Válasz
Napjaink globalizált világában rengeteg személyes adatot továbbítanak a határokon túlra, és ezeket néha különböző országban lévő kiszolgálókon tárolják. Az általános adatvédelmi rendelet által nyújtott védelem az adatokkal együtt utazik, vagyis a személyes adatok védelmét szolgáló szabályok továbbra is érvényesek, függetlenül attól, hogy az adatok hová kerülnek. Ez akkor is érvényes, ha az adatokat nem uniós országba továbbítják.
Az általános adatvédelmi rendelet különböző eszközöket nyújt arra az esetre, amikor az adatokat az EU-ból harmadik országba továbbítják:
- bizonyos esetekben az Európai Bizottság határozata kinyilvánítja egy harmadik országról, hogy megfelelő védelmi szintet nyújt („megfelelőségi határozat”); ami azt jelenti, hogy vállalkozása vagy szervezete továbbíthatja az adatokat egy másik vállalkozással az illető harmadik országba anélkül, hogy az adatátadónak kiegészítő garanciákat kellene nyújtania vagy további feltételeknek kellene megfelelnie. Más szóval a „megfelelő” harmadik országba történő adattovábbítás az EU-n belüli adattovábbításhoz hasonlítható.
- megfelelőségi határozat hiányában az adattovábbítást megfelelő garanciák nyújtásával és azon feltétel mentén lehet végrehajtani, hogy az érintettek számára elérhetővé teszik az érvényesíthető jogokat és a hatékony jogorvoslati lehetőségeket. A megfelelő garanciák közé tartoznak többek között a következők:
- vállalkozáscsoportok vagy közös gazdasági tevékenységben részt vevő vállalatcsoportok esetében a vállalatok a személyes adatokat az úgynevezett kötelező erejű vállalati szabályok alapján továbbíthatják;
- szerződéses megállapodások a személyes adatok címzettjével, például az Európai Bizottság által jóváhagyott általános szerződési feltételek felhasználásával;
- magatartási kódex vagy tanúsítási mechanizmus betartása, valamint a címzett jogilag kötelező erejű, kikényszeríthető jogi kötelezettségvállalásának megszerzése a továbbított adatok védelmét biztosító megfelelő garanciák alkalmazása érdekében.
- Végül pedig, ha a személyes adatokat olyan harmadik országnak tervezik továbbítani, amelyre nem vonatkozik megfelelőségi határozat és a megfelelő garanciák is hiányoznak, bizonyos helyzetekben egy sor eltérés érvényesíthető, például olyankor, ha egy személy kifejezetten hozzájárult a javasolt adattovábbításhoz, miután tájékoztatták az adattovábbításhoz kapcsolódó kockázatokra vonatkozó összes szükséges információról.
Példa
Egy francia vállalkozás szeretné kiterjeszteni a szolgáltatásait Dél-Amerikába, nevezetesen Argentínába, Uruguayba és Brazíliába. Az első lépés annak ellenőrzése, hogy ezen országok megfelelőségi határozat hatálya alá tartoznak-e. Jelen esetben Argentína és Uruguay megfelelőnek minősülnek. Ebbe a két harmadik országba kiegészítő garanciák nélkül továbbíthatja az adatokat, miközben a megfelelőségi határozat hatálya alá nem tartozó Brazíliába történő adattovábbítás során megfelelő garanciákat kell nyújtania.
Hivatkozások
- Az általános adatvédelmi rendelet V. fejezete (44–50. cikk) és (101) – (116) preambulumbekezdése
- Az Európai Adatvédelmi Testület iránymutatásai a nemzetközi adattovábbításokról
- Az Európai Adatvédelmi Testület iránymutatásai a megfelelőségi referenciáról
- Az Európai Adatvédelmi Testület iránymutatásai az adatkezelőkre vonatkozó kötelező erejű vállalati szabályokról
- Az Európai Adatvédelmi Testület iránymutatásai az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokról
- Lásd még az Európai Bizottság közleményét: A személyes adatok cseréje és védelme a globalizált világban, 2017. január 10.
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final