattovábbítására.
A bíróság arról is döntött, hogy az Európai Bizottság által jóváhagyott általános szerződési feltételek keretében az adatkezelők továbbra is továbbíthatnak adatot harmadik országokba, mivel ezek az unióban biztosított védelem szintjével megegyező védelmet garantálnak.
Az ítélet nyomán viszont ezután fokozott felelősség terheli az adattovábbítót annak megállapításában, hogy az adott harmadik ország jogrendszere tiszteletben tartja-e az EU által garantált védelmi szintet.
Esetről esetre vizsgálnia kell egyrészt az adott ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban szükség szerint igazolnia is tudni kell a levont következtetéseit. Mindez jelentős anyagi és adminisztratív terhet róhat az adattovábbítókra.
Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak:
az is előfordulhat, hogy az egyik hatóság megfelelő szintűnek tartja a védelmet, a másik viszont nem.
Ez több különböző EU-s tagállamban működő vállalatnál akár cégcsoporton belül is megakadályozhatja az adattovábbítást, és tovább erősítheti a GDPR alkalmazásának széttöredezettségét, amelyet sokan, a többi közt az Európai Bizottság is bírált.
Az adattovábbítók végső soron a különleges helyzetekben a GDPR 49. cikkében foglaltak által biztosított eltérések alapján továbbíthatnak személyes adatot.
Ezek az eltérések kizárólag ideiglenes jelleggel alkalmazhatók, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus.
Fontos tudni, hogy az adatvédelmi pajzsról szóló határozat érvénytelensége a Brexit ellenére kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is.
Az átmeneti időszakban, tehát 2020. december 31-ig a bíróság döntései az Egyesült Királyságra is vonatkoznak, a GDPR szabályai pedig megfelelően alkalmazandók.
A bíróság döntése azt jelenti, hogy az összes cégnek és szervezetnek, amely felhasználói adatot továbbít az Egyesült Államokba, javasolt áttekintenie az ezzel kapcsolatos folyamatait. Felül kell vizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről kell gondoskodni, hogy az adattovábbítás jogszerű legyen.
Érdemes emellett nyomon követni a tagállami adatvédelmi hatóságok és az Európai Adatvédelmi Testület hivatalos közleményeit, állásfoglalásait, illetve az általános szerződési feltételek várható módosításait.
Európa számos adatvédelmi hatósága az ítélet kihirdetését követő napokban közzétett állásfoglalásokat, sajtóközleményeket a Schrems II. ítélet és annak értelmezése kapcsán, amelyekből már most látszik az egyes hatóságok különböző jogértelmezése annak vonatkozásában, hogy a továbbiakban lehet-e és milyen feltételekkel Európából az Egyesült Államokba személyes adatot továbbítani.
A Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján egyelőre pusztán az ítélet szövege és a bíróság vonatkozó sajtóközleménye érhető el, a hatóság álláspontja még nem ismert.
