When designing data processing activities, there is often a need to transfer the personal data to a third country (e.g. in order to carry out processing activities there). What should we do to transfer personal data to third countries lawfully?

The GDPR contains relatively detailed rules on the conditions under which personal data may be transferred to third countries (or international organizations), as stated in the Preamble to the GDPR (101): "Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation."

Az adatkezelési folyamatok tervezése kapcsán gyakran felmerül az igény arra, hogy a kezelt személyes adatokat harmadik országba továbbítsák (pl. ottani adatfeldolgozás céljából). Mi ilyenkor a teendő? Mikor kerülhet sor az adattovábbításra?

A GDPR viszonylag részletes szabályokat tartalmaz arra vonatkozóan, hogy milyen feltételek mellett továbbíthatók az adatok harmadik országokba (vagy nemzetközi szervezetek részére), hiszen ahogy a GDPR preambuluma is rögzíti (101): "A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára."

Mi minősül harmadik országnak, illetve nemzetközi szervezetnek a GDPR alapján?

Harmadik országnak lényegében az EGT tagállamain kívüli országok tekinthetők. Ebből következik, hogy az EU-n belüli adattovábbítás nem minősül harmadik országba (külföldre) történő adattovábbításnak, így az erre vonatkozó különös szabályok sem alkalmazandók.    

Az eredeti ambiciózus tervek szerint az új elektronikus hírközlési adatvédelmi rendeletet ("e-Privacy Rendelet"), amely felváltani hivatott az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") - a GDPR-hoz  (az EU új általános adatvédelmi rendelete) hasonlóan - 2018. május 25-től kellene alkalmazni.

Az e-Privacy Rendelet első tervezetét 2017 januárjában tette közzé az Európai Bizottság (az első tervezetről részleteket olvashat egy korábbi posztomban itt). 2017 folyamán sok vita zajlott az elektronikus adatvédelmi rendelet tartalma és szövege tekintetében. A 29. cikk szerint létrehozott Munkacsoport (WP 29) 2017. április 4-én tette közzé a véleményét az e-Privacy Rendelettel kapcsolatban (1/2017. sz. vélemény), majd az Európai Adatvédelmi Biztos (EDPS) is megfogalmazta ajánlásait.

2017. október 23-án az Európai Parlament jelentést tett közzé az elektronikus adatvédelmi rendelettervezetről, amely számos módosítási javaslatot tartalmazott a Bizottság által kiadott eredeti tervezethez képest.

Végül 2017. december 5-én az Európai Tanács publikálta az e-Privacy Rendelet tervezetének egységes szerkezetbe foglalt változatát, amely bemutatja a Tanácson belüli vita állását a rendelettervezet szövegével kapcsolatban.

Mik a főbb vitás pontok?

• Az elektronikus adatvédelmi rendelet hatálya.
• Az elektronikus hírközlési adatok, az elektronikus hírközlési metaadatok és az elektronikus hírközlési tartalom kezelésének jogalapjára vonatkozó szabályozás (e-Privacy Rendelet tervezetének  6. cikke).
• A végfelhasználók végberendezésein tárolt és azokkal kapcsolatos adatok védelmére vonatkozó szabályok (e-Privacy Rendelet tervezetének  8. cikke).
• Nyomonkövetési technológiák alkalmazása (e-Privacy Rendelet tervezetének 10. cikke).
• A közvetlen üzletszerzéssel kapcsolatos szabályok (e-Privacy Rendelet tervezetének 16. cikke).
• A felügyeleti hatáskörök megosztása az illetékes hatóságok között (e-Privacy Rendelet tervezetének 18. cikke).

Mikor léphet hatályba?

Az eredeti terv szerint az e-Privacy Rendeletet, a GDPR-hoz hasonlóan, 2018. május 25-től kellett volna alkalmazni. Ugyanakkor nagyon valószínűtlennek tűnik, hogy ez a szűkös ütemterv tartható lenne. Egyes vélemények szerint eltarthat akár "2019 közepéig vagy 2019 végéig, amire az e-Privacy Rendelet hatályba lép".

According to the original ambitious plans, the new e-Privacy Regulation, which would replace Directive no. 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), should apply from 25 May 2018, such as the GDPR (the new EU Data Protection Regulation).

The first draft of the e-Privacy Regulation was issued in January 2017 by the European Commission (you can find more information on this first proposal in my former post here). During 2017, a lot of discussions took place regarding the content and the wording of the e-Privacy Regulation. Besides, the opinion of Article 29 Working Party published on April 4, 2017 (Opinion no. 1/2017), the European Data Protection Supervisor (EDPS) also published his recommendations on specific aspects of the proposed e-Privacy Regulation.

On October 23, 2017, the European Parliament issued a report on the draft e-Privacy Regulation that contained several modification proposals to the original draft published by the Commission.

Finally, on December 5, 2017, the European Council published a consolidated version of the e-Privacy Regulation that shows the status of the discussion within the Council regarding the e-Privacy Regulation.

What are the main points of discussion?

• The scope of the e-Privacy Regulation.
• The regulation of the legal basis for processing of electronic communications data, electronic communications metadata and electronic communications content (Article 6 of the draft e-Privacy Regulation).
• The rules regarding the protection of information stored in terminal equipment of end-users (Article 8 of the draft e-Privacy Regulation).
• The use of tracking technologies (Article 10 of the draft e-Privacy Regulation).
• The direct marketing rules (Article 16 of the draft e-Privacy Regulation).
• The distribution of supervision powers among competent authorities (Article 18 of the draft e-Privacy Regulation).

When will it come into effect?

The original plan was that the e-Privacy Regulation, such as the GDPR, should apply from 25 May 2018. However, it seems very unlikely that this tight schedule can be maintained. According to certain commentaries, “it will likely take until mid-2019 or the end of 2019 until the ePrivacy Regulation comes into force.”

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (GDPR) were published at the end of October by the Article 29 Working Party (WP 29). In my previous post, I have outlined the principles set out in the Guidelines.

In this post, I give a summary of WP 29’s comments to the following aspects set out in Article 83 (2) of the GDPR that need to be assessed when deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case:

(a) the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them;

(b) the intentional or negligent character of the infringement;

(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects;

(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32;

(e) any relevant previous infringements by the controller or processor;

(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

(g) the categories of personal data affected by the infringement;

(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement;

(i) where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures;

(j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and

(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.

A bírságolási szempontokra vonatkozó iránymutatást október végén tette közzé a 29-es Cikk szerinti Munkacsoport (WP 29). Előző posztomban az iránymutatásban megfogalmazott alapelveket mutattam be. 

Ebben a posztban a Rendelet 83. cikk (2) bekezdésében szereplő alábbi szempontokhoz fűzött munkacsoporti észrevételeket tekintem át.

Gyakran előfordul, hogy cégiratok szerkesztése során olyan személyes adatok is feltüntetésre kerülnek az okiraton és így bárki számára hozzáférhetővé válnak, amelyek rögzítését a vonatkozó jogszabályok nem követelik meg, és a amelyeket cégjegyzékben sem kell szerepeltetni.   

A közigazgatási bürokráciacsökkentéssel és az egyes hatósági eljárások egyszerűsítésével összefüggő törvények módosításáról szóló törvényjavaslat erre tekintettel javaslatot tartalmaz a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény (Ctv.) módosítására, miszerint, "ha a cégiratban a jogszabályban előírt, illetve a cégjegyzék adattartalmát meghaladó személyes adat kerül feltüntetésre, a cégiratot szerkesztő jogi képviselő köteles felhívni a természetes személy figyelmét arra, hogy a személyes adatának az okiratban való feltüntetéséhez való hozzájárulása egyben azzal is jár, hogy az a cégiratok nyilvánosságának elve alapján bárki számára megismerhetővé válik." 

A javaslathoz fűzött indoklás szerint a szükségtelenül megadott és bárki által hozzáférhető személyes adatokkal való visszaélés megelőzése érdekében kerülne sor a szabályozásra. Az új rendelkezés elsődlegesen az okiratot szerkesztő jogi képviselő feladatává tenné, hogy az okirat jogszabályoknak való megfelelőségének garantálása körében, mérlegelje azt, milyen adatok és nyilatkozatok feltüntetése szükséges. A szükséges mértéket meghaladó adatközlés veszélyeire neki kell a felek figyelmét felhívnia.

A megoldás annyiban mindenképpen idegen az adatvédelmi gondolkodástól, hogy személyes adatot a célhoz kötöttség elvére tekintettel, csak a szükséges mértékben lehet kezelni. Ha egy adatra az adott cél megvalósítása érdekében nincs szükség, akkor az adott személyes adat nem kezelhető. Ha nincs az adatkezelésnek célja, akkor - a kialakult adatvédelmi gyakorlat alapján - a hozzájárulás beszerzése ellenére sem lesz jogszerű az adatkezelés. Célszerűbb lenne talán egy olyan megközelítés alkalmazása, amely szerint csak a cél eléréséhez szükséges személyes adatok kerülhetnek feltüntetésre a cégiratokban.

A fentieken túlmenően a módosítás a személyes adatok naprakész állapotának elérése érdekében összekapcsolja a cégnyilvántartást és a természetes személyek nyilvántartását. Ezáltal a természetes személyek nyilvántartását vezető szerv értesítése alapján automatikusan, vagy a természetes személyek nyilvántartásából történő cégbírósági adatigénylés útján hivatalból jegyzi be a cégjegyzékbe az ún. kapcsolati kóddal rendelkező természetes személy cégjegyzékben szereplő természetes személyazonosító adatainak és lakcímének változását. (A kapcsolati kód a bejegyzési- vagy változásbejegyzési kérelemben szereplő természetes személyek adatainak a természetes személyek nyilvántartásában való automatikus egyeztetése kapcsán kerül létrehozásra.) 

A jövőben a kapcsolati kóddal rendelkező természetes személyek halálának tényéről és időpontjáról is automatikusan értesítést kap majd a cégbíróság és  a cégbíróság az elhunyt személyt automatikus végzéssel törli a cégjegyzékbő A módosítás indoklása szerint az új szabályok eredményeként a jövőben biztosítható lesz, hogy a cégnyilvántartásban szereplő természetes személyek adatai is – az állami nyilvántartások együttműködése által – pontosan és naprakészen kerüljenek a nyilvántartásba.  

A javaslat szerint a természetes személyek adataiban (vagy a cég adatai között feltüntetett cégek adataiban) bekövetkező változás olyan cégjegyzéki változás, amit a cégnek csak a létesítő okirat következő módosítása során kell átvezetnie a létesítő okiratban és a cég egyéb irataiban. 

The high amount of the administrative fine, which can reach a maximum amount of EUR 20 million or, in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, makes it extremely important for data controllers and data processors to be prepared for the application of the EU’s new General Data Protection Regulation (GDPR).

Given the magnitude of the amount of the administrative fine, the Guidelines of Article 29 Working Party (WP 29) on the application and setting of administrative fines for the purposes of the GDPR were highly anticipated. The Guidelines were published at the end of October.

The GDPR specifies the types of infringements that may be sanctioned by the administrative fine with a higher cap (EUR 20 million or up to 4% of the total worldwide annual turnover) and by the administrative fine with a lower cap (EUR 10 million or up to 2% of the total worldwide annual turnover).

In addition to the above, the Regulation also contains the criteria that must be taken into account when imposing an administrative fine (see Article 83 (2) GDPR). However, with regard to the imposition of fines, the key question is how these criteria are interpreted by the supervisory authorities. WP 29’s Guidelines on administrative fines provide some help in this respect. Below, we will briefly review the main findings of the Guidelines.

A súlyosabb esetben akár 20 millió euró összegű, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű közigazgatási bírsággal való fenyegetettség ad különösen nagy súlyt az új európai adatvédelmi rendeletre (GDPR) való felkészülésnek. 

Éppen a bírság összegének nagyságára tekintettel nagy várakozás előzte meg a 29-es Cikk szerinti Munkacsoport (WP 29) bírságolási szempontokra vonatkozó iránymutatását, amelyet október végén tettek közzé.    

A GDPR tételesen meghatározza azt, hogy milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) plafonig terjedő összegű bírság. (Ezt korábbi posztunkban már áttekintettük.)

A Rendelet tartalmazza továbbá azokat a szempontokat is, amelyeket a bírság kiszabása során figyelembe kell venni (lásd a GDPR 83. cikk (2) bekezdését). A bírság kiszabása kapcsán azonban kulcskérdés, hogy ezeket a szempontokat a felügyeleti hatóságok miként töltik meg tartalommal. A WP 29 a bírságolással kapcsolatban megjelent iránymutatása, ehhez nyújt kapaszkodókat. Az alábbiakban röviden áttekintjük az iránymutatás főbb megállapításait.

Az EU egységes adatvédelmi rendeletének (2016/679 Rendelet; "GDPR") alkalmazásával kapcsolatban a 29-es Cikk szerinti Munkacsoport (WP29) több új iránymutatást is megjelentetett októberben. Ezen iránymutatások segíteni hívatottak a Rendelet szabályainak az értelmezését és az alkalmazásra való felkészülést. Több, korábban kiadott iránymutatás pedig már nem csak angolul, hanem az EU többi tagállamának nyelvén (köztük magyarul is) elérhető.

A WP29 októberben az alábbi iránymutatásokat tette közzé:

1. Elfogadott iránymutatások:

• WP253: A közigazgatási bírságok alkalmazásával és kiszabásával kapcsolatos iránymutatás;
• WP248: Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e (magyarul és az EU többi hivatalos nyelvén is elérhető már).

2. Véleményezhető tervezetek:

• WP250: Iránymutatás az adatvédelmi incidenssel kapcsolatban;
• WP251: Iránymutatás az egyedi ügyekben történő automatizált döntéshozatallal és a profilalkotással kapcsolatban.

Korábbi iránymutatások:

A WP29 korábban is elfogadott iránymutatásokat több területen is. Ezek az alábbi kérdésekben segítik a Rendelet értelmezését:

• WP242: Iránymutatás az adatok hordozhatóságáról (már magyarul és az EU többi hivatalos nyelvén is elérhető);
• WP243: Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban (már magyarul és az EU többi hivatalos nyelvén is elérhető); és
• WP244: Iránymutatás az adatkezelő vagy az adatfeldolgozó fő felügyeleti hatóságának meghatározásához (már magyarul is elérhető).  

A WP29 munkaterve szerint még több területen várható iránymutatás kiadása (pl. hozzájárulás, átláthatóság, adattovábbítás, tanúsítás).  

Pók László