Blog

Blog » HOGYAN TOVÁBBÍTS SZEMÉLYES ADATOT EGT-N KÍVÜLI ORSZÁGOKBA? – AZ EDPB ÚJ AJÁNLÁSA

HOGYAN TOVÁBBÍTS SZEMÉLYES ADATOT EGT-N KÍVÜLI ORSZÁGOKBA? – AZ EDPB ÚJ AJÁNLÁSA

2020 November 25

Mióta 2020. nyár közepén az Európai Unió Bírósága (EUB) megsemmisítette a Privacy Shield-et és kérdésessé tette az általános adatvédelmi kikötések alkalmazhatóságát, arra vártunk, hogy az Európai Adatvédelmi Testület (EDPB) iránymutatást adjon arról, hogy hogyan lehet a GDPR-nek megfelelően személyes adatokat továbbítani az EGT-n kívülre. Az EDPB végre megtörte a csendet és kiadott egy 6 lépésből álló útmutatót, melyet jelen cikkben foglalunk össze.

1. lépés – az adattovábbítások feltérképezése


Az első lépés elég egyértelmű: csak akkor továbbíthatsz személyes adatokat a GDPR-nek megfelelő módon EGT-n kívüli országokba, ha úgy ismered az adattovábbításokat mint a tenyeredet.

Ezzel kapcsolatban az EDPB emlékezteti az adattovábbítókat, hogy nemcsak a szó szoros értelmében vett adattovábbításokat kell számításba venni, hiszen adott esetben a felhőalapú tárolás vagy a személyes adatokhoz távoli hozzáférés biztosítása is adattovábbításnak minősülhet.

Emellett nem szabad elfeledkezni a további adatátadásokról, előfordulhat ugyanis, hogy az az adatfeldolgozó, akinek az adatokat továbbítod, azokat egy másik szervezethez egy további harmadik országba továbbítja.

2. lépés – Válassz adattovábbítási módot

A harmadik országba történő adattovábbításaid feltérképezését követően el kell döntened, hogy a GDPR-ben meghatározott adattovábbítási módszerek közül melyiket fogod alkalmazni.

Az adattovábbítási módok „ászai” az úgynevezett megfelelőségi határozatok, mint amilyen a Privacy Shield is volt az Egyesült Államok esetében. Ha létezik ilyen megfelelőségi határozat, hátradőlhetsz és nem kell további lépéseket tenned, legfeljebb annyit, hogy bizonyos időközönként ellenőrzöd, hogy a megfelelőségi határozat továbbra is érvényes-e.

Ha kevésbé szerencsés vagy, akkor tovább kell keresned az adattovábbítási módok között, melyek az alábbiak lehetnek:

  1. általános adatvédelmi kikötések (SSC),
  2. kötelező erejű vállalati szabályok,
  3. magatartási kódexek,
  4. jóváhagyott tanúsítási mechanizmusok,
  5. ad-hoc szerződési feltételek.

Amennyiben a fentiek egyike sem elérhető számodra, még mindig megpróbálhatsz a GDPR eltérést engedő szabályaira hagyatkozni (mint például az érintett létfontosságú érdekeinek védelmére). Ugyanakkor az EDPB rámutatott, hogy az eltérést engedő szabályok kivételes jellegűek és csak alkalmi, illetve nem ismétlődő adattovábbítások esetén alkalmazhatók.

3. lépés – Értékeld az adattovábbítási mód hatékonyságát

Amennyiben sem megfelelőségi határozat, sem eltérést engedő szabály alapján nem továbbíthatsz adatokat az adott harmadik országba, meg kell vizsgálnod, hogy az adott harmadik ország joga vagy joggyakorlata tartalmaz-e bármilyen feltételt, amely az adattovábbítási eszköz által biztosított megfelelő garanciákat befolyásolja. Például az Egyesült Államok tömeges megfigyelési programjai ilyennek minősülnek.

Az EDPB gyakorlati útmutatást is ad azzal kapcsolatban, hogy mely tényezőket kell figyelembe venni a hatékonyság értékelésénék. A teljesség igénye nélkül ilyen tényezők az adattovábbítás céljai, a szektor, amelyben sor kerül az adattovábbításra vagy a továbbított adatok kategóriái. Fontos megjegyezni, hogy a szubjektív körülmények, például, hogy mekkora a valószínűsége annak, hogy a hatóságok hozzáférhetnek az adatokhoz, nem játszhatnak szerepet az értékelésben.

Az EDBP azt javasolja, hogy az adatkezelők dokumentálják az értékelést, mert az értékelés alapján hozott döntéseikért számonkérhetők.

Az értékelésnek kétféle kimenetele lehet, amely előrevetíti a további kötelezettségeket: vagy arra a következtetésre jutsz, hogy az adattovábbítási mód önmagában hatékony, mely esetben csak rendszeresen újra kell értékelni a helyzetet, vagy pedig arra, hogy az adattovábbítási mód nem hatékony és kiegészítő intézkedéseket kell alkalmazni (4. lépés).

4. lépés – kiegészítő intézkedések

Amennyiben az adattovábbítási mód nem biztosítja önmagában a személyes adatok megfelelő védelmét, az adattovábbítónak különböző kiegészítő intézkedéseket kell alkalmaznia, hogy a megfelelő garanciák hatékonyságát biztosítsa. Az EDPB a kiegészítő intézkedéseket három kategóriába sorolja: technikai, szerződéses és szervezeti intézkedések. Az EDPB szerint ezeknek az intézkedéseknek az olyan módon történő kombinációja, amely lehetővé teszi, hogy egymást erősítsék, hozzájárulhat az EU-s szabványok eléréséhez.

Technikai intézkedések lehetnek például tudomány állásának megfelelő titkosítási technikák vagy az álnevesítés, amikor a személyes adatokat olyan módon továbbítják, hogy azokat már nem lehet egy adott természetes személyhez kapcsolni. A szerződéses intézkedések lehetnek szerződéses kikötések, amelyekben például az adatátvevő igazolja, hogy nem alkalmaz „kiskapukat”, amelyeket a személyes adatokhoz való hozzáférésre lehet használni. A szervezeti intézkedések például megfelelő belső szabályzatok, amelyek az adattovábbításokkal kapcsolatos felelősségeket egyértelműen meghatározzák.

Fontos kiemelni, hogy ha az adattovábbítási eszköz a kiegészítő intézkedésekkel együtt sem biztosítja az adatvédelem megfelelő szintjét, az adattovábbítónak nem szabad elkezdeni vagy be kell fejeznie az adatoknak az adott harmadik országba történő továbbítását.

5. lépés – Formális lépések

Amennyiben a kiválasztott adattovábbítási eszköz és a kiegészítő intézkedések együttes alkalmazása alapján az adott adattovábbítás zöld utat kapott, elképzelhető, hogy még mindig szükség van bizonyos formális eljárási lépésekre.

Például, ha általános adatvédelmi kikötéseket kívánsz alkalmazni adattovábbítási módként, de azokat módosítani szeretnéd, vagy a választott kiegészítő intézkedés ellentétes az SSC-vel, az illetékes felügyeleti hatóság jóváhagyására van szükség.

6. lépés – Újraértékelés

Még ha meg is találtad a megfelelő adattovábbítási módszert, nem dőlhetsz hátra örökre.

A GDPR elszámoltathatósági elvével összhangban megfelelő időközönként felül kell vizsgálnod a célország adatvédelmi szintjét és ellenőrizni, hogy bizonyos fejlemények befolyásolják-e azt.

 Összefoglalás

A fentieket összefoglalva, az EGT-n kívüli adattovábbításokhoz megfelelő odafigyelésre és jól megtervezett stratégiára van szükség, különösen most, hogy az USA-ba, illetve az Egyesült Királyságba történő adattovábbítás már nem olyan egyszerű.