V. FEJEZET – A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása

 

44. cikk

Az adattovábbításra vonatkozó általános elv

Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

45. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)   Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

(2)   A védelmi szint megfelelőségének mérlegelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

a)

a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, a közhatalmi szerveknek a személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint e jogszabályok végrehajtása, adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok másik harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek a személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

b)

a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság – a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között megfelelő kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

c)

a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei.

(3)   A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – meg kell határozni a (2) bekezdés b) pontjában említett felügyeleti hatóságot, illetve hatóságokat. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(4)   A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik az e cikk (3) bekezdése, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok végrehajtását.

(5)   A Bizottság – a rendelkezésekre álló információk, különösen az e cikk (3) bekezdésében említett felülvizsgálat alapján – határoz arról, hogy a harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, vagy valamely nemzetközi szervezet már nem biztosítja az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, és a szükséges mértékben, az e cikk (3) bekezdésében említett korábbi határozatot végrehajtási jogi aktus útján, visszaható hatály nélkül hatályon kívül helyezi, módosítja vagy felfüggeszti. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak, rendkívüli sürgősséget igénylő esetekben pedig a 93. cikk (3) bekezdésében említett eljárásnak megfelelően kell elfogadni.

A Bizottság kellően indokolt, rendkívül sürgős esetben a 93. cikk (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó végrehajtási jogi aktusokat fogad el.

(6)   A Bizottság konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az (5) bekezdés szerinti határozat meghozatalához vezető helyzet orvoslását illetően.

(7)   Az (5) bekezdés szerinti határozat nem érinti a személyes adatoknak a szóban forgó harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, illetve a szóban forgó nemzetközi szervezet részére a 46–49. cikk alapján történő továbbítását.

(8)   A Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

(9)   A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat az e cikk (3) vagy az (5) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

46. cikk

Megfelelő garanciák alapján történő adattovábbítások

(1)   A 45. cikk (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2)   A felügyeleti hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik:

a)

közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b)

a 47. cikk szerinti kötelező erejű vállalati szabályok;

c)

a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

d)

a felügyeleti hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

e)

a 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy

f)

a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

(3)   Az illetékes felügyeleti hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:

a)

az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy

b)

közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

(4)   A felügyeleti hatóság az e cikk (3) bekezdésében említett esetekben a 63. cikkben említett egységességi mechanizmust alkalmazza.

(5)   A valamely tagállam vagy felügyeleti hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. A Bizottság által a 95/46/EK irányelv 26. cikkének (4) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat szükség esetén az e cikk (2) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

47. cikk

Kötelező erejű vállalati szabályok

(1)   Az illetékes felügyeleti hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, ha az:

a)

a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;

b)

kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és

c)

megfelel a (2) bekezdés szerinti követelményeknek.

(2)   Az (1) bekezdésben említett kötelező erejű vállalati szabályok tartalmazzák legalább:

a)

a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;

b)

az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;

c)

a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;

d)

az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező erejű vállalati szabályok;

e)

az érintettek személyes adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 79. cikkben meghatározott jogát, hogy az illetékes felügyeleti hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogát;

f)

a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező erejű vállalati szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;

g)

azt, hogy a 13. és a 14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;

h)

a 37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;

i)

a panasztételi eljárásokat;

j)

a kötelező erejű vállalati szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti hatóság rendelkezésére kell bocsátani őket;

k)

a kötelező erejű vállalati szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti hatóság számára történő bejelentésére szolgáló mechanizmusokat;

l)

a kötelező erejű vállalati szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;

m)

arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező erejű vállalati szabályokban előírt garanciákat; valamint

n)

a személyes adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.

(3)   A Bizottság meghatározhatja az e cikk szerinti, a kötelező erejű vállalati szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

48. cikk

Az uniós jog által nem engedélyezett továbbítás és közlés

Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb módozatainak sérelme nélkül.

49. cikk

Különös helyzetekben biztosított eltérések

(1)   A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a)

az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b)

az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c)

az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d)

az adattovábbítás fontos közérdekből szükséges;

e)

az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

f)

az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

g)

a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező erejű vállalati szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

(2)   Az (1) bekezdés első albekezdésének g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(3)   Az (1) bekezdés első albekezdésének a), b) és c) pontja, valamint második albekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

(4)   Az (1) bekezdés első albekezdésének d) pontjában említett közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy az adatkezelőre vonatkozó tagállami jog elismeri.

(5)   Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását. A tagállamok az ilyen rendelkezéseket bejelentik a Bizottságnak.

(6)   Az adatkezelő vagy az adatfeldolgozó az e cikk (1) bekezdésének második albekezdésében említett vizsgálatot és megfelelő garanciákat a 30. cikkben említett nyilvántartásban dokumentálja.

50. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

A harmadik országok és nemzetközi szervezetek viszonylatában a Bizottság és a felügyeleti hatóságok megfelelő lépéseket tesznek annak érdekében, hogy:

a)

a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)

a személyes adatok védelméről szóló jogszabályok érvényesítése terén kölcsönös nemzetközi segítségnyújtást biztosítsanak, egyebek mellett értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c)

az érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d)

előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országok viszonylatában felmerülő joghatósági összeütközéseket is.

 

close
ENEN