Adattovábbítás az USA-ba – Miről szól az új EU-USA Adatvédelmi Keret?
A GDPR alapján személyes adatok Európai Unión kívülre történő továbbítása akkor lehetséges, ha az Európai Bizottság értékelése szerint a harmadik ország megfelelő védelmi szintet biztosít, azaz, ha az adott állam az uniós polgárok részére ugyanolyan mértékben biztosítja a magánélethez és személyes adatok védelméhez való jogaik érvényesülését, mint az Unióban működő mechanizmusok. A július 10-én elfogadott, az EU-USA adatvédelmi keretről szóló határozatában a Bizottság az Egyesült Államokat ilyen országnak ismerte el; a döntés újabb mérföldkő a transzatlanti adatáramlások garanciális biztosítékait illetően. A témáról Bárányos Krisztinát, a Smart Specialist Zrt. GDPR üzletágért felelős szakmai igazgatóját kérdeztük, aki rész vett a GDPR Rendelet EU-s szintű előkészítésében is.
Mit jelent ez a gyakorlatban?
Az új EU-USA adatvédelmi keret (DPF) értelmében, július 10-től kezdődően az Unióból az USA-ba történő azon adattranszferek esetében, amelyeknél az amerikai adatimportőr (adatátvevő) szerepel az Egyesült Államok Kereskedelmi Minisztériuma által működtetett listán (DPF lista), az Unióban letelepedett adatexportőr (adatátadó) részéről megvalósuló adattovábbítás jogszerűnek tekinthető, anélkül, hogy további adatvédelmi biztosítékokat kellene bevezetni.
Ez azt jelenti, hogy ilyen határozatra támaszkodva nem szükséges ún. általános szerződési feltételekre (SCC) vagy kötelező erejű vállalati szabályokra (BCR) alapítani az adattovábbítást. (Az általános szerződési feltételek a Bizottság által elfogadott, egységesített és előzetesen jóváhagyott modellszerződések, amelyek lehetővé teszik az adatkezelők és adatfeldolgozók számára, hogy megfeleljenek a GDPR-ból fakadó kötelezettségeiknek. Ezeket a modellszerződéseket – melyek használata önkéntes alapú – a vállalkozások beépíthetik kereskedelmi partnereikkel kötött szerződéseikbe, ebben az esetben pedig kötelező érvényű szerződéses kikötésekké válnak.)