A NAIH közzétette a BCR útmutatóját – frissítve okt. 5-én

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján közzétette a kötelező szervezeti szabályozás (Binding Corporate Rules, azaz BCR) jóváhagyására vonatkozó útmutatóját.

A BCR az Európai Gazdasági Térségen (EGT) kívülre történő adattovábbítás esetén a külföldi országban a személyes adatok megfelelő szintű védelmének egyik lehetséges eszköze. A BCR-ok Magyarországon való használatát lehetővé tevő magyar szabályok 2015. október 1-jén, azaz két nap múlva lépnek hatályba. Erről korábban itt, míg a BCR jóváhagyás díjáról itt írtunk.

A NAIH BCR tájékoztatója három szcenáriót tartalmaz:

  1. Ha a NAIH vezető hatóságként (lead authority) jár el, azaz ha a NAIH-nál indul (először) a jóváhagyás iránti kérelem
  2. Ha a kérelem új BCR jóváhagyására irányul, de a NAIH nem vezető hatóságként vesz részt az eljárásban
  3. Nem új BCR jóváhagyásáról van szó, hanem arról, hogy egy vállalatcsoport a meglévő, más hatóság(ok) által már jóváhagyott BCR-jét akarja “kiterjeszteni” Magyarországra

Az eljárási díjat (266.000,- Ft) mindhárom esetben be kell fizetni, valamint a kérelmet is be kell nyújtani a NAIH-hoz, de a NAIH érdemi, részletes vizsgálatot csak az első esetben végez, utóbbi két esetben a NAIH csak a formai szempontokat ellenőrzi, nem támaszt további tartalmi követelményeket. Ettől függetlenül, a BCR szövegét mindhárom esetben angolul és magyarul is be kell adni. Az első két esetben mellékelni kell még a WP 133 angol nyelvű formanyomtatványt is. A harmadik esetben (meglévő BCR “kiterjesztése” Magyarországra) a kérelem formanyomtatványát magyarul is be kell adni.

A fenti három eljárás részletesen:

Ad 1. A NAIH vezető hatóságként jár el

A kérelmezőnek

  • meg kell fizetnie az eljárási díjat,
  • ki kell töltenie és be kell adnia a NAIH űrlapját magyarul,
  • ki kell töltenie és be kell adnia a WP 133 űrlapját angolul,
  • be kell adnia a BCR tervezett szövegét magyarul és angolul.

A NAIH a kérelem beérkezését követően elkezdi az egyeztetést a kérelmezővel. A kérelmezőnek meg kell indokolnia, miért a NAIH legyen a vezető hatóság. Ehhez a 29-es munkacsoport Munkacsoport (WP29) WP107-es dokumentuma alapján az alábbi kritériumokat kell figyelembe venni:

  • a kérelmezői vállalatcsoporton belül az európai központ elhelyezkedése,
  • a vállalatcsoporton belül az adatkezelési feladatokra kijelölt vállalat elhelyezkedése,
  • a vállalatcsoporton belül annak a vállalatnak az elhelyezkedése, amely a legmegfelelőbb az eljárás lefolytatására (irányítási feladatok, adminisztratív terhek szempontjából), illetve arra, hogy a BCR alkalmazását a csoporton belül kikényszerítse,
  • azon vállalat elhelyezkedése, ahol az adatkezelés céljára és módjára vonatkozó döntések többségét hozzák,
  • azon tagállam, ahonnan az EGT- térségen kívülre történő adattovábbítások többsége történik.

A fenti szempontok nem formális kritériumok. Az a hatóság, amelynek a jóváhagyás iránti kérelmet a vállalatcsoport megküldi, így például a NAIH, mérlegeli, hogy valóban a legmegfelelőbb-e a vezető hatóság szerepére, továbbá a hatóságok egymás között is dönthetnek úgy, hogy a kérelem ügyében másik hatóság járjon el vezető hatóságként.

Ha az előbbiek eredményeképpen a NAIH marad vagy lesz a vezető hatóság, akkor a NAIH a kérelmezővel történő egyeztetések eredményeképpen elkészült tervezetet megküldi a többi érintett adatvédelmi hatóságnak véleményezésre. A NAIH a többi adatvédelmi hatóság által megküldött véleményeket továbbítja a kérelmezőnek, és amennyiben a NAIH megítélése szerint a kérelmező a BCR szövegét megfelelően módosította, akkor felkéri a kérelmezőt, hogy nyújtsa be a BCR végleges változatát, amelyet a NAIH továbbít a többi érintett adatvédelmi hatóságnak. Amennyiben a többi hatóság megerősíti, hogy megfelelőnek találja a szabályozást, akkor a kölcsönös elismerési eljárás eredményeként az elkészült szöveggel szemben további tartalmi kifogásnak nincs helye, és megnyílik a lehetőség arra, hogy a vállalatcsoport lefolytassa az egyes nemzeti jogi előírásoknak megfelelő, a BCR jóváhagyására irányuló eljárásokat. A többi államban előírt eljárási követelményeknek tehát a végleges szöveg elfogadását követően kell eleget tennie a vállalatcsoportnak.

A NAIH az így elfogadott BCR-ra vonatkozóan a kötelező szervezeti szabályozás jóváhagyásáról 60 napon belül hoz döntést. Ebbe a határidőbe nem számít bele a többi érintett adatvédelmi hatóság véleményének beérkezéséig terjedő idő (a BCR-nak az érintett adatvédelmi hatóságokhoz történő megküldésétől a vélemények beérkezéséig, illetve a vélemények beérkezésére tűzött határidő lejártáig terjedő idő), valamint a NAIH működését legalább egy teljes napra akadályozó körülmény, ellehetetlenítő üzemzavar vagy más elháríthatatlan esemény időtartama.

Ad 2. Ha új BCR jóváhagyása iránti eljárásában más tagállam hatósága a vezető hatóság

Ha a kérelem új BCR jóváhagyására irányul, de a NAIH nem vezető hatóságként vesz részt más vezető hatóság eljárásában, akkor a kérelmezőnek első körben a más tagállamban lévő vezető hatósághoz kell a jóváhagyás iránti kérelmet beadnia. A vezető hatóságként kijelölt hatóság továbbítja a NAIH részére az egyeztetést követően elkészült tervezetet véleményezésre. Amennyiben a NAIH kifogásolja a BCR szövegét, akkor ezt jelzi a vezető hatóságnak. A módosításokat követően létrejött végleges szöveget a vezető hatóság megküldi a NAIH-nak. Ezzel azonban a BCR még nem válik alkalmazhatóvá Magyarországon, a (formális) jóváhagyás iránti kérelmet ettől függetlenül be kell nyújtani a kérelmezőnek a NAIH-hoz. Ezen második kör az alábbi lépésekből áll:

  • meg kell fizetnie az eljárási díjat,
  • ki kell töltenie és be kell adnia a NAIH űrlapját magyarul,
  • ki kell töltenie és be kell adnia a WP 133 űrlapját angolul,
  • be kell adnia a BCR végleges szövegét magyarul és angolul.

A második körben a NAIH további tartalmi kifogásokat nem támaszt, csupán az eljárási követelmények megtartását ellenőrzi. Ebben az esetben a NAIH általi eljárás határideje szintén 60 nap, de valószínű, hogy a döntés hamarabb megszületik, hiszen a NAIH csak formális szempontokat fog mérlegelni.

Ad 3. Meglévő BCR “kiterjesztése” Magyarországra

A BCR szabályozás hatálya lépését megelőzően, azaz 2015. október 1-je előtt más más tagállamokban már jóváhagyott BCR-ok hatálya nem terjed ki automatikusan Magyarországra, hanem a “kiterjesztést” kérni kell a NAIH-tól. Ez az alábbi lépésekből áll:

  • meg kell fizetni az eljárási díjat,
  • ki kell tölteni és be kell adni a NAIH űrlapját magyarul,
  • be kell adni a már jóváhagyott BCR végleges szövegét magyarul és angolul,
  • igazolni kell azt, hogy a BCR-t másik tagállamban adatvédelmi hatósága már jóváhagyta.

A NAIH ebben az esetben sem támaszt további tartalmi követelményeket. Ebben az esetben a NAIH általi eljárás határideje szintén 60 nap, de valószínű, hogy a döntés hamarabb megszületik, hiszen a NAIH csak formális szempontokat fog mérlegelni.

A fentiekről szóló angol nyelvű összefoglalónk itt olvasható.

A NAIH tájékoztatója azt is sugallja, hogy a NAIH a kezdetektől fogva részt vesz a kölcsönös elismerési eljárásban. [Lásd lenti Update #1]
Az adatfeldolgozói BCR-okkal kapcsolatban a hatóság egy-két héten belül ígért részletesebb tájékoztatást. [Lásd lenti Update #2]

Update #1 (október 1.)

A NAIH-tól kapott tájékoztatás szerint a NAIH nem fog részt venni a kölcsönös elismerési eljárásban. Ennek lényege, hogy az abban részt vevő hatóságok, illetve tagállamok elfogadják a (másik tagállam) vezető hatóságának pozitív döntését, így tulajdonképpen automatikusan jóváhagyják a saját területükön a BCR-t, anélkül, hogy azt érdemben vizsgálnák. Jelenleg 21 tagállam vesz részt a kölcsönös elismerési eljárásban: Ausztria, Belgium, Bulgária, Ciprus, Cseh Köztársaság, Észtország, Franciaország, Németország, Izland, Írország, Olaszország, Lettország, Liechtenstein, Luxemburg, Málta, Hollandia, Norvégia, Szlovákia, Szlovénia, Spanyolország és az Egyesült Királyság.

Az, hogy a NAIH nem fog részt venni a kölcsönös elismerési eljárásban nem jelent se többet, se kevesebbet, mint hogy a NAIH-nak lesz lehetősége érdemben vizsgálni egy olyan BCR-t, amelyet egy másik vezető hatóság már jóváhagyott és egyébként a fenti 21 tagállam hatóságai is automatikusan elfogadtak. Elhamarkodott lenne ugyanakkor azt állítani, hogy ez jelentős probléma lenne, hiszen elképzelhető, hogy a NAIH az érdemi vizsgálat eredményeképpen nem fog érdemi kifogást vagy észrevételeket tenni, és rövid időn belül jóváhagyja Magyarország vonatkozásban (is) a BCR-t, így a gyakorlati szempontból a végeredmény szinte ugyanaz lesz, mintha részt vett volna a kölcsönös elismerési eljárásban. A végeredmény tekintetében tehát sokkal inkább a NAIH gyakorlata lesz döntő és nem az, hogy részt vesz-e a kölcsönös elismerési eljárásban vagy sem.

A NAIH várhatóan néhány napon belül frissíti a honlapján közzétett tájékoztatót, hogy abban egyértelmű legyen a fenti kérdés.

Update #2 (október 1.)

Az adatfeldolgozói BCR-okkal kapcsolatban az látszik valószínűnek, hogy ezeket tiszta formában nem fogja tudni jóváhagyni a NAIH. Körvonalazódnak azonban megoldások erre, ebben a kérdésben is várható további iránymutatás a NAIH részéről.

Update #3 (október 5.)

A NAIH frissítette a honlapján közzétett BCR tájékoztatót, és törölte a kölcsönös elismerési eljárásra utaló megjegyzéseket a fenti 1. és 2. esetek leírásából.

dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000



Categories: Adatvédelem

Tags: , , , , , ,

5 replies

Trackbacks

  1. Megvan a kötelező szervezeti szabályozás (BCR) jóváhagyás díja | Twobirdsideas.hu – a Bird & Bird jogi blogja
  2. Mégis sor kerül az adatvédelmi törvény módosítására – frissítve szeptember 29-én | Twobirdsideas.hu – a Bird & Bird jogi blogja
  3. Az adatvédelmi törvény október 1-jével módosul | Twobirdsideas.hu – a Bird & Bird jogi blogja
  4. Az adatvédelmi törvény jelentős módosítása várható | Twobirdsideas.hu – a Bird & Bird jogi blogja
  5. Hogyan tovább Schrems után, Safe Harbour nélkül? | Twobirdsideas.hu – a Bird & Bird jogi blogja
Cookie consent
We use analytics cookies to help us understand if our website is working well and to learn what content is most useful to visitors. We also use some cookies which are essential to make our website work. You can accept or reject our analytic cookies (including the collection of associated data) and change your mind at any time. Find out more in our Cookie Notice.