A személyes adatok harmadik országba továbbítására vonatkozó szabályrendszer a GDPR[1] hatálybalépésével jelentősen kiegészült. Korábban a témakört érintő legfontosabb szabályozás, az adatvédelmi irányelv[2] nem tartalmazott ennyire differenciált, többszintű szabályokat. Főszabályként megkövetelte, hogy a harmadik országban - ahova a személyes adatokat továbbítani kívánják - megfelelő védelmi szintet kell biztosítani. A védelmi szint megfelelőségének értékelésére az irányelv alapján is a Bizottság rendelkezett hatáskörrel, mely során az érintettek magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jogot, vagy a vállalt nemzetközi kötelezettségeket, a harmadik országgal folytatott nemzetközi tárgyalások eredményeit vette figyelembe.[3]
A Bizottság határozatának hiányában a tagállamok kivételesen, meghatározott feltételek teljesülése esetén határozhattak az adattovábbításról. Idetartozott különösen az érintett adattovábbításhoz adott hozzájárulása, vagy szerződés, fontos közérdek, illetve az érintett létfontosságú érdeke miatti szükségesség; valamint ha nyilvános tájékoztatást szolgáló, széles körben elérhető adatbázisból történt az adattovábbítás. A szabályozás irányelvi jellegéből adódóan azonban nem alakult ki egységes gyakorlat az EU-ban, ami jelentős nehézségeket okozott a globalizáció, a nemzetközi kapcsolatok jelentőségének növekedése közepette.[4]
A GDPR újítást hozott egyrészt abban a tekintetben, hogy - a korábbi gyakorlatot beépítve - több szinten differenciált, részletes szabályrendszert vezetett be, másrészt egységesítette az EU adatvédelmi szabályozását azzal, hogy rendeleti jogforrási jellegéből adódóan közvetlenül alkalmazandóvá vált.
Ennek kiemelkedő a jelentősége a növekvő nemzetközi kereskedelmi kapcsolatok mellett, hiszen elengedhetetlen az érintettek magánszférájának megfelelő szintű védelmét garantálni akkor is, ha több ország, esetleg kontinens érdekelt. Még inkább mutatja a figyelem szükségességét, hogy a felhőalapú adattárolás is - például klinikai kutatások esetén különböző eszközökkel végzett mérések eredménye közvetlenül feltöltésre kerül - egyre meghatározóbb, ami gyakran eredményez harmadik országba történő adattovábbítást.[5] A - később kifejtésre kerülő - Schrems II ítéletben érvénytelenítésre került az USA-EU közötti Adatvédelmi pajzs egyezmény,[6] aminek köszönhetően elmúlt az az időszak, mikor kényelmi, illetve költséghatékonysági szempontokat előtérbe helyezve, lehetőség volt az USA-ba személyes adatok továbbítására,[7] hiszen megfelelőségi határozat hiányában a harmadik országba adattovábbításról szóló szabályrendszer - meglehetősen bonyolult - részletszabályainak alkalmazásának szükségességéhez vezetett, jelentős kihívást jelentve ezzel az adatkezelőknek a mindennapi működésben.
A tanulmány az adattovábbítással kapcsolatos elméleti, illetve gyakorlati kérdéseket fogja vizsgálni annak érdekében, hogy az adatkezelők számára értelmezési segítséget nyújtson a harmadik országba történő adattovábbítások jogszerűségéhez teljesítendő többletkövetelményekre vonatkozóan. Segítséget ad az adattovábbítás fogalmának definiálásában, illetve rendszerbe szedi a harmadik országba irányuló adattovábbítással kapcsolatos szabályrendszert és elvárásokat, annak érdekében, hogy támogassa a rutinszerű alkalmazást.
A téma részletesebb vizsgálata előtt mindenképpen érdemes meghatározni az adattovábbítás fogalmát. A GDPR nem definiálja az adattovábbítás fogalmát, adatkezelési műveletnek, nevezetesen az adatközlés egyik fajtájának határozza meg.[8] Az Infotv. szerint az adattovábbítás az adat meghatározott harmadik személy számára történő hozzáférhetővé tételét jelenti.[9] Harmadik személy alatt azon személyeket értjük, akik nem azonosak az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.[10] Az Infotv. adattovábbításra vonatkozó fogalmából kiindulva elmondható, hogy harmadik személynek nem minősülő személlyel való adatközlés nem adattovábbítás, ezért nem minősül adatkezelésnek sem. Ilyen harmadik személynek nem minősülő személlyel való közlés tipikusan az adatfeldolgozónak való hozzáférhetővé tétel.[11] A magyar jogalkotó az Infotv. adattovábbításra vonatkozó definícióját alkalmazni rendelte a rendelet hatálya alá tartozó adatkezelések esetén, aminek azért van különleges jelentősége, mert a magyar terminológiában így nem minősítették adattovábbításnak az adatfeldolgozónak való hozzáférhetővé tételt.
A rendelet ennél kevésbé egyértelműen rendezi ezt a kérdést. Egyrészt adatközlésnek - ezáltal adatkezelésnek - tekinti a továbbítást, terjesztést, bármely módon történő hozzáférhetővé tételt,[12] címzettnek pedig olyan személyeket minősít, akivel továbbítás, terjesztés vagy egyéb módon hozzáférhetővé tétel útján közlik a személyes adatot, függetlenül attól, hogy harmadik fél-e.[13] A címzettel - így az adatfeldolgozóval - tehát közlés történik, amit tehát adattovábbításnak kellene tekinteni. Álláspontom szerint mindenképpen el kell különíteni az önálló adatkezelési tevékenységnek minősülő adattovábbítástól az adatfeldolgozóval, és más harmadik személynek nem minősülő címzettel való adatközlést, hiszen nincs önálló célja, egyértelműen beolvad ez a tevékenység az adatkezelés eredeti céljába.
Különbségtétel megjelenik a rendeletben az adatkezelő vagy adatfeldolgozó irányítása alatt eljáró személyek tekintetében. Bár a rendelet magyar fordításának terminológiája szerint ők az adatokhoz hozzáféréssel rendelkeznek, ami beletartozik a közlés fogalmába.[14] Azonban a rendelet angol és német nyelvű fordítása már eltérő terminológiát használ. Az angol fordítás szerint ugyanis a közlés "disclosure by transmission, dissemination or otherwise making available" és a 29. cikk szerinti irányítás alatt eljáró személy hozzáférés "has access", míg a német fordítás szerint "Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung" és az irányítás alatt eljáró személy hozzáférését a "Zugang" kifejezéssel jelzi. Tehát két nyelv is eltérő kifejezést - magyarul hozzáférést - használ az irányítás alatt eltérő személyek tekintetében, így véleményem szerint az ő tekintetükben más típusú közlés valósul meg.
A harmadik országba történő adattovábbításra vonatkozó terminológiánál azonban nincs különbségtételre vonatkozó utalás, hiszen azt mondja, hogy "...az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott..." Illetve a 44. cikk szerint "olyan személyes adatok továbbítására - ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is -, amelyeket harmadik országba vagy
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás