Szerver Amerikában, ügyfélszolgálat Indiában – avagy a nemzetközi adatkezelés kérdéseiről

A mai nagyvállalati struktúrában számos esetben előfordul, hogy egy Magyarországon működő nagyvállalat külföldi anyavállalattal rendelkezik, így számára is kell adatokat átadni. Kérdéses azonban, hogy figyelembe véve a jogszabály területi hatályát, ez hogyan oldható meg, mi a követendő – és helyes eljárás?

1. Adattovábbítás EGT tagállamok között

„EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.” 1

A külföldre történő adattovábbítás lényeges feltétele, hogy az adat kizárólag akkor továbbítható, ha az adott országban (célországban) az adatok védelmének megfelelő szintje biztosított. A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv (a továbbiakban: irányelv) rendelkezéseivel összhangban az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotörvény) kimondja, hogy az EGT tagállamok között történő adattovábbítást úgy kell tekinteni, mintha az adattovábbítás belföldön történt volna. Ezzel kimondja tehát a jogszabály, hogy az Európai Gazdasági Térség államai megfelelő védelmi szintet állítanak fel a személyes adatok kezelése során, nem szükséges további intézkedések megtétele, amennyiben személyes adatokat adunk át.

Főszabály szerint tehát, amennyiben EGT-államon belüli az adott gazdasági társaság anyavállalata, az adatok átadása semmilyen nemzetközi jogi korlátba nem ütközik. Természetesen a továbbítás során figyelemmel kell lenni arra, hogy az Infotörvénynek milyen előírásai vannak az adat továbbítására vonatkozóan, akár adatkezelésről, akár adattovábbításról van szó.

Tekintettel arra, hogy az átadott adatok – főszabály szerint – már másik állam területén kifejtett tevékenységhez kapcsolódnak, ezért az adatkezelő/adatfeldolgozó saját joga lesz az irányadó. Ez természetesen nem jelenthet jogi problémát, hiszen valamennyi részes állam az irányelv rendelkezéseivel összhangban készítette el saját adatvédelmi törvényét. Mindemellett érdemes azonban a két ország adatvédelmi rendelkezéseit összehasonlítani, és a szerződéses kapcsolatban annak jogát kikötni, amely a szigorúbb rendelkezéseket tartalmazza – az érintettek adatainak minél szigorúbb megóvása érdekében.

Főszabály szerint tehát, amennyiben EGT-államon belüli az adott gazdasági társaság anyavállalata, az adatok átadása semmilyen nemzetközi jogi korlátba nem ütközik.

1.1. Adattovábbítás harmadik országba

Az irányelv fogalmazza meg a személyes adatok harmadik országba történő továbbításának elvi alapjait, amelynek legfontosabb elvi követelménye, hogy a személyes adatok kizárólag biztonságos helyre kerülhessenek átadásra és az adatkezelő megfelelő védelmi szintet biztosítson.

Annak értékelése során, hogy a megfelelő védelmi szint biztosított-e, az alábbiakat figyelembe kell venni:

  • a célhoz kötöttség elvének érvényesülését,
  • az adatminőség és arányosság elvét,
  • az átláthatóság elvét,
  • az adatbiztonság elvét, a hozzáférés, helyesbítés és tiltakozás jogának biztosítását,
  • a továbbítással kapcsolatos korlátozásokat.

Javasolt továbbá, hogy a személyes adatok ismételt, strukturált átadását lehetőség szerint jogi keretek között tegyék meg a felek, tehát például szerződés vagy kötelező érvényű vállalati szabályok alapján.

Az Infotörvény ezzel kapcsolatban úgy rendelkezik, hogy a személyes adatok megfelelő szintű védelme akkor biztosított, ha

  • az Európai Unió kötelező jogi aktusa azt megállapítja,
  • a harmadik ország és Magyarország között az érintetteknek a 14. §-ban foglalt jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy
  • az adatkezelés, illetve az adatfeldolgozás kötelező szervezeti szabályozásnak megfelelően történik.

Magyarországon is egyre több olyan nagyvállalat működik, amelynek anyavállalata, illetve központja az Amerikai Egyesült Államokban található. Kiemelendő, hogy az USA esetében nem feltétlenül biztosított a megfelelő szintű védelem, így USA-beli cégek esetén azt szükséges megvizsgálni, hogy rajta vannak-e az ún. safe-harbour listán, tehát biztonságos kikötőnek számítanak-e.

Töltse le pdf-ben!

1.2. Kötelező erejű vállalati szabályok

2015 októberében iktatta be a jogalkotó azt a lehetőséget, hogy megfelelő szintű a védelem, amennyiben az adatkezelés kötelező szervezeti szabályozásnak megfelelően történik. De mit is jelent ez?

A kötelező erejű vállalati szabályok, angol elnevezésén Binding Corporate Rules (BCR) a NAIH megfogalmazásában olyan, a nemzetközi vállalatcsoportok által alkalmazott, a személyes adatok továbbítására vonatkozó egységes szabályok, amelyek valamennyi országban – függetlenül attól, hogy EGT tagállam vagy harmadik országról van szó – egységes adatvédelmi szabályokat biztosítanak a személyes adatok vállalatcsoporton belüli továbbítására vonatkozóan. Az irányelv 26. cikk (2) bekezdése adja a BCR jogalapján, hiszen alkalmazásuk megfelelő szerződéses feltételeknek minősülnek, így a tagállamok engedélyezhetik a szabályzat alapján történő adattovábbítást harmadik országokban.

A BCR alkalmazásának lehetővé tételével nagyot lépett előre a hazai jogalkotás: immáron nem szükséges körülményes módon szabályozni a pl. USÁ-ba küldendő adatok továbbítását, lényegesen leegyszerűsödött a folyamat azáltal, hogy a nagyvállalatok elfogadhatnak kötelező erejű szabályokat (tehát egy belső szabályzatot), amely megfelelően garantálja a személyes adatok védelmét.
A BCR jóváhagyását az adatkezelő a NAIH-nál kérheti, az eljárás igazgatási szolgáltatási díja jelenleg 266 000 forint, amelyet a kérelem benyújtását megelőzően szükséges megfizetni.

Az Infotörvény alapján a jóváhagyás iránti kérelemnek az alábbiakat kell tartalmaznia:

  • az adatkezelésnek, illetve kezelt adatoknak a meghatározását, főbb tartalmi elemeit (pl. adatkezelés célja, jogalapja, forrása, adatok kezelésének időtartama…)
  • a kötelező szervezeti szabályozás tervezetét,
  • a kötelező szervezeti szabályozás kötelező jellegének igazolására szolgáló adatokat,
  • ha a kötelező szervezeti szabályozást más EGT-állam adatvédelmi hatósága jóváhagyta, az ennek igazolására szolgáló adatokat.

A kérelem benyújtását követően a NAIH számára 60 nap áll rendelkezésre, hogy elbírálja a kérelmet. Ezen időtartamon belül jóváhagyhatja, módosítását javasolhatja, avagy elutasíthatja a kérelmet.

Amennyiben a NAIH elfogadja a kötelező szervezeti szabályozást, annak alkalmazását (az alkalmazó cég nevét) a honlapján feltünteti.

Fontos lépcsője tehát a BCR-ek alkalmazásának átültetése a hazai szabályozásba, hiszen ez a harmadik országbeli anyavállalattal rendelkező cégek életét nagyban megkönnyíti.

A fentiekből is kitűnik, hogy a nemzetközi vállaltatok határokon átívelő adatkezelése igen komoly adatvédelmi szabályozást igényel, amely mellett az egyre szigorodó magyar adatvédelmi előírások és az új EU-rendelet tükrében a magyarországi leányvállalatoknak nem szabad elsiklaniuk, máskülönben komoly anyagi vonzatai lehetnek az esetleges NAIH általi büntetéseknek.

Dr. Holló Dóra – Dr. Nagy Dóra Adriána
Holló & Társai Ügyvédi Iroda

Megjegyzés: A cikkben található információk csupán tájékoztató jellegűek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való előzetes konzultáció nélkül.