A személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli országokba történő továbbítása gyakran alapvető fontosságú a nemzetközi kereskedelem vagy együttműködés szempontjából. Előfordulhat, hogy az Ön kkv-jának tevékenységei során személyes adatokat kell továbbítania egy EGT-n kívüli országba, például akkor, ha személyes adatokat kell megosztania üzleti partnereivel vagy az EGT-n kívüli székhellyel rendelkező beszállítóival.

Az általános adatvédelmi rendelet különös rendelkezéseket tartalmaz az ilyen adattovábbításokra vonatkozóan. E rendelkezésekkel az általános adatvédelmi rendelet célja, hogy a személyes adatok EGT-n belüli továbbításával azonos szintű védelmet biztosítson.

Mikor történik a személyes adatok EGT-n kívüli továbbítása?

Az általános adatvédelmi rendelet nem határozza meg az ilyen adattovábbítások fogalmát. Az Európai Adatvédelmi Testület azonban a következő három kumulatív kritériumot határozta meg az EGT-n kívüli adattovábbítás azonosítására:

  • az adatkezelő vagy adatfeldolgozó az adott adatkezelés tekintetében az általános adatvédelmi rendelet hatálya alá tartozik;
  • ez az adatkezelő vagy -feldolgozó továbbítás útján vagy más módon más szervezet (adatkezelő vagy -feldolgozó) rendelkezésére bocsátja a személyes adatokat;
  • ez a másik szervezet EGT-n kívüli országban van, vagy nemzetközi szervezet.

Hogyan továbbíthatjuk a személyes adatokat az EGT-n kívülre?

Dióhéjban az általános adatvédelmi rendelet korlátozásokat vezet be a személyes adatok EGT-n kívüli, nem EGT országokba vagy nemzetközi szervezetekbe történő továbbítására vonatkozóan annak biztosítása érdekében, hogy az egyének általános adatvédelmi rendelet által biztosított védelmi szintje változatlan maradjon.

Személyes adatok csak az általános adatvédelmi rendelet az ilyen adattovábbításra vonatkozó V. fejezetében meghatározott feltételeknek megfelelően továbbíthatók az EGT-n kívülre.

Az adattovábbításra vonatkozó feltételeket az általános adatvédelmi rendelet egyéb szabályainak való általános megfelelés mellett kell tiszteletben tartani. Ezek a feltételek például további követelményt jelentenek az alapvető adatkezelési elvekhez képest, amelyeket a nemzetközi adattovábbítással összefüggésben is tiszteletben kell tartani. A személyes adatok továbbításakor továbbra is meg kell győződnie arról, hogy megfelelő jogalappal rendelkezik az adatkezeléshez; a szükséges biztonsági intézkedéseket végrehajtotta; Ön csak az adott adatkezelési tevékenységhez szükséges személyes adatokat kezeli (adatminimalizálás elve), stb. Ha a személyes adatok címzettje adatfeldolgozóként jár el, továbbra is kötelező szerződést kötnie vele. Csakúgy, mint az EGT-n belüli adatfeldolgozók esetében. 

Az általános adatvédelmi rendelet értelmében a személyes adatoknak főszabály szerint két fő módja van a nem EGT-ország vagy nemzetközi szervezet részére történő továbbításra. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek rendelkezésre állnak. Megfelelőségi határozat vagy megfelelő garanciák hiányában az általános adatvédelmi rendelet különös helyzetekben lehetővé tesz bizonyos eltéréseket.
Az alábbiakban további információkat talál a különböző lehetőségekről.

Megfelelőségi határozat alapján történő adattovábbítás

Az Európai Bizottságnak lehetősége van megfelelőségi határozatokat elfogadni annak érdekében, hogy az EGT-országokra nézve kötelező erővel megerősítse, hogy az adatvédelem szintje egy EGT-n kívüli országban vagy egy nemzetközi szervezetben lényegében egyenértékű az Európai Gazdasági Térség védelmi szintjével.

A védelmi szint megfelelőségének értékelésekor az Európai Bizottság figyelembe veszi az olyan elemeket, mint a jogállamiság, az emberi jogok és az alapvető szabadságok tiszteletben tartása, valamint azt, hogy az érintettek jogai hatékonyak és érvényesíthetők-e, az EGT-n kívüli országban független adatvédelmi hatóság létezését és hatékony működését, valamint az ország vagy nemzetközi szervezet által vállalt nemzetközi kötelezettségvállalásokat.

Ha az Európai Bizottság úgy határoz, hogy az ország megfelelő szintű védelmet nyújt, és megfelelőségi határozatot fogad el, a személyes adatok továbbíthatók az adott nem-EGT-országban található másik vállalathoz vagy szervezethez anélkül, hogy az adatátadónak, azaz az adatokat továbbító szervezetnek további garanciákat kellene nyújtania, vagy a nemzetközi adattovábbítást további feltételekhez kellene kötnie. Más szóval, a „megfelelő” nem-EGT-országba irányuló adattovábbítás összehasonlítható lesz az EGT-n belüli adattovábbítással. Az Ön szervezetének azonban továbbra is meg kell felelnie a GDPR egyéb alapelveinek, amint azt fentebb kifejtettük.  

A megfelelőségi határozatok egy ország egészére vonatkozhatnak, vagy annak egy részére (azaz egy régióra) korlátozhatók. A megfelelőségi határozatok kiterjedhetnek az országba irányuló valamennyi adattovábbításra, vagy korlátozhatók bizonyos típusú adattovábbításokra (pl. egy ágazatban).

Az Európai Bizottság eddig megfelelőségi határozatokat fogadott el a következőkre vonatkozóan:

  • Andorra,
  • Argentína,
  • Kanada (kereskedelmi szervezetek),
  • Feröer-szigetek,
  • Guernsey,
  • Izrael,
  • Man-sziget,
  • Japán,
  • Jersey,
  • Új-Zéland,
  • Koreai Köztársaság,
  • Svájc,
  • Egyesült Királyság,
  • Egyesült Államok (az EU-USA adatvédelmi keretrendszerben részt vevő kereskedelmi szervezetek),
  • és Uruguay.

Az Európai Bizottság honlapján közzéteszi megfelelőségi határozatainak listáját.

Az adatátadók felelősek annak nyomon követéséért, hogy az adattovábbításukra vonatkozó megfelelőségi határozatok még hatályban vannak-e, és nincs-e folyamatban azok visszavonása vagy érvénytelenítése.

Kérjük, vegye figyelembe, hogy a megfelelőségi határozatok nem akadályozzák meg az egyéneket abban, hogy panaszt nyújtsanak be. Továbbá nem akadályozzák az adatvédelmi hatóságokat abban, hogy gyakorolják az általános adatvédelmi rendelet szerinti hatásköreiket.

Adattovábbítás megfelelő garanciák alapján

Megfelelőségi határozat hiányában is továbbíthatnak a szervezetek személyes adatokat , amennyiben megfelelő garanciák biztosíthatók a személyes adatokat fogadó szervezettel szemben. Ezen túlmenően az egyéneknek képesnek kell lenniük jogaik gyakorlására, és hatékony jogorvoslati lehetőségekkel kell rendelkezniük.

Az általános adatvédelmi rendelet 46. cikke felsorolja azokat a továbbítási eszközöket, amelyek „megfelelő garanciákat” tartalmaznak, amelyeket megfelelőségi határozatok hiányában a személyes adatok EGT-n kívüli országokba történő továbbítására használhatnak. Az általános adatvédelmi rendelet 46. cikke szerinti adattovábbítási eszközök fő típusai, amelyek a magánszervezetekre vonatkoznak, a következők:

  • Általános adatvédelmi feltételek (ÁSZF-ek);
  • Kötelező erejű vállalati szabályok (BCR);
  • Magatartási kódexek;
  • Tanúsítási mechanizmusok;
  • Ad hoc szerződéses kikötések.

Általános szerződési feltételek (ÁSZF)

Az általános szerződési feltételek olyan szabványosított szerződések sorozata, amelyek lehetővé teszik az adatátadók számára, hogy megfelelő biztosítékokat nyújtsanak. Ez egy olyan eszköz, amelyet gyakran alkalmaz sok szervezet. Az Európai Bizottság hatáskörrel rendelkezik arra, hogy az általános adatvédelmi rendelet 46. cikke (2) bekezdésének c) pontja értelmében a személyes adatok EGT-n kívüli országokba történő továbbítása tekintetében megfelelő biztosítékként fogadjon el ÁSZF-eket.

2021. június 4-én az Európai Bizottság végrehajtási határozatot fogadott el a személyes adatoknak az általános adatvédelmi rendelet szerinti, EGT-n kívüli országokba történő továbbítására vonatkozó általános szerződési feltételekről. Az Európai Bizottság egy sor általános szerződési feltételt is feltüntet a honlapján. Tudjon meg többet az általános szerződési feltételekről.

Az ÁSZF-ek különböző adattovábbítási forgatókönyveket és a modern adatkezelési láncok összetettségét kezelik. Az adatkezelők és az adatfeldolgozók az adattovábbítás sajátos körülményeitől függően több lehetőséget is igénybe vehetnek, többek között:

  • adatkezelőtől adatkezelőig (C2C);
  • adatkezelőtől adatfeldolgozóig (C2P);
  • adatfeldolgozótól-adatfeldolgozóig (P2P);
  • adatfeldolgozótól adatkezelőig (P2C), amikor az adatfeldolgozó az EU-ban, az adatkezelő pedig egy harmadik országban van.

Az általános szerződési feltételek egyéb fontos szempontjai a következők:

  • annak lehetősége, hogy kettőnél több fél is betartsa a feltételeket;
  • lehetőség – néhány kivételtől eltekintve – az ÁSZF használatára a személyes adatoknak egy EGT-n kívüli ország további adatfeldolgozója részére történő továbbítása során;
  • annak lehetősége, hogy az egyének – néhány kivételtől eltekintve – harmadik fél kedvezményezettként hivatkozzanak a feltételekre;
  • a felek közötti felelősségre vonatkozó szabályok abban az esetben, ha az egyének jogait megsértik;
  • Az egyének kártérítéshez való joga az elszenvedett kárért, ha harmadik fél kedvezményezettként fennálló jogait megsértették;
  • az "adattovábbítási hatásvizsgálat" elvégzésére vonatkozó követelmény, amely dokumentálja az adattovábbítás konkrét körülményeit, a célország jogszabályait és a személyes adatok védelme érdekében bevezetett további biztosítékokat;
  • hatóságoknak az átadott adatokhoz való hozzáférése esetén fennálló kötelezettségek, pl. az adatátadók tájékoztatása és a jogellenes megkeresések elutasítására vonatkozó kötelezettség.

Kötelező erejű vállalati szabályok (BCR)

A kötelező erejű vállalati szabályok (BCR) segítenek megfelelő szintű védelmet biztosítani az EGT-n belül és kívül található vállalatcsoportokon belül kicserélt adatok számára, és jobban megfelelnek egy olyan multinacionális vállalatcsoportnak, amely nagyszámú adattovábbítást végez.

A BCR-ek egy vállalatcsoport által elfogadott belső szabályok, amelyek meghatározzák a személyes adatok továbbítására vonatkozó globális szabályzatukat. Ezeknek a szabályoknak kötelező érvényűeknek kell lenniük, és a csoporthoz tartozó vállalkozásoknak tiszteletben kell tartaniuk őket, függetlenül a fogadó országuktól. Ezenkívül a személyes adataik kezelése tekintetében kifejezetten érvényesíthetőnek nyilvánított jogokat kell biztosítani az egyének számára.

A BCR illetékes adatvédelmi hatóság általi jóváhagyásához tiszteletben tartandó feltételeket az általános adatvédelmi rendelet 47. cikke sorolja fel, és azokat részletesebben kifejtik a 29. munkacsoport által elfogadott és az Európai Adatvédelmi Testület által támogatott ajánlások. A BCR-adatkezelők és a BCR adatfeldolgozók részére más készletet biztosítanak.

Magatartási kódexek

Az általános adatvédelmi rendelet bevezeti ezt az új, adattovábbítás esetén alkalmazható eszközt. Az egyes vállalatcsoportok által közvetlenül elkészíthető BCR-ekkel ellentétben a magatartási kódexek ágazati jellegűek, és a szervezetek kategóriáit képviselő szövetségek dolgozzák ki. Létre kell hozni a magatartási kódexnek való megfelelést ellenőrző akkreditált szervek rendszerét. Az Európai Adatvédelmi Testület kezdeményezte a magatartási kódexek illetékes hatóságok általi alkalmazásának és jóváhagyásának feltételeit. Emellett az Európai Adatvédelmi Testület feladata az is, hogy biztosítsa az ellenőrző szervek akkreditálására vonatkozó feltételek következetességét.

Tanúsítás

Az általános adatvédelmi rendelet bevezeti ezt az új eszközt a tanúsító szervek vagy az EGT adatvédelmi hatóságai által tanúsított szervezetek részére történő adattovábbításra.
Az Európai Adatvédelmi Testület iránymutatásokat fogadott el a tanúsítási mechanizmus bevezetésének feltételeire vonatkozóan. Ez az eszköz még fejlesztés alatt áll.
Az Európai Adatvédelmi Testület feladata továbbá a tanúsító szervek akkreditálására vonatkozó feltételek következetességének biztosítása.

Ad hoc szerződéses kikötések

Amennyiben az adatkezelők vagy adatfeldolgozók úgy döntenek, hogy nem alkalmazzák az Európai Bizottság általános szerződési feltételeit, kidolgozhatják saját szerződési feltételeiket („ad hoc” kikötések), amelyek elegendő adatvédelmi biztosítékokat nyújtanak. Az adattovábbítást megelőzően az illetékes nemzeti adatvédelmi hatóságnak az Európai Adatvédelmi Testület véleménye alapján engedélyeznie kell az ilyen eseti szerződési feltételeket az általános adatvédelmi rendelet 46. cikke (3) bekezdésének a) pontjával összhangban.

A Schrems II. ügyben hozott ítéletet követő kiegészítő intézkedések

A 2020. évi C-311/18. sz. Schrems II. ügyben hozott ítéletében az Európai Unió Bírósága (EUB) hangsúlyozta, hogy a személyes adatok EGT-n kívüli továbbítása során a szervezeteknek a megfelelő garanciák mellett kiegészítő intézkedéseket kell hozniuk. 

Az ÁSZF-ek és az általános adatvédelmi rendelet 46. cikkében említett egyéb adattovábbítási eszközök nem vákuumban működnek. Az EUB megállapította, hogy az exportőrként eljáró adatkezelők vagy adatfeldolgozók felelőssége esetről esetre ellenőrizni, hogy az EGT-n kívüli ország joga vagy gyakorlata – például az adatokhoz való hozzáférést előíró jogszabályok miatt – nem sérti-e az általános adatvédelmi rendelet 46. cikkében foglalt adattovábbítási eszközök hatékonyságát

Az Európai Adatvédelmi Testület ajánlásokat fogadott el annak érdekében, hogy segítse az exportőröket az adatokat fogadó országok értékelésének összetett feladatában, és szükség esetén a megfelelő kiegészítő intézkedések meghatározásában.

Adattovábbítás eltérések alapján

A megfelelőségi határozatok és az általános adatvédelmi rendelet 46. cikke szerinti adattovábbítási eszközök mellett az általános adatvédelmi rendelet tartalmaz egy harmadik lehetőséget is, amely lehetővé teszi a személyes adatok bizonyos helyzetekben történő továbbítását. Bizonyos feltételek mellett Ön ttovábbíthat személyes adatokat az általános adatvédelmi rendelet 49. cikkében felsorolt eltérés alapján is.

Az általános adatvédelmi rendelet 49. cikke kivételes jellegű. Az eltéréseket úgy kell értelmezni, hogy az ne legyen ellentétes az eltérések jellegével, mivel azok kivételt jelentenek azon szabály alól, amely szerint a személyes adatok nem továbbíthatók EGT-n kívüli országba, kivéve, ha ez az ország megfelelő szintű adatvédelmet biztosít, vagy pedig megfelelő garanciákat vezet be. Az eltérések a gyakorlatban nem válhatnak „szabállyá”, hanem konkrét helyzetekre kell korlátozódniuk.

Az általános adatvédelmi rendelet 49. cikke alapján adattovábbításra vagy adattovábbítások sorozatára akkor kerülhet sor, ha az adattovábbítás:

  • az egyén kifejezett hozzájárulásával történik;
  • az egyén és a szervezet közötti szerződés teljesítéséhez vagy az egyén kérésére a szerződéskötést megelőző lépésekhez szükségesek;
  • az adatkezelő és egy másik személy között az egyén érdekében kötött szerződés teljesítéséhez szükséges;
  • fontos közérdekből szükségesek;
  • jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükségesek;
  • az érintett személy vagy más személyek létfontosságú érdekeinek védelméhez szükségesek, amennyiben az egyén fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy
  • olyan nyilvántartásból történik, amely valamely EGT-ország nemzeti joga vagy az uniós jog értelmében a nyilvánosság tájékoztatására szolgál (és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető).

Az átadás szükségességének értékelése érdekében bizonyos „szükségességi vizsgálatot” kell lefolytatni. Ez a teszt megköveteli annak értékelését, hogy a személyes adatok továbbítása szükségesnek tekinthető-e a szóban forgó eltérés konkrét céljára.

Amennyiben a fenti eltérések egyike sem alkalmazható egy adott helyzetre, az adattovábbítás az adatkezelő kényszerítő erejű jogos érdekei miatt lehetséges.

Az ilyen adattovábbítás azonban csak akkor megengedett, ha a továbbítás:

  • nem ismétlődő (hasonló adattovábbítások nem rendszeresen történnek);
  • csak korlátozott számú személyre vonatkozó adatokat tartalmaz;
  • a szervezet kényszerítő erejű jogos érdekei miatt szükséges (feltéve, hogy ezeket az érdekeket az egyén érdekei nem írják felül);
  • a szervezet által a személyes adatok védelme érdekében (az adattovábbítás valamennyi körülményének értékelése alapján) bevezetett megfelelő garanciák hatálya alá tartoznak; és
  • közhatalmi jogosítványai gyakorlása során nem közhatalmi szerv végzi.

Ezekben az esetekben a szervezeteknek tájékoztatniuk kell az érintett adatvédelmi hatóságot az adattovábbításról, és az egyéneknek még további információkat is szolgáltatniuk kell.

Általában véve az eltéréseket csak végső eszközként szabad alkalmazni az adattovábbítás keretezésére – a szervezeteknek először meg kell vizsgálniuk, hogy nem lehet-e megfelelőségi határozatot vagymegfelelő garanciát alkalmazni.

Amikor az általános adatvédelmi rendelet 49. cikke szerinti eltérésekre támaszkodik, figyelembe kell vennie, hogy az adatokat továbbító szervezeteknek meg kell felelniük az általános adatvédelmi rendelet egyéb rendelkezéseinek is (jogalapjuk van az adatok közléséhez, biztonsági intézkedések végrehajtása, adatminimalizálás, szerződéskötés, ha a címzett adatfeldolgozó, stb.).