GDPR

Adatvédelem mindenkinek / Data protection for everyone

A Bizottság által elfogadott új általános adatvédelmi kikötések és általános szerződési feltételek

2021. június 07. 11:30 - poklaszlo

A Bizottság közzétette az új általános adatvédelmi kikötések (GDPR 46. cikk (1) bek. c) pont) és általános szerződési feltételek (GDPR 28. cikk (7) bek.) véglegesített változatait. A végleges dokumentumok és a kapcsolódó bizottsági határozat várhatóan rövidesen megjelennek az EU Hivatalos Lapjában, és a megjelenéstől számított 20. napon hatályba is lépnek. 

Frissítés (2021.06.08.): Tegnap megjelentek a végrehajtási határozatok és az adatvédelmi kikötések, illetve általános szerződési feltételek az EU Hivatalos Lapjában is (elérhetők magyar nyelven: általános adatvédelmi kikötések nemzetközi adattovábbításhoz; általános szerződési feltételek adatkezelők és adatfeldolgozók között).  

Mire vonatkoznak a most közzétett dokumentumok?

A nagyobb visszhangot az EU-n kívüli adattovábbításokat lehetővé tévő dokumentumcsomag váltotta ki, mivel a Schrems II. ítéletet követően a harmadik országba történő adattovábbítások során a megfelelő garanciák biztosításának a kérdése komoly figyelmet kapott. Ráadásul a Bizottság által korábban elfogadott általános adatvédelmi kikötések még bőven a 95/46/EK irányelv alapján születtek, így eleve érett ezek felülvizsgálata és a GDPR alapján elfogadott új kikötésekkel való felváltása. Az általános adatvédelmi kikötések szerepe, hogy a GDPR 46. cikk (1) bekezdés c) pontja alapján a harmadik országba történő adattovábbítás alapjául szolgálhat. Persze ez nem csupán formális, a dokumentum egyszerű kitöltésével járó aktus, hanem a megfelelő garanciák érdemi megvizsgálását igényli, ugyanakkor az új dokumentumok alkalmasak lehetnek arra, hogy az elmúlt években tapasztalt számos változás (beleértve a jogi környezet alakulását, a technológiai változásokat, az adatkezelési struktúrák összetettebbé válását, stb.) mellett segítsék az adattovábbítások biztonságának megteremtését. Különösen fontos az új, moduláris megközelítés, mivel így egy dokumentum alakítható annak megfelelően, hogy milyen pozícióban lévő felek között történik az adattovábbítás (modul 1: adatkezelő-adatkezelő, modul 2: adatkezelő-adatfeldolgozó, modul 3: adatfeldolgozó-adatfeldolgozó, modul 4: adatfeldolgozó-adatkezelő).  

A másik dokumentumcsomag a GDPR 28. cikk (7) bekezdése alapján az adatkezelő és adatfeldolgozó közötti - a GDPR 28. cikk (3) és (4) bekezdésének megfelelő - szerződések megkötéséhez nyújt segítséget. Ez különösen hasznos lehet a KKV-k számára is, mivel ezen szerződésminta alkalmazása esetén a Rendeletnek való megfelelés igazolása egyszerűbb lehet, illetve megkönnyítheti a partnerekkel való egyeztetést, hiszen egy előre meghatározott, a Bizottság által jóváhagyott és - azon pontok kivételével, ahol a feleknek több opció lehetősége biztosított, amelyből választhatnak, illetve ahol a konkrét adatkezelésre vonatkozó tartalommal kell feltölteni (lásd a 2.cikket) - eltérést nem engedő dokumentumról van szó.     

Mikortól alkalmazhatók ezek a dokumentumok és mi lesz a korábban megkötött szerződésekkel?

Mindkét dokumentumcsomag kapcsán az EU Hivatalos Lapjában történő közzétételt követő 20. napon kerül sor a hatályba lépésre. Frissítés (2021.06.08.): Az EU Hivatalos Lapjában 2021. június 7-én jelentek meg a dokumentumok, így a hatályba lépés napja 2021. június 27-e lesz. 

Természetesen a 28. cikk (7) bekezdése szerinti, adatkezelő és adatfeldolgozó közötti általános szerződési feltételek alkalmazása teljesen opcionális, a szerződő felek döntésén múlik, hogy a kettejük szerződésének a részévé teszik-e ezt vagy maguk alkotnak a GDPR 28. cikk (3) és (4) bekezdésének megfelelő egyedi szerződést (esetleg valamely adatvédelmi hatóság által, a GDPR 28. cikk (8) bekezdése alapján kiadott általános szerződési feltételeket használják - lásd pl. a dán hatóság által jóváhagyott általános szerződési feltételeket, amely az EU valamennyi hivatalos nyelvén, így magyar nyelven is elérhető; erről itt írtam korábban).    

Az adattovábbítások alapjául szolgáló általános adatvédelmi kikötések (GDPR 46. cikk (1) bek. c) pont) esetében némileg eltérő a helyzet. Amennyiben ugyanis ilyen kikötésekre kívánják a felek alapozni az adattovábbítást, akkor ezt alkalmazniuk kell, így - a hatályba lépést követően - az új szerződéseket már így kell megkötni. A korábban kötött szerződések esetében a végrehajtási határozat egy 18 hónapos átmeneti időt biztosít, amely alatt a korábbi kikötések felválthatók az újjal. (A 18 hónapos átmeneti idő 2022. december 27-én jár le.) Éppen ezért a szerződések esetleges módosítása során érdemes ügyelni arra is, hogy az új adatvédelmi kikötések megkötésre kerüljenek. Ha a 18 hónapos átmeneti idő alatt nincs egyébként módosítás, akkor - amennyiben a felek az adattovábbítást továbbra is általános adatvédelmi kikötésre kívánják alapozni a GDPR 46. cikk (1) bekezdés c) pontja alapján - külön gondoskodniuk kell a régi adatvédelmi kikötések új általános adatvédelmi kikötésekkel történő felváltásáról.   

Szólj hozzá!
Címkék: portfolioblogger adattovábbítás adatfeldolgozó Európai Unió Dánia Európai Bizottság KKV HU Rendelet általános szerződési feltételek

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3016583478

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása