Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) a hatályba lépése óta számos módosításon esett keresztül. Legutóbb az Országgyűlés 2015. július 6-i ülésnapján fogadta el az Infotv. azon módosításait, melyek (többek között) hiánypótló jelleggel a kötelező szervezeti szabályokra vonatkozó rendelkezéseket 2015. október 1-jei hatálybalépéssel a magyar jogba emelte.
Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: 95/46/EK irányelv) IV. fejezete rendelkezik a személyes adatok harmadik országokba irányuló továbbításáról. A 95/46/EK irányelv 25. cikke fő szabályként a külföldre történő adattovábbítás feltételeként a megfelelő szintű védelem harmadik ország részéről történő biztosítását szabja amellett, hogy maga az adatkezelés is megfelelő jogalappal bírjon a 95/46/EK irányelv 7. vagy 8. cikke alapján, illetve egyéb tekintetben is jogszerű legyen a 95/46/EK irányelv szabályai szerint. A 95/46/EK irányelv 26. cikk (1) bekezdése szabályozza azokat a feltételeket, amelyek mellett anélkül is lehet adatot külföldre továbbítani, hogy a megfelelő védelmi szint biztosított volna. Ilyen eset például, ha az adatalany egyértelműen hozzájárulását adta a tervezett továbbításhoz; a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy a továbbítás az adatkezelő és valamely harmadik fél közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges. A 95/46/EK irányelv 26. cikk (2) bekezdése abban az esetben teszi lehetővé a külföldre történő adattovábbítást ugyanezen cikk (1) bekezdésének sérelme nélkül, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek. A kötelező szervezeti szabályok, vagyis a BCR-ek jogalapját ez a rendelkezés adja.
Jellemzően a multinacionális vállalatok, a 95/46/EK irányelv 26. cikk (2) bekezdésének hatálya alatt, alakítják ki és alkalmazzák a kötelező szervezeti szabályokat a vállalat különböző országokban (Európai Unión vagy az Európai Gazdasági Térségen kívül) elhelyezkedő egységei közötti adatáramlás szabályozására. A BCR-ekkel a nemzetközi vállalatok egyetlen belső adatvédelmi dokumentummal szabályozhatják egységeik között a személyes adatok továbbítását, anélkül hogy minden adattovábbítás alkalmával az érintett egységeknek szerződést kelljen kötniük egymással. A BCR-nek, amellett, hogy meg kell felelnie a 95/46/EK irányelvben lefektetett alapelveknek, az érintett nemzetek adatvédelmi jogszabályaival is összhangban kell lennie.
A kötelező szervezeti normák léte nem számít újdonságnak, hiszen az Európai Unió tagállamaiban már sok év óta szabályozott keretek között alkalmazzák őket, gondoljunk csak a 95/46/EK irányelv 29. cikke alapján létrehozott, a tagállamok adatvédelmi hatóságainak vezetőit tömörítő munkacsoport (Article 29 Working Party, WP29, a továbbiakban: Munkacsoport) első e témakörben született véleményére 2003-ból[1].
Az Infotv. 3. § 25. pontja értelmében kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja.
A NAIH által közzétett tájékoztató[2] szerint a BCR lehetővé teszi, hogy egy multinacionális vállalat EGT-térségben található tagja személyes adatokat továbbítson az EGT-térségen kívüli országokban található tagjai részére, oly módon, hogy az megfeleljen a 95/46/EK irányelv 25. cikkének. Megjegyzendő, hogy a Munkacsoport WP74. számú véleménye[3] ettől eltérően, a 95/46/EK irányelv 26. cikke (2) bekezdését jelöli meg a BCR alkalmazásának alapjaként A BCR jóváhagyása iránti kérelmet benyújtó vállalatcsoportnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész vállalatcsoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető a vállalatcsoport minden tagjára nézve, a székhelyüktől függetlenül, illetve a munkavállalókra nézve is.
A nemzetközi adattovábbítások körében alkalmazható jogi lehetőségek közül a BCR-eknek számos haszna van. A BCR a személyes adatok védelme szempontjából a 95/46/EK irányelv 25. és 26. cikkének való megfelelőséget biztosít minden, a vállalatcsoporton belüli, a BCR hatálya alá tartozó adattovábbításra. Ezek a szabályok összehangolják a vállalatcsoporton belüli adatvédelmi gyakorlatot, és a harmadik államba történő adattovábbítás kockázatait próbálják megelőzni. Nem elhanyagolható, hogy jelentős adminisztratív tehertől óvja meg magát a vállalatcsoport, ha kötelező szervezeti szabályokat alkalmaz, mivel ezzel kikerüli, hogy minden adattovábbításhoz külön szerződést kelljen kötnie az egyes, vállalatcsoporthoz tartozó, adattovábbításban részes egységeinek. A vállalat adatvédelmi gyakorlata irány- és
- 143/144 -
példamutató lehet akár a munkavállalók számára, akár a vállalat ügyvezetése számára például az adatvédelmet is érintő üzletpolitikája kialakítása során. Végül, de nem utolsósorban az egyik legfontosabb előny európai szempontból, hogy BCR alkalmazása során a vitás kérdések bírósági rendezésének joghatósága az EGT határain belül marad, ami egységesebb jogalkalmazást is lehetővé tesz.
A BCR-ekre vonatkozó új nemzeti szabályozás az Infotv. külföldre történő adattovábbításra vonatkozó rendelkezésében kap először helyet: Infotv. "8. § (1) Személyes adatot e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha
a) ahhoz az érintett kifejezetten hozzájárult, vagy
b) az adatkezelésnek az 5. §-ban, illetve a 6. §-ban előírt feltételei teljesülnek, és - a 6. § (2) bekezdésében foglalt esetet kivéve - a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
(2) A személyes adatok megfelelő szintű védelme akkor biztosított, ha
a) az Európai Unió kötelező jogi aktusa azt megállapítja,
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
