GDPR

Adatvédelem mindenkinek / Data protection for everyone

Elfogadásra került a GDPR területi hatályával és az adattovábbításokkal kapcsolatos iránymutatás végleges verziója

2023. február 27. 11:30 - poklaszlo

Az Európai Adatvédelmi Testület elfogadta a 2021/05. sz. iránymutatásának a végleges változatát (az iránymutatás tervezetéről itt írtam korábban), amelyben az első verzióhoz képest több releváns korrekciót is végrehajtott a Testület. Ami nem változott, hogy az iránymutatás meghatározza a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás kritériumait (ez egy fontos kiindulópont, hiszen a GDPR-ban a nemzetközi adattovábbítások fogalmának meghatozásával nem találkozunk).

Ahhoz, hogy egy adattovábbítás harmadik országba vagy nemzetközi szervezet felé irányuló adattovábbításnak minősüljön, az alábbi három feltételnek együttesen kell teljesülnie

  • az adattovábbítást végző adatkezelő vagy adatfeldolgozó az érintett adatkezelés tekintetében a GDPR hatálya alá tartozik, 
  • az adatokat egy adatkezelő vagy adatfeldolgozó ("exportőr") teszi egy másik adatkezelő (közös adatkezelő) vagy adatfeldolgozó ("importőr") részére hozzáférhetővé, 
  • az importőr egy harmadik országban működik, függetlenül attól, hogy az importőrre adott esetben a GDPR 3. cikke alapján kiterjed-e a GDPR hatálya, vagy egy nemzetközi szervezet. 

Az alábbiakban néhány, az iránymutatás korábbi verziójához képest végrehajtott fontosabb változtatást mutatok be. 

Az első kritérium (azaz miszerint az adattovábbítást végző adatkezelő vagy adatfeldolgozó az érintett adatkezelés tekintetében a GDPR hatálya alá tartozik) vizsgálata kapcsán kiemelést érdemel: 

  • Az iránymutatás tovább egyértelműsíti, miszerint a GDPR 3. cikk (2) bekezdése (extraterritoriális hatály) alapján a GDPR hatálya alá tartozó harmadik országbeli adatkezelők vagy adatfeldolgozók általi, akár a saját honosságuk szerinti országban működő másik adatkezelőnek vagy adatfeldolgozónak történő adattovábbítása a GDPR V. fejezetének hatálya alá tartozik és ennek megfelelően kell eljárniuk.    
  • Az iránymutatás kiegészült annak rögzítésével, hogy az EU tagállamok EU-n kívül működő nagykövetségei és konzulátusai által folytatott adatkezelés - a GDPR 3. cikk (3) bekezdése alapján - a GDPR hatálya alá tartozik. 

A második kritéium (az adatokat egy adatkezelő vagy adatfeldolgozó ("exportőr") teszi egy másik adatkezelő (közös adatkezelő) vagy adatfeldolgozó ("importőr") részére hozzáférhetővé) elemzése kapcsán: 

  • Az iránymutatás példákat ad arra, hogy a "hozzáférhetővé tétel" útján történő adattovábbítás miként valósulhat meg. Erre sor kerülhet például egy meglévő felhasználói fiókhoz történő hozzáférés biztosításával, egy távoli hozzáférési igény jóváhagyásával, egy file-hoz tartozó jelszó rendelkezésre bocsátásával. Még abban az esetben is megtörténik a harmadik országbeli távoli hozzáférés, ha ez csupán az adatoknak egy képernyőn történő megjelenítésében áll, pl. távoli support nyújtása során, hibajavítás vagy adminisztratív feladatok ellátása érdekében).   
  • Ugyanakkor a GDPR nemzetközi adattovábbításra vonatkozó szabályai (V. fejezet) nem alkalmazandók a "belső adatkezelési műveletekre" még akkor sem, ha ezekre az EU-n kívül kerül sor, azaz amikor más adatkezelő vagy adatfeldolgozó számára nem válnak hozzáférhetővé az adatok. Természetesen ettől függetlenül a GDPR szerinti - minden egyéb - követelménynek való megfelelés továbbra is terheli az adatkezelőt vagy adatfeldolgozót. (Pl. az adatkezelő vagy adatfeldolgozó munkavállalója fér hozzá a laptopján tárolt adathoz a harmadik országban tett útja során, de azokat nem továbbítja vagy teszi elérhetővé másik adatkezelő vagy adatfeldolgozó részére. Lásd ehhez az iránymutatásban szereplő 8. sz. példát.)   
  • Nem valósul meg a második kritérium, ha nem az adatkezelő vagy adatfeldolgozó továbbítja, illetve teszi hozzáférhetővé az adatot, hanem például közvetlenül az érintett adja meg egy harmadik országbeli szolgáltatónak. 
  • Az iránymutatás szintén pontosítja az adatfeldolgozó általi adattovábbítás kapcsán figyelemre érdemes szempontokat. Abban az esetben, ha az adatfeldolgozó továbbítja az adatokat egy harmadik országbeli (másik) adatfeldolgozónak vagy adatkezelőnek, akkor az adatfeldolgozó minősül exportőrnek és neki kell biztosítania az adattovábbítás GDPR szerinti feltételeinek teljesülését. Természetesen az adatkezelő sem "dőlhet hátra", hiszen az adattovábbítás az ő érdekében, illetve utastíásai alapján történik, így a megfelelés biztosítása kapcsán az adatkezelőnek is vannak feladatai (és felelőssége is). 
  • Az iránymutatás első verziójához képest további példákat és szcenáriókat is találunk, amelyek sokat segítenek a szabályok értelmezésében és alkalmazásában. 

A harmadik kritériumot (az importőr egy harmadik országban működik, függetlenül attól, hogy az importőrre adott esetben a GDPR 3. cikke alapján kiterjed-e a GDPR hatálya vagy egy nemzetközi szervezet) érintően az alábbi változásokat érdemes különösen figyelembe venni: 

  • A Testület a kritérium céljára hívja fel a figyelmet, azaz, hogy a védelem szintje ne szenvedjen sérülést annak következtében, hogy az adatokat már az EGT-n belül alkalmazandó jogi szabályozás keretein kívül kezelik. Erre sor kerülhet egyrészt úgy, hogy a GDPR nem alkalmazandó az importőrre, másrészt úgy is, hogy ugyan az adott adatkezelési tevékenységre kiterjed a GDPR, de a harmadik országbeli importőrre alkalmazandó - a letelepedése szerinti - ország jogszabályai összeütközésbe kerülhetnek a GDPR-ral (pl. aránytalan kormányzati adathozzáférési felhatalmazás miatt). 
  • Egy másik esetet is kiemel a Testület, amelyben ugyan EU-n belüli adatfeldolgozót vesz igénybe az adatkezelő, de az EU-n belüli adatfeldolgozóra valamely harmadik ország joga is kiterjed, amely alapján a harmadik ország kormányzati szervei kérhetik az adatokhoz történő hozzáférés biztosítását az adatfeldolgozótól (amely kérelem teljesítése esetén sor kerül adattovábbításra). Ezen eshetőség kapcsán a Testület arra hívja fel a figyelmet, hogy az adatkezelő a GDPR 28. cikke és a preambulum 81. bekezdése alapján köteles meggyőződni az adatfeldolgozó megbízhatóságáról is, amelybe az ilyen esetleges harmadik országbeli hozzáférésekkel szembeni garanciák meglétének vizsgálata is beletartozik. (A téma kapcsán a német adatvédelmi hatóságok konferenciájának január végi döntése is fontos szempontokat határoz meg.)   

Az iránymutatás kiegészült egy további fejezettel is, amely azon intézkedésekre vonatkozik, amelyeket abban az esetben kell alkalmazni, ha nem kerül sor adattovábbításra a fenti kritériumokra figyelemmel, de az adatok EGT-n kívül kezelik. 

Ilyen esetekben (pl. ha a munkavállaló a laptopján harmadik országba visz adatokat, de ahhoz nem enged más adatkezelőnek vagy adatfeldolgozónak hozzáférést; lásd az iránymutatásban szereplő 8. sz. példát) - bár adattovábbítás nem történik - a GDPR követelményeinek ugyanúgy meg kell felelniük az adatkezelőknek, illetve adatfeldolgozóknak és ezt - szükség szerint - igazolniuk is kell. Ennek megfelelően az érintett harmadik országok jogszabályi rendjére is figyelemmel kell lenni, amely a GDPR-nak való megfelelésre hatással lehet. Az adattovábbítás tehát nem feltétlenül valósul meg, de az adatkezelést érintő kockázatok növekedhetnek a harmadik országbeli adatkezelési műveleteknek köszönhetően. Ez pedig megfelelő kockázatkezelési intézkedéseket kíván (vö. különösen a GDPR 5. cikk, 24. cikk, 32. cikk, 33. cikk, 35. cikk, 48. cikk rendelkezéseivel). Előfordulhat az is, hogy - bár adattovábbítás nem valósul meg - a harmadik országbeli adakezelési művelet túl kockázatosnak minősülne, amely kockázat nem csökkenthető megfelelően és így nem kerülhet sor az adatkezelési művelet harmadik országban történő végzésére (pl. a munkavállalók számára nem engedélyezett, hogy az adott harmadik országba magukkal vigyék a céges laptopot).   

A harmadik országban történő adatkezelési műveletek végzése (adattovábbítás hiányában is) szükségessé tehetik az érintettek tájékoztatását az átláthatósági rendelkezéseknek megfelelően, hiszen az adatkezelés kockázatára kihatással lehetnek ezek az adatkezelési műveletek.  

A fentiekben - röviden - a GDPR területi hatálya és az adattovábbítási rendelkezések közötti kölcsönhatás tárgyában kiadott iránymutatás néhány, az első verzióhoz képest történt kiegészítését foglaltam össze. Az iránymutatás jelentős mértékben változott az első verzióhoz képest, így mindenképpen érdemes alaposan áttanulmányozni. Az egyes adattovábbítási szcenáriók jobb megértésében pedig nagy segítséget nyújt az iránymutatás új melléklete, amely vizuálisan is ábrázolja a dokumentumban bemutatott egyes eseteket. 

Szólj hozzá!
Címkék: hatály iránymutatás portfolioblogger adattovábbítás HU Rendelet Európai Adatvédelmi Testület területi hatály

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8518057508

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása