Ugrás a fő tartalomra
Az Európai Bizottság logója
hu

What rules apply if my organisation transfers data outside the EU?

Válasz

Napjaink globalizált világában rengeteg személyes adatot továbbítanak a határokon túlra, és ezeket néha különböző országban lévő kiszolgálókon tárolják. Az általános adatvédelmi rendelet által nyújtott védelem az adatokkal együtt utazik, vagyis a személyes adatok védelmét szolgáló szabályok továbbra is érvényesek, függetlenül attól, hogy az adatok hová kerülnek. Ez akkor is érvényes, ha az adatokat nem uniós országba továbbítják.

Az általános adatvédelmi rendelet különböző eszközöket nyújt arra az esetre, amikor az adatokat az EU-ból harmadik országba továbbítják:

  • bizonyos esetekben az Európai Bizottság határozata kinyilvánítja egy harmadik országról, hogy megfelelő védelmi szintet nyújt („megfelelőségi határozat”); ami azt jelenti, hogy vállalkozása vagy szervezete továbbíthatja az adatokat egy másik vállalkozással az illető harmadik országba anélkül, hogy az adatátadónak kiegészítő garanciákat kellene nyújtania vagy további feltételeknek kellene megfelelnie. Más szóval a „megfelelő” harmadik országba történő adattovábbítás az EU-n belüli adattovábbításhoz hasonlítható.
  • megfelelőségi határozat hiányában az adattovábbítást megfelelő garanciák nyújtásával és azon feltétel mentén lehet végrehajtani, hogy az érintettek számára elérhetővé teszik az érvényesíthető jogokat és a hatékony jogorvoslati lehetőségeket. A megfelelő garanciák közé tartoznak többek között a következők:
    • vállalkozáscsoportok vagy közös gazdasági tevékenységben részt vevő vállalatcsoportok esetében a vállalatok a személyes adatokat az úgynevezett kötelező erejű vállalati szabályok alapján továbbíthatják;
    • szerződéses megállapodások a személyes adatok címzettjével, például az Európai Bizottság által jóváhagyott általános szerződési feltételek felhasználásával;
    • magatartási kódex vagy tanúsítási mechanizmus betartása, valamint a címzett jogilag kötelező erejű, kikényszeríthető jogi kötelezettségvállalásának megszerzése a továbbított adatok védelmét biztosító megfelelő garanciák alkalmazása érdekében.
  • Végül pedig, ha a személyes adatokat olyan harmadik országnak tervezik továbbítani, amelyre nem vonatkozik megfelelőségi határozat és a megfelelő garanciák is hiányoznak, bizonyos helyzetekben egy sor eltérés érvényesíthető, például olyankor, ha egy személy kifejezetten hozzájárult a javasolt adattovábbításhoz, miután tájékoztatták az adattovábbításhoz kapcsolódó kockázatokra vonatkozó összes szükséges információról.

Példa

Egy francia vállalkozás szeretné kiterjeszteni a szolgáltatásait Dél-Amerikába, nevezetesen Argentínába, Uruguayba és Brazíliába. Az első lépés annak ellenőrzése, hogy ezen országok megfelelőségi határozat hatálya alá tartoznak-e. Jelen esetben Argentína és Uruguay megfelelőnek minősülnek. Ebbe a két harmadik országba kiegészítő garanciák nélkül továbbíthatja az adatokat, miközben a megfelelőségi határozat hatálya alá nem tartozó Brazíliába történő adattovábbítás során megfelelő garanciákat kell nyújtania.

Hivatkozások

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

1 COM(2017)7 final