GDPR

Adatvédelem mindenkinek / Data protection for everyone

Megfelelőségi határozatok felülvizsgálata: zavartalan marad az adattovábbítás 11 országba

2024. január 18. 11:30 - poklaszlo

Az Európai Bizottság közzétette a jelentését a GDPR előtti szabályok (95/46/EK irányelv) alapján elfogadott megfelelőségi határozatok felülvizsgálata tárgyában. A közzétett dokumentumhoz részletes országjelentés is kapcsolódik az érintett harmadik országok adatvédelmi rezsimjére vonatkozóan. 

Összességében azt állapította meg a Bizottság, hogy a vizsgált 11 harmadik ország adatvédelmi keretrendszere továbbra is megfelelő védelmet biztosít az EU-ból származó személyes adatok védelme tekintetében, így a megfelelőségi határozatok minden érintett ország tekintetében továbbra is alkalmazhatók az adattovábbítás alapjaként. 

1. Mi az a megfelelőségi határozat és mi a jelentősége?

A megfelelőségi határozat a harmadik országba történő adattovábbításnak az egyik lehetséges, de az adatkezelők szempontjából mindenképpen legegyszerűbb eszköze. A megfelelőségi határozatban ugyanis azt rögzíti a Bizottság, hogy az érintett harmadik ország (esetleg a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy egy meghatározott nemzetközi szervezet) megfelelő védelmi szintet biztosít. Az ilyen országokba történő adattovábbításhoz nem szükséges külön engedély, nem kell egyéb mechanizmusról (pl. általános adatvédelmi kikötések, kötelező erejű vállalati szabályok, stb.) meglétéről gondoskodni. A megfelelőségi határozat tehát egy lényeges terhet levesz az adattovábbítást tervező adatkezelők, adatfeldolgozók válláról. (Természetesen ez nem jelenti azt, hogy az adattovábbítást végzőknek az adatkezelés, adattovábbítás egyéb követelményeiről ne kellene gondoskodnia, de az adattovábbítás kapcsán egy lényeges előfeltétel teljesül.)

Az elmúlt években az Egyesült Államokba történő adattovábbítás kapcsán merült fel leggyakrabban a megfelelőségi határozatok kérdése, miután az Európai Bíróság két alkalommal is megsemmisítette az USA-ra vonatkozó megfelelőségi határozatokat (Schrems I. és Schrems II. ítéletek). Az adatkezelőknek nagy könnyebbséget jelentett, hogy a Bizottság 2023. júliusában közzétette az újabb megfelelőségi határozatot az USA-ra vonatkozóan ("EU-U.S. Data Privacy Framework").

Az USA-t érintően folytatott adattovábbítási vitákon túl jóval kevesebb figyelmet kapott, de az elmúlt években megfelelőségi határozatot fogadott el a Bizottság Dél-Korea és Japán vonatkozásában, illetve a Brexitre tekintettel az Egyesült Királyságra vonatkozóan is (ráadásul az Egyesült Királyság tekintetében nem csak a GDPR, hanem a bűnügyi adatvédelmi irányelv alapján is). 

Jelenleg tehát - a 11 felülvizsgált megfelelőségi határozattal együtt - 15 ország tekintetében van elfogadott megfelelőségi határozat

2. Mely országokat érintette a felülvizsgálat? 

A mostani felülvizsgálattal érintett 11 harmadik ország listáján az alábbi államok szerepelnek: 

  • Andorra
  • Argentína
  • Feröer Szigetek
  • Guernsey
  • Izrael
  • Jersey
  • Kanada (nem minden adatkezelőre vonatkozik, lásd részletesebben itt)
  • Man-sziget
  • Svájc
  • Uruguay
  • Új Zéland

3. Hogyan lehet adatot továbbítani az EU-ból azon harmadik országok tekintetében, amelyekre nincs megfelelőségi határozat?

Természetesen az adattovábbítás megfelelőségi határozat hiányában is lehetséges, de ebben az esetben az adatkezelőknek valamely más adattovábbítási mechanizmusról kell gondoskodniuk. Ilyen egyéb mechanizmusok lehetnek például az általános adatvédelmi kikötések, kötelező erejű vállalati szabályok, stb.

A megfelelőségi határozattal "le nem fedett" országokba történő adattovábbítások esetében az adatkezelőknek érdemes az Európai Adatvédelmi Testület vonatkozó dokumentumai alapján eljárniuk.

Az Európai Adatvédelmi Testület nemzetközi adattovábbításra vonatkozó iránymutatásai közül - a GDPR alapján történő adattovábbítás kapcsán - lásd különösen az alábbiakat: 

  • 01/2022. ajánlást a kötelező erejű vállalati szabályok vonatkozásában,
  • 07/2022.számú iránymutatás a tanúsításról, mint az adattovábbítások eszközéről,
  • 05/2021.számú iránymutatás az általános adatvédelmi rendelet 3. cikkének alkalmazása és V. fejezete szerinti, nemzetközi adattovábbításokra vonatkozó rendelkezések közötti kölcsönhatásról,
  • 04/2021.sz. iránymutatás az adattovábbítások eszközéül szolgáló magatartási kódexekről,
  • 01/2020. számú ajánlás azon intézkedésekről, amelyek kiegészítik az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében, 2/2020. számú iránymutatás az (EU) 2016/679 rendeletnek a személyes adatok EGT-n belüli és EGT-n kívüli, közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti továbbításáról szóló 46. cikke (2) bekezdésének a) pontjáról és 46. cikke (3) bekezdésének b) pontjáról,
  • 2/2018. sz. iránymutatás az (EU) 2016/679 rendelet 49. cikke szerinti eltérésekről.

Az adattovábbítások kapcsán továbbá kiemelt szerepet kap az ún. adattovábbítási hatásvizsgálat (Transfer Impact Assessment) elvégzése. A francia adatvédelmi hatóság (CNIL) éppen a napokban tett közzé konzultációra egy, a adattovábbítási hatásvizsgálat elvégzését elősegítő dokumentumot, amely a Testület vonatkozó iránymutatásaira építve ad praktikus segítséget az adatkezelőknek az adatvédelmi hatásvizsgálat elvégzésére.   

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr1618304873

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása