A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján közzétette a kötelező szervezeti szabályozás (Binding Corporate Rules, azaz BCR) jóváhagyására vonatkozó útmutatóját.
A BCR az Európai Gazdasági Térségen (EGT) kívülre történő adattovábbítás esetén a külföldi országban a személyes adatok megfelelő szintű védelmének egyik lehetséges eszköze. A BCR-ok Magyarországon való használatát lehetővé tevő magyar szabályok 2015. október 1-jén, azaz két nap múlva lépnek hatályba. Erről korábban itt, míg a BCR jóváhagyás díjáról itt írtunk.
A NAIH BCR tájékoztatója három szcenáriót tartalmaz:
- Ha a NAIH vezető hatóságként (lead authority) jár el, azaz ha a NAIH-nál indul (először) a jóváhagyás iránti kérelem
- Ha a kérelem új BCR jóváhagyására irányul, de a NAIH nem vezető hatóságként vesz részt az eljárásban
- Nem új BCR jóváhagyásáról van szó, hanem arról, hogy egy vállalatcsoport a meglévő, más hatóság(ok) által már jóváhagyott BCR-jét akarja “kiterjeszteni” Magyarországra
Az eljárási díjat (266.000,- Ft) mindhárom esetben be kell fizetni, valamint a kérelmet is be kell nyújtani a NAIH-hoz, de a NAIH érdemi, részletes vizsgálatot csak az első esetben végez, utóbbi két esetben a NAIH csak a formai szempontokat ellenőrzi, nem támaszt további tartalmi követelményeket. Ettől függetlenül, a BCR szövegét mindhárom esetben angolul és magyarul is be kell adni. Az első két esetben mellékelni kell még a WP 133 angol nyelvű formanyomtatványt is. A harmadik esetben (meglévő BCR “kiterjesztése” Magyarországra) a kérelem formanyomtatványát magyarul is be kell adni.
A fenti három eljárás részletesen:
Ad 1. A NAIH vezető hatóságként jár el
A kérelmezőnek
- meg kell fizetnie az eljárási díjat,
- ki kell töltenie és be kell adnia a NAIH űrlapját magyarul,
- ki kell töltenie és be kell adnia a WP 133 űrlapját angolul,
- be kell adnia a BCR tervezett szövegét magyarul és angolul.
A NAIH a kérelem beérkezését követően elkezdi az egyeztetést a kérelmezővel. A kérelmezőnek meg kell indokolnia, miért a NAIH legyen a vezető hatóság. Ehhez a 29-es munkacsoport Munkacsoport (WP29) WP107-es dokumentuma alapján az alábbi kritériumokat kell figyelembe venni:
- a kérelmezői vállalatcsoporton belül az európai központ elhelyezkedése,
- a vállalatcsoporton belül az adatkezelési feladatokra kijelölt vállalat elhelyezkedése,
- a vállalatcsoporton belül annak a vállalatnak az elhelyezkedése, amely a legmegfelelőbb az eljárás lefolytatására (irányítási feladatok, adminisztratív terhek szempontjából), illetve arra, hogy a BCR alkalmazását a csoporton belül kikényszerítse,
- azon vállalat elhelyezkedése, ahol az adatkezelés céljára és módjára vonatkozó döntések többségét hozzák,
- azon tagállam, ahonnan az EGT- térségen kívülre történő adattovábbítások többsége történik.
A fenti szempontok nem formális kritériumok. Az a hatóság, amelynek a jóváhagyás iránti kérelmet a vállalatcsoport megküldi, így például a NAIH, mérlegeli, hogy valóban a legmegfelelőbb-e a vezető hatóság szerepére, továbbá a hatóságok egymás között is dönthetnek úgy, hogy a kérelem ügyében másik hatóság járjon el vezető hatóságként.
Ha az előbbiek eredményeképpen a NAIH marad vagy lesz a vezető hatóság, akkor a NAIH a kérelmezővel történő egyeztetések eredményeképpen elkészült tervezetet megküldi a többi érintett adatvédelmi hatóságnak véleményezésre. A NAIH a többi adatvédelmi hatóság által megküldött véleményeket továbbítja a kérelmezőnek, és amennyiben a NAIH megítélése szerint a kérelmező a BCR szövegét megfelelően módosította, akkor felkéri a kérelmezőt, hogy nyújtsa be a BCR végleges változatát, amelyet a NAIH továbbít a többi érintett adatvédelmi hatóságnak. Amennyiben a többi hatóság megerősíti, hogy megfelelőnek találja a szabályozást, akkor a kölcsönös elismerési eljárás eredményeként az elkészült szöveggel szemben további tartalmi kifogásnak nincs helye, és megnyílik a lehetőség arra, hogy a vállalatcsoport lefolytassa az egyes nemzeti jogi előírásoknak megfelelő, a BCR jóváhagyására irányuló eljárásokat. A többi államban előírt eljárási követelményeknek tehát a végleges szöveg elfogadását követően kell eleget tennie a vállalatcsoportnak.
A NAIH az így elfogadott BCR-ra vonatkozóan a kötelező szervezeti szabályozás jóváhagyásáról 60 napon belül hoz döntést. Ebbe a határidőbe nem számít bele a többi érintett adatvédelmi hatóság véleményének beérkezéséig terjedő idő (a BCR-nak az érintett adatvédelmi hatóságokhoz történő megküldésétől a vélemények beérkezéséig, illetve a vélemények beérkezésére tűzött határidő lejártáig terjedő idő), valamint a NAIH működését legalább egy teljes napra akadályozó körülmény, ellehetetlenítő üzemzavar vagy más elháríthatatlan esemény időtartama.
Ad 2. Ha új BCR jóváhagyása iránti eljárásában más tagállam hatósága a vezető hatóság
Ha a kérelem új BCR jóváhagyására irányul, de a NAIH nem vezető hatóságként vesz részt más vezető hatóság eljárásában, akkor a kérelmezőnek első körben a más tagállamban lévő vezető hatósághoz kell a jóváhagyás iránti kérelmet beadnia. A vezető hatóságként kijelölt hatóság továbbítja a NAIH részére az egyeztetést követően elkészült tervezetet véleményezésre. Amennyiben a NAIH kifogásolja a BCR szövegét, akkor ezt jelzi a vezető hatóságnak. A módosításokat követően létrejött végleges szöveget a vezető hatóság megküldi a NAIH-nak. Ezzel azonban a BCR még nem válik alkalmazhatóvá Magyarországon, a (formális) jóváhagyás iránti kérelmet ettől függetlenül be kell nyújtani a kérelmezőnek a NAIH-hoz. Ezen második kör az alábbi lépésekből áll:
- meg kell fizetnie az eljárási díjat,
- ki kell töltenie és be kell adnia a NAIH űrlapját magyarul,
- ki kell töltenie és be kell adnia a WP 133 űrlapját angolul,
- be kell adnia a BCR végleges szövegét magyarul és angolul.
A második körben a NAIH további tartalmi kifogásokat nem támaszt, csupán az eljárási követelmények megtartását ellenőrzi. Ebben az esetben a NAIH általi eljárás határideje szintén 60 nap, de valószínű, hogy a döntés hamarabb megszületik, hiszen a NAIH csak formális szempontokat fog mérlegelni.
Ad 3. Meglévő BCR “kiterjesztése” Magyarországra
A BCR szabályozás hatálya lépését megelőzően, azaz 2015. október 1-je előtt más más tagállamokban már jóváhagyott BCR-ok hatálya nem terjed ki automatikusan Magyarországra, hanem a “kiterjesztést” kérni kell a NAIH-tól. Ez az alábbi lépésekből áll:
- meg kell fizetni az eljárási díjat,
- ki kell tölteni és be kell adni a NAIH űrlapját magyarul,
- be kell adni a már jóváhagyott BCR végleges szövegét magyarul és angolul,
- igazolni kell azt, hogy a BCR-t másik tagállamban adatvédelmi hatósága már jóváhagyta.
A NAIH ebben az esetben sem támaszt további tartalmi követelményeket. Ebben az esetben a NAIH általi eljárás határideje szintén 60 nap, de valószínű, hogy a döntés hamarabb megszületik, hiszen a NAIH csak formális szempontokat fog mérlegelni.
A fentiekről szóló angol nyelvű összefoglalónk itt olvasható.
A NAIH tájékoztatója azt is sugallja, hogy a NAIH a kezdetektől fogva részt vesz a kölcsönös elismerési eljárásban. [Lásd lenti Update #1]
Az adatfeldolgozói BCR-okkal kapcsolatban a hatóság egy-két héten belül ígért részletesebb tájékoztatást. [Lásd lenti Update #2]
Update #1 (október 1.)
A NAIH-tól kapott tájékoztatás szerint a NAIH nem fog részt venni a kölcsönös elismerési eljárásban. Ennek lényege, hogy az abban részt vevő hatóságok, illetve tagállamok elfogadják a (másik tagállam) vezető hatóságának pozitív döntését, így tulajdonképpen automatikusan jóváhagyják a saját területükön a BCR-t, anélkül, hogy azt érdemben vizsgálnák. Jelenleg 21 tagállam vesz részt a kölcsönös elismerési eljárásban: Ausztria, Belgium, Bulgária, Ciprus, Cseh Köztársaság, Észtország, Franciaország, Németország, Izland, Írország, Olaszország, Lettország, Liechtenstein, Luxemburg, Málta, Hollandia, Norvégia, Szlovákia, Szlovénia, Spanyolország és az Egyesült Királyság.
Az, hogy a NAIH nem fog részt venni a kölcsönös elismerési eljárásban nem jelent se többet, se kevesebbet, mint hogy a NAIH-nak lesz lehetősége érdemben vizsgálni egy olyan BCR-t, amelyet egy másik vezető hatóság már jóváhagyott és egyébként a fenti 21 tagállam hatóságai is automatikusan elfogadtak. Elhamarkodott lenne ugyanakkor azt állítani, hogy ez jelentős probléma lenne, hiszen elképzelhető, hogy a NAIH az érdemi vizsgálat eredményeképpen nem fog érdemi kifogást vagy észrevételeket tenni, és rövid időn belül jóváhagyja Magyarország vonatkozásban (is) a BCR-t, így a gyakorlati szempontból a végeredmény szinte ugyanaz lesz, mintha részt vett volna a kölcsönös elismerési eljárásban. A végeredmény tekintetében tehát sokkal inkább a NAIH gyakorlata lesz döntő és nem az, hogy részt vesz-e a kölcsönös elismerési eljárásban vagy sem.
A NAIH várhatóan néhány napon belül frissíti a honlapján közzétett tájékoztatót, hogy abban egyértelmű legyen a fenti kérdés.
Update #2 (október 1.)
Az adatfeldolgozói BCR-okkal kapcsolatban az látszik valószínűnek, hogy ezeket tiszta formában nem fogja tudni jóváhagyni a NAIH. Körvonalazódnak azonban megoldások erre, ebben a kérdésben is várható további iránymutatás a NAIH részéről.
Update #3 (október 5.)
A NAIH frissítette a honlapján közzétett BCR tájékoztatót, és törölte a kölcsönös elismerési eljárásra utaló megjegyzéseket a fenti 1. és 2. esetek leírásából.
dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000
Categories: Adatvédelem
