A GDPR határokon átnyúló alkalmazása esetén mi a teendő? Magyarázat a megfelelési módszerekre

A GDPR az az EU által meghatározott szabályzat, amely az egyéni adatok védelmét és kezelését szabályozza. Amennyiben az EU területén belül kíván termékeket vagy szolgáltatásokat nyújtani, előfordulhat, hogy a GDPR rendelkezései Önre is vonatkoznak. Azonban előfordulhat, hogy nem egyértelmű, vajon vállalkozása alá esik-e a GDPR hatálya alá, és ha igen, mit kell tennie ebben az esetben.

Ebben a cikkben bemutatjuk a GDPR hatályát és azokat a lépéseket, amelyeket meg kell tennie, ha a rendelet Önre vonatkozik, valamint a szükséges intézkedéseket. A GDPR alkalmazásával kapcsolatos GYIK is található, így kérjük, használja ezt az információt forrásként.

A GDPR alkalmazási köre

A GDPR alkalmazásának feltételeit a GDPR 3. cikke, a „Földrajzi alkalmazási kör” határozza meg. A GDPR alkalmazási köre az EU területén belül található, illetve azon kívüli székhely esetére oszlik ketté.

Az EU területén belüli székhely esetében a következők érvényesek:

„Alkalmazandó azon személyes adatok kezelésére, amelyek az EU területén belüli adatkezelő vagy adatfeldolgozó székhelyének tevékenysége során történnek, függetlenül attól, hogy az adatkezelés maga az EU területén belül zajlik-e vagy sem.”

Hivatkozás: Személyes Adatok Védelméért Felelős Bizottság | „Általános Adatvédelmi Rendelet (GDPR) ideiglenes japán fordítása[ja]”

Vagyis, ha az EU területén belül van az adatkezelő vagy adatfeldolgozó székhelye, akkor a GDPR alkalmazandó.

Az EU területén kívüli székhely esetében az alkalmazási kör a következő két esetre terjed ki:

1. Ha az EU területén belüli személyeknek árut vagy szolgáltatást nyújtanak
2. Ha az EU területén belüli személyek viselkedését figyelemmel kísérik

A GDPR szigorú korlátozásokat szab az EU-n kívüli országokra, és az adatátvitel szabadon történő megvalósításához „megfelelőségi elismerést” igényel. A megfelelőségi elismerés az Európai Bizottság tanácskozása után meghozott döntés, amelyet azok a országok és régiók kaphatnak meg, amelyek megfelelő szintű védelmet biztosítanak a személyes adatok számára.

A megfelelőségi elismeréssel nem rendelkező országoknak és régióknak az EU-n kívüli adatátvitelhez SCC-t (Standard Contractual Clauses – Szabványos Szerződési Feltételek) vagy BCR-t (Binding Corporate Rules – Kötelező Vállalati Szabályzatok) kell alkalmazniuk.

A megfelelőségi elismerés megléte esetén nem szükséges az SCC vagy BCR eljárásokat követni.

Japán megfelelőségi elismerését 2018 (Heisei 30) júliusában jelentették be az EU-Japán rendszeres csúcstalálkozón, mint a személyes adatok átadásának keretrendszerét lehetővé tevő kezdeményezés. Ezt követően 2019 (Heisei 31) január 23-án Japán megkapta a megfelelőségi elismerést, és bejelentették, hogy „üdvözlik az EU és Japán döntését, amely kölcsönösen egyenértékűnek ismeri el a személyes adatok védelmének szintjét”.

Mire kötelezettek a GDPR alá tartozó vállalatok?

Amennyiben egy vállalatra alkalmazandó a GDPR, a következő két fő kötelezettséget kell teljesítenie:

• EU/Egyesült Királyságban (UK) található képviselő kijelölése
• Adatvédelmi irányelvek egyértelmű megfogalmazása

Ebben a részben részletezzük az egyes kötelezettségeket.

EU/Egyesült Királyságban található képviselő kijelölése

A GDPR 27. cikke szerint, ha a GDPR hatályát kiterjesztik egy vállalatra, akkor kötelező egy EU-ban vagy az Egyesült Királyságban (UK) létesített képviselőt kijelölni.

Az itt említett képviselő olyan személy, akit az adatkezelő vagy az adatfeldolgozó írásban nevez ki, és aki a GDPR alapján az adatkezelő vagy az adatfeldolgozó kötelezettségeit látja el az adatkezelő vagy az adatfeldolgozó nevében.

Nem minden EU-ban működő vállalat köteles képviselőt kijelölni. Azok a vállalatok, amelyek nem kötelesek képviselőt kijelölni, a következő esetekben mentesülnek a kötelezettség alól (GDPR 27. cikk):

• Ha a GDPR alá tartozó tevékenység nem ideiglenes jellegű, és nem tartalmazza „különleges adatkategóriák” vagy „bűnügyi ítéletekkel és bűncselekményekkel kapcsolatos személyes adatok” nagy mennyiségű kezelését, és figyelembe véve a feldolgozás jellegét, folyamatát, körét és célját, alacsony a valószínűsége annak, hogy veszélyt jelentenek az érintett személyek jogaira vagy szabadságára
• Ha nem közintézmény vagy közszervezet

Forrás: Japán Adatvédelmi Bizottság | „Általános Adatvédelmi Rendelet (GDPR) ideiglenes japán fordítása[ja]”

Adatvédelmi irányelvek egyértelmű megfogalmazása

A GDPR alá tartozó vállalatoknak egyértelműen fel kell tüntetniük adatvédelmi irányelveikben, hogy kijelöltek egy képviselőt.

Büntető rendelkezések, ha nem neveznek ki képviselőt

Amennyiben a GDPR hatálya alá tartozik, de mégsem neveznek ki képviselőt, fontos tudni, hogy büntetési kötelezettség áll fenn. A büntetés mértéke akár 1,000 euróig terjedhet, vagy a világszerte elért éves nettó árbevétel 2%-a, attól függően, melyik az magasabb (GDPR 84. cikk (4) bekezdés).

Az ügynökök által ellátandó feladatok

Amennyiben az Általános Adatvédelmi Rendelet (GDPR) hatálya alá esik egy szervezet, alapelvként ügynököt kell kijelölnie. De milyen feladatokat kell ellátnia egy ügynöknek? Ebben a részben részletesen ismertetjük az ügynökök feladatait.

A 30. cikk szerinti nyilvántartási folyamatok

Az EU tagállamaiban ügynököt állító adatkezelőknek vagy adatfeldolgozóknak meg kell osztaniuk saját feldolgozási nyilvántartásaikat az ügynökkel. Az ügynöknek pedig, hasonlóan az adatkezelőhöz vagy adatfeldolgozóhoz, meg kell őriznie ezeket a nyilvántartásokat (GDPR 30. cikk).

A nyilvántartásba fel kell venni többek között a következőket:

• Az adatkezelő, az Adatvédelmi Tisztviselő (DPO) neve és elérhetőségei
• Az adatkezelés célja
• Az adatalany jellemzői és a kezelt adatok típusai
• Az adatok megőrzési ideje
• Az adatok törlésének ideje

Az adatalany olyan azonosított vagy azonosítható természetes személy, akire a személyes adatok vonatkoznak.

Amennyiben a felügyeleti hatóság kérésére van szükség, ezeket a feldolgozási nyilvántartásokat hozzáférhetővé kell tenni.

Az adatalanyok vagy a felügyeleti hatóságok kérdéseinek kezelése

Ha az adatalanyok vagy a felügyeleti hatóságok kérdéseket tesznek fel, az ügynöknek kell az adatkezelő vagy adatfeldolgozó helyett válaszolnia az adatalanyoknak és a felügyeleti hatóságoknak (GDPR 27. cikk (3) bekezdés). Például, ha az adatalany kérést intéz, az adatkezelőnek egy hónapon belül információt kell szolgáltatnia (GDPR 12. cikk (3) bekezdés). Továbbá az ügynöknek együtt kell működnie a felügyeleti hatósággal és válaszolnia kell azok kéréseire (GDPR 31. cikk).

GYIK a GDPR alkalmazásával kapcsolatban

A GDPR alkalmazásával kapcsolatosan gyakran felmerülő kérdésekre az alábbiakban válaszolunk.

Szükséges a GDPR-nak való megfelelés, ha nincs terve a külföldi piacra lépésre?

Alapvetően, ha nincs terve a vállalatnak a külföldi piacra lépésre, akkor nincs szükség a GDPR előírásainak való megfelelésre. Azonban még akkor is óvatosnak kell lenni, ha nem tervezünk külföldi terjeszkedést, de van lehetőség arra, hogy az EU területén belüli személyektől adatokat szerezzünk.

Például a következő esetekben kell különös figyelmet fordítani:

• EC weboldalt üzemeltet, és az EU területén belüli személyektől érkezik megkeresés vagy rendelés
• A weboldal böngészése során az EU területén belüli személyek online azonosítóit (IP-címeket vagy cookie-kat) gyűjti be
• Az EU területén belüli személyektől érkező megkeresésekre válaszolva email címeket szerez

Ha véletlenül szerez adatokat az EU területén belüli személyektől, az még nem jelenti azt, hogy a GDPR földrajzi hatályába tartozna, így nem szükséges a GDPR előírásainak való megfelelés.

Emlékezzünk, hogy csak akkor van szükség a GDPR előírásainak való megfelelésre, ha az EU területén belül van a vállalatnak bázisa, vagy ha nincs is bázisa az EU területén belül, de a következő két eset valamelyikébe tartozik:

1. Termékeket vagy szolgáltatásokat nyújt az EU területén belüli személyek számára
2. Az EU területén belüli személyek viselkedését monitorozza

Milyen lépéseket kell megtenni az EU területén belül működő határokon átnyúló e-kereskedelmi weboldal indításakor?

Amikor az EU területén belül működő határokon átnyúló e-kereskedelmi weboldalt indítunk, előfordulhat, hogy az EU területén belüli személyes adatokat gyűjtünk. A gyűjthető információk között szerepelhetnek a következők:

• Név
• E-mail cím
• Lakcím
• Kreditkártya információk
• Vásárlási információk
• Helyzetadatok
• IP-cím & Cookie ID

Amennyiben ezeket az információkat gyűjtjük, azok megfelelnek a GDPR által meghatározott személyes adatoknak, így a GDPR szabályainak megfelelően kell kezelnünk őket.

Első lépésként érdemes felülvizsgálni és frissíteni a GDPR-nak megfelelő adatvédelmi irányelveket és adatvédelmi tájékoztatókat, valamint közzétenni azokat.
Kapcsolódó cikk: A GDPR-nak megfelelő adatvédelmi irányelvek készítésének kulcsfontosságú pontjai![ja]

Ezt követően hajtsuk végre az alábbi lépéseket.

1. Cookie irányelv bevezetése és az e-kereskedelmi weboldal első látogatóitól a cookie-k használatának jóváhagyásának beszerzése
2. Személyes adatok gyűjtése esetén a “személyes adatok kezelésére” vonatkozó hozzájárulás megszerzése
3. Személyes adatok védelme és szivárgás megelőzése érdekében biztonsági intézkedések végrehajtása
4. Képviselő kijelölése

Ezenkívül szükség esetén vizsgáljuk felül a vállalati szabályzatokat, készítsünk GDPR-nak megfelelő kézikönyveket, és tekintsük át az alvállalkozókkal kötött szerződéseket is.

Mi a különbség a GDPR és az UK GDPR között?

Az UK GDPR az Egyesült Királyság általános adatvédelmi szabályzata. Az UK GDPR az Egyesült Királyság EU-ból való kilépésével összefüggésben lépett életbe 2021. január 1-jén (Reiwa 3). A GDPR egy EU-szabályozás, amely nem alkalmazandó az Egyesült Királyságban.

Az UK GDPR az alábbi esetekben alkalmazandó:

1. Amennyiben a vállalat termékeket vagy szolgáltatásokat nyújt az Egyesült Királyságban élő személyek számára.
2. Ha az Egyesült Királyságban élő személyek viselkedését monitorozza.

Ha valaki az Egyesült Királyságban és az EU területén belül folytat üzleti tevékenységet, akkor mind a GDPR, mind az UK GDPR előírásainak megfelelésére van szükség.

Összefoglalás: Ha az GDPR alkalmazási körével kapcsolatban kérdése van, forduljon szakértőhöz

Ha az EU területén van telephelye, vagy ha nincs is ott telephelye, de „termékeket vagy szolgáltatásokat nyújt az EU területén lévő személyeknek” vagy „figyelemmel kíséri az egyének viselkedését”, akkor az GDPR hatálya alá tartozik. Az GDPR alá tartozó vállalatoknak hitelesített képviselőt kell kijelölniük az EU-ban, és ezt egyértelműen fel kell tüntetniük az adatvédelmi irányelveikben.

Ha nem jelöl ki képviselőt, akkor magas pénzbírságokat kell fizetnie. Az EU területén üzleti tevékenységet folytató vagy a jövőben terjeszkedni kívánó vállalatoknak meg kell felelniük az GDPR előírásainak, és ki kell jelölniük egy képviselőt.

Ha nem biztos abban, hogy vállalata az GDPR hatálya alá tartozik-e, javasoljuk, hogy forduljon nemzetközi jogi ügyekben jártas szakértőhöz.

Intézkedéseink bemutatása az Önök számára

A Monolith Jogügyi Iroda egy olyan jogi szolgáltató, amely gazdag tapasztalattal rendelkezik az IT területén, különösen az internet és a jogi kérdések terén. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi ügyekben nyújt megoldásokat.

A Monolith Jogügyi Iroda szakterületei: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]