• NDAlegal

A Bizottság elfogadta az új adatvédelmi általános szerződései feltételeket

A mai globalizált világban az adatok nemzetközi áramlása elkerülhetetlen, ezért a GDPR által biztosított magas védelmi szint fenntartása a személyes adatok harmadik országba történő továbbításakor is az EU elsődleges érdeke.


Az EU/EGT-n kívüli országokba történő adattovábbítás történhet egyrész megfelelőségi határozat alapján, azonban ilyen határozatot nem minden ország esetében fogadott el a Bizottság (jelenleg mindössze 12 ország esetében). Sőt az Egyesült Államok esetében visszavonásra is került (ld. Schrems II döntés).


Amikor nem került elfogadásra ilyen megfelelőségi határozat az adott harmadik ország tekintetében (jelenleg talán a legfontosabb ilyen ország az Egyesült Államok), akkor jutnak szerephez az általános szerződési feltételek (általános angol szóhasználattal SCC-k).


Az eddig hatályos általános szerződési feltételek még 2010-ben kerültek elfogadásra, jóval a GDPR előtt, így már nagyon időszerű volt az új feltételek megalkotása és ezáltal a GDPR-al való teljes összhang biztosítása. Ekörben a Bizottság két új általános szerződési feltételt tartalmazó határozatot is elfogadott:


1. harmadik országba történő személyes adatok továbbításáról (2021/914 határozat)

2. és az adatkezelők és adatfeldolgozók közötti általános szerződési feltételekről (2021/915 határozat).


Hatály


Az új általános szerződési feltételek az EU hivatalos lapjában 2021. június 7-én jelentek meg, és egységesen 2021. június 27. napján lépnek hatályba.


A korábbi általános szerződési feltételek (2010/87/EU határozat) 2021. szeptember 27. napján hatályát veszti. Az ez előtt kötött korábbi szerződések esetén egy 18 hónapos átmeneti időszak lép életbe, amely alatt a felek átültethetik ezeket az új szerződési feltételeket a közöttük lévő szerződéses jogviszonyban. Az átmeneti időszak így 2022. december 27. napjáig tart.


Alkalmazhatóság


Természetesen ezeknek az általános szerződési feltételeknek az alkalmazása opcionális, ezek olyan standardizált szabályok, amelyek megkönnyítik a GDPR-nak való megfelelőséget és ezáltal az adatok biztonságát. Fő céljuk, hogy a nemzetközi adattovábbításban a megfelelő adatvédelmi garanciák biztosítva legyenek. Semmilyen esetben sem kötelező az alkalmazásuk, a felek továbbra is megalkothatják a saját jogviszonyaikban a szerződéseik tartalmát szerződési szabadságuk keretében, illetve az általános szerződési feltételeket egy nagyobb szerződés keretei közt is rögzíthetik.


Újdonságok az EU-n kívüli adattovábbítás terén


a) Moduláris megközelítés


Legfőbb újdonsága a harmadik országba történő adattovábbítást szabályozó általános szerződési feltéteknek, hogy a jövőbe mutatóan, moduláris megközelítéssel készültek. Ez azt jelenti, hogy a Bizottság összesen négy potenciális szcenáriót vázolt fel az adattovábbításra:


1. adatkezelő -> adatkezelő

2. adatkezelő -> adatfeldolgozó

3. adatfeldolgozó -> adatfeldolgozó

4. adatfeldolgozó -> adatkezelő


Az általános szerződési feltételek az első oszlopban szereplő feleket egységesen adatátadónak, míg a második oszlopban szereplőt adatátvevőnek nevezik. A szerződési feltételek tehát az összes lehetséges adattovábbítási forgatókönyvet tartalmazzák, és a felek az adott jogviszonynak megfelelően tudják kiválasztani a modulokból az esetükben irányadó szabályozást.


Az egyes modulokon belül további diverzifikációt is alkalmaztak, melyeket „1. lehetőség”, „2. lehetőség” stb. megjelölésekkel illettek. Továbbá a felhasználóbarát alkalmazás elősegítése céljából a jogalkotó még ún. „Magyarázó feljegyzések”-et is tett egyes szabályok mellé, amelyek a gyakorlati alkalmazáshoz adnak hasznos iránymutatást.


A Bizottság ezen megközelítése is azt erősíti, hogy a jövőben - bizonyos szerződéses jogviszonyokban - nagyobb teret fognak nyerni a fix modulokból összeállítható szerződések (hasonló elgondolás alapján épül fel például a Legly dokumentum generáló szoftver is).


b) Célországi jogszabályok európai standardoknak való megfelelősége


Az általános szerződései feltételek értelmében a feleknek garantálni kell, hogy nincs okuk feltételezni azt, hogy az adattovábbítás célországában (ún. rendeltetési hely) a személyes adatok adatátvevő általi feldolgozására irányadó jogszabályok megakadályozzák az adatátvevőt abban, hogy teljesítse az általános szerződési feltételek szerinti kötelezettségeit.


Ennek érdekében a feleknek egy írásbeli értékelést kell végezniük, amely dokumentumot a felügyelő hatóság esetleges kérésére rendelkezésre kell bocsátaniuk.


dr. Fehér Fanni

dr. Nagy Dóra Adriána