2021-08-11 | Adatvédelem
Az adatvédelem a mai információs társadalom egyik legaktuálisabb, és tárgyából adódóan legérzékenyebb kérdése. A GDPR és az egyéb adatvédelmi jogszabályok egyik fő célja, hogy az uniós érintettek harmadik országba kerülő adatai is ugyanolyan szintű védelem alatt álljanak, mint az Uniós tagállami jogrendszerekben. Cikkünkben a harmadik országokba történő adattovábbításra vonatkozó új Modell Klauzulák legfontosabb sajátosságait mutatjuk be.
Az új Modell Klauzulák
2021 június 4-én az Európai Unió Bizottsága elfogadta az úgynevezett új Modell Klauzulákat (Standard Contractual Clauses, vagy röviden SCC). Ez a dokumentum egyfajta szerződésminta, amelyet az Európai Unió Bizottsága eredetileg közel egy évtizede dolgozott ki, és mely most jelentős módosításokon esett keresztül.
Annak érdekében, hogy az uniós állampolgárok személyes adatainak harmadik országba történő exportja adatvédelmi szempontból megfelelően biztosítva legyen, a Bizottság az új Modell Klauzulák kidolgozása során tekintettel volt a technológia és főleg az adatátvitel fejlettsége nyújtotta új lehetőségekre és azok veszélyeire is.
Mikortól alkalmazandók az új Modell Klauzulák?
§ 2021. június 27. napján léptek hatályba.
§ Új adattovábbításokra, azaz új szerződésekre a korábbi Modell Klauzulák legkésőbb 2021. szeptember 27. napjáig, azaz 3 hónapos átmeneti időszak leteltéig választhatók.
§ A meglévő adattovábbításokra – azaz már megkötött adattovábbítási szerződésekre – a korábbi Modell Klauzulák 2022. december 27-ig alkalmazhatók, addigra az összes adatátvitelt meg kell újítani az új SCC alapján.
Az új Modell Klauzulák fontosabb rendelkezései
- Míg a korábbi Klauzulák csak az EU-n belüli adatexportőrök és az EU-n kívüli adatimportőrök között voltak alkalmazhatók, addig az új Klauzulák olyan felek számára is alkalmazhatók, akik nem rendelkeznek az EU-ban állandó telephellyel, viszont a GDPR hatálya kiterjed rájuk, például azért mert szolgáltatásokat kínálnak az EU-ban.
- Az új Klauzulákat minden módosítás nélkül kell használni. Ezzel együtt akár szétszedhetők különböző modulokra is, ha egy cég beépítené egy átfogóbb szerződésbe, vagy további garanciákkal kiegészítené őket.
- A moduláris felépítés “feldarabolása” és az egyes modulokra való felosztása azonban az előző szabályt nem hághatja át, azaz maguk a klauzulák nem bonthatók meg, pusztán elrendezésük, szerződésen belüli megjelenésük választható ki szabadon.
Mit jelent ez a gyakorlatban? Milyen teendőik vannak az adattovábbítóknak?
§ Az átmeneti időszakra, valamint a már meglévő szerződésekre alkalmazandó határidőket mindenképpen be kell tartani. A szerződésállomány megújítása tehát mindenképpen szükséges.
§ Az adatexportőröknek át kell tekinteniük a harmadik országokba irányuló meglévő adatáramlásukat, különös figyelemmel arra, hogy az adatokat milyen mértékben és milyen eszközökkel védik. A védelmet az új Klauzulák alapján kell biztosítani.
§ Az általános klauzulák mellett az SCC mellékleteit is át kell vizsgálni. Ez kiváltképp az adatexportőrökre nézve jelent fontos kötelezettséget, ugyanakkor adatimportőrökre vonatkozó szabályokat is találunk az SCC-ben.
§ A meghozott adatvédelmi intézkedéseket mindenképpen alaposan dokumentálni és rögzíteni kell, illetve bizonyos időközönként ezek újraértékelése is ajánlott. Mindezen intézkedésekhez adatvédelmi szakértő (például ügyvéd) segítségét érdemes kérni.
