Jogszerű adattovábbítás a GDPR alapján


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR a piaci igényekre reagálva bővítette szabályozási spektrumát, ezzel segíti az adatkezelőket, hiszen megfelelőségi határozat hiányában a GDPR 46. cikke biztosít további lehetőségeket, amelyek alkalmazásával maguk az egyes adatkezelők érhetik el, hogy az adattovábbítás jogszerű legyen.

Gondolt már arra, hogy ha Törökországban nyaral, vagy Kínából rendel terméket, vagy képet tölt fel az Instagramra, akkor személyes adatait egészen biztosan harmadik országban működő adatkezelő vagy adatfeldolgozó fogja kezelni? Nyilván többségünk erre nem gondol, egészen addig, amíg nem a saját profilunkat törik fel, vagy amíg nem mi adatainkkal élnek vissza. Hogyan továbbíthatók személyes adataink jogszerűen harmadik országba? Miként biztosít garanciákat ehhez a GDPR? Cikkünkben ezen kérdésekre igyekszünk választ adni.

Ma már nem a távolság, vagy az országhatárok, és nem is a mennyiségi korlátok, hanem az eltérő jogrendszerek szabnak gátat a személyes adatok továbbításának. A GDPR-t megelőzően az Adatvédelmi Irányelv és a harmonizált jogi környezet ellenére is különböző tagállami szabályozások határozták meg az Európai Unió tagállamain belüli adatáramlás valamennyi részletét és a harmadik országba irányuló továbbítás szabályait is. Ekkor elterjedt volt a forum shoppinghoz hasonló jelenség, amely során egyes cégek a székhelyüket, szerverüket olyan tagállamba telepítették, ahol a tevékenységeik szempontjából a számukra legkedvezőbb szabályok hatálya alatt végezhették az adatkezelési tevékenységüket; és ezzel vissza is éltek.

Az előrelépést az Európai Bíróság – magyar vonatkozású – C-230/14. ügyben hozott ítélete hozta, amely szerint „egy külföldi államban regisztrált cég tevékenységére is alkalmazható a magyar jog, amennyiben tevékenysége magyarországi felhasználókra irányul …, a formális letelepedés nem nehezítheti meg az adatalanyok jogainak érvényesítését.” Megjegyzendő, hogy ekkor még nem a tagállamok léptek fel saját joghatóságuk megállapítása érdekében, hanem jellemzően az adatkezelő cégek fejezték ki aggályukat az iránt, hogy extraterritoriális hatású jognak kell megfelelniük, szerencsére sikertelenül.

Hazánk a GDPR jogalkotási eljárása során azt az álláspontot képviselte, hogy az új szabályozást a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, megakadályozva ezzel a forum shopping lehetőségét.

Ilyen előzmények után született meg a GDPR, amelynek új jogi eszközei formálisan továbbra is a területiség és a joghatóság elvére épülnek, azonban hatással vannak a harmadik országbeli adatkezelőkre és adatfeldolgozókra is, erős extraterritoriális hatást mutatva. Az olyan vállalkozáscsoport, amelynek az Európai Unió valamely tagállamában van a tevékenységi központja és egy vagy több tag-vállalkozása harmadik országban működik, például költséghatékonysági, vagy adóoptimalizálási szempontok miatt, és a vállalkozáscsoporton belül nagy mennyiségű személyes adatot továbbítanak rendszeresen, a harmadik országba irányuló adattovábbítás jogi kihívásaival néz szemben, mivel immár nem az adatkezelés helye a döntő kritérium, hanem az EU-s adatalany személye, ezért alkalmazni kell a GDPR-t.

A GDPR hatálya alatt ugyanis nem az a kérdés, hogy ki és hol kezel személyes adatot, hanem az, hogy kinek a személyes adatát kezeli, és az érintett adatalany uniós polgár-e illetve, hogy az EU területén tartózkodik-e az adatgyűjtéskor. Abban az esetben pedig, ha uniós polgár adatát kezelik, vagy az érintett személy az adatgyűjtéskor az EU területén tartózkodik, a forum shopping alkalmazása már nem segít és a GDPR alkalmazása kötelező.

Bár a GDPR 4. cikk 23. pontja meghatározza a személyes adatok határokon átnyúló adatkezelésének fogalmát, az ott szereplő szabály valójában az Európai Unió különböző tagállamaiban végzett, tehát EU-n belüli adatkezelésekre vonatkozik, amelyet a GDPR megfelelően biztosít. Az adattovábbítás fogalma helyesen a harmadik országokba, harmadik országon belüli területekre és meghatározott ágazatoknak vagy nemzetközi szervezetek részére történő adattovábbítást jelent, amelyet a 44. cikk szabályoz.

Eszerint olyan személyes adatok továbbítására, amelyeket – EU-n kívüli – harmadik országba, vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá, csak abban az esetben kerülhet sor, ha az adatkezelő és az adatfeldolgozó teljesíti az előírt feltételeket és garantálja a megfelelő védelmet.

Azzal a téves közvélekedéssel ellentétben tehát, hogy tilos harmadik országba személyes adatot továbbítani, az állítás úgy helyes, hogy az általános továbbítási tilalom – a GDPR 49. cikk (1) bekezdésben rögzített kivételektől eltekintve – a megfelelő védelmi szintet biztosítani nem tudó harmadik országok irányában áll fenn. Ezen szabályok mellett hogyan továbbíthatók mégis személyes adatok jogszerűen harmadik országba?

A megfelelő védelmi szint biztosításának a legalapvetőbb formája a megfelelőségi határozat, amelyet az Európai Bizottság hoz meg. Ez a határozat igazolja, hogy az adott harmadik országban az érintettet megfelelő jogok illetik meg, az adatkezelőket megfelelő kötelezettségek terhelik és hatékony jogvédelmi mechanizmus érvényesül a személyes adatok az európai unióssal azonos szintű védelme érdekében. A GDPR 45. cikk (3) bekezdés azt a gyakorlati tapasztalaton alapuló szigorítást vezeti be, amely értelmében rendszeresen, legalább négyévente felülvizsgálatot kell végezni az egyes harmadik országokról szóló megfelelőségi határozatok vonatkozásában, amely szabályozás megelőzheti a Schrems-ügy következtében kialakult helyzeteket, amelynek kritikus pontjairól korábbi cikkünkben írtunk.

A GDPR a piaci igényekre reagálva bővítette szabályozási spektrumát, ezzel segíti az adatkezelőket, hiszen megfelelőségi határozat hiányában a GDPR 46. cikke biztosít további lehetőségeket, amelyek alkalmazásával maguk az egyes adatkezelők érhetik el, hogy az adattovábbítás jogszerű legyen: alkalmazhatnak ún. kötelező erejű vállalati szabályokat (Binding Corporate Rules, BCR), beilleszthetnek szerződéseikbe a Bizottság által elfogadott általános adatvédelmi kikötéseket, magatartási kódexnek, vagy tanúsítási mechanizmusnak vethetik alá tevékenységüket. Fontos kiemelni, hogy ekkor nem a harmadik ország minősül megfelelőnek, hanem csak az a bizonyos adattovábbítási művelet, vagy az utóbbi esetekben az adott adatkezelő, amely az adott garanciát alkalmazza.

A cégeknek előnyt jelent, hogy a számukra legalkalmasabb eszközt alkalmazhatják, így amíg korábban jellemzően az érintett kifejezett hozzájárulására hivatkoztak, vagy a Bizottság által jóváhagyott adatvédelmi kikötéseket alkalmazták, ez most megváltozni látszik. A kétlépcsős folyamat során az adatkezelőknek elsősorban a GDPR 5-6. cikkében foglaltakra kell figyelemmel lenniük, azaz a megfelelő jogalap megválasztása mellett kell a 46. cikk szerinti garanciát felépíteni. A garanciák között jellemzően ön- és társszabályozás jellegű megoldásokat találunk, ezzel az adatkezelői tudatosságot hangsúlyozza a jogalkotó.

Tételes jogi előzmény nélkül, de számos soft law jellegű iránymutatásra és a piaci igényekre alapozottan kapott kiemelt szerepet e körben a BCR jogintézménye, amely egy olyan magatartási-kódex, amely alkalmazása esetén a nemzeti adatvédelmi hatóságok által jóváhagyott módon történik az adattovábbítás a harmadik országban működő vállalkozáscsoport-tag részére, további mennyiségi vagy jogi korlátozás, az érintett kifejezett hozzájárulása és más hatósági adminisztratív kötelezettség nélkül.

Hamarosan megjelenő cikkünkben a BCR-t, tehát a kötelező erejű vállalati szabályokat, mint az adatvédelmi jog újítását mutatjuk be.


Kapcsolódó cikkek

2024. november 19.

Több mint sportjog

A legendás professzorra emlékeztek a VI. Sárközy Tamás Sportjogi Konferencián.