ADATTOVÁBBÍTÁS JAPÁNBA? ZÖLD UTAT ADOTT AZ EURÓPAI BIZOTTSÁG

20 February 2019

Egy héttel az EU – Japán kereskedelmi megállapodás hatályba lépése előtt az Európai Bizottság úgy döntött, hogy Japán is biztonságos országnak minősül a GDPR szerint. Mit jelent az, hogy biztonságos? Miért bír ez jelentőséggel? Cikkünkben bemutatjuk, hogy milyen hatásokkal jár egy ilyen döntés.

1. Mi a baj az EU-n kívüli országokkal?

Az Általános Adatvédelmi Rendelet (GDPR) jelenleg a világ legszigorúbb adatvédelmi szabályozása.

Azzal, hogy a GDPR biztosítja a személyes adatoknak a legmagasabb szintű védelmet, ez egyben azt is jelenti, hogy bárhol máshol a világon ennél alacsonyabb a személyes adatok biztonsága. A rendelet célja azonban az, hogy az Európai Unió területén tartózkodó érintettek adatainak védelme ne csökkenjen, még akkor se, ha egy EU-n kívüli harmadik országban lévő adatkezelő kezeli őket.

Mivel a rendeletet nem lehet általános jelleggel az egész világra kiterjeszteni, ezért a leghatékonyabb adatvédelem akkor valósulna meg, ha a személyes adatok kezelése nem kerülne ki az EU-ból. Egy nemzetközi cég működését viszont ellehetetlenítené, ha például egy EU-n kívüli anyavállalat nem férne hozzá bizonyos információkhoz a GDPR miatt.

Ezért a rendelet megengedi az adattovábbítást olyan országokba, amelyet biztonságosnak ítél.

2. Mikor biztonságos az EU-n kívüli adattovábbítás?

A GDPR egy többlépcsős rendszert alkalmaz, hogy mikor lehet EU-n kívüli országokba adatot továbbítani.

Megfelelőségi határozat: ha egy EU-n kívüli állam közel hasonló módon szabályozza az adatvédelmet, mint a GDPR, és a személyes adatok védelme megfelelőnek mondható, az Európai Bizottság dönthet úgy, hogy az adott országot biztonságosnak minősíti. Ez azzal jár, hogy az ilyen országba történő adattovábbításhoz nem szükséges engedély.

Garanciák nyújtása: megfelelőségi határozatot pótolhat az, ha van garancia az adatok védelmére. Ilyen garancia lehet akár egy jogilag kötelező erejű kikényszeríthető eszköz, kötelező erejű vállalati szabályok, általános adatvédelmi kikötések, jóváhagyott magatartási kódex, vagy jóváhagyott tanúsítási mechanizmus.

Különös helyzetekben biztosított eltérés: ha az adattovábbító garanciát nem is tud nyújtani, akkor még mindig vannak olyan helyzetek, amikor felülírható a tilalom. A GDPR szerint ez akkor fordulhat elő, ha az adattovábbítás

• kockázatainak ismeretében az érintett kifejezett hozzájárulását adja,
• az érintettel kötött szerződés teljesítéséhez szükséges,
• fontos közérdekből szükséges,
• jogi igény előterjesztéséhez, érvényesítéséhez szükséges,
• az érintett vagy más személy létfontosságú érdekéhez szükséges, és az érintett fizikailag vagy jogilag képtelen hozzájárulást adni,
• olyan nyilvántartásból származik, amely jogszabály alapján a nyilvánosság tájékoztatását szolgálja.

Meghatározott feltételek teljesülése: ha az előzőek közül semelyik pontnak nem felel meg az adattovábbító, akkor még mindig lehet szó adattovábbításról, ha az alábbi feltételek együttesen teljesülnek:

• az adattovábbítás nem ismétlődik
• korlátozott számú érintettre vonatkozik
• az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai
• az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.

Ha a fenti pontok mindegyike megvalósul, akkor elegendő tájékoztatni a hatóságot az adattovábbításról.

A fent felsorolt négy esetkörben a GDPR alapján biztonságosnak tekinthető az adattovábbítás, azonban ez egy zárt lista. Ha az adattovábbítás egyik csoportba sem illik bele, akkor az adattovábbítás nem engedélyezett.

3. Milyen előnyökkel jár egy ilyen bizottsági döntés?

A felsorolt biztonsági feltételek közül a piaci szereplők számára a legelőnyösebb az első, amikor a Bizottság megfelelőségi határozatot hoz egy adott országgal kapcsolatban, mert ebben az esetben nincs szükség speciális garanciákra, nem kell különböző feltételeknek megfelelni, vagy az adattovábbítást a hatóságnak bejelenteni ahhoz, hogy az EU-n kívülre továbbíts adatot.

Tehát mindenképpen megkönnyíti a személyes adatok kezelését egy cég hétköznapi életében, ha a Bizottság megfelelőségi határozatot hoz egy olyan EU-n kívüli ország kapcsán, ahová adatot továbbítunk.

4. Mitől függ az, hogy a Bizottság ilyen határozatot hoz?

A Bizottság mielőtt megfelelőségi határozatot hoz, megvizsgálja, hogy az adott állam megfelel-e a jogállamiság kritériumainak: azaz érvényesülnek-e az emberi jogok és szabadságjogok, adatvédelmi szabályok, van-e lehetőség jogorvoslatra, van-e független felügyeleti hatóság, szabályozott-e az, hogy a közhatalmi szervek hogyan férhetnek hozzá a személyes adatokhoz, illetve milyen adatvédelemmel kapcsolatos nemzetközi kötelezettségei vannak.

Japán például a határozat érdekében megerősítette a különleges adatok védelmét, szigorította a Japánból másik EU-n kívüli országba történő adattovábbítást, független felügyelet alá helyezte a bűnüldözési és nemzetbiztonsági célú hozzáférést.

5. Összefoglalás

Azzal, hogy az Európai Bizottság megfelelősségi határozatot hozott Japánnal kapcsolatban, és zöld utat adott a személyes adatok Japánba történő továbbításának, egy jelentős akadály hárult el a Japán EU közötti Kereskedelmi Megállapodás végrehajtása elől.

Az, hogy az EU-ban letelepedett cégek automatikusan továbbíthatnak személyes adatokat japán üzleti partnereiknek, illetve anya- vagy leányvállalatuk részére, várhatóan az EU és Japán közötti kereskedelmi kapcsolatok további élénküléséhez fog vezetni.