Adattovábbítás harmadik országba – Modell klauzulák 2021.

Korábban már tudósítottam azokról a jogi fejleményekről, amelyek a nemzetközi adatmozgás értelmezését újraírták az EU és az azon kívüli világ között. Pénteken (2021. 06. 04.) délután jelent meg az EU Bizottság által készített dokumentum csomag, az ún. Modell Klauzulák (Standard Contractual Clauses – SCCs), amelyek célja, hogy támpontul szolgáljanak a transzatlanti adatáramlás GDPR-nek megfelelő módon való folyásához..

Az új SCCs elkészítését nemcsak az indokolta, hogy egy évtizeddel ezelőtt elkészített dokumentumok újragondolásáról volt szó, hanem az is, hogy a tavaly nyáron megszületett ún. Schrems II. döntés miatt pillanatnyilag nem tud személyes adat az EU-n kívülre jogszerűen kerülni. A jogszerű adatáramlás egyik pilléréül szolgálnának az SCCs.

Eddig pl. azt láttuk, hogy az USA-beli szolgáltatótól megkaptuk a szolgáltatási szerződésüket (Terms and Conditions/Service Agreement) és valahol a mellékletek között ott volt az adatfeldolgozási szerződés (Data Processing Agreement), emellett azonban nem volt szükség további dokumentumra, mert létezett az EU és az USA között megkötött ún. Privacy Shield megállapodás, amely megadta a jogi kereteket a biztonságos adatáramláshoz.  Mivel a Schrems II. döntés épp ezt a nemzetközi megállapodást érvénytelenítette, a piaci szereplőknek maguknak kell a pótlásáról gondoskodniuk, ami jellemzően az SCCs használatával történik. Az SCCs gyakorlatilag szerződésminták, amelyet a felek (adatkezelők, adatfeldolgozók importőri vagy exportőri pozícióban) használhatnak igényeik szerint alakítva. Bármilyen módon alakíthatók a Bizottság által kiadott minták mindaddig, amíg nem ütköznek a módosítások a GDPR-ba vagy nem sérül a magánszemélyek alapjoga. Mivel a B2B adattranszferek igen nagy része SCCs-n fog nyugodni, szinte az összes USA-beli szolgáltatónak alkalmazkodnia kell az új szerződésrendszerhez a hatálybalépésig nyitva álló 2 éven belül.

Véleményem szerint egy új korszak kezdetén állunk, ami sok tekintetben feladatot ad nekünk is:

–          vélhetően az érintettek most nem a kivárást fogják választani, mert a gyors, GDPR-biztos megoldások kínálatával meg lehet majd nyerni új ügyfeleket,

–          az SCCs adta kereteket minden egyes adatkezelés tekintetében „testre kell szabni”, vagyis – ellentétben a korábbi SCCs-el – nem egy másolandó dokumentumot kapnak a cégek, hanem mind a szerződéses, mind pedig a biztonságos adatáramlást lehetővé tevő egyéb rendelkezések, megoldások tekintetében át kell gondolni a rögzítendő feltételeket (ún. moduláris szerződésminta),

–          az adatexportőrnek (vagyis az EU-ban székelő adatkezelőnek/adatfeldolgozónak) dokumentálnia kell, hogy (i) átvizsgálta a nemzetközi adattranszferrel érintett adatkezelési folyamatait és a szerződéses kereteket, (ii) elvégezte az adott célország (adat importőr) szabályozási kockázatának felmérését (mennyire GDPR-szerű az adott országban a személyes adatok védelme), és (iii) meg kell kötnie az új SCC-t a partner vállalkozással. A szerződések, műszaki, biztonsági eljárások újragondolása a Schrems II. döntés óta zajlik az érintett cégeknél, íme pl. a Microsoft terve: https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/.

Valójában a munka június közepe után fog felgyorsulni, amikor az EDPB (European Data Protection Board – Európai Adatvédelmi Testület) véglegesíti az alkalmazandó szerződéses-, műszaki- és eljárási-elvárások körét, beleértve számos igen fontos mondást, pl. a titkosításról. Pillanatnyilag még nem lehet sem azt látni, hogy a piacvezető nagy (adatfeldolgozó) cégek ügyfélbarát kockázatelemző megoldásokat ajánlanának vagy iparági összefogások lennének vagy bármilyen módon segítve lenne az egyedi cégek élete akkor, amikor a Microsofttal, Amazonnal, ZenDeskkel, Salesforce-al, Google-al, stb. vagy ezeknél sokkal kisebb vállalkozásokkal kell tárgyalnia és szerződéses együttműködését új alapokra helyeznie. És hogy még érdekesebb legyen a feladat, figyelni kell azokra a szolgáltatókra is, akik nem lépnek semmit az elkövetkező egy éven belül, mert esetükben nagy eséllyel a régi, nem jogszerű működés marad fenn…

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.