Ahogy korábbi cikkünkben említettük, a GDPR rendelet különféle adattovábbítási mechanizmusokat határoz meg a személyes adatok harmadik országokba történő legális továbbításához. Egyik ilyen kötelező az adatfeldolgozókkal megkötendő mechanizmus a korábbi cikkünkben bemutatott ún. modell szerződések alkalmazása. Az új modellszerződések 2021. június 27-én léptek hatályba. 2021. szeptember 27-től az új adatfeldolgozóval történő szerződéskötés esetén már csak az új modellszerződések használata lesz megengedett, 2022. december 27-től pedig a most meglévő modellszerződések cseréjét teljes körűen végre kell hajtani.
Az Európai Bizottság előírásain túl a modellszerződésekkel kapcsolatban – vonatkozó ítéletében – az Európai Bíróság is meghatározta azokat a feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően az adatkezelőnek vizsgálni kell ahhoz, hogy biztosított legyen a személyes adatok megfelelő védelme.
Mire figyeljen, ha személyes adatait harmadik országba továbbítja?
Ha az Ön cége harmadik országba továbbít adatokat, akár közvetlenül, akár saját adatfeldolgozója, vagy további adatfeldolgozókon keresztül, köteles felmérni, hogy az érintett harmadik országban (az adatimportáló országában) megfelelő szintű-e az adatvédelem jogi feltételrendszere.
A modellszerződések megkövetelik az adatfeldolgozótól, hogy minden adattovábbítás előtt ellenőrizze, hogy a védelem előírt szintjét tiszteletben tartják-e a szóban forgó harmadik országban. Abban az esetben, ha nem, az érintett harmadik ország tájékoztatni köteles Önt vagy az Ön adatfeldolgozóját arról, hogy nem képes megfelelni az adatvédelmi követelményeknek. Vizsgálandó például, hogy a harmadik országban mely szervezetek tartoznak olyan jogszabály hatálya alá, amely alapján az adatok állami megfigyelési program keretében hozzáférhetővé válhatnak, mert ezek esetében további technikai intézkedések meghozatal válik szükségessé.
Ha ez bekövetkezik, akkor meg kell határozni azon további technikai és szervezési inzézkedéseket, melyek kompenzálják az adatvédelmi hiányosságokat.
Melyik az a hat lépés, melyet érdemes követni annak érdekében, hogy a fenti követelményeknek biztosan megfeleljen?
• 1. lépés: Részletesen ismerje meg az adattovábbításait, azaz mérje fel, azonosítsa be, mely személyes adatokat továbbítja harmadik országba, majd ellenőrizze, hogy az átadott adatok megfelelőek-e, relevánsak-e és kellőképpen korlátozottak-e ahhoz a harmadik országba történő továbbításuk és feldolgozásuk céljai szempontjából.
• 2. lépés: Azonosítsa azokat a jogi adattovábbítási módozatokat, amelyekre jelenleg támaszkodik (megfelelősségi határozat, kötelező vállalati szabályok, modellszerződések).
• 3. lépés: Értékelje, hogy az Ön által alkalmazott jogi adattovábbítási módozatok hatékonyak-e. Vizsgálja meg, hogy van-e olyan tényező a harmadik ország vonatkozó jogi előírásaiban vagy gyakorlatában, amely befolyásolhatja az átadási eszköz megfelelő biztosítékainak hatékonyságát. Az értékelést dokumentálni is szükséges.
• 4. lépés: Alkalmazzon kiegészítő technikai és szervezési intézkedéseket.
• 5. lépés: Ha kiegészítő intézkedéseket állapított meg, határozza meg azok bevezetésének lépéseit.
• 6. lépés: Megfelelő időközönként értékelje ezen intézkedések hatékonyságát.
Amennyiben segítségre lenne szüksége nemzetközi adattovábbításainak értékelésére és a megfelelő intézkedések megállapítása kapcsán, készséggel állunk rendelkezésére az iroda@tomosvarilaw.hu e-mail címen vagy foglaljon időpontot honlapunkon keresztül!
