A legutóbbi fontos fejlemény a külföldre történő adattovábbítások esetében az EU-n kívüli országokba történő adatkezelések újraszabályozása volt.
Az elmúlt években a digitális gazdaság jelentős fejlődésen ment keresztül. Új és összetettebb adatkezelési műveletek terjedtek el széles körben, hihetetlenül bővült a szolgáltatások kínálata, gyakran több adatátvevő és adatátadó kapcsolódik egymáshoz, akik hosszú és összetett adatkezelési láncot alkothatnak.
Ez a folyamat szükségessé teszi az általános szerződési feltételek korszerűsítését is annak érdekében, hogy azok jobban tükrözzék a realitásokat, lefedve a további adatkezelési és -továbbítási helyzeteket, és hogy rugalmasabb megközelítést tegyenek lehetővé, például a szerződéshez csatlakozni képes felek számát illetően.
Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít a személyes adatok számára. Az ilyen adattovábbításhoz nem szükséges külön engedély.
Amikor olyan szolgáltatóval kötünk szerződést, ami alapján harmadik országba történik az adattovábbítás, akkor az első feladatunk, hogy megnézzük az Európai Unió Bizottságának honlapját.
A Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, (vagy többé nem biztosítják) a megfelelő adatvédelmi szintet.
Ha a célországunk nem szerepel a listán mielőtt megkezdenénk az adattovábbítást át kell világítani a fogadó ország szabályrendszerét.
A Bizottság közzéteszi azokat az Általános Szerződési Feltételeket is, amelyek alapján már biztonságos az adattovábbítás.
Az Általános Szerződési Feltételek megkönnyítik a személyes adatoknak az Unióban székhellyel rendelkező adatkezelőtől egy olyan, harmadik országban székhellyel rendelkező adatkezelőhöz vagy adatfeldolgozóhoz történő továbbítását, amely szerződéses kötelezettség vállalás nélkül nem nyújt megfelelő szintű védelmet.
Az Európai Bizottság 2021.június 4-én elfogadta a harmadik országok részére történő személyesadat-továbbításra vonatkozó új általános szerződési feltételeket (ÁSZF) (angolul Standard Contractual Clauses SCC).
Cél a harmadik országba történő adattovábbítások jogszerűségének biztosítása. A régi ÁSZF-ek 2021. szeptember 27-ig voltak hatályban, ezt követően már az új ÁSZF forma alkalmazandó, a régiek felülvizsgálatára 2022. december 27-ig kell sort keríteni.
Az új ÁSZF modulokra épül így minden jogviszonyt képes kezelni, a közös adatkezelők szerződéseit, az adatkezelő adatfeldolgozó és további adatfeldolgozói láncot és az adatfeldolgozó- adatkezelő útvonalat is. Az ÁSZF-hez való csatlakozással további szerződést nem kell kötni, legfeljebb ki kell egészíteni további megállapodásokkal: például az érintetti megkeresés költségeinek viselése, vagy az adatvédelmi incidens bejelentésének konkrét csatornája.
Vizsgálni szükséges, hogy a harmadik országban az adatátvevő által végzett személyesadat-kezelésre alkalmazandó jogszabályok és a jogalkalmazási gyakorlatok akadályozzák-e az adatátvevőjét, hogy teljesítse az ÁSZF-ben megjelölt kötelezettségeket.
Az ÁSZF alapján történő adattovábbításra nem kerülhet sor, ha a harmadik ország jogszabályai és a gyakorlata megakadályozzák az ÁSZF végrehajtását. Az ÁSZF biztosítja a GDPR szerű védelmet. Nagy hangsúlyt kap a hatóság részére történő adatátadás értékelése, hogy miként kell kezelni az adott ország hatóságaitól érkező megkereséseket, a személyes adatkezelésre irányuló kötelező közléseket.
Részletes átvilágítást kell végezni például az ítélkezési gyakorlat és a független felügyeleti szervek jelentései alapján. Értesíteni kell az adatkezelőt, ha hatósági megkeresés érkezik az adatok megküldése iránt, vagy a hatóság közvetlenül hozzáfér a személyes adatokhoz.
Az EU-ban székelő adatkezelőnek dokumentálnia kell, hogy előzetesen átvizsgálta az adatkezelési folyamatot, annak szabályozottságát, elvégezte a célország szabályozási kockázatának a felmérését, megvizsgálta a lehetséges garanciákat. Fontos, hogy a harmadik országban lévő adatátvevő megfelelő garanciákat nyújtott, amelynek segítségével az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
Vizsgálandó a jogorvoslat és a jogérvényesítési lehetőségek, az eljáró szervek függetlensége is.
Előírás a rendszeres ellenőrzési lehetőségek beépítése a folyamatba tréningek, privacy by design, és technikai jellegű intézkedések: titkosítás, a hozzáférés korlátozása.
Ha a védelem GDPR-ral egyenértékű szintje nem biztosított, akkor nem szabad elkezdeni, vagy fel kell függeszteni, be kell fejezni az adatkezelést.
Mindenki számára fontos kérdés az Angliával lebonyolódó személyes adat-forgalom biztonsága, mert a UK tisztviselők nyilatkozatai szerint nem kívánják a GDPR-t magukra nézve egy az egyben kötelezően alkalmazni. Az új adatvédelmi szabályrendszer megtartja a GDPR kereteit, de attól rugalmasabb kíván lenni (főleg a cookie hozzájárulások területén). A cél az EU megfelelőség biztosítása.
