Az Európai Unióból az Egyesült Államokba való adattovábbítás kérdése az Általános Adatvédelmi Rendelet (GDPR) hatályba lépése óta folyamatosan a porondon van. Az Egyesült Államok a GDPR megközelítésében harmadik országnak minősül, ahova csak a rendeletben meghatározott feltételek mentén történhet a személyes adatok továbbítása és hozzáférhetővé tétele. A nehézséget az okozza, hogy az USA kiemelt szerepet tölt be az EU-ban is előszeretettel alkalmazott technológiai megoldások terén és ezer szállal kötődik gazdasági szempontból is az Unióhoz. Az Európai Bíróság 2020 júliusában kimondta, hogy az Európai Unió és az Egyesült Államok közötti megfelelőségi határozat, az ún. Privacy Shield (Adatvédelmi Pajzs) érvénytelen. Három évvel a Bíróság döntését követően, 2023 júliusában azonban megszületett az új megfelelőségi határozat.
A GDPR alapján harmadik országnak lényegében az EGT-n kívüli tagállamok minősülnek, így az Egyesült Államok is. Ha az EU-n belüli adatkezelő harmadik országba szeretne személyes adatot továbbítani, akkor erre elsősorban akkor van lehetősége, ha az adott harmadik ország vonatkozásában az Európai Bizottság megállapította, hogy az megfelelő védelmi szintet biztosít.
A megfelelőségi határozat alapján történő adattovábbítás a legegyszerűbb módja a harmadik országba történő adattovábbításnak, ugyanis ez esetben további mechanizmus és külön engedély nélkül kerülhet sor az adatok áramoltatására és ez jelentős terhet vesz le az adatkezelők és adatfeldolgozók válláról. Az Egyesült Államokba történő adattovábbítás 2023 júliusától az újonnan elfogadott megfelelőségi határozat alapján történhet.
A megfelelőségi határozatra alapított adattovábbítás csak abban az esetben végezhető, ha az érintett szervezet (akinek az uniós adatkezelő az adatot továbbítani szeretné) szerepel az ún. Data Privacy Framework List-en. A szervezeteket felsoroló lista nyilvánosan elérhető és egy keresőmotor segítségével könnyedén ellenőrizhető, hogy az a szervezet vagy cég, akivel szerződni akarnak az uniós adatkezelők – és a potenciálisan adatkezelésre vagy adatfeldolgozásra is sor kerül a kapcsolatuk során – szerepel-e a Data Privacy Framework List-en. Amennyiben az érintett entitás a listán nem található, akkor a megfelelőségi határozatra hivatkozva nem lehet részére adatot továbbítani. Ez esetben a GDPR biztosította további lehetőségek állnak a felek rendelkezésére. Ilyen lehetőség pl., ha a felek megfelelő garanciát nyújtanak az adatkezelési műveletek kapcsán, különösen az érintettek által érvényesíthető jogok tekintetében (és ezt praktikusan a közöttük létrejövő megállapodásban is rögzítik), vagy kötelező erejű vállalati szabályokat (BCR) fogadnak el az adatkezelés biztonsága tekintetében.
A Data Privacy Framework List-re azok a szervezetek kerülhetnek fel, amelyek (i) magukra és működésükre nézve kötelezőnek fogadják el a megfelelőségi határozatban meghatározott adatkezelési alapelveket, (ii) adatkezelési tájékoztatójukat elérhetővé teszik és az abban foglaltakat a gyakorlatban is alkalmazzák, valamint (iii) a tanúsítási eljárás végén megkapják a U.S. Department of Commerce-től (Amerikai Kereskedelmi Minisztérium) a szükséges tanúsítványt. Amennyiben egy szervezet felkerült a listára, de utóbb nem teljesíti a követelményeket, akkor akár le is kerülhet onnan. Éppen ezért fontos, hogy azok az uniós adatkezelők, akik amerikai szervezettel állnak kapcsolatban, meghatározott időközönként ellenőrizzék, hogy szerződéses partnerük még mindig fent van-e a Data Privacy Framework List-en.
A megfelelőségi határozat 2. fejezetében szerepelnek azok az alapelvek, amelyeknek meg kell felelniük a listán szerepelni kívánó szervezeteknek. Ezek az alapelvek hasonlóságot mutatnak a GDPR-ban meghatározott elvekkel, így pl. megtalálható az előre meghatározott célból történő adatkezelés, a különleges személyes adatokra vonatkozó szabályok, vagy az adatok pontosságával és az adatminimalizálással kapcsolatos követelmények rögzítése is. A megfelelőségi határozatban az alapelveknek való megfelelés betartatása, ellenőrzése és kikényszerítése érdekében két felügyeleti hatóságot is meghatározott, akik vizsgálatot folytathatnak a szervezetek kapcsán és ellenőrizhetik, hogy a megfelelőségi határozatban vállaltaknak és a kapott tanúsítványnak megfelelően járnak-e el a Data Privacy Framework List-en szereplő vállalatok.
Az uniós adatkezelők számára a megfelelőségi határozat biztonságot nyújthat az USA-ba irányuló adattovábbítások tekintetében, viszont mindenképpen ellenőrizni kell még a szerződéses kapcsolat létrejötte előtt, hogy az érintett amerikai szervezet szerepel-e az említett listán. Amennyiben igen, úgy nagy biztonsággal folytathatók az adatkezelési műveletek. Azt nem tudhatjuk, hogy a jelenlegi megfelelőségi határozat kapcsán sor kerül-e az Adatvédelmi Pajzshoz hasonló eljárásra az Európai Bíróság által, de amíg nem, addig ezt a határozatot kell irányadónak tekinteni.
Zárásként megjegyezzük, hogy a Max Schrems által alapított Európai Digitális Jogok Központja (NOYB) éles hangvételű kritikát fogalmazott meg az új megfelelőségi határozattal kapcsolatban. Véleményében kifejtette, hogy a megfelelőségi határozat lényegében a korábbi „másolata” és mindaddig nem fogja tudni kifejteni a kívánt hatást, amíg például az USA-ban olyan hírszerzési jogszabályok vannak, amelyek lehetővé teszik uniós állampolgárok személyes adatainak megfigyelési célokra való felhasználását anélkül, hogy az uniós állampolgárok egyébként alkotmányos jogokkal rendelkeznének Amerikában. A NOYB szerint a jelenlegi megfelelőségi határozat feltehetően elődei sorsára fog jutni és visszamenőleges hatállyal érvénytelennek nyilvánítják majd. Ekkor pedig ismét a tagállami adatvédelmi hatóságok térfelén lesz a labda, hiszen végső soron nekik kell majd végrehajtaniuk a Bíróság döntését. Egy bizonyos, a NOYB nem fogja annyiban hagyni a jelenlegi megfelelőségi határozattal kapcsolatos aggályait és az Európai Unió Bíróságához fog fordulni a felmerülő panaszokkal.
