Az Európai Adatvédelmi Testület júliusi plenáris ülésén elfogadta az adattovábbítás megkönnyítésének eszközeként alkalmazható magatartási kódexekről szóló 04/2021. számú iránymutatás-tervezetet. Az iránymutatás-tervezet a második egy olyan iránymutatás-sorozatban, amely a GDPR magatartási kódexekre vonatkozó rendelkezéseit részletezi gyakorlati alkalmazáshoz fontos szempontok szerint (az első a 2016/679 rendelet szerinti magatartási kódexekről és ellenőrző szervekről szóló 1/2019. számú iránymutatás volt, amely a magatartási kódexek elfogadásának általános keretét tárgyalja – ITT elérhető.).

Magatartási kódex, mint ellenőrzött önszabályozási mechanizmus

A GDPR megköveteli, hogy az adatkezelők és adatfeldolgozók megfelelő garanciális intézkedéseket tegyenek személyes adatoknak EGT-n kívüli harmadik országba vagy nemzetközi szervezetek felé történő továbbítása során. A GDPR által újonnan bevezetett, e célra alkalmazható eszközök egyike

a 46. cikk (2) bekezdésének e) pontja értelmében jóváhagyott magatartási kódexek (vagy röviden “kódexek“), amelyek a GDPR-ban szabályozott egyéb adattovábbítási mechanizmusok (modellszerződések, kötelező erejű vállalati szabályok) alternatívájaként használhatók.

A magatartási kódexek a felek által magukra nézve kötelezőnek elismert magatartási szabályok, amelyekre az általános szabályokat a GDPR 40-41. cikke állapítja meg. Amennyiben a harmadik államba történő adattovábbításra vonatkozó elemeket is magában foglaló magatartási kódex a Bizottság határozatával általános érvényességet nyer az EU-n belül, ez lehetővé teszi, hogy az EU/EGT-n kívüli, GPDR hatálya alá nem tartozó adatkezelők és adatfeldolgozók kötelező és végrehajtható kötelezettségvállalásokat tegyenek a magatartási kódex alapján, vállalják annak betartását és használják a kódexet a harmadik országokba történő adattovábbítás megfelelő garanciáinak biztosítása érdekében.

A magatartási kódex használata erre a célra azért kiemelten megbízható módszer, mivel a kódex alkalmazhatóságának előfeltétele az illetékes felügyelő hatóság általi előzetes jóváhagyás, és EU-n belüli általános érvényesség és alkalmazhatóság esetén a Bizottság határozata. Azáltal, hogy ezek a szervek állnak a magatartási kódexek mögött, az azt alkalmazó adatkezelők és adatfeldolgozók, valamint partnereik okkal bízhatnak abban, hogy a kódex használatakor a GDPR-ban meghatározott szintű védelemmel azonos szintű védelmet biztosítanak személyes adatok továbbításakor.

Másodszor,

a magatartási kódex önbevallásos alapon működő megfelelés helyett egy független ellenőrző szerv által vizsgált megfelelés.

A magatartási kódex betartását ellenőrző szerv egy akkreditált független szerv, amelyet maga a kódex határoz meg. A felügyeleti hatóságok által végzett akkreditációs eljárás garantálja, hogy az ellenőrző szervek rendelkeznek a szükséges ismeretekkel és megfelelő szakmai elismertséggel ahhoz, hogy teljes mértékben megfeleljenek a feladatuk ellátásához szükséges követelményeknek. Ez szintén hitelesebb pozíciót kölcsönöz a magatartási kódexet használó adatkezelőknek/adatfeldolgozóknak szemben más önszabályozási mechanizmusokkal.

A magatartási kódex tartalma és garanciális rendelkezései

Az adattovábbításra szánt magatartási kódex célja, hogy meghatározza azokat a szabályokat, amelyeket a harmadik országbeli adatkezelőnek/adatfeldolgozónak (az adatimportőrnek) be kell tartania annak biztosítása érdekében, hogy a személyes adatok a GDPR V. fejezetének követelményeivel összhangban megfelelő védelemben részesüljenek.

A megfelelő garanciák biztosítása érdekében a magatartási kódexeknek ki kell terjednie:

1. a GDPR-ban meghatározott alapvető elvekre, jogokra és kötelezettségekre, valamint

2. a magatartási kódex által keretbe foglalni kívánt adattovábbítás egyedi jellemzőire tekintettel kiválasztott garanciákra.

Az adattovábbításokra vonatkozó magatartási kódexnek tartalmaznia kell az iránymutatás-tervezetben felsorolt minimális garanciákat. Ezek közé tartoznak:

  • általános, az adatkezelést leíró elemek: az adattovábbítás jellegének leírása, érintett országok felsorolása, a kezelt/továbbított adatok kategóriáinak megnevezése, az adatvédelmi elveknek, adatkezelő utasítási jogának, további adattovábbítások (’onward transfers’)feltételeinek leírása;
  • harmadik állambeli adattovábbításokhoz szükséges speciális elemek: harmadik fél kedvezményezettekre vonatkozó záradék az érintettek és az adatkezelő vonatkozásában, az érintettek jogorvoslati lehetőségei, a harmadik államban megtörtént adatvédelmi incidensekért való felelősség, az adatimportőr garanciavállalása arra vonatkozóan, hogy a kódexhez csatlakozás időpontjában a harmadik állambeli adatimportőrnek nincs oka feltételezni, hogy a személyes adatok kezelésére az átadás helye szerinti harmadik országban alkalmazandó jogszabályok megakadályozzák abban, hogy teljesítse a kódex szerinti kötelezettségeit, és kötelezettségvállalás arra nézve, hogy szükség esetén az adatexportőrrel együtt kiegészítő intézkedéseket hajt végre az EGT-jog által előírt védelmi szint biztosítása érdekében, audit jogok.
  • A magatartási kódex alkalmazásához szükséges elemek: a kódex módosításainak kezelésére szolgáló mechanizmusok, a tagoknak a kódexből való kilépésének következményei, kódex tagja és az ellenőrző szerv (’monitoring body’) kötelezettségvállalása a tagállami felügyeleti hatóságokkal való együttműködésre, valamint a kódex tagjai kötelezettségvállalása arra nézve, hogy a magatartási kódexnek való megfeleléssel kapcsolatos bármely eljárásban valamely tagállami felügyeleti hatóság joghatósága alá tartoznak.

A fentieken túlmenően a GDPR 40. cikke (3) bekezdése előírja, hogy a magatartási kódexet alkalmazó adatkezelők/adatfeldolgozók (a kódexhez csatlakozó felek) szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat. A felek sajátos helyzetük alapján több megvalósítási mód közül választhatnak:

1. a magatartási kódex beépítése a már meglévő szerződésükbe, pl. szolgáltatási szerződés mellékleteként,

2. a magatartási kódex beépítése a GDPR 28. cikke szerinti adatfeldolgozói megállapodás mellékleteként,

3. a magatartási kódex önálló dokumentumban kezelése, amely esetben ezt a dokumentumot a csatlakozó felek aláírják,

4. mintaszerződéseken (pl. adatkezelő és adatfeldolgozó közötti adattovábbításokra vonatkozó Európai Bizottság által végrehajtási aktusként elfogadott általános szerződési feltételek, vagy a felek által korábban egyedileg kidolgozott modellszerződések) alapuló adatkezelés esetén a magatartási kódex mintaszerződéshez csatolása.

Jóváhagyási mechanizmus

A magatartási kódexek jóváhagyási mechanizmusa a magatartási kódex tulajdonosának (létrehozójának) az illetékes felügyeleti hatóságnál történő benyújtásával indul. A kódex létrehozója lehet kereskedelmi és érdekképviseleti szövetség, ágazati szervezet, tudományos szervezet vagy valamilyen érdekcsoport. A benyújtott magatartási kódexet az illetékes felügyeleti hatóság (a kódex hatálya alá tartozó tagokra illetékes nemzeti felügyeleti hatóság) megvizsgálja, és ha azt megfelelőnek ítéli meg, továbbítja a Bizottság felé, aki végrehajtási jogi aktus formájában dönthet a magatartási kódex általános EU/EGT-n belüli érvényességéről.

Amennyiben a magatartási kódex több tagállamot érintő adattovábbításra vonatkozik, („transznacionális magatartási kódexek”), úgy a transznacionális kódexekre vonatkozó jóváhagyási eljárásnak kell alávetni. Ebben az esetben a kódexet először jóváhagyó illetékes felügyeleti hatóságot a kódex tulajdonosa választja ki az érintett nemzeti felügyeleti hatóságok közül. A kiválasztott felügyeleti hatóság értesíti az összes hatóságot, és amennyiben a kódexet jóváhagyják, az érintett hatóságok időt kapnak annak felülvizsgálatára. Ezt a hatósági konzultációs időszakot követően a jóváhagyott kódexet benyújtják az EDPB-nek jóváhagyásra. Az EDPB jóváhagyás esetén továbbküldi a magatartási kódexet a Bizottság felé.

Amennyiben egy már jóváhagyott és alkalmazott magatartási kódexet bővítenek ki egy harmadik államba történő adattovábbítást szabályozó résszel, csak a kódex módosítását kell jóváhagyásra benyújtani az illetékes felügyeleti hatósághoz.

A magatartási kódex alkalmazásának előnyei

A magatartási kódexekre való támaszkodás legfőbb előnye, hogy a kódexeket az egyes iparágakra (pl. banki és pénzügyi szektor, biztosítási ágazat), illetve az egyes adatfeldolgozási tevékenységekre (HR, gyermekek adatai) lehet szabni annak érdekében, hogy azok a legjobban megfeleljenek a kódexek által érintett szereplők igényeinek.

Ezen túlmenően a magatartási kódexek vonatkozhatnak több tagállamból több harmadik országba történő adattovábbításra is, amíg valamennyi szereplő vállalja a magatartási kódexben foglalt rendelkezéseknek való megfelelést, beleértve a megfelelés független ellenőrző szerv általi monitorozását is.

A magatartási kódexek továbbá rugalmasan alkalmazhatók különböző adattovábbítási forgatókönyvre, például:

1. az azonos vállalatcsoporthoz nem tartozó vállalatok közötti adatáramlásra, pl. az EGT-n belüli és kívüli, ugyanabban az ágazatban működő, rendszeresen adatokat cserélő vállalatok, vagy

2. a GDPR hatálya alá tartozó adatkezelők/adatfeldolgozók és az azonos magatartási kódexeket betartó harmadik országbeli adatkezelők/adatfeldolgozók esetében.

Az azonos szektorban adatfeldolgozási tevékenységet folytató vállalkozások csoportjai élhetnek a lehetőséggel, hogy közösen kidolgoznak egy szabályrendszert magatartás kódex formájában, amelyet a szektorban tevékeny más szereplők is használnak.

A társszabályozásnak ez a formája lehetővé tenné a kisebb vállalkozások számára, hogy saját átfogó adatvédelmi elemzés elvégzése helyett meglévő, igényeiknek megfelelő szektorspecifikus magatartási kódexeket alkalmazzanak. A magatartási kódex ezért is egy elérhető és praktikus eszköz különösen az induló vállalkozások, start-upok és a kkv szektor tagjai számára, amelyeknek speciális, innovációbarát eszközökre van szükségük, és esetleg nem támaszkodhatnak más mechanizmusokra, mivel gyakran nem rendelkeznek a saját eszközök (BCR, modellszerződések) kifejlesztéséhez szükséges pénzügyi forrásokkal vagy know-how-val.

Az iránymutatás-tervezetről az EDPB 2021. október 1-ig nyilvános konzultációt folytat. Az iránymutatás-tervezet ITT elérhető.