Blog
Blog » HOGYAN TOVÁBBÍTS SZEMÉLYES ADATOT EGT-N KÍVÜLI ORSZÁGOKBA? – AZ EDPB ÚJ AJÁNLÁSA
HOGYAN TOVÁBBÍTS SZEMÉLYES ADATOT EGT-N KÍVÜLI ORSZÁGOKBA? – AZ EDPB ÚJ AJÁNLÁSA
2020 November 25
Mióta 2020. nyár közepén az Európai Unió Bírósága (EUB) megsemmisítette a Privacy Shield-et és kérdésessé tette az általános adatvédelmi kikötések alkalmazhatóságát, arra vártunk, hogy az Európai Adatvédelmi Testület (EDPB) iránymutatást adjon arról, hogy hogyan lehet a GDPR-nek megfelelően személyes adatokat továbbítani az EGT-n kívülre. Az EDPB végre megtörte a csendet és kiadott egy 6 lépésből álló útmutatót, melyet jelen cikkben foglalunk össze.
1. lépés – az adattovábbítások feltérképezése
Az első lépés elég egyértelmű: csak akkor továbbíthatsz személyes adatokat a GDPR-nek megfelelő módon EGT-n kívüli országokba, ha úgy ismered az adattovábbításokat mint a tenyeredet.
Ezzel kapcsolatban az EDPB emlékezteti az adattovábbítókat, hogy nemcsak a szó szoros értelmében vett adattovábbításokat kell számításba venni, hiszen adott esetben a felhőalapú tárolás vagy a személyes adatokhoz távoli hozzáférés biztosítása is adattovábbításnak minősülhet.
Emellett nem szabad elfeledkezni a további adatátadásokról, előfordulhat ugyanis, hogy az az adatfeldolgozó, akinek az adatokat továbbítod, azokat egy másik szervezethez egy további harmadik országba továbbítja.
2. lépés – Válassz adattovábbítási módot
A harmadik országba történő adattovábbításaid feltérképezését követően el kell döntened, hogy a GDPR-ben meghatározott adattovábbítási módszerek közül melyiket fogod alkalmazni.
Az adattovábbítási módok „ászai” az úgynevezett megfelelőségi határozatok, mint amilyen a Privacy Shield is volt az Egyesült Államok esetében. Ha létezik ilyen megfelelőségi határozat, hátradőlhetsz és nem kell további lépéseket tenned, legfeljebb annyit, hogy bizonyos időközönként ellenőrzöd, hogy a megfelelőségi határozat továbbra is érvényes-e.
Ha kevésbé szerencsés vagy, akkor tovább kell keresned az adattovábbítási módok között, melyek az alábbiak lehetnek:
- általános adatvédelmi kikötések (SSC),
- kötelező erejű vállalati szabályok,
- magatartási kódexek,
- jóváhagyott tanúsítási mechanizmusok,
- ad-hoc szerződési feltételek.
Amennyiben a fentiek egyike sem elérhető számodra, még mindig megpróbálhatsz a GDPR eltérést engedő szabályaira hagyatkozni (mint például az érintett létfontosságú érdekeinek védelmére). Ugyanakkor az EDPB rámutatott, hogy az eltérést engedő szabályok kivételes jellegűek és csak alkalmi, illetve nem ismétlődő adattovábbítások esetén alkalmazhatók.
3. lépés – Értékeld az adattovábbítási mód hatékonyságát
Amennyiben sem megfelelőségi határozat, sem eltérést engedő szabály alapján nem továbbíthatsz adatokat az adott harmadik országba, meg kell vizsgálnod, hogy az adott harmadik ország joga vagy joggyakorlata tartalmaz-e bármilyen feltételt, amely az adattovábbítási eszköz által biztosított megfelelő garanciákat befolyásolja. Például az Egyesült Államok tömeges megfigyelési programjai ilyennek minősülnek.
Az EDPB gyakorlati útmutatást is ad azzal kapcsolatban, hogy mely tényezőket kell figyelembe venni a hatékonyság értékelésénék. A teljesség igénye nélkül ilyen tényezők az adattovábbítás céljai, a szektor, amelyben sor kerül az adattovábbításra vagy a továbbított adatok kategóriái. Fontos megjegyezni, hogy a szubjektív körülmények, például, hogy mekkora a valószínűsége annak, hogy a hatóságok hozzáférhetnek az adatokhoz, nem játszhatnak szerepet az értékelésben.
Az EDBP azt javasolja, hogy az adatkezelők dokumentálják az értékelést, mert az értékelés alapján hozott döntéseikért számonkérhetők.
Az értékelésnek kétféle kimenetele lehet, amely előrevetíti a további kötelezettségeket: vagy arra a következtetésre jutsz, hogy az adattovábbítási mód önmagában hatékony, mely esetben csak rendszeresen újra kell értékelni a helyzetet, vagy pedig arra, hogy az adattovábbítási mód nem hatékony és kiegészítő intézkedéseket kell alkalmazni (4. lépés).
4. lépés – kiegészítő intézkedések
Amennyiben az adattovábbítási mód nem biztosítja önmagában a személyes adatok megfelelő védelmét, az adattovábbítónak különböző kiegészítő intézkedéseket kell alkalmaznia, hogy a megfelelő garanciák hatékonyságát biztosítsa. Az EDPB a kiegészítő intézkedéseket három kategóriába sorolja: technikai, szerződéses és szervezeti intézkedések. Az EDPB szerint ezeknek az intézkedéseknek az olyan módon történő kombinációja, amely lehetővé teszi, hogy egymást erősítsék, hozzájárulhat az EU-s szabványok eléréséhez.
Technikai intézkedések lehetnek például tudomány állásának megfelelő titkosítási technikák vagy az álnevesítés, amikor a személyes adatokat olyan módon továbbítják, hogy azokat már nem lehet egy adott természetes személyhez kapcsolni. A szerződéses intézkedések lehetnek szerződéses kikötések, amelyekben például az adatátvevő igazolja, hogy nem alkalmaz „kiskapukat”, amelyeket a személyes adatokhoz való hozzáférésre lehet használni. A szervezeti intézkedések például megfelelő belső szabályzatok, amelyek az adattovábbításokkal kapcsolatos felelősségeket egyértelműen meghatározzák.
Fontos kiemelni, hogy ha az adattovábbítási eszköz a kiegészítő intézkedésekkel együtt sem biztosítja az adatvédelem megfelelő szintjét, az adattovábbítónak nem szabad elkezdeni vagy be kell fejeznie az adatoknak az adott harmadik országba történő továbbítását.
5. lépés – Formális lépések
Amennyiben a kiválasztott adattovábbítási eszköz és a kiegészítő intézkedések együttes alkalmazása alapján az adott adattovábbítás zöld utat kapott, elképzelhető, hogy még mindig szükség van bizonyos formális eljárási lépésekre.
Például, ha általános adatvédelmi kikötéseket kívánsz alkalmazni adattovábbítási módként, de azokat módosítani szeretnéd, vagy a választott kiegészítő intézkedés ellentétes az SSC-vel, az illetékes felügyeleti hatóság jóváhagyására van szükség.
6. lépés – Újraértékelés
Még ha meg is találtad a megfelelő adattovábbítási módszert, nem dőlhetsz hátra örökre.
A GDPR elszámoltathatósági elvével összhangban megfelelő időközönként felül kell vizsgálnod a célország adatvédelmi szintjét és ellenőrizni, hogy bizonyos fejlemények befolyásolják-e azt.
Összefoglalás
A fentieket összefoglalva, az EGT-n kívüli adattovábbításokhoz megfelelő odafigyelésre és jól megtervezett stratégiára van szükség, különösen most, hogy az USA-ba, illetve az Egyesült Királyságba történő adattovábbítás már nem olyan egyszerű.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »