Az adatkezelési folyamatok tervezése kapcsán gyakran felmerül az igény arra, hogy a kezelt személyes adatokat harmadik országba továbbítsák (pl. ottani adatfeldolgozás céljából). Mi ilyenkor a teendő? Mikor kerülhet sor az adattovábbításra?
A GDPR viszonylag részletes szabályokat tartalmaz arra vonatkozóan, hogy milyen feltételek mellett továbbíthatók az adatok harmadik országokba (vagy nemzetközi szervezetek részére), hiszen ahogy a GDPR preambuluma is rögzíti (101): "A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára."
Mi minősül harmadik országnak, illetve nemzetközi szervezetnek a GDPR alapján?
Harmadik országnak lényegében az EGT tagállamain kívüli országok tekinthetők. Ebből következik, hogy az EU-n belüli adattovábbítás nem minősül harmadik országba (külföldre) történő adattovábbításnak, így az erre vonatkozó különös szabályok sem alkalmazandók.
Milyen jogalapon történhet a harmadik országba irányuló adattovábbítás?
A GDPR harmadik országokba történő adattovábbítására vonatkozó szabályai lépcsőzetesen egymásra épülnek. Az adattovábbítás kapcsán lényegében ezeken a lépcsőfokokon kell végighaladni, ameddig a megfelelő adattovábbítási jogalapra rá nem talál az adatkezelő.
1. lépcsőfok: Adattovábbítás megfelelőségi határozat alapján.
2. lépcsőfok: Ha a célország vonatkozásában a Bizottság nem fogadott el megfelelőségi határozatot, akkor az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a címzett adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújt az adatok kezelésével kapcsolatban. Ilyen megfelelő garanciák lehetnek - az illetékes felügyeleti hatóság külön engedélye nélkül - például:
- kötelező erejű vállalati szabályok (BCR) alkalmazása;
- a Bizottság által elfogadott általános adatvédelmi kikötések, illetve a a felügyeleti hatóság által elfogadott és a Bizottság által jóváhagyott általános adatvédelmi kikötések;
- jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat;
- jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.
(Köztes lépcsőfok, ha a megfelelő garanciákhoz az illetékes felügyeleti hatóság külön engedélye szükséges. Ilyen eset lehet például ha adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések tartalmazzák a megfelelő garanciákat és az illetékes hatóság a megfelelő eljárásban külön engedélyt ad az adattovábbításra.)
3. lépcsőfok: Megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR biztosítja az eltérés lehetőségét különös helyzetekben. Ilyen esetekben az alábbi feltételek valamelyikének teljesülése esetén történhet adattovábbítás:
- az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
- az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
- az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
- az adattovábbítás fontos közérdekből szükséges;
- az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
- az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
- a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.
4. lépcsőfok: Ha az adattovábbítás nem alapulhat megfelelőségi határozaton (1. lépcsőfok), nem állnak rendelkezésre megfelelő garanciák (2. lépcsőfok) és a különleges helyzetekre vonatkozó eltérések egyike sem alkalmazandó (3. lépcsőfok), akkor a harmadik országba történő adattovábbítás csak akkor történhet, ha
- az adattovábbítás nem ismétlődő,
- csak korlátozott számú érintettre vonatkozik,
- az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és
- az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.
Ilyen esetekben az adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelő az általános tájékoztatási kötelezettségen túlmenően, az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.
Mely országok esetében állnak rendelkezésre megfelelőségi határozatok?
Jelenleg (frissítve: 2021. december 27.) az alábbi harmadik országok tekintetében van hatályban elfogadott megfelelőségi határozat:
- Andorra
- Argentína
- Dél-Korea
- Egyesült Királyság
- Feröer Szigetek
- Guernsey
- Izrael
- Japán
- Jersey
- Kanada (nem minden adatkezelőre vonatkozik, lásd részletesebben itt)
- Man-sziget
- Svájc
- Uruguay
- Új Zéland
(A Bizottság vonatkozó határozatai elérhetők itt.)
Hogyan érinti a GDPR alkalmazandóvá válása a korábban hozott megfelelőségi határozatokat?
A Rendelet kifejezetten rendezi ezt a kérdést és kimondja, hogy a Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat a GDPR alapján elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. (Hírek szerint egyébként a Bizottság felülvizsgálja majd a korábban, a GDPR előtt elfogadott megfelelőségi határozatokat.)
Mely országok esetében kerülhet sor a közeljövőben megfelelőségi határozat elfogadására?
A következő ország, amely tekintetében a Bizottság megfelelőségi határozatot hozhat (akár már 2018 tavaszán) Japán lehet. Vĕra Jourová, a területért felelős uniós biztos pedig bejelentette azt is, hogy Dél-Koreával 2017 év végéig megkezdi az egyeztetéseket egy megfelelőségi határozat meghozatala érdekében. (Frissítés 2021. december 27.: időközben elfogadásra kerültek a Japánra és Dél-Koreára vonatkozó megfelelőségi határozatok is.)
Mi történik az Egyesült Királyság esetében a Brexit után?
A Brexitre tekintettel az Egyesült Királyság területére történő adattovábbítások tekintetében is szükséges lesz rendezni az adattovábbítás jogalapját. A gazdasági kapcsolatok szorossága miatt kiemelten fontos, hogy az adatáramlás továbbra is zökkenőmentes legyen. Brit oldalról a cél az lenne, hogy a Bizottság egy megfelelőségi határozatban ismerje el a védelem megfelelő szintjét az Egyesült Királyságban. Ugyanakkor ezzel kapcsolatban felmerülhetnek technikai nehézségek, hiszen ilyen határozat csak harmadik ország vonatkozásában fogadható el, az Egyesült Királyság viszont a Brexit pillanatáig nem tekinthető ilyennek. Januárban az Európai Bizottság is felhívta a figyelmet arra, hogy - amennyiben eltérő megállapodás nem születik addig a kérdésben -, akkor az Egyesült Királyságba, mint harmadik országba történő adattovábbítás jogszerű feltételeit meg kell teremtenie minden érintett adatkezelőnek. (Frissítés 2021. december 27.: időközben elfogadásra kerültek az Egyesült Királyságra vonatkozó megfelelőségi határozatok is, mind a GDPR, mind pedig a bűnügyi adatkezelési irányelv alapján.)