GDPR útmutató

Tanácsadás ◆ Audit ◆ KKV támogatás ◆ DPO képzés ◆ Kamarai programok ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

Adatátadás az Európai Unión kívülre

Különleges esetről beszélünk, amikor az adatok elhagyják az Uniót, illetve egészen pontosan az Európai Gazdasági Térséget (EGT-ét). Ilyenkor, mivel a rendelet európai törvény, a külső adatfeldolgozóink vagy közös adatkezelőink nem tartoznak a GDPR hatálya alá, de mégis, valamilyen módon gondoskodnunk kell róla, hogy az adatok továbbra is megkapják a GDPR által megkövetelt védelmet [1].

Útmutatónkban mélységeiben nem tárgyaljuk ezt a speciális esetet, de ebben a fejezetben átnézzük a legfontosabb tudnivalókat.

Amikor az adatokat ilyen módon exportáljuk, az adatkezelőnek a következő lehetőségei vannak, hogy az adatkezelés az EGT-ét elhagyva is GDPR-nak megfelelő maradjon az adatkezelés. Ezek mindegyikét kifejtjük a későbbiekben:

Megfelelőségi határozat

A megfelelőségi határozat kapcsán nagyon egyszerű dolgunk van, mert ez Európai Bizottság egész egyszerűen közzétette azon országok listáját, ahol az adatvédelmi és magánéleti rendelkezések a GDPR-ral azonos szinten vannak. A felsorolt országokba minden további nélkül küldhetjük adatainkat [2].

Jelen cikk írásakor (2020 augusztus) a következő országok szerepeltek ezen a listán: Andorra, Argentína, Kanada, Feröer szigetek, Guernsey, Izrael, Man, Japán, Jersey Bailiffség, Új-Zéland, Svájc, Uruguay.

Megfelelő garanciák

Vannak különféle garanciális instrumentumok, amelyek alkalmasak lehetnek arra, hogy rendeletileg elfogadható módon küldjük az EGT-én kívülre az adatokat.

A legáltalánosabb a szerződési feltételek [3] (leggyakrabban: SCC – Standard Contractual Clauses), amely a 2010/87/EU döntés értelmében is megfelelő védelmet adnak. Ezek a szerződések a közös adatkezelők vagy adatkezelő-adatfeldolgozó között születnek, amelyben az EGT-én kívüli fél erőteljes garanciákat vállal az adatok védelme és a magánélet tiszteletbe tartása kapcsán. Az említett döntés tartalmazza a szerződéshez használható mintát.

Egy másik garancia lehet az úgynevezett „kötelező erejű vállalati szabályok” [4]. Ezt általában multinacionális cégcsoportok készítik, a szabályokban jogilag kötelező erejű rendelkezéseket hoznak, amelyek érvényesek a cégcsoport EGT-én kívüli alkalmazottaira és cégeire is. Ezeket a szabályokat itt nem mutatjuk be, elkészítésük túlmutat az útmutató céljain.

Szintén garanciaként jelenhetnek meg azok a tanúsítványok, amelyek az EGT-én kívüli adatkezelő adatvédelmi gyakorlatát GDPR kompatibilitás szempontjából minősíti és megfelelő kényszerítő erővel rendelkezik [5]. Ilyen volt például a Privacy Shield, de ezt nemrégiben tulajdonképpen érvénytelenítették. Erről több olvasható a lejjebb található Egyesült Államokkal kapcsolatos résznél.

Kivételes adatkezelések

Ha sem megfelelőségi határozat nem kedvez nekünk, sem a megfelelő garanciák nem állnak rendelkezésre, akkor még van néhány kivételes eset, amely engedélyezheti az EGT-én kívüli adattovábbítást.

Az egyik leggyakoribb ilyen, amikor hozzájárulást kérünk az érintettől [6]. Bár misem tűnhet egyszerűbbnek, mint hozzájárulást beszereznünk, két dolgot figyelembe kell vennünk. Egyrészt a rendelet ezt kivételként engedélyezi, amennyiben lehetséges, az előző részekben tárgyalt megoldásokra kell támaszkodnunk. Másrészt a rendelet megköveteli, hogy az érintett „informált” döntést hozzon, azaz képes legyen felmérni, hogy hozzájárulása milyen kockázatokkal jár. Esetenként ennek felmérése a magánszemély kompetenciáját meghaladja, ezért a hozzájárulás is semmis lehet, amikor nem jól érzékelhető kockázatnak tesszük ki az adatalanyokat. Ilyen például az Egyesült Államokban történő adattovábbítás, amiről rövid leírás lejjebb olvasható.

Ugyancsak gyakori kivétel lehet, ha az adattovábbítás a szerződés teljesítéséhez szükséges [7]. Például, utazásszervezők vagyunk és a megrendelő részére hotelszobát foglalunk az EGT-én kívül. Ilyenkor elfogadható, hogy a szükséges adatokat ennek a bizonyos hotelnek átküldjük, de ezek az adatátadások csak alkalomszerűek lehetnek.

Kivétel lehet még az adatkezelő „kényszerítő erejű jogos érdeke” [8], amely a jogos érdekhez hasonlóan felülbírálja az érintettek érdekeit és alapvető szabadságjogait. Az általános jogos érdeknél olvasható módon tudnunk kell bizonyítani, hogy ez a kényszerítő erejű jogos érdek fenn áll és erősebb az érintett magánszemélyek adatvédelmi jogainál. Továbbá, az adatátadásról értesítenünk kell mind az érintetteket, mind a hatóságot is.

Még egyszer emlékeztetjük a kedves olvasót, hogy a kivételes adatkezelések hangsúlyozottan az utolsók a lehetőségek sorában. Mindegyik felsorolt változata valamilyen módon korlátozott. A hozzájárulás az informált döntés miatt, a szerződés teljesítés a nem rendszeres adatátadás miatt, a kényszerítő erejű jogos érdek pedig a bizonyíthatóság miatt.

A kivételes adatkezelésnek még vannak további fajtái (pl. jogérvényesítés, közérdek), de ezen speciális esetek tárgyalása nem témája útmutatónknak.

Adattovábbítás az Amerikai Egyesült Államokban székelő adatkezelőnek vagy feldolgozónak

Ebben a részben az USA különleges helyzetét tárgyaljuk és egyúttal rávilágítunk egy potenciális problémára a nemzetközi adatkezelések kapcsán.

A korábbi helyzet az volt, hogy a megfelelő szerződési feltételek (Standard Contractual Clauses) és a Privacy Shield minősítések elégségesek voltak ahhoz, hogy GDPR kompatibilisnek tekintsük az Egyesült Államok felé történő adatátadást. Ez megváltozott az Európai Bíróság úgynevezett „Schremms II” döntésével (C-3111/18), amely egyrészt elégtelennek találta a Privacy Shield tanúsítványokat, másrészt, ország specifikus adatvédelmi eltéréseket talált.

A probléma lényege, hogy az amerikai cégeknél hiába vannak jelen a megfelelő szerződési feltételek, vállalati szabályok vagy tanúsítványok, az amerikai törvények (FISA 702, EO 12.333) szinte korlátlan adathozzáférést adnak a megfelelő kormányügynökségeknek az „elektronikus kommunikáció szolgáltatók” rendszereihez. Ez nem összeegyeztethető a GDPR normáival, ezért a döntés óta sok adatátadás az Egyesült Államok felé nem tekinthető legálisnak.

Ez a fejlemény rávilágít arra, hogy az adatkezelőnek mindig vizsgálnia kell, hogy a célország törvényei milyen hatással vannak az adatkezelésre. (Ez igaz más nem EGT országokra is, nem csak az Egyesült Államok esetén kell ezt vizsgálnunk.)

A döntés hatására átalakuló gyakorlati megfontolások még csak most alakulnak ki (2020 augusztus), ezért ennél többet itt ezzel a kérdéssel nem foglalkozunk, általában véve javasoljuk, hogy az EGT-én kívüli adattovábbítás esetén feltétlenül konzultáljon szakértővel.

Referenciák

[1] GDPR 44.: Az adattovábbításra vonatkozó általános elv - Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

[2] GDPR 45/1.: Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

[3] GDPR 46/3.: Az illetékes felügyeleti hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak: a) az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; ...

[4] GDPR 46/2.: A felügyeleti hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik: ... b) a 47. cikk szerinti kötelező erejű vállalati szabályok; ...

[5] GDPR 46/2.: A felügyeleti hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik: ... f) a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is. ...

[6] GDPR 49/1.: A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
a) az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról; ...

[7] GDPR 49/1.: ... b) az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; ...

[8] GDPR 49/1.: ... Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező erejű vállalati szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.