A GDPR egyik fontos újdonsága, hogy a területi hatálya - bizonyos feltételeke teljesülése esetén kiterjed - az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett adatkezelésre is (lásd 3. cikk (2) bekezdés). Az ún. extraterritoriális hatály hivatott biztosítani, hogy az adatok védelmére vonatkozó szabályok alkalmazása alól ne maradjanak ki azok az adatkezelők vagy adatfeldolgozók sem, amelyek az EU-ban ugyan nem telepednek le, de az uniós polgárokat érintően adatkezelési tevékenységet végeznek. Hasonló célt szolgálnak a GDPR nemzetközi adattovábbításra vonatkozó rendelkezései (GDPR V. fejezet), amely azon esetekre alkalmazandó, amikor az adatok harmadik országba vagy nemzetközi szervezet részére kerülnek továbbításra és erre tekintettel kell az adatok megfelelő szintű védelmét biztosítani.
A gyakorlatban azonban kérdéseket vet fel, hogy a GDPR területi hatályára vonatkozó szabályok (különösen az extraterritoriális hatály) és a nemzetközi adattovábbítás során alkalmazandó rendelkezések miként viszonyulnak egymáshoz. A gyakorlatban felmerülő jogértelmezési bizonytalanságok eloszlatásában segíthet az Európai Adatvédelmi Testület frissen - egyelőre véleményezhető tervezeti formában - közzétett iránymutatása, amely a GDPR 3. cikke (területi hatály) és V. fejezete (nemzetközi adattovábbítás) közötti kapcsolatot és kölcsönhatást elemzi.
Az iránymutatás leszögezi, hogy "a GDPR V. fejezetének rendelkezései arra szolgálnak, hogy kompenzálják azokat a kockázatokat és kiegészítsék a GDPR 3. cikkében meghatározott területi hatályra vonatkozó szabályait, amikor a személyes adatok az EU-n kívülre kerülnek továbbításra" (lásd iránymutatás 3. pont, 4. o.).
1. Mikor beszélhetünk a GDPR alapján harmadik országba vagy nemzetközi szervezet felé irányuló adattovábbításról?
Tekintettel arra, hogy a GDPR nem definiálja a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás fogalmát, így az iránymutatás mindenek előtt ennek a kritériumait veszi számba. Ahhoz, hogy egy adattovábbítás harmadik országba vagy nemzetközi szervezet felé irányuló adattovábbításnak minősüljön, az alábbi három feltételnek együttesen kell teljesülnie:
- az adattovábbítást végző adatkezelő vagy adatfeldolgozó az érintett adatkezelés tekintetében a GDPR hatálya alá tartozik,
- az adatokat egy adatkezelő vagy adatfeldolgozó ("exportőr") teszi egy másik adatkezelő (közös adatkezelő) vagy adatfeldolgozó ("importőr") részére hozzáférhetővé válnak valamilyen módon,
- az importőr egy harmadik országban működik vagy egy nemzetközi szervezet, függetlenül attól, hogy az importőrre adott esetben a GDPR 3. cikke alapján kiterjed-e a GDPR hatálya. (Lásd iránymutatás, 7. pont, 4. o.)
Az első feltétel kapcsán azt az esetet érdemes kiemelni, amikor a GDPR hatálya a GDPR 3. cikk (2) bekezdése alapján terjed ki egy adatkezelőre vagy adatfeldolgozóra (extraterritoriális hatály), mert a nemzetközi adattovábbításra vonatkozó szabályok (GDPR V. fejezet) ilyenkor is alkalmazandók, ha a további feltételek is fennállnak. (A GDPR területi hatálya kapcsán érdemes figyelembe venni a Testület 2018/3. sz. iránymutatását a területi hatályról.)
A második feltétel kapcsán fontos kiemelni, hogy
- az adatok továbbítását egy adatkezelőnek vagy adatfeldolgozónak kell végeznie. Ha maga az érintett adja meg az adatait egy harmadik országban működő adatkezelőnek vagy egy nemzetközi szervezetnek, akkor a GDPR V. fejezetének szabályai nem alkalmazandók (de ettől a GDPR rendelkezései az adott adatkezelésre - függően a GDPR 3. cikk (2) bekezdésének alkalmazhatóságától - még kiterjedhetnek).
- az adattovábbítás megvalósulhat úgy is, hogy az adatfeldolgozó továbbítja az adatot az importőr részére (lásd iránymutatás 13. pont, 6. o.).
- az adattovábbítás "két odalán" különböző entitásoknak kell szerepelniük, azaz az exportőr és az importőr más-más szervezet. Ennek megfelelően nem minősül a GDPR V. fejezete szerinti adattovábbításnak, ha egy adatkezelő munkavállalója az EU-n kívülre utazik egy üzleti útra és magával visz személyes adatokat vagy a harmadik országból hozzáfér a munkája kapcsán az EU-n belül tárolt személyes adatokhoz (lásd iránymutatás 15. pont, 6. o., 5. sz. példa). Ilyen esetekben is szükséges a GDPR rendelkezései szerint kezelni az adatokat, különös figyelemmel a GDPR 32. cikke szerinti adatbiztonsági követelményekre (lásd továbbá az iránymutatás 17. pontját, 7. o. az esetlegesen felmerülő további kötelezettségekre vonatkozóan).
- az egyéb cégcsoportba tartozó, de elkülönült entitások közötti adattovábbítás azonban a GDPR V. fejezete szerinti adattovábbításnak minősülhet.
2. Következtetések
A fenti feltételek vizsgálatát követően az iránymutatás 3. pontjában a Testület az alábbi következtetéseket vonja le:
- ha a fenti konjunktív feltételek megvalósulnak, a GDPR V. fejezete szerinti adattovábbításra kerül sor, így a vonatkozó követelmények teljesítése mellett kerülhet sor az adattovábbításra,
- az adattovábbításra sor kerülhet megfelelőségi határozat alapján, ennek hiányában, a 46. cikk szerinti valamely eszköz alkalmazásával (megfelelő garanciák alapján) vagy a 49. cikk szerinti különös helyzetekben biztosított eltérések útján (ha sem megfelelőségi határozat, sem a 46. cikk szerinti megfelelő garancia fennállása nem biztosított),
- az adatok biztonságát szolgáló garanciáknak az adott helyzethez kell igazodniuk,
- eltérés lehet egy adatokat továbbító adatkezelő vagy adatfeldolgozó által alkalmazandó garanciák között,
- az alkalmazásra kerülő garanciákatat az is befolyásolja, hogy az "importőrre" kiterjed-e a GDPR hatálya (a 3. cikk (2) bekezdése alapján), mert ebben az esetben kevesebb/eltérő további garanciális elem is elegendő lehet, mint egy olyan "importőr" esetében, amelyre nem vonatkoznak a GDPR előírásai,
- ha a GDPR alkalmazandó az "importőrre" a 3. cikk (2) bekezdése alapján, akkor a garanciáknak a meglévő esetleges "hézagok kitöltésére" kell fókuszálnia, különös tekintettel az "importőrre" alkalmazandó nemzeti jogszabályokban meglévő, az adatok biztonságát érintő rendelkezésekre.
Az iránymutatás előrevetíti, hogy a GDPR 3. cikk (2) bekezdése (extraterritoriális hatálya) alá tartozó harmadik országbeli adatkezelők részére történő adattovábbítások esetére külön általános szerződési feltételek kidolgozás lehet indokolt annak érdekében, hogy ezek tükrözzék ebből a speciális helyzetből fakadó sajátosságokat és a garanciák a ténylegesen felmerülő kockázatok csökkentésére irányuljanak. (Azért is indokolt ez, mert a Bizottság (EU) 2021/914 Végrehajtási Határozata (2021. június 4.) az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről kimondja, hogy „[a]z általános szerződési feltételek csak abban az esetben alkalmazhatók ilyen adattovábbításra, ha az adatátvevő általi adatkezelés nem tartozik az (EU) 2016/679 rendelet hatálya alá.”, lásd Végrehajtási Határozat, Preambulum (7). Ezek az általános szerződési feltételek tehát nem alkalmazható azokra a speciális esetekre, amikor az "importőr" a GDPR 3. cikk (2) bekezdésének hatálya alá esik.)