2021-01-26 | Adatvédelem
Az Európai Bizottság 2020 végén közzétette a GDPR szerinti adatkezelő és adatfeldolgozó közötti megállapodásra vonatkozó szerződések sablonjának tervezetét. Cikkünkben a tervezettel és annak – Uniós állampolgárokat érintő – adatvédelmi relevanciájával foglalkozunk.
Miről szól az új tervezet?
Tulajdonképpen a GDRP szerinti adatkezelő és adatfeldolgozó közötti szerződés minimumkövetelményeinek megfelelő rendelkezéseit tartalmazza, ezáltal elősegítve a hatósági eljárások és a különböző szerződéskötési folyamatok gyorsaságát és biztonságát.
Kiemelendő, hogy a tervezet az Európai Gazdasági Térségen (EGT) kívüli adattovábbításra vonatkozó általános szerződési feltételeket (Standard Contractual Clauses, SCCs) tartalmaz, így az leginkább az EU-n kívüli országok részére történő adattovábbítás tekintetében bír jelentőséggel.
További jellegzetessége a tervezetnek, hogy nem kötelező alkalmazni, inkább csak egyfajta támaszként szolgál adattovábbításról szóló szerződéskötések esetén. A tervezet tehát csak egyfajta ajánlás, segítségnyújtás a Bizottság részéről, míg maga a GDPR egy minden tagállamban közvetlenül és kötelezően alkalmazandó rendelet.
Mi a jelentősége a tervezetnek?
Habár alkalmazása nem kötelező, a tervezet – ahogy azt fentebb írtuk – a GDRP szerinti adatkezelő és adatfeldolgozó közötti szerződés minimumkövetelményeinek megfelelő rendelkezéseket tartalmaz.
Ez azt jelenti, hogy ha egy adattovábbításról szóló szerződés nem tartalmazza a tervezetben szereplő adatvédelmi biztosítékokat, akkor nagy valószínűséggel a szerződés megkötésével a felek megsértik a GDPR szabályait. A GDPR mindazonáltal kötelezően követendő rendelkezéseket ír elő, így ez a szituáció minden esetben kerülendő.
Az EGT-n kívüli országokkal kötött adattovábbítási szerződések esetén tehát, ha a felek nem is veszik át egy az egyben a tervezet szövegét, érdemes legalább alapul venni azt.
Az új tervezet néhány érdekes részének tartalmát az alábbiakban röviden összefoglaltuk:
§ A szerződő felek kiköthetik, hogy szerződésük tekintetében melyik nemzeti jog legyen irányadó, feltéve, hogy a kikötött nemzeti jog az érintettek vonatkozásában legalább a saját nemzeti jogrendszerük által nyújtott biztonságot nyújtja az adatvédelem terén.
§ Adattovábbítás esetére a tervezet meghatározza az általános vagy egyedi felhatalmazásra vonatkozó eljárást, valamint előírja az adatfeldolgozóval kötött írásbeli szerződés követelményeit, aminek szintén GDPR-nak megfelelő szintű adatvédelmet kell biztosítania.
§ A feleknek értékelést kell végezniük az adattovábbítás sajátos körülményeiről, valamint az adatfeldolgozó országának releváns jogszabályairól.
§ A feleknek képesnek kell lenniük bizonyítani – leginkább dokumentációk által – a tervezetnek való megfelelést.
§ Az adatfeldolgozó köteles értesíteni az adatkezelőt, ha már nem tudja betartani az adatvédelmi szabályokat. Ilyenkor bizonyos feltételek teljesülése esetén (pl. a hibát nem lehet helyreállítani egy hónapon belül), az utóbbi fél felmondhatja a szerződést.
Milyen mértékben használható a tervezet?
A tervezet jó kiindulási alapot nyújt az adatvédelemmel kapcsolatos szerződések vonatkozásában. Mindazonáltal megjegyzendő, hogy az adatvédelem a 21. századi jogrendszerek egyik legfontosabb pillére, így az adatvédelmi tárgyú szerződések megkötésekor maximális figyelemmel és körültekintéssel kell eljárni. Mindezek fényében a tervezet használata mellett minden esetben érdemes szakértőhöz fordulni.
Minden Európai Uniós állampolgár számára – akár magánszemélyről, akár cégvezetőről legyen szó – erősen ajánlott a tervezetet legalább egyszer átolvasni, hogy a mindennapokban is látott adatvédelmi tárgyú figyelmeztetésekkel/szabályzatokkal kapcsolatban tájékozott döntést tudjon hozni.
