A személyes adatok nemzetközi továbbítása az elmúlt időszakban kiemelt figyelmet kapott, köszönhetően az Európai Unió Bírósága vonatkozó ítéleteinek is. Az adattovábbítások egyik - a szakirodalomban és a gyakorlatban - kevésbé tárgyalt területe a nemzetközi szervezetek részére történő adattovábbítások kérdése. Annak ellenére, hogy a hatályos uniós szabályzás lényegében együtt kezeli a harmadik országokba és a nemzetközi szervezetek részére történő adattovábbításokat, a nemzetközi szervezetek részére történő adattovábbítás kapcsán - a nemzetközi szervezetek sajátosságai miatt - több olyan szempontot is vizsgálni szükséges, amelyek túlmutatnak a harmadik országba történő adattovábbítások során felmerülő kérdések körén, így különösen a nemzetközi szervezetek státuszának, a rájuk alkalmazandó jognak, az adatvédelmi szabályok hatályának és az adattovábbítás során alkalmazható garanciáknak az elemzése is szükséges.
Tárgyszavak: adattovábbítás, nemzetközi szervezetek, GDPR, Európai Unió Bírósága
A személyes adatok nemzetközi továbbítása az adatvédelem egyik olyan témája, amely kiemelt figyelemnek örvend, köszönhetően a Maximilian Schrems által a Facebook adattovábbítására tekintettel kezdeményezett ügyben kihirdetett ítéletnek (Schrems II. ítélet)[1] is. A Schrems II. ítélet ugyanis amellett, hogy érvénytelenítette az Adatvédelmi Pajzs (Privacy Shield) néven hivatkozott megfelelőségi határozatot, amely az Európai Unióból az Amerikai Egyesült Államokba történő adattovábbítás alapjául szolgált, további olyan követelményeket is meghatározott, amelyek általánosságban relevánsak és vizsgálandók az Európai Unión, illetve Európai Gazdasági Térségen kívülre történő adattovábbítások esetében. Az Európai Unió Bírósága (a továbbiakban: EUB) Schrems II. ítéletét követően az Európai Adatvédelmi Testület (European Data Protection Board; a továbbiakban: Testület) ajánlást[2] tett közzé az adattovábbítások tekintetében szükséges megfelelő garanciák biztosításáról, míg az Európai Bizottság (a továbbiakban: Bizottság) elfogadta az adattovábbítások egyik gyakori eszközéül szolgáló új általános adatvédelmi kikötéseket is.[3]
Az adattovábbítások tekintetében felpezsdült jogalkotás és jogalkalmazás kapcsán azonban hiányérzet alakulhat ki bennünk, ha a harmadik országba irányuló adattovábbítás mellett a nemzetközi szervezetek részére történő adattovábbítás tekintetében is részletesebb, átfogó útmutatást keresnénk, erről ugyanis nem, vagy csak érintőlegesen szólnak az iránymutatások,[4] kommentárok, illetve szakcikkek. Joggal fogalmazódhat meg tehát a kérdés, hogy azon adattovábbítások esetében, amikor a fogadó fél egy nemzetközi szervezet, kell-e valamilyen különleges intézkedést tenniük az adattovábbítást végzőknek, másként kell-e ezen adattovábbításokat kezelniük bármilyen szempontból, mintha egy harmadik országban működő adatkezelő vagy adatfeldolgozó részére történő adattovábbítást végeznének.
Az alábbiakban a személyes adatok nemzetközi szervezetek részére történő továbbításának kérdését vizsgálom, különös tekintettel arra, hogy ezen adattovábbítások esetében felmerülnek-e a harmadik országba történő adattovábbításokhoz képest eltérő szempontok. A téma elemzése kapcsán szükséges kitérnünk arra is, hogy a nemzetközi szervezeteknek az általános adatvédelmi
- 449/450 -
rendelet (a továbbiakban: GDPR[5]) szerinti fogalma,[6] illetve annak értelmezése a gyakorlatban milyen kérdéseket vet fel az ilyen szervezetek részére történő adattovábbítások kapcsán.
A külföldre történő, illetve országhatárokon átnyúló adattovábbítások szabályozása az adatvédelmi jogalkotásban régóta jelen van. Már az a személyes adatok gépi feldolgozása során az egyének védelméről szóló 1981-ben elfogadott egyezmény (a továbbiakban: Egyezmény)[7] is tartalmazott erre vonatkozóan rendelkezéseket, igaz túlzott részletezés nélkül. Az Egyezmény 12. cikke, amely a III. fejezetben kapott helyet, ugyanis kimondja, hogy - főszabály szerint - a személyes adatoknak az országhatárokat átlépő áramlása nem tiltható, illetve köthető külön engedélyhez, ha az egy másik, az Egyezményben részes fél területére irányul. Ugyanakkor az Egyezmény 12. cikk 3. alpontja lehetővé teszi, hogy meghatározott esetekben bármelyik Fél eltérhessen az adatok szabad áramlását biztosító főszabálytól.[8]
Az Egyezmény 2001-ben kelt kiegészítő jegyzőkönyve[9] (a továbbiakban: Kiegészítő Jegyzőkönyv) rendelkezéseket tartalmaz arra az esetre nézve, amikor a személyes adatok országhatárt átlépő továbbítása olyan címzett részére történik, aki vagy amely nem tartozik az Egyezményhez részes Fél joghatósága alá.[10] A Kiegészítő Jegyzőkönyv 2. cikk 1. pontja szerint "[m]inden egyes Fél csak akkor engedélyezheti a személyes adatok továbbítását olyan címzett részére, aki vagy amely olyan állam vagy szervezet joghatósága alá tartozik, amely nem részese az Egyezménynek, ha az az állam vagy szervezet megfelelő szintű védelmet biztosít a célzott adattovábbítás során." A Kiegészítő Jegyzőkönyv sem nevesíti tehát a nemzetközi szervezeteket, illetve a 2. cikk címében is országhatárt átlépő továbbításra utal, ugyanakkor az állam mellett valamely szervezet joghatósága alá tartozó címzettnek történő adattovábbítása is szerepel, amely akár valamely nemzetközi szervezet vagy a szervezet joghatósága alá tartozó címzettnek történő továbbítást is magában foglalhat.
A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv[11] (a továbbiakban: 95/46/EK irányelv) szintén kitért a személyes adatok harmadik országokba irányuló, azaz Európai Unión, illetve Európai Gazdasági Térségen (EGT) kívülre történő továbbítására.[12] A nemzetközi szervezetek részére történő adattovábbítás mint szabályozandó esetkör nevesítetten nem jelenik meg a 95/46/EK irányelvben és a téma kapcsán érdemi joggyakorlat sem alakult ki.
A 95/46/EK irányelv harmadik országba történő adattovábbítással szemben támasztott elvárásai is abból indultak ki, hogy az adatok harmadik országba történő továbbítására akkor kerülhet sor, ha az adott harmadik ország megfelelő védelmi szintet tud biztosítani.[13] A Bizottság - a 95/46/EK irányelv alapján - jogosult volt annak megállapítására, hogy a harmadik ország megfelelő védelmi szintet biztosít,[14] illetve a Bizottság azt is kimondhatta, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, amely alapján a tagállamok megfelelő intézkedéseket kellett tenniük az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbítása megakadályozására.[15]
Amennyiben egy adott harmadik ország nem biztosított megfelelő szintű védelmet, akkor csak a 95/46/EK irányelv szerint meghatározott feltételek mellett kerülhetett sor az adattovábbításra.[16] A 95/46/EK irányelvben
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
