Jogszerű adattovábbítás a GDPR alapján


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR a piaci igényekre reagálva bővítette szabályozási spektrumát, ezzel segíti az adatkezelőket, hiszen megfelelőségi határozat hiányában a GDPR 46. cikke biztosít további lehetőségeket, amelyek alkalmazásával maguk az egyes adatkezelők érhetik el, hogy az adattovábbítás jogszerű legyen.

Gondolt már arra, hogy ha Törökországban nyaral, vagy Kínából rendel terméket, vagy képet tölt fel az Instagramra, akkor személyes adatait egészen biztosan harmadik országban működő adatkezelő vagy adatfeldolgozó fogja kezelni? Nyilván többségünk erre nem gondol, egészen addig, amíg nem a saját profilunkat törik fel, vagy amíg nem mi adatainkkal élnek vissza. Hogyan továbbíthatók személyes adataink jogszerűen harmadik országba? Miként biztosít garanciákat ehhez a GDPR? Cikkünkben ezen kérdésekre igyekszünk választ adni.

Ma már nem a távolság, vagy az országhatárok, és nem is a mennyiségi korlátok, hanem az eltérő jogrendszerek szabnak gátat a személyes adatok továbbításának. A GDPR-t megelőzően az Adatvédelmi Irányelv és a harmonizált jogi környezet ellenére is különböző tagállami szabályozások határozták meg az Európai Unió tagállamain belüli adatáramlás valamennyi részletét és a harmadik országba irányuló továbbítás szabályait is. Ekkor elterjedt volt a forum shoppinghoz hasonló jelenség, amely során egyes cégek a székhelyüket, szerverüket olyan tagállamba telepítették, ahol a tevékenységeik szempontjából a számukra legkedvezőbb szabályok hatálya alatt végezhették az adatkezelési tevékenységüket; és ezzel vissza is éltek.

Az előrelépést az Európai Bíróság – magyar vonatkozású – C-230/14. ügyben hozott ítélete hozta, amely szerint „egy külföldi államban regisztrált cég tevékenységére is alkalmazható a magyar jog, amennyiben tevékenysége magyarországi felhasználókra irányul …, a formális letelepedés nem nehezítheti meg az adatalanyok jogainak érvényesítését.” Megjegyzendő, hogy ekkor még nem a tagállamok léptek fel saját joghatóságuk megállapítása érdekében, hanem jellemzően az adatkezelő cégek fejezték ki aggályukat az iránt, hogy extraterritoriális hatású jognak kell megfelelniük, szerencsére sikertelenül.

Hazánk a GDPR jogalkotási eljárása során azt az álláspontot képviselte, hogy az új szabályozást a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, megakadályozva ezzel a forum shopping lehetőségét.

Ilyen előzmények után született meg a GDPR, amelynek új jogi eszközei formálisan továbbra is a területiség és a joghatóság elvére épülnek, azonban hatással vannak a harmadik országbeli adatkezelőkre és adatfeldolgozókra is, erős extraterritoriális hatást mutatva. Az olyan vállalkozáscsoport, amelynek az Európai Unió valamely tagállamában van a tevékenységi központja és egy vagy több tag-vállalkozása harmadik országban működik, például költséghatékonysági, vagy adóoptimalizálási szempontok miatt, és a vállalkozáscsoporton belül nagy mennyiségű személyes adatot továbbítanak rendszeresen, a harmadik országba irányuló adattovábbítás jogi kihívásaival néz szemben, mivel immár nem az adatkezelés helye a döntő kritérium, hanem az EU-s adatalany személye, ezért alkalmazni kell a GDPR-t.

A GDPR hatálya alatt ugyanis nem az a kérdés, hogy ki és hol kezel személyes adatot, hanem az, hogy kinek a személyes adatát kezeli, és az érintett adatalany uniós polgár-e illetve, hogy az EU területén tartózkodik-e az adatgyűjtéskor. Abban az esetben pedig, ha uniós polgár adatát kezelik, vagy az érintett személy az adatgyűjtéskor az EU területén tartózkodik, a forum shopping alkalmazása már nem segít és a GDPR alkalmazása kötelező.

Bár a GDPR 4. cikk 23. pontja meghatározza a személyes adatok határokon átnyúló adatkezelésének fogalmát, az ott szereplő szabály valójában az Európai Unió különböző tagállamaiban végzett, tehát EU-n belüli adatkezelésekre vonatkozik, amelyet a GDPR megfelelően biztosít. Az adattovábbítás fogalma helyesen a harmadik országokba, harmadik országon belüli területekre és meghatározott ágazatoknak vagy nemzetközi szervezetek részére történő adattovábbítást jelent, amelyet a 44. cikk szabályoz.

Eszerint olyan személyes adatok továbbítására, amelyeket – EU-n kívüli – harmadik országba, vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá, csak abban az esetben kerülhet sor, ha az adatkezelő és az adatfeldolgozó teljesíti az előírt feltételeket és garantálja a megfelelő védelmet.

Azzal a téves közvélekedéssel ellentétben tehát, hogy tilos harmadik országba személyes adatot továbbítani, az állítás úgy helyes, hogy az általános továbbítási tilalom – a GDPR 49. cikk (1) bekezdésben rögzített kivételektől eltekintve – a megfelelő védelmi szintet biztosítani nem tudó harmadik országok irányában áll fenn. Ezen szabályok mellett hogyan továbbíthatók mégis személyes adatok jogszerűen harmadik országba?

A megfelelő védelmi szint biztosításának a legalapvetőbb formája a megfelelőségi határozat, amelyet az Európai Bizottság hoz meg. Ez a határozat igazolja, hogy az adott harmadik országban az érintettet megfelelő jogok illetik meg, az adatkezelőket megfelelő kötelezettségek terhelik és hatékony jogvédelmi mechanizmus érvényesül a személyes adatok az európai unióssal azonos szintű védelme érdekében. A GDPR 45. cikk (3) bekezdés azt a gyakorlati tapasztalaton alapuló szigorítást vezeti be, amely értelmében rendszeresen, legalább négyévente felülvizsgálatot kell végezni az egyes harmadik országokról szóló megfelelőségi határozatok vonatkozásában, amely szabályozás megelőzheti a Schrems-ügy következtében kialakult helyzeteket, amelynek kritikus pontjairól korábbi cikkünkben írtunk.

A GDPR a piaci igényekre reagálva bővítette szabályozási spektrumát, ezzel segíti az adatkezelőket, hiszen megfelelőségi határozat hiányában a GDPR 46. cikke biztosít további lehetőségeket, amelyek alkalmazásával maguk az egyes adatkezelők érhetik el, hogy az adattovábbítás jogszerű legyen: alkalmazhatnak ún. kötelező erejű vállalati szabályokat (Binding Corporate Rules, BCR), beilleszthetnek szerződéseikbe a Bizottság által elfogadott általános adatvédelmi kikötéseket, magatartási kódexnek, vagy tanúsítási mechanizmusnak vethetik alá tevékenységüket. Fontos kiemelni, hogy ekkor nem a harmadik ország minősül megfelelőnek, hanem csak az a bizonyos adattovábbítási művelet, vagy az utóbbi esetekben az adott adatkezelő, amely az adott garanciát alkalmazza.

A cégeknek előnyt jelent, hogy a számukra legalkalmasabb eszközt alkalmazhatják, így amíg korábban jellemzően az érintett kifejezett hozzájárulására hivatkoztak, vagy a Bizottság által jóváhagyott adatvédelmi kikötéseket alkalmazták, ez most megváltozni látszik. A kétlépcsős folyamat során az adatkezelőknek elsősorban a GDPR 5-6. cikkében foglaltakra kell figyelemmel lenniük, azaz a megfelelő jogalap megválasztása mellett kell a 46. cikk szerinti garanciát felépíteni. A garanciák között jellemzően ön- és társszabályozás jellegű megoldásokat találunk, ezzel az adatkezelői tudatosságot hangsúlyozza a jogalkotó.

Tételes jogi előzmény nélkül, de számos soft law jellegű iránymutatásra és a piaci igényekre alapozottan kapott kiemelt szerepet e körben a BCR jogintézménye, amely egy olyan magatartási-kódex, amely alkalmazása esetén a nemzeti adatvédelmi hatóságok által jóváhagyott módon történik az adattovábbítás a harmadik országban működő vállalkozáscsoport-tag részére, további mennyiségi vagy jogi korlátozás, az érintett kifejezett hozzájárulása és más hatósági adminisztratív kötelezettség nélkül.

Hamarosan megjelenő cikkünkben a BCR-t, tehát a kötelező erejű vállalati szabályokat, mint az adatvédelmi jog újítását mutatjuk be.


Kapcsolódó cikkek

2021. szeptember 23.

AB: alaptörvény-ellenes a konfiskáló jellegű telekadó

Az Alkotmánybíróság alaptörvény-ellenesnek nyilvánította, megsemmisítette és elrendelte az alkalmazási tilalmát az Újszentiván Község Önkormányzat Képviselő-testületének a helyi adókról szóló 17/2015. (XI. 30.) önkormányzati rendelete 6. § (2) bekezdésének „a II. körzetben: 240,- Ft/m2” szövegrészét.

2021. szeptember 22.

Első Magyar Jogi Könyvszalon – élmények a stand másik oldaláról

2021. szeptember 18-án az impozáns Károlyi-Csekonics-palota adott otthont a Magyar Jogász Egylet és az Alkotmánybíróság közös szervezésében francia mintára megrendezett Első Magyar Jogi Könyvszalonnak, a hazai jogi szakirodalom nagyszabású seregszemléjének. A Wolters Kluwer Hungary Kft. is képviseltette magát az eseményen – így láttuk e napot belülről.

2021. szeptember 22.

Az ajánlatok és a részvételi jelentkezések összeállítására irányadó követelmények – 1. rész

A Wolters Kluwer Hungary gondozásában, dr. Dezső Attila szerkesztésében megjelenő, Nagykommentár a közbeszerzési törvényhez című könyv a korábbi kommentár jelentősen átdolgozott és kibővített változata. A könyv célja, hogy részletesen és teljeskörűen feldolgozza a közbeszerzési törvény szabályozását és fogalomrendszerét a Kbt. és a kapcsolódó jogszabályok közötti összefüggésekre is kitérve, valamint kimerítő jelleggel bemutassa az elmúlt időszak joggyakorlatát, nagy hangsúlyt fektetve nemcsak a hazai döntőbizottsági és bírósági, hanem az uniós jogalkalmazói gyakorlatra is.