Október 1-jén lép hatályba az információs önrendelkezési jogról és az információszabadságról szóló infotörvény módosítása. A változás lényege, hogy bevezetik a kötelező szervezeti szabályozás jogintézményét. Ez jelentősen megkönnyítheti a külföldre és azon belül is elsősorban az EU-n, illetve Európai Gazdasági Térségen kívüli adattovábbítást a nemzetközi vállalatcsoportok számára.
Mi a BCR?
A kötelező szervezeti szabályozás (binding corporate rules, BCR) olyan kötelezettségvállalás, amelyben a cégcsoport tagjai vállalják, hogy adatkezelési gyakorlatuk során minden országban (így az EGT területén kívül működő tagvállalatoknál is) biztosítják az Európai Unió normáinak megfelelő szintű adatvédelmet.
A szervezeti szabályozás tartalmilag meghatározza, hogy milyen adatokat és hogyan kezel a társaság, valamint rendezi az adatbiztonság érdekében alkalmazott szabályokat és ezek biztosításának garanciáit is a továbbítás során.
Kevesebb lesz a papírmunka
„Ha a vállalatcsoporton belül létezik kötelező szervezeti szabályozás, az lehetővé teszi számukra, hogy az általuk kezelt személyes adatokat harmadik országba, tehát az EGT területén kívülre továbbítsák anélkül, hogy ahhoz az érintett magánszemélyek kifejezett hozzájárulásukat adták volna. A BCR alkalmazásával elkerülhető, hogy a csoport minden egyes tagja között adattovábbítási szerződést kelljen kötni, ezzel csökkennek az adminisztrációs terhek is” – összegezte Szarvas Júlia, a Deloitte Legal hálózathoz tartozó ügyvédi iroda ügyvédje.
Egyeztessen a hatósággal
Ha egy vállalatcsoport még nem alkalmaz BCR-t, akkor ennek a tervezetét engedélyeztetniük kell a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH).
- Ha már van ilyen szabályzatuk, amelyet más tagállamban engedélyeztek, akkor is szükség van a magyarországi hivatallal való egyeztetésre, mert a hazai szabályozás nem alkalmazza a „kölcsönös elismerés elvét”.
- A BCR tervezetének bemutatása mellett a többi között azt is igazolni kell, hogy a vállalat biztosítja a szabályzat kötelező jellegét a cégcsoporton belül.
- Egyrészt rendelkezésükre áll az a megfelelően képzett munkaerő, amelynek feladata az alkalmazottak számára folyamatosan – például az intraneten – hozzáférhető szervezeti szabályzat betartatása.
- Másrészt biztosítani kell annak a lehetőségét, hogy akár a hatóság is végezhessen adatvédelmi vizsgálatokat a cégnél.
Eddig ez volt a magyar gyakorlat
Az infotörvény szerint jelenleg személyes adat kizárólag akkor továbbítható harmadik országba, ha ahhoz az érintett kifejezetten hozzájárul, vagy biztosított az átadott személyes adatok megfelelő szintű védelme. A BCR alkalmazása a megfelelő szintű védelem biztosításának lehetséges körét bővíti októbertől.
Korábban ez hasonló esetekben legtöbbször az általános szerződési feltételek alkalmazásával, illetve az USA-ba történő adattovábbítás esetén az úgynevezett „Safe Harbor” határozat betartásával volt biztosítható.