Mi is a kötelező szervezeti szabályozás, a BCR?
RÖVID TANULMÁNY A KÖTELEZŐ SZERVEZETI SZABÁLYOZÁSRÓL
Bevezetés: Az adattovábbítás
A jelenleg hatályos hazai jogrendszer az adattovábbításról a 2011. évi CXII. törvényben ekképpen rendelkezik:
„8. § (1) Személyes adatot e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha
a) ahhoz az érintett kifejezetten hozzájárult, vagy
b) az adatkezelésnek az 5. §-ban, illetve a 6. §-ban előírt feltételei teljesülnek, és - a 6. § (2) bekezdésében foglalt esetet kivéve - a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
(2) A személyes adatok megfelelő szintű védelme akkor biztosított, ha
a) az Európai Unió kötelező jogi aktusa azt megállapítja, vagy
b) a harmadik ország és Magyarország között az érintetteknek a 14. §-ban foglalt jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban.
(3) Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben - a (2) bekezdésben meghatározott feltételek hiányában is - továbbíthatók harmadik országba.
(4) Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.”
Harmadik országon minden olyan államot érteni kell, amely nem EGT-állam.
A harmadik országbeli adatkezelők és adatfeldolgozók többféleképpen garantálhatják a megfelelő szintű védelmet[1]:
-
Az Európai Közösségek Bizottságának határozataiban szereplő általános szerződési feltétel csomagok alkalmazásával
-
Ad hoc szerződési feltételek alkalmazásával
-
Kötelező Erejű Vállalati Szabályok (Binding Corporate Rules for International Data Transfers) alkalmazásával
A BCR fogalma
A kötelező erejű vállalati szabályok ("BCR") belső szabályok (mint amilyen például egy magatartási kódex), amelyet egy nemzetközi cégcsoport fogad el és amely meghatározza a cég globális házirendjét a személyes adatok nemzetközi továbbítása tekintetében, olyan egyazon cégcsoporton belül, ahol a különböző országokban székelő vállalkozások vonatkozásában az országok nem biztosítanak – az európai mércék szerinti - megfelelő szintű védelmet. Ezek alapján különösen hasznos az olyan vállalatcsoportok számára, amelyek különböző jogrendszerben működnek, és működésük során a személyes adatok továbbítása mindennapos gyakorlat.
BCR-t tehát a multinacionális vállalatok annak érdekében használják, hogy az a magánélet és az alapvető jogok és szabadságok megfelelő védelmére vonatkozó garanciákat szolgáltasson a 95/46/CE a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad szóló áramlásáról irányelv[2] 26. cikk (2) bekezdése alapján, mely szerint a személyes adatok mindenfajta továbbítását az EU joga kell, hogy védjen.
Az irányelv 26. cikkének (2) bekezdése így fogalmaz:
„(2) Az (1) bekezdés sérelme nélkül a tagállamok engedélyezhetik a személyes adatok olyan harmadik országba irányuló továbbítását vagy továbbítás-sorozatát, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, amennyiben az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek.”
Ennek értelmezéséhez szükséges az (1) bekezdés:
„(1) A 25. cikktől eltérően, és amennyiben az adott esetre vonatkozó belföldi jogszabályok másképp nem rendelkeznek, a tagállamok rendelkeznek arról, hogy a személyes adatok olyan harmadik országba irányuló továbbítása vagy továbbítás-sorozata, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, csak a következő feltételek mellett történhet:
a) az érintett egyértelműen hozzájárulását adta a tervezett továbbításhoz; vagy
b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy
c) a továbbítás az adatkezelő és valamely harmadik fél közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy
d) a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő; vagy
e) a továbbítás az érintett létfontosságú érdekeinek védelme miatt szükséges; vagy
f) a továbbítást olyan nyilvántartásból végzik, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben a jogszabályok által a betekintésre megállapított feltételek az adott esetben teljesülnek.”
Tehát a 26. cikk (2) bekezdése abban az esetben is lehetségessé teszi a külföldre történő adattovábbítást ugyanezen cikk (1) bekezdésének sérelme nélkül, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek.
A tagállamok az Irányelv 26. cikkének (3) bekezdése szerint értesíteniük kell a Bizottságot és a többi tagállamot az általuk a (2) bekezdés alapján megadott engedélyekről. A kötelező szervezi szabályok vagy más megfogalmazásban a Kötelező Erejű Vállalati Szabályok, a BCR-ek jogalapját ez a rendelkezés adja.
A BCR biztosítja, hogy minden, a csoporton belüli továbbítás megfelelő szintű védelemben részesül. A vállalatnak ez egy kívánatos alternatíva, hogy általános szerződési feltételek alapján történjék a személyes adatok cégcsoporton belüli továbbítása, ahol és amikor nehézkes az egyes, adattovábbításra vonatkozó, csoporton belüli szerződések aláírása.
Amint az európai együttműködési eljárás keretében elfogadásra került, a BCR a védelem megfelelő szintjét biztosítja, így az egyes nemzeti adatvédelmi hatóságok ("DPA"-k) engedélyezik az adattovábbítást. Meg kell jegyezni, hogy a BCR nem szolgáltat alapot ahhoz, a továbbítás csoporton kívülre történjék.
Mely vállalatok számára előnyös a BCR?
Minden olyan multinacionális vállalkozás számára, amely személyes adatokat továbbít az EGT-n kívüli, harmadik országban székelő tagvállalata számára, hogy így az adatok megfelelő védelmét garantálni tudja.
A BCR előnyei
BCR lehetővé teszik, hogy
-
létrejöjjön az összhang az Európai Unió 95/46 irányelv 25. és 26. cikkelyeivel, valamennyi, a cégcsoporton belüli adatáramlással kapcsolatban, amelyek a BCR hatálya alá tartoznak,
-
harmonizálja a személyes adatok védelmére vonatkozó gyakorlatot a cégcsoporton belül,
-
megelőzze az adatok harmadik országokba történő adattovábbításából következő kockázatot,
-
ne kelljen minden egyes adattovábbítást külön-külön szerződésben rögzíteni,
-
a cég adatvédelmi politikáját kifelé kommunikálja,
-
elkészüljön egy belső iránymutatás az alkalmazottak részére a személyes adatok kezelése tekintetében,
-
az adatvédelem szerves részét képezze a cég tevékenységének.
BCR-ben szereplő néhány kötelező rendelkezés
2008-ban készült egy dokumentum[3] Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules címmel, amely azokat az elemeket és irányelveket tartalmazza, amelyeknek szerepelniük kell a BCR-ekben.
Ilyen előírás többek között
-
a BCR tiszteletben tartásának kötelezettsége,
-
harmadik fél jogai, beleértve az adatvédelmi hatóság és bíróságok előtti panasztételi jogot,
-
kártérítésre vonatkozó szabályok, amelyek a BCR megsértése esetén lépnek életbe,
-
a bizonyítás terhe a cégen és nem az egyénen van,
-
adatvédelmi alapelvek (átláthatóság, adatbiztonság, stb) kinyilvánítása,
-
hatékonyságot célzó eszközök (audit, képzés, panaszkezelési rendszer, stb) megfogalmazása, stb.
A nemzeti adatvédelmi hatóságok a BCR-ek jóváhagyásakor vizsgálják, hogy a szabályok nem csak elméletben, hanem gyakorlatban is kötelező erővel rendelkezzenek, hogy a fentiek szerepeljenek a szabályzatban.
A BCR-nek amellett, hogy megfelel az Európai Unió adatvédelmi irányelvében lefektetett alapelveknek, az érintett nemzetek adatvédelmi jogszabályaival is összhangban kell lennie.
A BCR-ekben a vállalatok az EU adatvédelmi irányelvét és az adatcserével érintett országok nemzeti adatvédelmi szabályait saját szervezetükre, a vállalatnál folyó adatcsere-folyamatokra képezik le, ami konkrétabb, az adatfeldolgozást végző munkavállalók számára könnyebben érthető szabályokat eredményez.
Jellemző, hogy a BCR betartását belső és külső audittal is ellenőriztetnie kell a vállalatnak. A cégcsoportnak együttesen és tagjainak külön is kötelezettséget kell vállalniuk, hogy az illetékes adatvédelmi hatóságokkal együttműködnek és ezen hatóságoknak a BCR értelmezésével és alkalmazásával kapcsolatos javaslatait alkalmazzák. Az adatvédelmi hatóságok a BCR jóváhagyását visszavonhatják, ha a cégcsoport nem tanúsít kellő együttműködést.
2015. júliusában kiadásra került egy összegző dokumentáció[4], amely az egyes országok hatóságai által előírt, a BCR benyújtására és jóváhagyására vonatkozó szabályokat tartalmazza.
Ebben Magyarország még úgy szerepel, mint olyan állam, amely a BCR-t nem ismeri el. Azonban a 2015. október 1-től az Infotv. módosul.
Eljáró DPA
Egy multinacionális cégcsoport esetében nem egyszerű feladat annak meghatározása, hogy mely országban kell a DPA-val jóváhagyatni a BCR-t.
Azon társaságok, amelyek BCR-t kívánnak elfogadni, ki kell, hogy jelöljenek egy felelős hatóságot, amely a kapcsolattartó, és amely kezeli a BCR minden adatvédelmi hatóság felülvizsgálati eljárását.
A döntés alapját, hogy mely állam DPA-ja kell, hogy vezető hatóságként működjön, a következő kritériumok valamelyikének történő megfelelés határozza meg:
-
a vállalatcsoport európai központjának a helye;
-
az adatvédelmi felelősséggel megbízott (vállalat) helye a cégcsoporton belül;
-
annak a társaságnak a helye, amely a legjobb helyzetben van (igazgatóság itt működik, az adminisztratív terhek helye, stb), hogy foglalkozzon a kérelemmel, és a kötelező erejű vállalati szabályok érvényesítésével a vállalatcsoporton belül;
-
a hely, ahol a célok és eszközök szempontjából a legtöbb döntés születik;
-
az Unión belül az a tagállam, ahonnan a legtöbb továbbítás történik az EGT-n kívülre.
A jövőbeli magyar jogszabály nem rendelkezik erről a kérdésről, így az Európai Bizottság erre vonatkozó jogforrását kell alkalmazni[5].
Nemzetközi viszonylatban elmondható, hogy bár a BCR elfogadása az illetékes adatvédelmi hatóság hozzájárulását igényli, de módosításait már nem kell a hatósággal külön elfogadtatni. Például, ha a vállalatcsoporton belül egy új társaság kerül megalapításra, vagy a vállalatcsoport struktúrája módosul, a BCR továbbra is alkalmazható marad, az adatvédelmi hatóság értesítésén és a változások rögzítésén túlmenően nem kell külön hatósági engedély az új adattovábbításokhoz. A magyar szabályozás erre vonatkozóan sem kógens, sem más szabályokat nem tartalmaz.
A jelen és a jövő
Jelen pillanatban hiába rendelkezik egy vállalat BCR-rel, ettől függetlenül a magyar szabályozás alapján mindenképpen kérni kell az adatalany hozzájárulását is az adattovábbításhoz.
Azonban 2015. október hó 1. napjától kezdve lehetővé teszi az adattovábbítás akkor is, ha az adatkezelés 5. §-ban, illetve a 6. §-ban előírt feltételei teljesülnek, és - a 6. § (2) bekezdésében foglalt esetet kivéve - a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
Ettől a naptól kezdve a kötelező szervezeti szabályozáson a következőt kell érteni: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja.
A jóváhagyást tehát a NAIH fogja elvégezni, kérelemre, a következő szabályok betartása mellett:
A kötelező szervezeti szabályozás jóváhagyása iránti kérelemnek tartalmaznia kell
a) az adatkezelő vagy adatkezelők csoportja által végzett adatkezelésre vonatkozóan az Infotv. 65. § (1) bekezdés a)-j) pontjában (adatvédelmi nyilvántartás) meghatározott adatokat vagy az adatkezelés nyilvántartási számát,
b) a kötelező szervezeti szabályozás tervezetét,
c) a kötelező szervezeti szabályozás kötelező jellegének igazolására szolgáló adatokat,
d) ha a kötelező szervezeti szabályozást más EGT-állam adatvédelmi hatósága jóváhagyta, az ennek igazolására szolgáló adatokat.
A kötelező szervezeti szabályozás jóváhagyása iránti eljárásért miniszteri rendeletben meghatározott mértékű igazgatási szolgáltatási díjat kell fizetni. Jelen pillanatban a díj összege még nem került meghatározásra.
A Hatóság a kötelező szervezeti szabályozás jóváhagyása iránti kérelmet hatvan napon belül bírálja el.
A Hatóság a kötelező szervezeti szabályozás jóváhagyása iránti kérelem elbírálásakor a kötelező szervezeti szabályozást
-
jóváhagyja,
-
módosítását javasolja vagy a
-
kérelmet elutasítja.
Hatóság az érintettek tájékoztatásának elősegítése érdekében honlapján közzéteszi a kötelező szervezeti szabályozást alkalmazó adatkezelő megnevezését.
Az új szabályozás nem ír elő belső vagy külső kötelező auditot, csupán a fent említett hatósági eljárásról szól.
Sőt, a szabályozás a BCR-ek kötelező tartalmi elemeit sem sorolja fel, de feltehetőleg a nemzetközi joggyakorlatot veszi majd alapul.
Ezért mindenképpen érdemes átvizsgálni
-
több, interneten elérhető, már elfogadott BCR-t (jelen tanulmány mellékletét képezik az AXA és Siemens vállalatok BCR-jei), továbbá
-
a 95/46/EC irányelv 29. cikkelye alapján létrehozott munkacsoport 2008. jún. 24-i, Working Document Setting up a framework for the structure of Binding Corporate Rules[6] c. iratát, amely egy mintát ad arra, hogyan épüljön fel egy BCR, valamint
-
szintén e munkacsoport által létrehozott ellenőrzőlistát[7], amely annak ellenőrzésére szolgál, hogy a BCR rendelkezik-e minden szükséges tartalmi elemmel.
A BCR megléte önmagában igazolja a vállalatcsoport adatvédelmi elkötelezettségét az adatvédelmi hatóságok felé, és ez csökkentheti a vállalatcsoport adatvédelmi ellenőrzéséknek való kitettségét. A BCR bevezetése nem csak az adatvédelem vállalatcsoporton belüli érvényesítésére szolgál, de hatékony kommunikációs- és marketingeszköz - adatvédelmi szempontból is kiemelheti a vállalatcsoportot versenytársai közül. A BCR használata javíthatja a vállalatcsoport adatvédelmi megfelelősséggel kapcsolatos hírnevét, és ezzel erősítheti a vállalatcsoporttal szembeni bizalmat.
Források:
[1] http://abi.atlatszo.hu/index.php?menu=1225&nyomtat=1
[2] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:hu:HTML
[3] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp153_en.pdf
[6] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp154_en.pdf
[7] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp108_en.pdf