Személyes adatok továbbítása külföldre. Hogyan szabályosan?

Az Infotörvény szerint személyes adat harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ill. hozzáférés akkor biztosítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy törvény teszi azt lehetővé és a harmadik országban az átadott adatok kezelése, feldolgozása során a személyes adatok megfelelő szintű védelme biztosított.

Minden olyan államot, amely nem EGT (Európai Gazdasági Térség) tagállam harmadik országbeli államnak kell tekinteni

A GDPR szerint a személyes adattovábbítások esetén nem sérülhet a természetes személyeknek EU-ban biztosított adatvédelmének szintje.

Harmadik országok védelmi szintjeinek megfelelőségére igazolás az Európai Bizottság megfelelőségi határozata.

A Bizottság az elmúlt években számos ország adatvédelmi keretrendszerét vizsgálta meg és állított ki megfelelőségi határozatokat melyek a honlapjukról lekérdezhetők.

Az EU-USA adattovábbításokkal összefüggésben létrehoztak egy nyilvánosan elérhető listát, amelynek a neve Data Privacy Framework List.

Erre a listára olyan Amerikai Egyesült Államok – béli cégek kerülhetnek fel, amelyek vállalják a – megfelelő szintű védelemhez szükséges intézkedések meghozatalát.

Természetesen a megfelelőségi határozat megléte csak egy eleme az elvárt garanciáknak, amelyek adattovábbítás esetén felmerülnek.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR –nek megfelelő technikai és szervezési intézkedések végrehajtására.

Ezeket a garanciákat – EU-n belüli vagy kívüli partner esetén egyaránt – szabályos adatfeldolgozási szerződésben kell rögzíteni.

Végezetül megfelelőségi határozat hiányában is sor kerülhet személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására, ezek a GDPR 49. cikke szerinti ún. különös helyzetekben biztosított eltérések, amikor is legalább egy, a GDPR-ben meghatározott feltételnek teljesülnie kell.

Ilyen eset lehet:

1. az érintett kifejezett hozzájárulása (feltéve, hogy megelőzőleg tájékoztatták az adattovábbításból eredő esetleges kockázatokról);
2. ha az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
3. az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
4. az adattovábbítás fontos közérdekből szükséges;
5. az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
6. az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
7. a továbbított adatok egy nyilvánosság tájékoztatását szolgáló nyilvántartásból származnak, és amely a nyilvánosság, vagy bármely ezzel kapcsolatos jogos érdekét igazoló személy számára betekintés céljából hozzáférhető.

A ledokumentálásokhoz és a garanciák vállalásához segítséget nyújthat az Európai Bizottság által készített dokumentum paletta az ún. Standard Contractual Clauses (SCC). Ez olyan szerződés mintacsomag, amelyben levő dokumentumokat a szerződő felek saját igényeik szerint tovább szerkeszthetnek.