A Piac & Profit minden, a GDPR-ral kapcsolatos cikkét itt találja!
Kérdés:Milyen szabályok érvényesek, ha a szervezetem az EU-n kívülre továbbít adatokat?
Válasz:
Napjaink globalizált világában rengeteg személyes adatot továbbítanak a határokon túlra, és ezeket néha különböző országban lévő kiszolgálókon tárolják. Az általános adatvédelmi rendelet által nyújtott védelem az adatokkal együtt utazik, vagyis a személyes adatok védelmét szolgáló szabályok továbbra is érvényesek, függetlenül attól, hogy az adatok hová kerülnek. Ez akkor is érvényes, ha az adatokat nem uniós országba továbbítják.
Az általános adatvédelmi rendelet különböző eszközöket nyújt arra az esetre, amikor az adatokat az EU-ból harmadik országba továbbítják:
- bizonyos esetekben az Európai Bizottság határozata kinyilvánítja egy harmadik országról, hogy megfelelő védelmi szintet nyújt („megfelelőségi határozat”); ami azt jelenti, hogy vállalkozása vagy szervezete továbbíthatja az adatokat egy másik vállalkozással az illető harmadik országba anélkül, hogy az adatátadónak kiegészítő garanciákat kellene nyújtania vagy további feltételeknek kellene megfelelnie. Más szóval a „megfelelő” harmadik országba történő adattovábbítás az EU-n belüli adattovábbításhoz hasonlítható.
- megfelelőségi határozat hiányában az adattovábbítást megfelelő garanciák nyújtásával és azon feltétel mentén lehet végrehajtani, hogy az érintettek számára elérhetővé teszik az érvényesíthető jogokat és a hatékony jogorvoslati lehetőségeket. A megfelelő garanciák közé tartoznak többek között a következők:
- vállalkozáscsoportok vagy közös gazdasági tevékenységben részt vevő vállalatcsoportok esetében a vállalatok a személyes adatokat az úgynevezett kötelező erejű vállalati szabályok alapján továbbíthatják;
- szerződéses megállapodások a személyes adatok címzettjével, például az Európai Bizottság által jóváhagyott általános szerződési feltételek felhasználásával;
- magatartási kódex vagy tanúsítási mechanizmus betartása, valamint a címzett jogilag kötelező erejű, kikényszeríthető jogi kötelezettségvállalásának megszerzése a továbbított adatok védelmét biztosító megfelelő garanciák alkalmazása érdekében.
- Végül pedig, ha a személyes adatokat olyan harmadik országnak tervezik továbbítani, amelyre nem vonatkozik megfelelőségi határozat és a megfelelő garanciák is hiányoznak, bizonyos helyzetekben egy sor eltérés érvényesíthető, például olyankor, ha egy személy kifejezetten hozzájárult a javasolt adattovábbításhoz, miután tájékoztatták az adattovábbításhoz kapcsolódó kockázatokra vonatkozó összes szükséges információról.
Itt elérhető az Európai Bizottság adatvédelemmel kapcsolatos tájékoztatása!
PÉLDAEgy francia vállalkozás szeretné kiterjeszteni a szolgáltatásait Dél-Amerikába, nevezetesen Argentínába, Uruguayba és Brazíliába. Az első lépés annak ellenőrzése, hogy ezen országok megfelelőségi határozat hatálya alá tartoznak-e. Jelen esetben Argentína és Uruguay megfelelőnek minősülnek. Ebbe a két harmadik országba kiegészítő garanciák nélkül továbbíthatja az adatokat, miközben a megfelelőségi határozat hatálya alá nem tartozó Brazíliába történő adattovábbítás során megfelelő garanciákat kell nyújtania.
Előző kérdés: Szükségem van-e adatvédelmi tisztviselőre?