1.) Megfelelőségi határozat alapján (GDPR 45. cikk)

A GDPR 45. cikke alapján személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására sor kerülhet akkor, ha az Európai Bizottság határozatában megállapította, hogy a harmadik ország, vagy annak valamely területe, vagy egy vagy több ágazata, illetve a szóban forgó nemzetközi szervezet az uniós adatvédelmi szintnek megfelelő védelmi szintet biztosít. A GDPR 45. cikk (2) bekezdése meghatározza azokat az általános szempontokat, amelyeket a Bizottság a védelmi szint megfelelőségének értékelése során figyelembe vesz. A Bizottság időszakosan, rendszeresen figyelemmel kíséri a védelmi szint megfelelőségét azokban az országokban (annak valamely területén, valamely ágazatban, nemzetközi szervezeteknél), amelyek vonatkozásában korábban megfelelőségi határozatot hozott, és amennyiben azt állapítja meg, hogy a megfelelő védelmi szint már nem biztosított, határozatát hatályon kívül helyezi, módosítja vagy felfüggeszti.

Jelenleg Andorra, Argentína, Kanada (kereskedelmi szervezetei), a Feröer-szigetek, Guernsey, Izrael, a Man-sziget, Japán, Jersey, Új-Zéland, a Koreai Köztársaság, Svájc, az Egyesült Királyság és Urugay rendelkezik megfelelőségi határozattal.

hasznos link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_hu

 

2.) Transz-Atlanti Megfelelőségi Kerethatározat (Data Privacy Framework)

Az Európai Bizottság 2023. július 10-én megfelelőségi határozatot fogadott el az új EU-USA adatvédelmi keretre vonatkozóan, amelyben megállapítja, hogy a személyes adatok az Európai Unióból biztonságosan továbbíthatók az új keretben részt vevő amerikai vállalatokhoz, az Egyesült Államok megfelelő védelmi szintet biztosít az EU-ból a résztvevő amerikai vállalatoknak továbbított személyes adatok tekintetében. Az Transz-Atlanti Megfelelőségi Kerethatározathoz történő csatlakozás alapfeltétele, hogy az amerikai vállalatok adatkezelőként kötelezettséget vállalnak a GDPR-nak megfelelő adatvédelmi intézkedések bevezetéséről. A csatlakozott amerikai vállalatok listája az alábbi linken tekinthető meg: https://www.dataprivacyframework.gov/s/participant-search

Az USA hatóságai a Transz-Atlanti Megfelelőségi Kerethatározat alapján biztosítékok mellett férhetnek hozzá EU állampolgárok személyes adataihoz bűnüldözési és a nemzetbiztonsági célokból és mindenképpen szem előtt kell tartaniuk a szükségesség és arányosság szempontrendszerét. Az Egyesült Államok által bevezetett biztosítékok általánosabb értelemben is megkönnyítik a transzatlanti adatáramlást, mivel akkor is alkalmazandók, ha az adattovábbítás más eszközök – például általános szerződési feltételek és kötelező erejű vállalati szabályok – alkalmazásával történik.

A Transz-Atlanti Megfelelőségi Kerethatározat egyik kiemelt garanciája a kétszintű panasztételi lehetőség európai polgárok számára: egyrészt fordulhatnak az amerikai nemzetbiztonsági szolgálatoknál foglalkoztatott polgári jogokat védő tisztviselőhöz (Civil Liberties Protection Officer) és az ő elutasító döntése ellen fellebbezhetnek egy független speciális, három tagból álló bírói testülethez, az Adatvédelmi Felülvizsgálati Bírósághoz (DPRC), ami a hírszerző szolgálatok általi adatfelhasználás és adathozzáférés jogszerűségét vizsgálhatja felül. A DPRC jogorvoslati mechanizmusait az uniós polgárok az illetékes uniós adatvédelmi hatósághoz benyújtott kérelem útján vehetik igénybe, melyet aztán biztonságos csatornákon az Európai Adatvédelmi Testülethez kell továbbítani és a panasz így kerül „kipostázásra”. Az ügyben született döntés ugyanezt az utat járja be.

Hasznos link: https://www.justice.gov/opa/pr/attorney-general-merrick-b-garland-announces-judges-data-protection-review-court

 

Általános tájékoztató az USA-ba történő, 2023. július 10-ét követő adattovábbításokról (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf

Tájékoztató  a Transz-Atlanti Megfelelőségi Kerethatározat kapcsán az USA-ba történő, 2023. július 10-ét követő adattovábbításokról a nemzetbiztonsági célú adatkezelésekkel összefüggésben igénybe vehető jogorvoslatokról (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2024-04/edpb_information-note_dpf-redress-mechanism-national-security-purposes_en.pdf

Panaszformanyomtatvány az USA-ba történő, 2023. július 10-ét követően továbbított személyes adatok nemzetbiztonsági célú kezelésével kapcsolatban (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2024-04/edpb_dpf_template-complaint-form_national-security-purposes_en.pdf

Panaszformanyomtatvány az USA-ba történő, 2023. július 10-ét követően továbbított személyes adatok kereskedelmi célú kezelésével kapcsolatban – munkaügyi adattovábbítás esetei, vagy abban ez esetben, ha az adatkezelő önként aláveti magát az uniós adatvédelmi hatóságokkal való együttműködésnek (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2024-04/dpf_template-complaint-form_commercial-complaints_en.pdf

Az uniós adatvédelmi hatóságok eljárási szabályzata a Transz-Atlanti Megfelelőségi Kerethatározat kapcsán a nemzetbiztonsági célú adatkezelések esetében benyújtott panaszok intézésére (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2024-04/edpb_rules-of-procedure_national-security-purposes_en.pdf

Az uniós adatvédelmi hatóságok eljárási szabályzata a Transz-Atlanti Megfelelőségi Kerethatározat kapcsán a személyes adatok kereskedelmi célú kezelésével kapcsolatban – munkaügyi adattovábbítás esetei, vagy abban ez esetben, ha az adatkezelő önként aláveti magát az uniós adatvédelmi hatóságokkal való együttműködésnek (jelenleg csak angol nyelven elérhető):

https://www.edpb.europa.eu/system/files/2024-04/dpf_rules-of-procedure_informal-panel-dpas_en.pdf

 

3.) Megfelelő garanciák alapján történő adattovábbítások (GDPR 46. cikk)

A GDPR 45. cikke szerinti megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adattovábbítás megfelelőségét illetően ún. megfelelő garanciákat nyújtott, valamint ha az érintettek számára érvényesíthető adatvédelmi jogok és jogorvoslati lehetőségek állnak rendelkezésre. Valamely adatvédelmi felügyeleti hatóság külön engedélye nélkül megfelelő garanciának minősülhetnek például a közhatalmi, vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű kikényszeríthető eszközök, az ún. kötelező erejű vállalati szabályok , valamely felügyeleti hatóság által elfogadott, és a Bizottság által jóváhagyott általános adatvédelmi kikötések.

 

4.) Kötelező erejű vállalati szabályozás (Binding Corporate Rules -BCR, GDPR 47. cikk)

Az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítására vagy ilyen továbbítások sorozatára alkalmazandó belső adatvédelmi szabályzat, amely a csoportba tartozó adatkezelőkre, adatfeldolgozókra kötelező függetlenül attól, hogy az adott adatkezelő vagy adatfeldolgozó az Unió területén vagy harmadik országban található. A BCR jóváhagyása iránti kérelmet benyújtó vállalatcsoportnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész csoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető a csoport minden tagjára nézve, a székhelyüktől függetlenül, illetve a munkavállalókra nézve is.

Ha egy vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja BCR-t szeretne alkalmazni, akkor mindenekelőtt meg kell jelölnie a WP 263 rev. 01 munkadokumentum kritériumainak alkalmazásával egy vezető hatóságot, amely koordinálja a tervezett BCR szöveg megfelelőségének uniós szinten történő elfogadását, vagyis az egységességi mechanizmus alkalmazásával történő jóváhagyást. Amennyiben a csoport másik tagállam felügyeleti hatóságát tekinti „illetékesnek”, (mivel például ott található csoport európai központja), akkor a csoport magyarországi tagjának nem szükséges a Hatóságnál kérelmezni a BCR jóváhagyását. Ilyen esetben ugyanis, a Testület álláspontja szerint, a vezető hatóságként kijelölt tagállami felügyeleti hatóság tekinthető a GDPR szerinti „illetékes” hatóságnak, amely lefolytatja a BCR jóváhagyására irányuló eljárást. Az ilyen eljárások során, amennyiben a magyar hatóság érintett, a WP 263 rev. 01 munkadokumentum szerinti együttműködési eljárás során véleményezheti a BCR-t. Emellett az Európai Adatvédelmi Testület is véleményt bocsát ki a vezető hatóság által hozzá benyújtott tervezetről, amely által uniós szinten megvizsgálásra kerül a BCR megfelelősége. Az elfogadott BCR-ok jegyzéke itt tekinthető meg: https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_hu

A BCR-t Magyarországon alkalmazó adatkezelők listája itt tekinthető meg.

A GDPR-on felül a BCR tartalmára vonatkozóan irányadónak tekintendők az Európai Adatvédelmi Testület által elfogadott alábbi munkadokumentumok:

- WP 256 rev. 01:  Munkadokumentum a kötelező erejű vállalati szabályokba belefoglalandó elemeket és elveket tartalmazó táblázat meghatározásáról

- WP 257 rev. 01: Az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályok elemeit és elveit tartalmazó táblázatot létrehozó munkadokumentum

Amennyiben egy csoport úgy ítéli meg a WP 263 rev. 01 munkadokumentumban lefektetett kritériumok alapján, hogy a NAIH a vezető hatóság a BCR vonatkozásában, akkor a Hatóság az Infotv. 64/A-64/D §-ai szerinti adatkezelési engedélyezési eljárás szabályainak megfelelően kérelmezni kell a BCR jóváhagyását. Az Infotv. szabályait egészíti ki az igazságügyi miniszter 25/2018 (IX. 3.) IM rendelete, amely úgy rendelkezik, hogy a BCR jóváhagyására irányuló engedélyezési eljárás igazgatási szolgáltatási díja 288 000 forint. A díjat a NAIH kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni.

6. A harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás egyéb esetei (GDPR 48. és 49. cikk)

Harmadik országba történő adattovábbításra sor kerülhet valamely harmadik ország bíróságának ítélete, illetve közigazgatási határozatának döntése alapján is, amennyiben az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létezik olyan hatályos nemzetközi megállapodás, például kölcsönös jogsegélyszerződés, amely nem sérti az adattovábbítás GDPR-nak a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítására vonatkozó V. fejezetét, ez a GDPR 48. cikke szerinti ún. uniós jog által nem engedélyezett továbbítás és közlés.

Végül a Bizottság által kibocsátott megfelelőségi határozat, illetve a GDPR 46. cikke szerinti megfelelő garanciák (ideértve természetesen a kötelező erejű vállalati szabályokat) hiányában is sor kerülhet személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására, ezek a GDPR 49. cikke szerinti ún. különös helyzetekben biztosított eltérések, amikor is legalább egy, a GDPR-ban meghatározott feltételnek teljesülnie kell. Ilyen eset lehet:

  • az érintett kifejezett hozzájárulása (feltéve, hogy megelőzőleg tájékoztatták az adattovábbításból eredő esetleges kockázatokról),
  • ha az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
  • az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
  • az adattovábbítás fontos közérdekből szükséges;
  • az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
  • az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
  • a továbbított adatok egy nyilvánosság tájékoztatását szolgáló nyilvántartásból származnak, és amely a nyilvánosság, vagy bármely ezzel kapcsolatos jogos érdekét igazoló személy számára betekintés céljából hozzáférhető.