+36 52 530-642

Személyes adatok továbbítása harmadik országba?

2021. 24 okt. | Felhívások

Személyes adatok továbbítása harmadik országba?

Eddig sem volt egyszerű dolga azoknak a vállalkozásoknak, amelyek személyes adatokat továbbítottak harmadik országba, azaz az Európai Unió területén kívülre.

Különösen igaz ez azokra, akiknek vállalkozásaik az USA-ban lévő érdekeltségekkel rendelkeznek vagy oda köthetőek. Az Európai Unió különös figyelmet szentelt annak, hogy a megfelelő adatvédelmi szint biztosított legyen az Unió határán kívülre továbbított személyes adatok esetében. Az Európai Parlament és Tanács 95/46/ EK Irányelve (1995. október 24.) célként fogalmazta meg az egyének magánéletének magas szintű védelmét és a személyes adatok Európai Unión belüli szabad áramlását. Ezt a magas védelmi szintet az Európai Unió Alapjogi Chartája is deklarálta 2016-ban. Megszületett ugyanis a GDPR.

Az Egyesült Államok és az Európai Unió közötti személyes adatok áramlását a 2000-ben aláírt Safe Harbour igyekezett szabályozni. De ezt mindenféle botrányok után 2015-ben hatályon kívül helyezték és csak 2016. júliusában fogadták el Privacy Shield megállapodást.  Ennek célja volt, hogy a tömeges bűnüldözési és nemzetbiztonsági adatgyűjtési gyakorlatot keretek közé szorítsa. Megjelent a célhoz kötött adatkezelés és a szükséges, arányos adatgyűjtés elve.

Ez az egyezmény az EU-s állampolgároknak lehetőséget biztosított arra, hogy bírósághoz forduljanak, ha jogellenesen figyelték meg őket. De ezt is érvénytelenítették.

Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása akkor lehetséges, ha

  1. a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.
  2. a Bizottság által kidolgozott általános szerződési feltételek (SCC). A szabvány szerződési minta részletesen kitér az alapvető fogalmakra, jogokra, kötelezettségekre, jogorvoslati lehetőségekre, joghatóság megnevezésére. Az uniós tagállamok az általános szerződési feltételek által nyújtott biztosítékot kötelesek elfogadni, ugyanakkor az illetékes felügyeleti hatóságok felügyelik azok betartását. Ha a felek bármelyike megsérti az általános szerződési feltételeket, az adattovábbítást az illetékes felügyeleti hatóság felfüggesztheti vagy megtilthatja.
  3. a Binding Corporate Rules (BCR). Tekintettel arra, hogy több millió uniós állampolgár adatait kezelik multinacionális vállalatok, szükséges a vállalatcsoporton belüli adattovábbítás jogi alapjainak megteremtése. A Kötelező Vállalati Szabályozás a vállalaton belüli önszabályozás eszköze, amely az adott ország megfelelő szintű adatvédelmének hiányát hivatott pótolni. A BCR nem írhatja felül a nemzeti szabályozásokat, a létrejött egyoldalú kötelezettségvállalást az érintett felügyeleti hatóságok hagyják jóvá. A BCR kötelező tartalmi elemeit a GDPR 47. cikk (2) bekezdés a-n pont részletesen taglalja.
  4. a GDPR 49. cikk szerinti „maradványelv”, ez azonban csak szükség esetén jöhet szóba. Sor kerülhet külföldre történő adattovábbításra az adatvédelmi szempontból nem biztonságos országba az alábbi vagylagos esetekben:
    • az érintett kifejezett hozzájárulását adta,
    • az adattovábbítás szerződési kötelezettség teljesítéséhez szükséges,
    • az adattovábbításra fontos közérdekből kerül sor.

Tekintettel arra, hogy az illetékes szervek szerint nem minden harmadik ország biztonságos ország – adatvédelmi-adatbiztonsági szempontból – nem minden adatkezelő kötött BCR megállapodást, a legbiztonságosabb „megoldás” jelen pillanatban a SCC-k alkalmazása.

Az Unióban számos adatvédelmi hatóság arra ösztönzi az adatkezelőket, hogy a Bizottság által jóváhagyott SCC-ket alkalmazzák.  

Az Európai Bizottság 2021. június 4-én közzétette végleges határozatát, amely az Európai Unióból származó személyes adatok harmadik országokba történő továbbításához kapcsolódó sztenderd szerződési minták ismételt bevezetését írja elő. A végrehajtási határozat értelmében az új SCC-t akkor kell alkalmazni,

  • ha az adattovábbító félre a GDPR előírásai irányadók,
  • illetve, ha az adatokat továbbító nem rendelkezik az Európai Unióban székhellyel.

2021. szeptember 27-ét követően nem lehet alkalmazni a régi SCC mintákat. 

A 2021. szeptember 27-éig megkötött SCC-k esetében 2022. december 27-ig kell átállni az új biztonsági feltételeknek megfelelő SCC-re.