Az általános adatvédelmi rendelet rendelkezései alapján vannak olyan eszközök, amelyek akkor jelentenek megfelelő garanciákat a harmadik országba történő adattovábbítás során, amennyiben azt az illetékes felügyeleti hatóság jóváhagyja, engedélyezi.
Az adattovábbításra az illetékes felügyeleti hatóság külön engedélye nélkül sor kerülhet, azonban az alapjául szolgáló eszközt az illetékes hatóságnak jóvá kell hagynia:
- kötelező erejű vállalati szabályok (BCR),
- magatartási kódex,
- tanúsítás.
Az illetékes felügyeleti hatóság engedélyével az alábbiak is megfelelő garanciákat jelentenek:
- az adatkezelő vagy adatfeldolgozó és a harmadik országbeli adatkezelő vagy adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések,
- közhatalmi vagy egyéb közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.
1. BCR jóváhagyása
Részletesebb információk itt találhatók a Kötelező szervezeti Szabályozás (BCR)-ról.
2. Magatartási kódex és tanúsítás jóváhagyása
Az engedélyezés (jóváhagyás) folyamatát lásd korábban.
3. Az adatkezelő vagy adatfeldolgozó és a harmadik országbeli adatkezelő vagy adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések engedélyezése
Harmadik országba történő adattovábbításra sor kerülhet akkor is, ha az adatkezelő vagy adatfeldolgozó az illetékes felügyeleti hatóság engedélyével a megfelelő garanciákat a közötte és a harmadik országbeli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések útján biztosítja. Az ilyen szerződéses rendelkezések engedélyezésére azon tagállam felügyeleti hatósága rendelkezik az általános adatvédelmi rendelet szerinti „illetékességgel”, amelyből a személyes adatok továbbítására sor kerül.
Az ilyen szerződéses rendelkezésekkel kapcsolatban a Testület még nem adott ki iránymutatást, további információk a későbbiekben lesznek elérhetők.
Az eljárásért fizetendő igazgatási szolgáltatási díj:
288 000 forint [Az adatkezelési engedélyezési eljárás lefolytatásáért fizetendő igazgatási szolgáltatási díjról szóló 25/2018 (IX. 3.) IM rendelet]
Az eljárás megindítására vonatkozó kérelmét a Hatóságnál:
a.) a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény szerinti elektronikus ügyintézésre kötelezett ügyfél esetében, valamint az elektronikus ügyintézést önkéntesen vállaló ügyfél esetén, a törvényben meghatározott elektronikus úton (hivatali tárhelyen vagy cégkapu, aktív felhasználói profil birtokában e-Papír szolgáltatáson keresztül)
b.) elektronikus ügyintézésre nem kötelezett ügyfél esetén (pl. természetes személy) a fentieken túl
ba) írásban, eredeti aláírással ellátva, postai úton a Hatóság levelezési címén (1363 Budapest, Pf. 9.) is, vagy
bb) személyes átadással, a Hatóság nyitvatartási idejében, előzetes időpont egyeztetése nélkül,
nyújtható be.
Az eljárás megindítása iránti kérelem előírt elemei:
A kérelemnek tartalmaznia kell:
- ügyfél és képviselője azonosításához szükséges adatokat és elérhetőséget (jogi személy esetén: jogi személy neve, székhelye, cégjegyzékszáma, képviseletre jogosult neve, ha rendelkezik adatvédelmi tisztviselővel, az adatvédelmi tisztviselő neve és elérhetősége)
- a szerződéses rendelkezések tervezetét.
Az ügyintézési határidő:
Az eljárásban az ügyintézési határidő kilencven nap. A Hatóság az eljárást az általános adatvédelmi rendeletben meghatározott együttműködési eljárás, valamint egységességi mechanizmus alkalmazásának időtartalmára felfüggeszti.
4. Közhatalmi vagy egyéb közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések engedélyezése
Harmadik országba történő adattovábbításra sor kerülhet akkor is, ha a megfelelő garanciákat az illetékes felügyeleti hatóság által engedélyezett közhatalmi vagy egyéb közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezésekkel biztosítják. Az ilyen rendelkezéseknek ki kell terjedniük az érintettek érvényesíthető és tényleges jogaira is. Az engedélyezésre azon tagállam felügyeleti hatósága rendelkezik az általános adatvédelmi rendelet szerinti „illetékességgel”, amelyből a személyes adatok továbbítására sor kerül.
Ez az eszköz tehát közhatalmi vagy közfeladatot ellátó szervek által alkalmazható, amely harmadik országban található közhatalmi vagy közfeladatot ellátó szerv(ek) részére kíván személyes adatokat továbbítani, abban az esetben, ha a szervek valamelyikének nincs lehetősége, hatásköre más módon megfelelő garanciákat biztosítani (például nem tud jogilag kötelező erejű megállapodást kötni). Ez az eszköz nem alkalmas arra, hogy egy közhatalmi vagy közfeladatot ellátó szerv és egy magánjogi szerv közötti adattovábbításhoz teremtse meg a megfelelő garanciákat.
A Testület még nem adott ki iránymutatást ezzel az eszközzel kapcsolatban, ezért további információk a későbbiekben lesznek elérhetők.
Az eljárásért fizetendő igazgatási szolgáltatási díj:
288 000 forint [Az adatkezelési engedélyezési eljárás lefolytatásáért fizetendő igazgatási szolgáltatási díjról szóló 25/2018 (IX. 3.) IM rendelet]
Az eljárás megindítására vonatkozó kérelmét a Hatóságnál:
a.) a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény szerinti elektronikus ügyintézésre kötelezett ügyfél esetében, valamint az elektronikus ügyintézést önkéntesen vállaló ügyfél esetén, a törvényben meghatározott elektronikus úton (hivatali tárhelyen vagy cégkapu, aktív felhasználói profil birtokában e-Papír szolgáltatáson keresztül)
b.) elektronikus ügyintézésre nem kötelezett ügyfél esetén (pl. természetes személy) a fentieken túl
ba) írásban, eredeti aláírással ellátva, postai úton a Hatóság levelezési címén (1363 Budapest, Pf. 9.) is, vagy
bb) személyes átadással, a Hatóság nyitvatartási idejében, előzetes időpont egyeztetése nélkül,
nyújtható be.
Az eljárás megindítása iránti kérelem előírt elemei:
A kérelemnek tartalmaznia kell:
- ügyfél és képviselője azonosításához szükséges adatokat és elérhetőséget (jogi személy esetén: jogi személy neve, székhelye, cégjegyzékszáma, képviseletre jogosult neve, ha rendelkezik adatvédelmi tisztviselővel, az adatvédelmi tisztviselő neve és elérhetősége)
- a szerződéses rendelkezések tervezetét.
Az ügyintézési határidő:
Az eljárásban az ügyintézési határidő kilencven nap. A Hatóság az eljárást az általános adatvédelmi rendeletben meghatározott együttműködési eljárás, valamint egységességi mechanizmus alkalmazásának időtartalmára felfüggeszti.