Az egyes vállalatok által folytatott adatkezelések jelentős részében felmerül az az esetkör, hogy az adatok az Európai Unión kívüli székhellyel rendelkező adatfeldolgozóhoz kerülnek. Ilyen eset lehet például, ha a leányvállalat magyar, míg az anyavállalat amerikai székhellyel rendelkezik, vagy, ha csak egyszerűen egy vállalat marketing célokból bíz meg külföldi adatfeldolgozót, mint például a MailChimp-et.
Az USA esetében azonban az adatkezelések biztonságát garantáló adatvédelmi pajzs érvénytelenné vált. Felmerül a kérdés, hogy ennek következtében a továbbiakban milyen eszközökkel biztosítható USA-ban végzett adatfeldolgozás.
Az Európai Unió Bíróságának 2020. július 16. napján kelt ítélete érvénytelenné nyilvánította az EU-USA adatvédelmi pajzsról szóló határozatot.
Az adatvédelmi pajzs az USA szempontjából megfelelősségi határozatnak minősült, amely érvénytelenítése következtében most az alábbi lépcsőzetes lehetőségekkel tudnak élni az adatkezelők:
A továbbiakban ezeket a lehetőségeket bontjuk ki kicsit részletesebben.
A kötelező erejű vállalati szabályok a vállalkozáscsoport tagok közötti adattovábbításokat rendezik. Ebben az esetben a nemzeti adatvédelmi hatóságok által jóváhagyott módon történne az adattovábbítás. Ezen szabályok akkor alkalmazhatók, ha a vállalkozáscsoport, vagy a közös gazdasági tevékenységet folytató vállalkozások csoportjának minden érintett tagjára vonatkozóan jogilag kötelező erővel rendelkeznek, továbbá kifejezetten rendelkeznek az
érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól, és megfelel egyes további követelményeknek.
Következő eset a Bizottság által kialakított általános adatvédelmi feltételek alkalmazása, amelyek nem feltétlen lehetnek biztos védelmi alapok, hiszen nem biztosított a harmadik ország védelmi szintjének hivatalos vizsgálata. Így az adattovábbítót terheli annak a feltérképezése, hogy a harmadik ország jogrendszere megfelelő védelmet biztosít, továbbá az adattovábbítás milyen kockázatokkal jár, valamint ezen megállapításait igazolnia is tudnia kell.
A magatartási kódexek egyes adatvédelmi kérdéseket rendeznek, amelyek a vállalkozások sajátos igényeinek megfelelően segítik a GDPR rendelkezéseinek alkalmazását, míg a tanúsítási mechanizmusok azt hivatottak bizonyítani, hogy az adatkezelők eljárásai megfelelnek a GDPR-ban foglalt garanciáknak.
Amennyiben a fenti lehetőségek közül egyik sem alkalmazható, akkor a GDPR az alábbi esetekben ideiglenes jelleggel védelmet biztosít az adattovábbításra, ha az alábbi feltételek egyikének teljesülése megállapítható: az érintett a kockázatokról való tájékoztatás ellenére is hozzájárulását adta, vagy az érintett és az adatkezelő közötti szerződés teljesítéséhez szükséges az adattovábbítás, esetleg az érintett létfontosságú érdekének védelme miatt fontos, vagy a nyilvánosság tájékoztatását szolgáló nyilvántartásból származnak az adatok.
Ahogy láthatjuk jelen helyzetben nincsen egy egységes szabályozás, amely az EU-ból származó személyes adatok harmadik országban való feldolgozását biztosítaná, így ilyen esetekben a megfelelő eljárás az, ha az adatkezelő megvizsgálja az adatfeldolgozó GDPR-nak való megfelelőségét, és egyéni mérlegelés alapján a kockázatok figyelembevételével dönti el, hogy kívánja-e a kezelt adatokat harmadik országba továbbítani.
A jelen bizonytalan helyzet feloldásaként az Európai Adatvédelmi Testület a 1/2020. számú ajánlásában adott támpontokat. Eszerint az adatkezelőnek ellenőriznie kell, hogy az adattovábbítás az adatkezelés céljának megfelel, és az a szükségesre korlátozódik. Ki kell választania megfelelő garanciákkal felruházott adattovábbítási eszközt, majd meg kell vizsgálnia, hogy a harmadik ország joga sérti-e az abban foglalt garanciákat. Amennyiben a kiválasztott adatvédelmi eszköz nem biztosítja önmagában a GDPR-nak megfelelő védelmi szintet, akkor az további intézkedésekkel kiegészítendő, így például technikai, szervezési, vagy további szerződéses intézkedésekkel.
Bármelyik lehetőséget is választják az adatkezelők, a legfontosabb az, hogy csak akkor ajánlott személyes adatokat harmadik országba továbbítani, ha az adatfeldolgozó megfelelő garanciákat nyújtott, valamint, ha az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek is biztosítva vannak.
dr. K. Kovács Evelin
dr. Pintér Attila Ügyvédi Iroda