Megrendelés

Liber Ádám: Személyes adatok nemzetközi továbbítása. Az új adatvédelmi törvény margójára (IJ, 2011/5. (46.), 179-187. o.)

A szerző ügyvéd, a DataPrivacy.hu adatvédelmi blog szerkesztője.

Globális és infokommunikáción alapuló világunkban a személyes adatok határokat átlépő továbbítása mindennapi életünk integráns részévé vált. Nemzetközi adattovábbításra kerül sor többek között abban az esetben, ha egy adott országban található számítógéphez egy másik országban található számítógép útján hozzáférnek, ami különös jelentőséggel bír napjaink elosztott hálózati rendszereiben, ahol az adatfeldolgozás tényleges helye relatív, illetve meghatározhatatlan. A nemzetközi adattovábbítás kiszervezés útján lehetővé teszi, hogy egyes vállalatok az elektronikus ügyfélszolgálatuk fenntartását központilag, a fogyasztó, illetőleg a vásárló országától eltérő országból - akár Európán kívülről - olcsóbb és jobb anyagi feltételek mellett biztosítsák, ezáltal pedig erőforrásaikat és pénzeszközeiket kíméljék. A külföldre történő adattovábbítás lehetőségének gazdasági hasznossága tehát a globalizáció korában megkérdőjelezhetetlen, azonban mindemellett szükségképpen megnövekednek azok a szituációk is, melyek az adatalany személyes adatait (és ezzel együtt magánszféráját) veszélynek szolgáltatják ki.

A nemzetközi adattovábbítás veszélyt jelenthet az adatalany jogaira, mivel a személyes adatok olyan országba kerülhetnek, ahol az adatalany elveszíti ellenőrzését a magánszférája körébe tartozó információk felett, illetőleg amelynek jogrendszere nem garantálja megfelelően az adatalany magánszférájához / adatvédelemhez fűződő jogait. A szigorú szabályozás mellett szól, hogy az adatok határokat átlépő továbbításának az informatika mai feltételei között különösebb költsége nincsen. Emiatt - akár egyetlen gombnyomásra - személyes adatok, illetve érzékeny adatok tömege kerülhet külföldre, az adatalany és az adatvédelmi jog ellenőrzésén kívülre, ami azzal járhat, hogy az adatalany nem rendelkezik tudomással arról, hogy mire használják fel az adatait, esetlegesen nem kap tájékoztatást erről, illetve az adatok törlését és az adatalany egyéb jogorvoslati jogait nem biztosítják. Belátható, hogy könnyen megkerülhetőek lennének a személyes adatok védelmének jogszabályi garanciái, amennyiben korlátozás nélkül lehetőség lenne a személyes adatok külföldi (EGT-n kívüli) országokba történő áramlására.

1. Az Európai Unió szabályozása általában

Az európai adatvédelmi jog azon a felismerésen alapul, hogy a személyes adatok kezelése az érintett viszonylatában jogkorlátozást valósít meg. Az adatvédelem célja, hogy az érintett magánszemély részére - akinek személyes adatait kezelik - a magánszférára kiterjedő védelmet nyújtson, melyet az egyénnek biztosított jogosultságok, illetőleg az adatkezelőre terhelt kötelezettségek kombinációjával érnek el. A külföldre történő adattovábbítás szabályozásának indoka, hogy egyes külföldi országokban nem létezik integrált és egységesen kodifikált adat- és magánszféra-védelem, illetőleg hiányoznak azok a jogok és kötelezettségek, illetve (alapjogi) garanciák, melyeket Európában az európai emberi jogi egyezmény 8. cikke, az alapjogi charta, az európai adatvédelmi irányelv (95/46/EK irányelv)1, illetőleg tagállami szinten a nemzeti adatvédelmi alapjogok bástyáznak körül.

Az adatvédelmi jog európai uniós szinten az európai adatvédelmi irányelv által harmonizált joganyaga - ami az EU Bíróság joggyakorlata értelmében teljes harmonizációt nyújt2 - biztosítja a személyes adatok tagállamok közötti szabad áramlását, míg harmadik országok esetében ugyanerre szigorú korlátozást érvényesít. Az irányelv az Európai Gazdasági Térség államai vonatkozásában egységes magas szintű védelmet teremt, és ennek megfelelően az ezen államokba irányuló adattovábbításokat a belföldi adattovábbításokkal azonos módon rendeli kezelni. Ezzel szemben az EGT-n kívülre irányuló (tehát harmadik országbeli) adattovábbításokra vonatkozóan az irányelv (57) preambulum-bekezdése azt rögzíti, hogy "a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irá­nyuló továbbítását meg kell tiltani". Az irányelv 25. cikke értelmében "személyes adatok csak abban az esetben továbbíthatók harmadik országba, ha [...] az adott harmadik ország megfelelő védelmi szintet biztosít".

Az irányelvi rendelkezés indoka a természetes személyek magánélet tiszteletben tartásához való jogának védelme Európán kívül is a védelem magas szintjének fenntartásával. Törékeny lenne ugyanis az az adatvédelmi rezsim, melyet meg lehetne kerülni a személyes adatok külföldre történő továbbításával.

Az adatvédelmi irányelv maga is számol azzal, hogy egyes harmadik államok olyan adatvédelmi szabályozással, illetőleg garanciákkal rendelkeznek, melyek adott esetben egyenrangúak az európai jog által nyújtott védelemmel. Ilyen esetben az adattovábbítás biztonságosságát az adott ország által nyújtott védelmi szint jelenti, ami származhat a harmadik ország jogrendszeréből vagy nemzetközi kötelezettségvállalásból.

Másrészről az irányelv azt is biztosítja, hogy - bizonyos esetekben - el lehessen térni a megfelelő szintű védelem követelményétől. Így lehetséges, hogy a harmadik ország nem nyújt megfelelő szintű védelmet, azonban az adatexportőr és az adatimportőr egyéb eszközökkel, így különösen magánjogi kötelezettségvállalások, illetőleg szerződések útján is megteremthetik a megfelelő, külföldi jogrendszer által nem biztosított adatvédelmi követelményeket. További lehetőségként létezik, illetőleg multinacionális vállalatok esetében praktikusnak mutatkozik a vállalat nemzetközi működéséhez szükséges adattovábbításai vonatkozásában egy olyan önszabályozás elvén nyugvó (adatvédelmi) szabályzat elfogadása, amely egy adott vállalatcsoport valamennyi tagját köti és ami érvényesítésre kerül a vállalaton belüli adattovábbítások vonatkozásában.

Végül az adattovábbítás nyugodhat olyan eszközön, illetve jogalapon, mely esetben nincs lehetőség a megfelelő szintű védelem biztosítására. Ez az irányelv hatálya alatt csak kivételes lehetőség lehet, illetve többletbiztosítékokhoz kötött, mint az adatvédelmi hatóság engedélye, nemzetközi szerződés létezése vagy akár valamely külön jogalap (pl. kifejezett hozzájárulás) alkalmazása.

Az európai adatvédelem irányelvi formában szabályozott, amely aktus címzettje a tagállam, és amely a konkrét célok megvalósításának módját az egyes tagállamokra bízza. Ekként a jelen tanulmány utolsó részében a hazai jog elemzésére térünk rá, különös tekintettel a jelenleg hatályos magyar adatvédelmi jog, illetve az új adatvédelmi törvény (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény3) 2012. január 1. napjával hatályba lépő szabályozására és annak változásaira az európai jogi nemzetközi adattovábbítási szabályok fényében.

2. A megfelelő szintű védelem értékelése - biztonságos országok

Az európai adatvédelmi irányelv nemzetközi adattovábbítással kapcsolatos kulcsfogalma a "megfelelő szintű védelem", melyről az irányelv 25. cikke rendelkezik, míg a 26. cikk az ettől való eltérés lehetőségét rögzíti.

A teljes tartalom megtekintéséhez jogosultság szükséges.

A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.

Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére