Hosszú várakozás után az Európai Bizottság jóvá hagyta a harmadik országok részére történő személyes adat továbbításra vonatkozó általános szerződési feltételek új változatát.
Napjaink globalizált világában rengeteg személyes adat kerül továbbításra a határokon túlra, elsősorban mivel a személyes adatokat igen gyakran különböző országban lévő kiszolgálókon tárolják. A GDPR által nyújtott védelem az adatokkal együtt „utazik”, vagyis a személyes adatok védelmét szolgáló előírások attól függetlenül érvényesek és betartandók, hogy az adatok mely országba kerülnek továbbításra, még akkor is, ha a célállomás egy Európai Unión kívüli ország.
A GDPR rendelet jelenleg is különféle adattovábbítási mechanizmusokat határoz meg a személyes adatok harmadik országokba történő legális továbbításához. E mechanizmusok egyike az úgynevezett általános adatvédelmi kikötések („modell szerződések”) alkalmazása, amelyeket az Európai Bizottság fogadott el, és amelyek biztosítják a nemzetközi adattovábbítás megfelelő adatvédelmi garanciáit. A modell szerződések messze a leggyakrabban használt átviteli mechanizmusok. Ugyan a modell szerződések használata már elterjedt, 2021. június 27-ével azonban változtak az alkalmazásuk keretei.
Mi minősül harmadik országnak a GDPR alapján?
Harmadik országnak lényegében az Európai Gazdasági Térség (EGT) tagállamain kívüli országok tekinthetők. Az EGT tagjai az Európai Unió tagállamai továbbá Izland, Lichtenstein és Norvégia.
Mi minősül adattovábbításnak?
A teljesség igénye nélkül adattovábbításról beszélhetünk, ha a továbbított adatot harmadik országbeli felhő szerveren tárolják, vagy akár távoli hozzáférést (remote access) engednek személyes adatokhoz például egy külső tanácsadónak. Egy-egy szerződés megkötésekor nem is gondolnánk, hogy harmadik országbeli adat továbbításról van szó, azaz a feladattal megbízott cég harmadik országbeli szerveren tárolja a személyes adatokat. Éppen ezért érdemes átfésülni a vállalkozás adatkezelési tevékenységeit, és a különböző adatfeldolgozókkal kötött adatfeldolgozói megállapodásokat.
Mit jelent ez a vállalkozások számára?
Ha az Ön vállalkozása olyan partnerekkel, adatfeldolgozókkal dolgozik, melyek harmadik országban tárolják vagy oda továbbítják az Ön által tovább adott személyes adatokat, meg kell vizsgálni, hogy az adatfeldolgozói megállapodáson kívül megkötötték- e már az említett modell szerződéseket, illetve, ha igen, akkor be kell ütemeznie azok cseréjét.
Milyen határidőkre figyeljünk?
Az új modellszerződések 2021. június 27-én léptek hatályba. 2021. szeptember 27-től az új adatfeldolgozóval történő szerződéskötés esetén már csak az új modellszerződések használata lesz megengedett, 2022. december 27-től pedig a most meglévő modellszerződések cseréjét teljes körűen végre kell hajtani.
Mik a főbb újdonságok az új modellszerződésekben a régiekhez képest?
- Sokkal részletesebb leírást követel meg az adattovábbítás célját, jellegét illetően
- A továbbított adatok sokkal pontosabb felsorolása szükséges
- Részletesen meg kell határozni az adattovábbítás gyakoriságát
- Pontosan meg kell határozni, hogy mennyi ideig tárolják ezen adatokat
- Meg kell határozni, hogy az Adatfeldolgozó milyen technikai és szervezeti intézkedéseket (TOM) hoz annak érdekében, hogy garantálja az adatok biztonságát
- Valamennyi további adatfeldolgozót fel kell sorolni
- Meg kell határozni az illetékes felügyeleti hatóságot
- A feleknek közösen ki kell jelölnie az eljáró bíróságot és joghatóságot.
Amennyiben segítségre lenne szüksége, hogy eligazodjon a nemzetközi adattovábbítás területén, illetve a modell szerződések megkötésében, forduljon hozzánk bizalommal.
Cikksorozatunk következő részében összefoglaljuk, hogy mire szükséges figyelni a harmadik országokba történő adattovábbítás során.
Amennyiben szakértői segítségre van szüksége a fentiekkel kapcsolatban, forduljon irodánkhoz bizalommal az iroda@tomosvarilaw.hu e-mail címen vagy foglaljon időpontot honlapunkon keresztül!
