act legal covers all major European business centres.
Budapest • Amsterdam • Bratislava • Bucharest • Frankfurt • Milan • Prague • Vienna • Warsaw


Meet us at www.actlegal.com

Újra jönnek a sztenderd szerződési minták a személyes adatok továbbításakor

 

Az utóbbi néhány évben kirobbant, adatvédelemhez kapcsolódó hatalmas jogviták (pl. Facebook – Cambridge Analytica és a Schrems II. ügy) az Európai Uniót is cselekvési kényszer elé állították. Ennek következtében az Európai Bizottság 2021. június 4-én közzétette végleges végrehajtási határozatát, amely az Európai Unióból származó személyes adatok harmadik országokba történő továbbításához kapcsolódó sztenderd szerződési mintának (SCC) ismételt bevezetését írja elő.

Mik is valójában az SCC-k és miért szükséges a használatuk?

Az SCC-k jogi értelmében nem tekinthetők általános szerződési feltételeknek, sokkal inkább olyan minták, amelyek megkönnyítik az európai uniós biztonsági előírások szerinti adattovábbítást. E mellett az SCC-k megújított formájával az Európai Bizottságának az a célja, hogy általános támpontokat nyújtson az adattovábbításhoz kapcsolódó szerződések megkötéséhez.

A jelen formában felülvizsgált SCC-k nem számítanak kifejezett újdonságnak, már a hatályos adatvédelmi rendelet (GDPR) előtt is rendelkezésre álltak ilyen sztenderd szerződési minták. Az SCC-k felülvizsgálatának égető szükségessége, az EU-ból harmadik országokba történő adattovábbítások jogszerűségének és a személyes adatok magasfokú védelmének biztosítása miatt került ismét napirendre. Az SCC-k átfogó megreformálásához vezető döntő indítékot az úgynevezett Schrems II. döntés hozta meg. (Az ügy arról szólt, hogy M. Schrems a Facebook felhasználójaként sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít az USA-ban található Facebook Inc. felé. Ennek kapcsán azt kérte az illetékes adatvédelmi biztostól, hogy tiltsa meg ezt az adattovábbítást.) Az ügyben az Európai Unió Bírósága kimondta az USA és az EU közötti adattovábbítási megállapodás (Privacy Shield; Adatvédelmi Pajzs) érvénytelenségét. A Privacy Shield érvénytelenségéhez az Európai Unió Bírósága szerint az vezetett, hogy nem látták megfelelően biztosítottnak az EU-ból érkező személyes adatok védelmét az Egyesült Államok fennálló jogi keretei között.

Tekintettel a megszűnt Adatvédelmi Pajzsra, az új SCC keretében az Európai Bizottság a transzatlanti adatáramlásnak, így az Európai Unióból az Egyesült Államokba való adattovábbításnak GDPR szerinti szabályozását próbálja egységes és egyben megfelelőbb adatvédelmi védőernyő alá helyezni.

Mikortól, és egyáltalán kell-e alkalmaznunk az új sztenderd szerződési mintákat?

Kérdéses azonban, hogy az Európai Bizottság által kialakított új SCC mintákat mennyiben és mikortól kötelező alkalmazni. A kiadott rendelkezések szerint az új SCC akkor alkalmazandó, ha az adatokat továbbító félre a GDPR rendelkezései irányadóak, ezen felül, amennyiben az adatokat továbbító személy nem rendelkezik az Európai Unió területén székhellyel. Figyelemmel azonban arra, hogy az Európai Bizottságnak harmadik országokba történő adattovábbítást érintő megállapodások biztonságának csupán támogatása a célja, az SCC-k kizárólagos alkalmazása nem kötelező – hangsúlyozzák az act | Bán és Karika Ügyvédi Társulás szakértői.

Amennyiben a felek saját, az Európai Uniós biztonsági és adatvédelmi előírásoknak megfelelő szerződéseket kötnek, úgy nem szükséges az új SCC-k felhasználása. Az említett végrehajtási határozat az EU Hivatalos Lapjában való kihirdetését követő 20. napon, vagyis 2021. június 27. napján lépett hatályba. Nem kell azonban feltétlenül használni az SCC-t ettől az időponttól. Az adatexportőrök és importőrök további 3 hónapig használhatják még az általuk már alkalmazott meglévő szerződési mintákat. A 2021. szeptember 27. napjáig megkötött SCC-k esetében pedig az átállást 2022. december 27. napjáig kell elvégezni, ha a személyes adatok továbbítására előírt biztonsági feltételek teljesülnek. A 2021. szeptember 27. után megkötött szerződésekre azonban nem lehet alkalmazni a régi SCC minta formátumát.

Milyen újdonságokat tartalmaznak az SCC-k?

Az SCC-ket moduláris módon szabályozták, tehát egymástól elkülönülő panelek alkotják, így a végleges formája az adott adatvédelmi szerződés tárgyától függ. Ez a megoldás nagyobb rugalmasságot biztosít ahhoz, hogy az egyes adattovábbítási cselekményekhez igazítsák azokat.

Látszik, hogy az Európai Bizottság a lehető legszélesebb körben próbálta az adattovábbítást megreformált szabályozása alá vonni. Az SCC így alkalmazható az adatkezelők egymás közötti (C2C); az adatkezelő és az adatfeldolgozó (C2P); az adatfeldolgozók egymás közötti (P2P); valamint az adatfeldolgozó és az adatkezelő közötti (P2C) kapcsolat során. A moduláris felépítésének köszönhetően az SCC-k ezért többfajta (4) szerződésre is vonatkozhatnak, többek között akár alvállalkozókkal fennálló viszonyokat is lefedhetnek.

Az új SCC forma lehetővé teszi egyszerre több személynek a felek által használt sztenderd szerződési mintákban való részvételét. E mellett kialakít egy olyan úgynevezett „dokkolási mechanizmust” (docking clause), amely lehetővé teszi, hogy új szereplők később csatlakozzanak az adatvédelmi szerződéshez.

Az elmúlt időszak súlyos adatvédelmi incidensei felhívták az Európai Unió figyelmét arra, hogy a felek adattovábbítással kapcsolatos kötelezettségei részletesebb és szigorúbb szabályozást igényelnek. Így az új SCC-ben rögzítették az adatokat harmadik országban átvevő személynek azt a vizsgálati kötelezettségét, hogy az alkalmazandó harmadik állambeli jogszabályok, valamint gyakorlatok mennyiben akadályozzák az adatátvevőt az SCC-k és az uniós adatvédelmi jog szerinti kötelezettségeinek teljesítésében.

Mindamellett nincs szükség külön adatfeldolgozási megállapodás megkötésére az SCC-k alkalmazása esetén az adatkezelő-adatfeldolgozó viszonyában, valamint az adatfeldolgozók egymás közötti kapcsolatai során. Azért nincs szükség további megállapodás megkötésére ezen előbb említett viszonyok fennállásakor, mivel az új SCC szabályokat tartalmazó végrehajtási határozat második és harmadik moduljai tartalmazzák a GDPR 28. cikkében foglalt összes szükséges adatvédelmi követelményt. Azonban, amennyiben eltérés található az SCC-k és az egyéb szerződéses feltételek között, az SCC-k rendelkezései élveznek elsőbbséget.

Összegzés:

Az új SCC-k megalkotása egy régi társadalmi és jogi igény eredményeként született meg, bár közel sem nevezhető tökéletes, mindent átfedő szabályozásnak. Ahhoz, hogy az SCC-k a gyakorlatban is megfelelő biztonságot tudjanak nyújtani a személyes adataikkal érintett személyek számára, úgy az adatvédelmi szerződésben részes feleknek visszajelzéseikkel, valamint egyedi fejlesztési elképzeléseikkel segíteniük kell a sztenderd szerződési minták hiányosságainak kijavítását.

Kérdése van?
Írjon nekünk

adatvédelmi szabályzatot

1117 Budapest, Alíz u. 1.
Office Garden A épület 5. emelet

Laworld Opten