Személyes adatok harmadik országba történő továbbítása

május 20, 2020
Cikkek, GDPR blog

Jelen cikkünkben a harmadik országba történő adattovábbításra vonatkozó szabályokat foglaltuk össze.

Mi is minősül „harmadik országnak”?

A „harmadik ország” fogalmát a 2011. évi CXII. törvény, azaz, az Info tv. értelmező rendelkezései között találhatjuk, mely szerint minden olyan állam, amely nem EGT-állam, azaz az összes Uniós tagállam, illetve Izland, Lichtenstein és Norvégia is.

Amennyiben tehát nem Uniós tagállamba, illetve a fent nevesített országok valamelyikébe kívánunk személyes adatot továbbítani, úgy a harmadik országba történő adattovábbítás szabályai irányadóak. Ezt a GDPR V. fejezete szabályozza, mely általános elvként fogalmazza meg, hogy olyan személyes adatok továbbítására, amelyeket harmadik országba történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, a Rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti a Rendelet V. fejezetben rögzített feltételeket.

A fentiekből jól látható, hogy az adattovábbításra csak akkor kerülhet sor, ha az a Rendelet általános előírásainak is megfelelően történik – így többek között – van megfelelő jogalap az adattovábbításra, a továbbításra az alapelvek betartásával és a Rendeletben előírt egyéb kötelezettségek, mint például az előzetes tájékoztatás teljesítése mellett kerül sor. Ezen túlmenően szükséges az V. fejezetben rögzített feltételek valamelyikének megléte is ahhoz, hogy a nemzetközi adattovábbításra jogszerűen kerüljön sor. Ezen feltételek három fő csoportba sorolhatóak:

1. adattovábbítás megfelelőségi határozat alapján,
2. adattovábbítás megfelelő garanciák mellett, illetve amennyiben ezek közül egyik sem adott, úgy
3. különös helyzetekben a GDPR biztosít eltéréseket, melyek alapján lehetőség nyílik az adatok továbbítására.

1. Megfelelőségi határozat

Az első lehetőség a nemzetközi adattovábbításra a megfelelőségi határozat megléte, a GDPR 45. cikke szerint ugyanis személyes adatok harmadik országba történő továbbítására sor kerülhet, amennyiben az Európai Bizottság megállapította, hogy az adott harmadik ország, a harmadik ország valamely területe, illetve egy, vagy több meghatározott ágazata megfelelő védelmi szintet biztosít. Amennyiben tehát az adott ország szerepel a Bizottság listáján, úgy a személyes adatok továbbítása további engedély beszerzése nélkül lehetséges. Az Egyesült Államok tekintetében speciális a helyzet, hiszen a Bizottság úgy ítélte meg, hogy a megfelelő szintű védelem az EU-USA Privacy Shield (adatvédelmi pajzs) keretében biztosított, ami azt jelenti, hogy az adattovábbítás minden további engedély, követelmény nélkül megtörténhet azon egyesült államokbeli szervezetek részére, amelyeket felvettek az „adatvédelmi pajzsban” részt vevő szervezetek listájára.

2. Megfelelő garanciák

Amennyiben a célország tekintetében nincs megfelelőségi határozat, vagy az USA-beli szervezet nem részese a Privacy Shieldnek, úgy az adatok akkor továbbíthatók, ha az adatkezelők megfelelő garanciákat nyújtanak és az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. A Rendelet 46. cikk (2) bekezdése nevesíti azon eseteket, amelyeknél megfelelő garanciák mellett továbbíthatók a személyes adatok harmadik országba a felügyeleti hatóság engedélyével és anélkül.

A hatóság külön engedélye nélkül megfelelő garanciát jelenthetnek például tipikusan az általános adatvédelmi kikötések (ún. modellszerződések) használata, cégcsoporton belül pedig kötelező erejű vállalati szabályok (ún. BCR-ek) alkalmazása. Jelenleg két olyan, a Bizottság által elfogadott határozat van hatályban, amely adatkezelő-adatkezelő közötti adattovábbításra, és egy olyan határozat, amely adatkezelő-adatfeldolgozó közötti adattovábbítás esetére tartalmaz a nemzetközi adattovábbításhoz használható modellszerződéseket.

Az adatkezelő-adatkezelő közötti adattovábbításra vonatkozó modellszerződést találhatunk a 2001/497/EK határozat, valamint a 2004/915/EK határozat mellékletében, a kettő között a felelősség tekintetében van különbség, így az alkalmazás előtt javasolt mindkettőt áttekinteni. Adatkezelő és adatfeldolgozó közötti továbbítás esetén a 2010/87/EU határozat mellékletében található modellszerződés megkötésével biztosíthatunk megfelelő garanciákat.

Amennyiben vállalkozáscsoportok vagy közös gazdasági tevékenységet folytató vállalkozások között kerül sor adattovábbításra, úgy lehetőség van jóváhagyott kötelező erejű vállalati szabályok (Binding Corporate Rules, a továbbiakban: „BCR”) alkalmazására az Unióból a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli szervezetekhez irányuló nemzetközi adattovábbítások során. A BCR azonban csak akkor biztosít megfelelő garanciát, ha azt a felügyeleti hatóság előzetesen jóváhagyta.

A fentieken túlmenően megfelelő védelmet jelent továbbá az adattovábbításhoz olyan szerződéses rendelkezések alkalmazása, amelyet az illetékes felügyeleti hatóság előzetesen engedélyezett.

3. GDPR 49. cikk szerinti eltérések

Amennyiben a célország esetében nincs megfelelőségi határozat és a fent részletezett megfelelő garanciák sem állnak rendelkezésre az adattovábbításhoz, a Rendelet 49. cikke biztosít további lehetőségeket is az adattovábbításra. Ezen eltérések alkalmazásának feltételeiről az Európai Adatvédelmi Testület külön iránymutatásban foglalkozik, melyben kihangsúlyozza, hogy a tervezett adattovábbítás előtt az adatátadóknak először olyan lehetőségekre kell törekedniük, amelyek révén az adatátadást a Rendelet 45. és 46. cikkében foglalt mechanizmusok egyikének keretében hajthatja végre (azaz megfelelőségi határozat vagy megfelelő garanciák megléte esetén), és csak ezek hiányában helyénvaló a 49. cikk (1) bekezdésében szereplő eltérések alkalmazása.

A német szabályzó szerint az ír adatvédelmi hatóság túlterhelt

A munkahelyi kamerás megfigyelés szabályai

Adatvédelmi bírságok a világ minden tájáról