Adattovábbítás a cég tulajdonosa, az anyacég, illetve a többi leányvállalat felé

Főként multinacionális vállalatoknál merül fel az igény, hogy az anyacég szeretné a magyarországi leánya működését ellenőrizni.

A hazai vezetés minden további nélkül hozzáférést biztosít a tulajdonos részére az ügyfelek és munkavállalók személyes adatait tartalmazó adatbázisába. Nézzük, jól van-e ez így.

Az adattovábbításra vonatkozó jogi szabályozás

Az adatvédelmi törvény (Avtv.) így definiálja az adattovábbítás fogalmát: “ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik”. Tehát nem szükséges, hogy konkrét adatátadás történjen, elegendő egy jelszavas hozzáférés biztosítása is ahhoz, hogy adattovábbításról beszéljünk.

Az Avtv. 8. §-ának rendelkezései értelmében “személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi”.

Adattovábbítás a tulajdonos irányába

Jogi személyek esetében maga a cég önálló jogi személy, mely elkülönül a tulajdonos(ok) személyétől. Így az adatkezelő cég részére szerzett adatkezelési jogosultság nem terjed ki a cég tulajdonosaira, sem a többi leányvállalatra.

Gondoljunk csak bele abba, hogy egy OTP kisrészvényes (aki az OTP tulajdonosa) sem tekinthet bele minden OTP ügyfél folyószámlájába, pusztán azért, mert ő tulajdonos. És ez így van jól.

Tekintettel arra, hogy törvényi felhatalmazás nincs az adatok továbbítására, az adatbázisban lévő érintettek tájékozott (az adattovábbítás címzettjének és céljának feltüntetésével), egyértelmű hozzájárulása birtokában lehet csak jogszerű az adatok továbbítása, amennyiben az adattovábbítás további feltételeinek is eleget tesz az adatkezelő. A munkavállalói adatok továbbítása tekintetében ezt a munkaszerződésben vagy belső szabályzatban is rendezni lehet.

Az Avtv. 5. §-ában leírt célhoz kötöttség elvének sem felel meg a tulajdonos felé történő adattovábbítás, ugyanis az a tulajdonosi jogok gyakorlásához nem elengedhetetlenül szükséges. A tulajdonos számára elegendő a kumulált, anonim adat, nem az a lényeg, hogy ki mennyit vásárolt, hanem, hogy összességében mennyit vásároltak.

A tulajdonos az ügyvezetés ellenőrzését pedig a cég felügyelőbizottságán keresztül gyakorolhatja.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelemmel és a közérdekű adatok nyilvánosságával kapcsolatos információkról.

Külföldre történő adattovábbítás

A személyes adatok továbbításához az érintett hozzájárulásának beszerezése, vagy törvény felhatalmazása szükséges.

De mi a helyzet abban az esetben, ha külföldre irányul az adattovábbítás?

Adattovábbítás, adatfeldolgozás, harmadik ország – mit jelentenek

Az adatvédelmi törvény szerint adattovábbításnak minősül a személyes adatok harmadik személy számára történő hozzáférhetővé tétele. Ide tartozik a hétköznapi értelemben vett adattovábbítás is, de az is, ha az adatbázisunkhoz biztosítunk egy jelszavas távoli hozzáférést egy meghatározott személy vagy cég részére.

Az adatfeldolgozást két héttel ezelőtti cikkemben mutattam be.

A külföld, pontosabban a harmadik ország fogalmába pedig minden olyan államot érteni kell, amely sem az Európai Uniónak, sem az Európai Gazdasági Térségnek nem tagja.

A törvény rendelkezése a harmadik országba történő adattovábbításról

9. § (1) Személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha
a) ahhoz az érintett kifejezetten hozzájárult, vagy
b) azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

Értelmezés

A törvény tehát csak akkor engedi meg a nem EGT-államokba történő adattovábbítást, sőt az adatfeldolgozásra átadást is (!), ha ahhoz az érintett kifejezetten hozzájárult.

A kifejezett hozzájárulás annyiban több az egyszerű hozzájárulástól, hogy az érintett tevékeny, csak e célra irányuló hozzájárulását várja el. Ennek legjobban megvalósítható példája, hogy egy alapértelmezetten üres állásban lévő jelölőnégyzet (check box) segítségével kell az adattovábbításhoz a hozzájárulást elkérni oly módon, hogy a címzett ország neve, a címzett adatkezelő megnevezése és címe is megjelölésre kerül a hozzájáruló nyilatkozatban.

Amennyiben az adattovábbítást törvény rendeli el, de EGT-államon kívüli célországba, akkor azt kell vizsgálni, hogy az Európai Bizottság honlapján közzétett listán szerepel-e a célország. Ha az Európai Bizottság szerint a fogadó ország nem nyújt megfelelő szintű védelmet, az adat nem továbbítható.

Egy nem megfelelő védelmi szintet nyújtó országban is lehet azonban olyan adatkezelő, amely – kérelmére – szerepel az ún. safety harbor listán. Ezen adatkezelők számára engedélyezett az adattovábbítás, ha az törvényi felhatalmazás alapján történik.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Külföldi tulajdonos, magyar kft.

A kft. tagja, rt. részvényese vajon megismerheti-e a cég dolgozóinak, ügyfeleinek személyes adatait vagy sem? Mert igény az lenne rá. Bonyolítja-e a helyzetet, ha a tulajdonos egy külföldön élő nem magyar állampolgár, aki rendszeres jelentést vár el e-mailben?

Kft., rt. – jogi személyek

A jogi személy legfőbb ismérve, hogy a tagoktól elkülönült szervezettel rendelkezik, és működése független a tagok tartózkodási helyétől és esetleges társaságba való belépésétől és kiválásától, így azok a tagoktól független önálló adatkezelőnek tekintendők.

A kft. tagja, az rt. részvényese ily módon az adatkezelő céghez való viszonyában harmadik személynek, önálló adatkezelőnek tekintendő.

Az adattovábbítás feltételei

Az adatvédelmi törvény rendelkezései alapján személyes adatot továbbítani az érintett hozzájárulásával, vagy törvény felhatalmazásával lehet.

Ha az adattovábbítás az Európai Gazdasági Térség államain kívüli országba történik, akkor az érintett kifejezett hozzájárulására van szükség, törvényi felhatalmazás esetén pedig fontos, hogy olyan államba történjen az adattovábbítás, amely az Európai Bizottság szerint megfelelő szintű védelmet biztosít.

Meg kell tehát vizsgálnunk, hogy van-e törvényi felhatalmazás.

Ugyan a gazdasági társaságokról szóló 2006. évi IV. törvény (Gt.) 27. § (2) bekezdése betekintési jogot biztosít a részvényeseknek, és a tagoknak, álláspontunk szerint ez nem értelmezhető a személyes adatok továbbítására adott törvényi felhatalmazásnak a személyes adatok továbbítására. Ráadásul a tulajdonosnak nincs olyan joga, amelyet ezen személyes adatok ismeretében tudna gyakorolni, így az adatvédelmi törvény célhoz kötöttsége elvével nem összeegyeztethető az adattovábbítás. Gondoljunk csak bele, ma kevesebb, mint 5.000 Ft-ért lehet OTP részvényt vásárolni. Ugye érezzük, hogy 5.000 Ft-ért nem lehet megvásárolni az OTP számlatulajdonosainak személyes adatait, számlamozgását tartalmazó adatbázist?

Mi a megoldás?

A cég struktúráját, szervezetét úgy kell felépíteni, hogy személyes adatok ismerete nélkül is tudja a tulajdonos e jogait gyakorolni. Pl. a cégtulajdonosnak nem kell tudnia, hogy ki, mennyit keres a vállalatnál, elegendő azt ismernie, hogy mennyi az átlagfizetés, az összes bérköltség, stb. Ugyanígy az ügyfelek személye sem fontos a tulajdonosi jogok gyakorlásához, a kíváncsiság pedig nem egy olyan jogi tény, amelyre alapozni lehetne egy adattovábbítást.

Ha adott helyzetben tényleg elkerülhetetlen az adatok tulajdonos általi megismerése, a cél másként nem biztosítható, akkor be kell szerezni a munkavállaló, illetve az ügyfél hozzájárulását, külföldi adattovábbítás esetén a kifejezett hozzájárulását az adatok kezeléséhez.

Kivételt képez ez alól kft. esetében, ha az áru adásvételével vagy egyéb szolgáltatás nyújtásával rendszeresen foglalkozó jogi személynek az áruforgalom számára nyitvaálló helyiségében személyesen közreműködik a kft. tagja, ekkor – mint a kft. képviselője – megismerheti az ügyféladatokat a Ptk. 220. §-a alapján.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az Európa Tanács tovább szigorítaná az adatvédelmet

A tagállamok igazságügyi miniszterei Isztanbulban elfogadták az Adatvédelem és a magánélet a harmadik évezredben című dokumentumot, mely lépéseket szorgalmaz a modern információs és kommunikációs technikák alkalmazásával kapcsolatos adatvédelmi kérdések megválaszolására.

Modern technikákkal végzett adatkezelések

Az igazságügyi miniszterek megállapítják, hogy a korszerű IT-eszközöknek köszönhetően napjainkban már a legtöbb emberi tevékenység megfigyelhető, rögzíthető és kielemezhető, ráadásul mindez minden eddiginél egyszerűbben, gyorsabban és rejtettebben megtehető. Megfelelő és erős adatvédelmi szabványok, illetve előírások nélkül azonban könnyen sérülhetnek az emberek alapvető jogai. A legnagyobb problémát az jelenti, hogy a mai napig nincs jogilag megoldva és biztosítva a virtuális, határokon átnyúló (üzleti) kapcsolatok adatvédelme – írja az SG.hu.

Az Európa Tanács jövő januártól márciusig gyűjti össze a világ kormányainak és civil szervezeteinek a 108-as adatvédelmi egyezményt érintő módosító javaslatait és állásfoglalásait. Ezután jövő márciusban kerül sor egy meghallgatásra, ahol az elképzeléseket bemutatják. Emellett a témáról tárgyalni fognak a European Dialogue on Internet Governance és az Internet Governance Forum közelgő rendezvényein is.

A szervezet már korábban foglalkozott számos problémával, melyek egyike az úgynevezett profilkészítés kérdése volt. A cél most egy olyan szabályozás kidolgozása, amely akár globálisan is alkalmazható lenne. Ebben segíthet, hogy az egyezmény megreformálási folyamatában már megfigyelői státuszt kaptak az Egyesült Államok, Kanada, Brazília és India képviselői is.

Az Európa Tanács idén májusban kezdeményezte az online reklámszabályok megváltoztatását. A szervezet egy ajánlás segítségével változtatná meg az internetes hirdetési piacot. A reklámcélú profilkészítést ugyan engedélyeznék, de szigorúan szabályoznák, és beleegyezéshez kötnék.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Cloud Computing, avagy mi, hol van és miért?

Egyre több adatot tárolunk a felhőben. Képeink, zenéink, videóink, e-mailjeink, személyes és céges adataink tárolódnak valahol a világon egy szerveren. Mi a cloud computing, hogyan válik szervesen életünk részévé, és milyen hatással lesz életünkre adatvédelmi szempontból?

Cloud computing vs. adatfeldolgozás

A mai napon a Médiapiac 2011 konferencián tartok előadást a témakörben.

A cloud computing vagy magyarul számítási felhő lényegében egy olyan kiszervezett informatikai szolgáltatás, amelynél a kiszervezés nem kötődik egyetlen földrajzi helyhez, egyetlen számítógéphez, hanem az adatok valahol, a sok szerver által alkotott “felhőben” vannak.

A felhasználó egy kis teljesítményű eszközzel, akár egy mobiltelefonnal kapcsolódik a szolgáltatóhoz, amelynek szerverei nagy számítási és háttértároló kapacitással rendelkeznek.

A szolgáltatás maga lehet egy webmail, egy távoli szöveg- vagy táblázatszerkesztő, video és fényképmegosztó, közösségi oldal, de egyre több cég is számítási felhőt használ erőforrásai hatékony kihasználására.

A cloud computing adatvédelmi kérdései

A cloud computing egy speciális adatfeldolgozásnak tekinthető, ahol az adatfeldolgozó cég és szolgáltatás számos paramétere ismeretlen. Az adatvédelmi törvény adatfeldolgozásra vonatkozó szabályai azonban szinte alkalmazhatatlanok. Eleve sok esetben nincs írásos megbízás az adatkezelő és az adatfeldolgozó között. Sokszor nem hogy a felhasználókat nem lehet tájékoztatni arról, hogy mely szolgáltatónál találhatók meg a szerverek, és milyen adatbiztonsági intézkedésekkel védettek az adataink, de még maga az adatkezelő sem mindig ismeri ezeket az információkat.

A magyar adatvédelmi törvény alapján külföldre csak akkor lehet adatokat átadni, ha ahhoz az érintett kifejezetten hozzájárul, vagy törvény adja meg a felhatalmazást. Egyszerűen lehetetlen egy ilyen szolgáltatás esetében a kifejezett hozzájárulást, pl. egy check-box segítségével megkérni.

Az érintett nem tudja kontrollálni:
- Mit kezd a szolgáltató az adataival?
- Pontosan mely cégnél, mely városban tárolják azokat, és milyen biztonsági intézkedéseket vezettek be?
- A szolgáltató belenéz-e a levelezésbe?
- Elolvassa-e a privát vagy üzleti titkokat?

Ki a felelős, ha pl. külső támadás miatt sérülnek a titkok?

Egyáltalán kell-e alkalmazni az adatvédelmi törvényt?

Az EU adatvédelmi direktíva hatálya az EU-ban letelepedett szolgáltatóra vonatkozik, illetve ha az EU-ban történik az adatfeldolgozás. De ha pl. az USÁ-ból nyújtják a szolgáltatást, akkor nem. Megoldás lehet, ha az irányelvet kiterjesztik az EU polgárok számára nyújtott szolgáltatásokra is.

Mind az EU irányelv, mind az adatvédelmi törvényünk úgy szól, nem kell alkalmazni az adatvédelmi rendelkezéseket, ha az adatkezelés természetes személy saját céljából történik. Akkor nem kell alkalmazni a pl. a privát használatú Gmail vagy Facebook adatkezeléseire sem?

Várunk a jogalkotóra

Alapvetően azonban a mai szabályozás is kielégítő. Ugyan vannak bizonyos helyzetek, amelyekre nem vonatkozik az európai adatvédelmi szabályozás, vagy épp a meglévő szabályozás nem betartható a cloud computing esetén.

Egyre több cég használja a cloud computing adta lehetőségeket, így bízom benne, a szabályozás reformja ki fog térni e technológiára is.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Adattovábbítás, külföldre történő adattovábbítás

Jó hír a multinacionális vállalatoknak, hogy az új adatvédelmi törvény alapján könnyebb lesz külföldre személyes adatot továbbítani.

Adattovábbítás

Az új adatvédelmi törvény nem rendelkezik külön az adattovábbítás szabályairól, sem az adatkezelések összekapcsolásáról, így az adatkezelés alapvető feltételeinél leírtak alkalmazandók.

A külföldi, azaz az EGT-n kívüli adattovábbítás azonban továbbra is szigorúbb feltételekhez kötött, valamint a törvény bevezeti az adatmegjelölés intézményét.

Adattovábbítás külföldre

Mindenekelőtt fontos tisztázni, mely országok tekintendők külföldinek. A törvény szerint az EGT-államok irányába történő adattovábbítást úgy kell tekintetni, mintha Magyarország területén belül történne az adattovábbítás, tehát a külföldi adattovábbításra vonatkozó rendelkezéseket ez esetben nem kell alkalmazni.

EGT-államnak minősül az adatvédelmi törvény szempontjából az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.

Külföldre személyes adat akkor továbbítható, ha
- ahhoz az érintett kifejezetten hozzájárult (ez változatlan)
- vagy az adattovábbítás jogalapja egyébként biztosított (pl. hozzájárulás vagy törvényi felhatalmazás által), és a harmadik országban, a célországban megfelelő az adatok védelme.

Megfelelő szintű a védelem, ha azt az Európai Unió megállapítja, vagy nemzetközi szerződés van e tekintetben a célországgal hatályban.

Iratkozzon fel hírlevelemre, és töltse le ingyen az új adatvédelmi törvény változásairól, főbb rendelkezéseiről szóló elemzést!

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

BCR eljárás díja

A 2015. évi 121. Magyar Közlönyben megjelent a kötelező szervezeti szabályozás jóváhagyásáért fizetendő igazgatási szolgáltatási díjról szóló 20/2015. (VIII. 31.) IM rendelet.

A kötelező szervezeti szabályozás

Mint arról korábban beszámoltunk, 2015. október 1-jétől  az adatvédelmi hatóságtól lehet kérelmezni a kötelező szervezeti szabályozás (BCR) jóváhagyását.

———————– hirdetés – adatvédelmi képzések ———————–
szeptember 29. Változik az adatvédelmi törvény (Infotv.)
október 12-13. Két napos, kis csoportos belső adatvédelmi felelős képzés
október 20. Adatvédelem az interneten – változások 2015-ben
október 27. Kamerás megfigyelőrendszerek adatvédelme
———————– hirdetés – adatvédelmi képzések ———————–

266.000 Ft

A most megjelent IM rendelet alapján a kötelező szervezeti szabályozás jóváhagyására irányuló eljárás igazgatási szolgáltatási díja 266.000 forint.

A díjat a Nemzeti Adatvédelmi és Információszabadság Hatóság 10032000-00319425-00000000 számú számlájára kell megfizetni „kötelező szervezeti szabályozás jóváhagyása” megjegyzéssel.

A díj a Hatóság működési bevétele.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

2016. július 12-én az EB egyhangúan elfogadta az EU-USA adatvédelmi pajzsot.

Ez egy olyan új keretmegállapodás, amelynek két célja van: egyrészt hogy védje azon uniós polgárok jogait, akiknek a személyes adatait az Egyesült Államokba továbbították, másrészt egyértelmű jogi helyzetet teremt azon vállalkozások számára, amelyek ezt végrehajtják.

A keretrendszer az alábbi tartalmi elemekre épül:

• Adatkezelő vállalatokra vonatkozó szigorú kötelezettségek: rendszeres frissítések és felülvizsgálatok.
• Az egyesült államokbeli kormányzati hozzáférésre vonatkozó egyértelmű biztosítékok és átláthatósági kötelezettségek: Az Egyesült Államok biztosítékokat adott az Uniónak arra nézve, hogy a közigazgatási szervek bűnüldözési vagy nemzetbiztonsági célú adathozzáférése tekintetében egyértelmű korlátozásokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni.
• Az egyének jogainak hatékony védelme: azok a polgárok, melyek úgy vélik, hogy nem megfelelően kezelik az adataikat a pajzs keretein belül, saját nemzeti adatvédelmi hatóságaikhoz fordulhatnak, amelyek  kivizsgálják és rendezik az uniós polgárok panaszait.
• Éves közös felülvizsgálati mechanizmus: nyomon követik az adatvédelmi pajzs – és ezen belül a bűnüldözési és nemzetbiztonsági célú adathozzáférésre vonatkozó kötelezettségek és biztosítékok – működését.

(Forrás: http://europa.eu/rapid/press-release_IP-16-2461_hu.htm)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adattovábbítás a cég tulajdonosa, az anyacég, illetve a többi leányvállalat felé

Főként multinacionális vállalatoknál merül fel az igény, hogy az anyacég szeretné a magyarországi leánya működését ellenőrizni.

A hazai vezetés minden további nélkül hozzáférést biztosít a tulajdonos részére az ügyfelek és munkavállalók személyes adatait tartalmazó adatbázisába. Nézzük, jól van-e ez így.

Az adattovábbításra vonatkozó jogi szabályozás

Az adatvédelmi törvény (Avtv.) így definiálja az adattovábbítás fogalmát: “ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik”. Tehát nem szükséges, hogy konkrét adatátadás történjen, elegendő egy jelszavas hozzáférés biztosítása is ahhoz, hogy adattovábbításról beszéljünk.

Az Avtv. 8. §-ának rendelkezései értelmében “személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi”.

Adattovábbítás a tulajdonos irányába

Jogi személyek esetében maga a cég önálló jogi személy, mely elkülönül a tulajdonos(ok) személyétől. Így az adatkezelő cég részére szerzett adatkezelési jogosultság nem terjed ki a cég tulajdonosaira, sem a többi leányvállalatra.

Gondoljunk csak bele abba, hogy egy OTP kisrészvényes (aki az OTP tulajdonosa) sem tekinthet bele minden OTP ügyfél folyószámlájába, pusztán azért, mert ő tulajdonos. És ez így van jól.

Tekintettel arra, hogy törvényi felhatalmazás nincs az adatok továbbítására, az adatbázisban lévő érintettek tájékozott (az adattovábbítás címzettjének és céljának feltüntetésével), egyértelmű hozzájárulása birtokában lehet csak jogszerű az adatok továbbítása, amennyiben az adattovábbítás további feltételeinek is eleget tesz az adatkezelő. A munkavállalói adatok továbbítása tekintetében ezt a munkaszerződésben vagy belső szabályzatban is rendezni lehet.

Az Avtv. 5. §-ában leírt célhoz kötöttség elvének sem felel meg a tulajdonos felé történő adattovábbítás, ugyanis az a tulajdonosi jogok gyakorlásához nem elengedhetetlenül szükséges. A tulajdonos számára elegendő a kumulált, anonim adat, nem az a lényeg, hogy ki mennyit vásárolt, hanem, hogy összességében mennyit vásároltak.

A tulajdonos az ügyvezetés ellenőrzését pedig a cég felügyelőbizottságán keresztül gyakorolhatja.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelemmel és a közérdekű adatok nyilvánosságával kapcsolatos információkról.

Külföldre történő adattovábbítás

A személyes adatok továbbításához az érintett hozzájárulásának beszerezése, vagy törvény felhatalmazása szükséges.

De mi a helyzet abban az esetben, ha külföldre irányul az adattovábbítás?

Adattovábbítás, adatfeldolgozás, harmadik ország – mit jelentenek

Az adatvédelmi törvény szerint adattovábbításnak minősül a személyes adatok harmadik személy számára történő hozzáférhetővé tétele. Ide tartozik a hétköznapi értelemben vett adattovábbítás is, de az is, ha az adatbázisunkhoz biztosítunk egy jelszavas távoli hozzáférést egy meghatározott személy vagy cég részére.

Az adatfeldolgozást két héttel ezelőtti cikkemben mutattam be.

A külföld, pontosabban a harmadik ország fogalmába pedig minden olyan államot érteni kell, amely sem az Európai Uniónak, sem az Európai Gazdasági Térségnek nem tagja.

A törvény rendelkezése a harmadik országba történő adattovábbításról

9. § (1) Személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha
a) ahhoz az érintett kifejezetten hozzájárult, vagy
b) azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

Értelmezés

A törvény tehát csak akkor engedi meg a nem EGT-államokba történő adattovábbítást, sőt az adatfeldolgozásra átadást is (!), ha ahhoz az érintett kifejezetten hozzájárult.

A kifejezett hozzájárulás annyiban több az egyszerű hozzájárulástól, hogy az érintett tevékeny, csak e célra irányuló hozzájárulását várja el. Ennek legjobban megvalósítható példája, hogy egy alapértelmezetten üres állásban lévő jelölőnégyzet (check box) segítségével kell az adattovábbításhoz a hozzájárulást elkérni oly módon, hogy a címzett ország neve, a címzett adatkezelő megnevezése és címe is megjelölésre kerül a hozzájáruló nyilatkozatban.

Amennyiben az adattovábbítást törvény rendeli el, de EGT-államon kívüli célországba, akkor azt kell vizsgálni, hogy az Európai Bizottság honlapján közzétett listán szerepel-e a célország. Ha az Európai Bizottság szerint a fogadó ország nem nyújt megfelelő szintű védelmet, az adat nem továbbítható.

Egy nem megfelelő védelmi szintet nyújtó országban is lehet azonban olyan adatkezelő, amely – kérelmére – szerepel az ún. safety harbor listán. Ezen adatkezelők számára engedélyezett az adattovábbítás, ha az törvényi felhatalmazás alapján történik.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Külföldi tulajdonos, magyar kft.

A kft. tagja, rt. részvényese vajon megismerheti-e a cég dolgozóinak, ügyfeleinek személyes adatait vagy sem? Mert igény az lenne rá. Bonyolítja-e a helyzetet, ha a tulajdonos egy külföldön élő nem magyar állampolgár, aki rendszeres jelentést vár el e-mailben?

Kft., rt. – jogi személyek

A jogi személy legfőbb ismérve, hogy a tagoktól elkülönült szervezettel rendelkezik, és működése független a tagok tartózkodási helyétől és esetleges társaságba való belépésétől és kiválásától, így azok a tagoktól független önálló adatkezelőnek tekintendők.

A kft. tagja, az rt. részvényese ily módon az adatkezelő céghez való viszonyában harmadik személynek, önálló adatkezelőnek tekintendő.

Az adattovábbítás feltételei

Az adatvédelmi törvény rendelkezései alapján személyes adatot továbbítani az érintett hozzájárulásával, vagy törvény felhatalmazásával lehet.

Ha az adattovábbítás az Európai Gazdasági Térség államain kívüli országba történik, akkor az érintett kifejezett hozzájárulására van szükség, törvényi felhatalmazás esetén pedig fontos, hogy olyan államba történjen az adattovábbítás, amely az Európai Bizottság szerint megfelelő szintű védelmet biztosít.

Meg kell tehát vizsgálnunk, hogy van-e törvényi felhatalmazás.

Ugyan a gazdasági társaságokról szóló 2006. évi IV. törvény (Gt.) 27. § (2) bekezdése betekintési jogot biztosít a részvényeseknek, és a tagoknak, álláspontunk szerint ez nem értelmezhető a személyes adatok továbbítására adott törvényi felhatalmazásnak a személyes adatok továbbítására. Ráadásul a tulajdonosnak nincs olyan joga, amelyet ezen személyes adatok ismeretében tudna gyakorolni, így az adatvédelmi törvény célhoz kötöttsége elvével nem összeegyeztethető az adattovábbítás. Gondoljunk csak bele, ma kevesebb, mint 5.000 Ft-ért lehet OTP részvényt vásárolni. Ugye érezzük, hogy 5.000 Ft-ért nem lehet megvásárolni az OTP számlatulajdonosainak személyes adatait, számlamozgását tartalmazó adatbázist?

Mi a megoldás?

A cég struktúráját, szervezetét úgy kell felépíteni, hogy személyes adatok ismerete nélkül is tudja a tulajdonos e jogait gyakorolni. Pl. a cégtulajdonosnak nem kell tudnia, hogy ki, mennyit keres a vállalatnál, elegendő azt ismernie, hogy mennyi az átlagfizetés, az összes bérköltség, stb. Ugyanígy az ügyfelek személye sem fontos a tulajdonosi jogok gyakorlásához, a kíváncsiság pedig nem egy olyan jogi tény, amelyre alapozni lehetne egy adattovábbítást.

Ha adott helyzetben tényleg elkerülhetetlen az adatok tulajdonos általi megismerése, a cél másként nem biztosítható, akkor be kell szerezni a munkavállaló, illetve az ügyfél hozzájárulását, külföldi adattovábbítás esetén a kifejezett hozzájárulását az adatok kezeléséhez.

Kivételt képez ez alól kft. esetében, ha az áru adásvételével vagy egyéb szolgáltatás nyújtásával rendszeresen foglalkozó jogi személynek az áruforgalom számára nyitvaálló helyiségében személyesen közreműködik a kft. tagja, ekkor – mint a kft. képviselője – megismerheti az ügyféladatokat a Ptk. 220. §-a alapján.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az Európa Tanács tovább szigorítaná az adatvédelmet

A tagállamok igazságügyi miniszterei Isztanbulban elfogadták az Adatvédelem és a magánélet a harmadik évezredben című dokumentumot, mely lépéseket szorgalmaz a modern információs és kommunikációs technikák alkalmazásával kapcsolatos adatvédelmi kérdések megválaszolására.

Modern technikákkal végzett adatkezelések

Az igazságügyi miniszterek megállapítják, hogy a korszerű IT-eszközöknek köszönhetően napjainkban már a legtöbb emberi tevékenység megfigyelhető, rögzíthető és kielemezhető, ráadásul mindez minden eddiginél egyszerűbben, gyorsabban és rejtettebben megtehető. Megfelelő és erős adatvédelmi szabványok, illetve előírások nélkül azonban könnyen sérülhetnek az emberek alapvető jogai. A legnagyobb problémát az jelenti, hogy a mai napig nincs jogilag megoldva és biztosítva a virtuális, határokon átnyúló (üzleti) kapcsolatok adatvédelme – írja az SG.hu.

Az Európa Tanács jövő januártól márciusig gyűjti össze a világ kormányainak és civil szervezeteinek a 108-as adatvédelmi egyezményt érintő módosító javaslatait és állásfoglalásait. Ezután jövő márciusban kerül sor egy meghallgatásra, ahol az elképzeléseket bemutatják. Emellett a témáról tárgyalni fognak a European Dialogue on Internet Governance és az Internet Governance Forum közelgő rendezvényein is.

A szervezet már korábban foglalkozott számos problémával, melyek egyike az úgynevezett profilkészítés kérdése volt. A cél most egy olyan szabályozás kidolgozása, amely akár globálisan is alkalmazható lenne. Ebben segíthet, hogy az egyezmény megreformálási folyamatában már megfigyelői státuszt kaptak az Egyesült Államok, Kanada, Brazília és India képviselői is.

Az Európa Tanács idén májusban kezdeményezte az online reklámszabályok megváltoztatását. A szervezet egy ajánlás segítségével változtatná meg az internetes hirdetési piacot. A reklámcélú profilkészítést ugyan engedélyeznék, de szigorúan szabályoznák, és beleegyezéshez kötnék.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Cloud Computing, avagy mi, hol van és miért?

Egyre több adatot tárolunk a felhőben. Képeink, zenéink, videóink, e-mailjeink, személyes és céges adataink tárolódnak valahol a világon egy szerveren. Mi a cloud computing, hogyan válik szervesen életünk részévé, és milyen hatással lesz életünkre adatvédelmi szempontból?

Cloud computing vs. adatfeldolgozás

A mai napon a Médiapiac 2011 konferencián tartok előadást a témakörben.

A cloud computing vagy magyarul számítási felhő lényegében egy olyan kiszervezett informatikai szolgáltatás, amelynél a kiszervezés nem kötődik egyetlen földrajzi helyhez, egyetlen számítógéphez, hanem az adatok valahol, a sok szerver által alkotott “felhőben” vannak.

A felhasználó egy kis teljesítményű eszközzel, akár egy mobiltelefonnal kapcsolódik a szolgáltatóhoz, amelynek szerverei nagy számítási és háttértároló kapacitással rendelkeznek.

A szolgáltatás maga lehet egy webmail, egy távoli szöveg- vagy táblázatszerkesztő, video és fényképmegosztó, közösségi oldal, de egyre több cég is számítási felhőt használ erőforrásai hatékony kihasználására.

A cloud computing adatvédelmi kérdései

A cloud computing egy speciális adatfeldolgozásnak tekinthető, ahol az adatfeldolgozó cég és szolgáltatás számos paramétere ismeretlen. Az adatvédelmi törvény adatfeldolgozásra vonatkozó szabályai azonban szinte alkalmazhatatlanok. Eleve sok esetben nincs írásos megbízás az adatkezelő és az adatfeldolgozó között. Sokszor nem hogy a felhasználókat nem lehet tájékoztatni arról, hogy mely szolgáltatónál találhatók meg a szerverek, és milyen adatbiztonsági intézkedésekkel védettek az adataink, de még maga az adatkezelő sem mindig ismeri ezeket az információkat.

A magyar adatvédelmi törvény alapján külföldre csak akkor lehet adatokat átadni, ha ahhoz az érintett kifejezetten hozzájárul, vagy törvény adja meg a felhatalmazást. Egyszerűen lehetetlen egy ilyen szolgáltatás esetében a kifejezett hozzájárulást, pl. egy check-box segítségével megkérni.

Az érintett nem tudja kontrollálni:
– Mit kezd a szolgáltató az adataival?
– Pontosan mely cégnél, mely városban tárolják azokat, és milyen biztonsági intézkedéseket vezettek be?
– A szolgáltató belenéz-e a levelezésbe?
– Elolvassa-e a privát vagy üzleti titkokat?

Ki a felelős, ha pl. külső támadás miatt sérülnek a titkok?

Egyáltalán kell-e alkalmazni az adatvédelmi törvényt?

Az EU adatvédelmi direktíva hatálya az EU-ban letelepedett szolgáltatóra vonatkozik, illetve ha az EU-ban történik az adatfeldolgozás. De ha pl. az USÁ-ból nyújtják a szolgáltatást, akkor nem. Megoldás lehet, ha az irányelvet kiterjesztik az EU polgárok számára nyújtott szolgáltatásokra is.

Mind az EU irányelv, mind az adatvédelmi törvényünk úgy szól, nem kell alkalmazni az adatvédelmi rendelkezéseket, ha az adatkezelés természetes személy saját céljából történik. Akkor nem kell alkalmazni a pl. a privát használatú Gmail vagy Facebook adatkezeléseire sem?

Várunk a jogalkotóra

Alapvetően azonban a mai szabályozás is kielégítő. Ugyan vannak bizonyos helyzetek, amelyekre nem vonatkozik az európai adatvédelmi szabályozás, vagy épp a meglévő szabályozás nem betartható a cloud computing esetén.

Egyre több cég használja a cloud computing adta lehetőségeket, így bízom benne, a szabályozás reformja ki fog térni e technológiára is.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Adattovábbítás, külföldre történő adattovábbítás

Jó hír a multinacionális vállalatoknak, hogy az új adatvédelmi törvény alapján könnyebb lesz külföldre személyes adatot továbbítani.

Adattovábbítás

Az új adatvédelmi törvény nem rendelkezik külön az adattovábbítás szabályairól, sem az adatkezelések összekapcsolásáról, így az adatkezelés alapvető feltételeinél leírtak alkalmazandók.

A külföldi, azaz az EGT-n kívüli adattovábbítás azonban továbbra is szigorúbb feltételekhez kötött, valamint a törvény bevezeti az adatmegjelölés intézményét.

Adattovábbítás külföldre

Mindenekelőtt fontos tisztázni, mely országok tekintendők külföldinek. A törvény szerint az EGT-államok irányába történő adattovábbítást úgy kell tekintetni, mintha Magyarország területén belül történne az adattovábbítás, tehát a külföldi adattovábbításra vonatkozó rendelkezéseket ez esetben nem kell alkalmazni.

EGT-államnak minősül az adatvédelmi törvény szempontjából az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.

Külföldre személyes adat akkor továbbítható, ha
– ahhoz az érintett kifejezetten hozzájárult (ez változatlan)
– vagy az adattovábbítás jogalapja egyébként biztosított (pl. hozzájárulás vagy törvényi felhatalmazás által), és a harmadik országban, a célországban megfelelő az adatok védelme.

Megfelelő szintű a védelem, ha azt az Európai Unió megállapítja, vagy nemzetközi szerződés van e tekintetben a célországgal hatályban.

Iratkozzon fel hírlevelemre, és töltse le ingyen az új adatvédelmi törvény változásairól, főbb rendelkezéseiről szóló elemzést!

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

BCR eljárás díja

A 2015. évi 121. Magyar Közlönyben megjelent a kötelező szervezeti szabályozás jóváhagyásáért fizetendő igazgatási szolgáltatási díjról szóló 20/2015. (VIII. 31.) IM rendelet.

A kötelező szervezeti szabályozás

Mint arról korábban beszámoltunk, 2015. október 1-jétől  az adatvédelmi hatóságtól lehet kérelmezni a kötelező szervezeti szabályozás (BCR) jóváhagyását.

———————– hirdetés – adatvédelmi képzések ———————–
szeptember 29. Változik az adatvédelmi törvény (Infotv.)
október 12-13. Két napos, kis csoportos belső adatvédelmi felelős képzés
október 20. Adatvédelem az interneten – változások 2015-ben
október 27. Kamerás megfigyelőrendszerek adatvédelme
———————– hirdetés – adatvédelmi képzések ———————–

266.000 Ft

A most megjelent IM rendelet alapján a kötelező szervezeti szabályozás jóváhagyására irányuló eljárás igazgatási szolgáltatási díja 266.000 forint.

A díjat a Nemzeti Adatvédelmi és Információszabadság Hatóság 10032000-00319425-00000000 számú számlájára kell megfizetni „kötelező szervezeti szabályozás jóváhagyása” megjegyzéssel.

A díj a Hatóság működési bevétele.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

2016. július 12-én az EB egyhangúan elfogadta az EU-USA adatvédelmi pajzsot.

Ez egy olyan új keretmegállapodás, amelynek két célja van: egyrészt hogy védje azon uniós polgárok jogait, akiknek a személyes adatait az Egyesült Államokba továbbították, másrészt egyértelmű jogi helyzetet teremt azon vállalkozások számára, amelyek ezt végrehajtják.

A keretrendszer az alábbi tartalmi elemekre épül:

• Adatkezelő vállalatokra vonatkozó szigorú kötelezettségek: rendszeres frissítések és felülvizsgálatok.
• Az egyesült államokbeli kormányzati hozzáférésre vonatkozó egyértelmű biztosítékok és átláthatósági kötelezettségek: Az Egyesült Államok biztosítékokat adott az Uniónak arra nézve, hogy a közigazgatási szervek bűnüldözési vagy nemzetbiztonsági célú adathozzáférése tekintetében egyértelmű korlátozásokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni.
• Az egyének jogainak hatékony védelme: azok a polgárok, melyek úgy vélik, hogy nem megfelelően kezelik az adataikat a pajzs keretein belül, saját nemzeti adatvédelmi hatóságaikhoz fordulhatnak, amelyek  kivizsgálják és rendezik az uniós polgárok panaszait.
• Éves közös felülvizsgálati mechanizmus: nyomon követik az adatvédelmi pajzs – és ezen belül a bűnüldözési és nemzetbiztonsági célú adathozzáférésre vonatkozó kötelezettségek és biztosítékok – működését.

(Forrás: http://europa.eu/rapid/press-release_IP-16-2461_hu.htm)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

GDPR – Infotv. 34/A. fejezete – Az adatkezelési engedélyezési eljárás

Az Infotv. 64/A. §-a tartalmazza a NAIH adatkezelési engedélyezési eljárásban folytatott feladatait. Az Igazságügyi Miniszter 25/2018. (IX. 3.) IM rendelete határozza meg az eljárások lefolytatásáért fizetendő igazgatási szolgáltatási díjak mértékét.

A díj mértéke

a) a GDPR 40. cikkében meghatározott magatartási kódexek tervezetének, kiegészítésének vagy módosításának jóváhagyása:

530.000 Ft

b) a GDPR 41. cikkében meghatározott, a jóváhagyott magatartási kódexeknek való megfelelés ellenőrzési tevékenység engedélyezése:

530.000 Ft

c) a GDPR 42. cikk (5) bekezdésében meghatározott tanúsítási szempontok jóváhagyása:

684.000 Ft

d) a GDPR 46. cikk (3) bekezdés a) pontjában meghatározott, az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések engedélyezése:

288.000 Ft

e) a GDPR 46. cikk (3) bekezdés b) pontjában meghatározott, közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő, harmadik országba történő adattovábbítás garanciáit biztosító rendelkezések engedélyezése:

288.000 Ft

f) a GDPR 47. cikkében meghatározott kötelező erejű vállalati szabályok jóváhagyása:

288.000 Ft

A díjat a Nemzeti Adatvédelmi és Információszabadság Hatóság a kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni. A díj megfizetése során az átutalási megbízás közlemény rovatában fel kell tüntetni az „adatkezelési engedélyezési eljárás lefolytatása” szöveget. A díj a NAIH működési bevétele.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Korábban már tudósítottam azokról a jogi fejleményekről, amelyek a nemzetközi adatmozgás értelmezését újraírták az EU és az azon kívüli világ között. Pénteken (2021. 06. 04.) délután jelent meg az EU Bizottság által készített dokumentum csomag, az ún. Modell Klauzulák (Standard Contractual Clauses – SCCs), amelyek célja, hogy támpontul szolgáljanak a transzatlanti adatáramlás GDPR-nek megfelelő módon való folyásához..

Az új SCCs elkészítését nemcsak az indokolta, hogy egy évtizeddel ezelőtt elkészített dokumentumok újragondolásáról volt szó, hanem az is, hogy a tavaly nyáron megszületett ún. Schrems II. döntés miatt pillanatnyilag nem tud személyes adat az EU-n kívülre jogszerűen kerülni. A jogszerű adatáramlás egyik pilléréül szolgálnának az SCCs.

Eddig pl. azt láttuk, hogy az USA-beli szolgáltatótól megkaptuk a szolgáltatási szerződésüket (Terms and Conditions/Service Agreement) és valahol a mellékletek között ott volt az adatfeldolgozási szerződés (Data Processing Agreement), emellett azonban nem volt szükség további dokumentumra, mert létezett az EU és az USA között megkötött ún. Privacy Shield megállapodás, amely megadta a jogi kereteket a biztonságos adatáramláshoz.  Mivel a Schrems II. döntés épp ezt a nemzetközi megállapodást érvénytelenítette, a piaci szereplőknek maguknak kell a pótlásáról gondoskodniuk, ami jellemzően az SCCs használatával történik. Az SCCs gyakorlatilag szerződésminták, amelyet a felek (adatkezelők, adatfeldolgozók importőri vagy exportőri pozícióban) használhatnak igényeik szerint alakítva. Bármilyen módon alakíthatók a Bizottság által kiadott minták mindaddig, amíg nem ütköznek a módosítások a GDPR-ba vagy nem sérül a magánszemélyek alapjoga. Mivel a B2B adattranszferek igen nagy része SCCs-n fog nyugodni, szinte az összes USA-beli szolgáltatónak alkalmazkodnia kell az új szerződésrendszerhez a hatálybalépésig nyitva álló 2 éven belül.

Véleményem szerint egy új korszak kezdetén állunk, ami sok tekintetben feladatot ad nekünk is:

–          vélhetően az érintettek most nem a kivárást fogják választani, mert a gyors, GDPR-biztos megoldások kínálatával meg lehet majd nyerni új ügyfeleket,

–          az SCCs adta kereteket minden egyes adatkezelés tekintetében „testre kell szabni”, vagyis – ellentétben a korábbi SCCs-el – nem egy másolandó dokumentumot kapnak a cégek, hanem mind a szerződéses, mind pedig a biztonságos adatáramlást lehetővé tevő egyéb rendelkezések, megoldások tekintetében át kell gondolni a rögzítendő feltételeket (ún. moduláris szerződésminta),

–          az adatexportőrnek (vagyis az EU-ban székelő adatkezelőnek/adatfeldolgozónak) dokumentálnia kell, hogy (i) átvizsgálta a nemzetközi adattranszferrel érintett adatkezelési folyamatait és a szerződéses kereteket, (ii) elvégezte az adott célország (adat importőr) szabályozási kockázatának felmérését (mennyire GDPR-szerű az adott országban a személyes adatok védelme), és (iii) meg kell kötnie az új SCC-t a partner vállalkozással. A szerződések, műszaki, biztonsági eljárások újragondolása a Schrems II. döntés óta zajlik az érintett cégeknél, íme pl. a Microsoft terve: https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/.

Valójában a munka június közepe után fog felgyorsulni, amikor az EDPB (European Data Protection Board – Európai Adatvédelmi Testület) véglegesíti az alkalmazandó szerződéses-, műszaki- és eljárási-elvárások körét, beleértve számos igen fontos mondást, pl. a titkosításról. Pillanatnyilag még nem lehet sem azt látni, hogy a piacvezető nagy (adatfeldolgozó) cégek ügyfélbarát kockázatelemző megoldásokat ajánlanának vagy iparági összefogások lennének vagy bármilyen módon segítve lenne az egyedi cégek élete akkor, amikor a Microsofttal, Amazonnal, ZenDeskkel, Salesforce-al, Google-al, stb. vagy ezeknél sokkal kisebb vállalkozásokkal kell tárgyalnia és szerződéses együttműködését új alapokra helyeznie. És hogy még érdekesebb legyen a feladat, figyelni kell azokra a szolgáltatókra is, akik nem lépnek semmit az elkövetkező egy éven belül, mert esetükben nagy eséllyel a régi, nem jogszerű működés marad fenn…

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.