A Magyar Közlöny 2015. évi 102. számában megjelent a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló törvény (a továbbiakban: Infotv.) legfrissebb módosítása, amely 2015. október 1. napjától léptet hatályba egy, a magyar jogrendszerben eddig példa nélküli jogintézményt, a "kötelező szervezeti szabályozást". A törvénymódosítás az uniós és a nemzetközi szakirodalomban használt binding corporate rules (a továbbiakban: BCR, ami alatt a kötelező szervezeti szabályozást értem) terminológiát követi a jogintézmény fogalmi meghatározásában. A miniszteri indokolás szerint a BCR hatósági jóváhagyását a 2004. évi CXL. a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló törvény (a továbbiakban: Ket.) szerint rendeli lefolytatni.
"Az úgynevezett »általános megközelítés« szintjén egyetértésre jutottak"[2] az Európai Unió tagállamainak igazságügyi miniszterei az uniós társjogalkotók előtt napjainkban harmadik olvasatban[3] lévő "általános adatvédelmi rendelettervezet"[4] (a továbbiakban: rendelettervezet) szabályozási koncepciójának fő irányai és elvei vonatkozásában. Optimista becslések a rendelettervezet elfogadását a 2016. év első negyedévére datálják, tekintettel arra, hogy a jogalkotási folyamat már négy éve tart. A hazai jogalkotónak az Európai Uniós tagságából fakadó kötelezettségeinek teljesítése és az adatvédelmi jog továbbfejlesztése érdekében, az adatvédelem terén hosszú idő óta példaértékű szabályozását az uniós jó gyakorlatra figyelemmel ez év nyarán módosította. Az új jogintézmény olyan magatartási kódex-szerű szabályok alkalmazásának lehetőségét vezeti be, amely lehetővé teszi multinacionális gazdasági társaságok számára, hogy a cégcsoporton belüli személyes adatok - például HR adatbázisok, munkavállalók, vásárlók és ügyfelek adatai[5] - harmadik országba történő továbbítása megfeleljen valamennyi kötelező erejű adatvédelemi aktus rendelkezéseinek. A BCR hatósági engedélyeztetése érvényességi kellék is, így az eljárás komplexitása elemzésére teszek kísérletet, azzal hogy a hazai szakirodalom és joggyakorlat csekély számú példáit a külföldi gyakorlattal együtt vizsgálom.
A tagállamok kerüljék, hogy [...] korlátokat szabnak a személyes adatok határokon átívelő áramlásának". Az 1980-as években az OECD Tanácsa ajánlás[6] formájában fogadta el a magánélet-védelmét és a személyes adatok határokon átnyúló továbbítását támogató irányelveit. Az ajánlás deklarálja, hogy a technológiai fejlődéssel párhuzamosan "jelen Irányelveket nem úgy kell értelmezni, hogy azok megakadályoznák: [...] a személyes adatok különböző kategóriáinál különböző védelmi intézkedések életbe léptetését." Alapelvei között rögzíti a biztonsági garancia elvét is, továbbá a részes államok kötelezettségévé teszi biztosítani azt, hogy a határokon átnyúló adattovábbítás folyamatos és biztonságos legyen.
A folyamatos gazdasági integráció mentén fejlődő Európai Unió irányelvi, tehát másodlagos jogforrásban alkotta meg a szabályokat a részes államoknak a személyes adatok védelmére vonatkozóan, többek között a ma hatályos Európai Parlament és a Tanács (1995. október 24.) 95/46/EK a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelvét (a továbbiakban: irányelv). Megjegyzendő, hogy a jövőben elfogadandó rendeleti szintű jogforrás nem jogharmonizáció útján fogja hatását kifejteni, hanem közvetlenül és kötelezően alkalmazandó jogforrásként fog kötelezettségeket és jogokat keletkeztetni minden uniós tagállamra és jogalanyra egyaránt.
Precedensértékű a köztudatban Lindqvist-ügyként ismertté vált C-101/1. számú[7] ítélet, melyben az Európai Bíróság egyértelműen deklarálja, hogy a harmadik országba történő adattovábbítás nincs definiálva, és amennyiben a személyes adatok internetes oldalra történő feltöltései "nem tartalmaztak olyan technikai megoldást, amely lehetővé tette volna ezen információk automatikus elküldését azoknak, akik szándékosan nem kívántak azokhoz hozzáférni", nem lehet megállapítani a harmadik országba történő adattovábbítást.
A 95/46/EK irányelv 25. cikke (1) bekezdése tagállami hatáskörbe helyezi a harmadik országba történő személyesadat-továbbítás feltételéről történő rendelkezést és a megfelelő védelmi szint biztosításáról való intézkedéseket.
Az adattovábbítási művelet vagy műveletsorozat feltételeinek figyelembevételével kell értékelni a védelmi szint megfelelőségét. Különös figyelem fordítandó az adatok jellegére, a tervezett adatfeldolgozási műveletek céljára és időtartamára, a kiindulási és a célországra, az érintett harmadik országban hatályos jogi környezetre, valamint az érvényesülő szakmai szabályokra és biztonsági intézkedésekre.
Amennyiben a védelmi szint nem tekintendő biztosítottnak, az irányelv 26. cikk (1) és (2) bekezdése rögzíti a továbbíthatóság eseteit.
Ha a védelmi szint nem tekintendő biztosítottnak, az irányelv 26. cikk (1) bekezdése hat elemből álló felsorolásban rögzíti a továbbíthatóság eseteit:
- az érintett egyértelmű hozzájárulásával,
- külön szerződéssel vagy az érintett kérelmére történő szerződést megelőző végrehajtással,
- amennyiben az érintett érdekét szolgáló szerződés megkötéséhez vagy annak teljesítéséhez szükséges,
- amennyiben fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő,
- az érintett létfontosságú érdekeinek védelme miatt elengedhetetlen,
- a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság szolgálatában áll, ha ilyen célú nyilvántartásból történik.
A (2) bekezdés további lehetőséget biztosít arra, hogy elégtelen védelmi szint mellett is jogszerű adattovábbítás történhessen. Ilyen eset, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak, szabadságainak védelme és a kapcsolódó jogok gyakorlása tekintetében, jellemzően szerződéses klauzulák kialakításával.
Jelenleg az alábbi típusait ismeri el és alkalmazza a gyakorlat:
- kötelező erejű vállalati szabályok (Binding Corporate Rules) formájában[8]
- az Európai Bizottság által kialakított szerződéses klauzulák alkalmazásával[9]
- Bizottsági határozat, illetve az egyes tagállami hatóságok vizsgálata nyomán a megfelelő védelmi szintről, országonként megállapítva.
- 147/148 -
Az Európai Bizottságnak kiemelt szerepe van az adattovábbítással érintett eljárásokban. Az irányelv 31. cikk (2) bekezdése szerinti eljárásban állapítja meg a megfelelő védelmi szint meglétét, hiányát.
Napjaink fejleménye, hogy érvénytelennek nyilvánította[10] az Európai Bíróság azt a Bizottsági határozatot, amely az USA tekintetében a megfelelő védelmi szint biztosításának módjáról, az ún. a "Safe Harbour" feltételekről rendelkezett. C-362/14. számú ügyben[11] hozott határozat az európai jog ernyője alól az USA területére fizikailag kikerülő személyes adatok ezen szabályok alapján történő továbbításának jogszerű lehetőségét megszüntette. Tekintettel arra, hogy az USA mint célország vonatozásában nincs más uniós aktus, amely automatikusan garantálná a megfelelő védelmi szintet, így egyes szakértők álláspontja szerint a BCR az amerikai adatkezelők közötti térhódítása is megkezdődhet.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás