Navigation
RGPD > 45. cikk. Adattovábbítás megfelelőségi határozat alapján
Télécharger le PDF

45. cikk GDPR. Adattovábbítás megfelelőségi határozat alapján

(1) Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

Considérants

(103) Az Unió egészére kiterjedő hatállyal a Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt, így biztosítva az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ilyen esetekben a személyes adatok az említett országokba vagy nemzetközi szervezetek részére történő továbbítása további engedély beszerzése nélkül lehetséges. A Bizottság a harmadik országnak vagy nemzetközi szervezetnek küldött, teljes körű indokolással ellátott értesítést követően határozhat úgy is, hogy visszavonja ezt a döntést.

(2) A védelmi szint megfelelőségének mérlegelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

Considérants

(104) A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes adatokat egy vagy több konkrét ágazatban kezelik. A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

(105) A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során a természetes személyek védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottság a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultál a Testülettel.

a) a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, a közhatalmi szerveknek a személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint e jogszabályok végrehajtása, adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok másik harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek a személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

b) a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság – a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között megfelelő kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

c) a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei.

(3) A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – meg kell határozni a (2) bekezdés b) pontjában említett felügyeleti hatóságot, illetve hatóságokat. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

Connexe

(4) A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik az e cikk (3) bekezdése, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok végrehajtását.

Considérants

(106) A Bizottság ellenőrzi a harmadik ország, a harmadik ország valamely területe vagy egy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított védelem szintjével kapcsolatos határozatok működésének ellenőrzését, ideértve a 95/46/EK irányelv 25. cikk (6) vagy a 26. cikk (4) bekezdése alapján elfogadott határozatokat is. A megfelelőségi határozatokban a Bizottság rendelkezik a határozatok működésének időszakos felülvizsgálatát célzó mechanizmusról. Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni. A nyomon követés és az időszakos felülvizsgálatok elvégzése céljából a Bizottság figyelembe veszi az Európai Parlament és a Tanács, valamint az egyéb érintett szervek és források véleményét és megállapításait. A Bizottság – észszerű határidőn belül – értékeli az utóbbi határozatok végrehajtását, és jelzi az e kérdést érintő megállapításait az e rendelet szerint létrehozott, a 182/2011/EU európai parlamenti és tanácsi rendelet (12) értelmében vett bizottság, valamint az Európai Parlament és a Tanács felé.

(12) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(5) A Bizottság – a rendelkezésekre álló információk, különösen az e cikk (3) bekezdésében említett felülvizsgálat alapján – határoz arról, hogy a harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, vagy valamely nemzetközi szervezet már nem biztosítja az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, és a szükséges mértékben, az e cikk (3) bekezdésében említett korábbi határozatot végrehajtási jogi aktus útján, visszaható hatály nélkül hatályon kívül helyezi, módosítja vagy felfüggeszti. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak, rendkívüli sürgősséget igénylő esetekben pedig a 93. cikk (3) bekezdésében említett eljárásnak megfelelően kell elfogadni.

Connexe

A Bizottság kellően indokolt, rendkívül sürgős esetben a 93. cikk (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó végrehajtási jogi aktusokat fogad el.

Connexe

(6) A Bizottság konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az (5) bekezdés szerinti határozat meghozatalához vezető helyzet orvoslását illetően.

Considérants

(107) A Bizottság azt is megállapíthatja, hogy az adott harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet már nem biztosít megfelelő szintű adatvédelmet. Következésképpen a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha e rendeletbe foglalt, a személyes adatok továbbításra megfelelő garanciák alapján történik, ideértve a kötelező erejű vállalati szabályokat, és a meghatározott helyzetekben biztosított eltérésekre vonatkozó követelményeket. Erre az esetre a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról rendelkezni kell. A Bizottság megfelelő időben tájékoztatja az érintett harmadik országot vagy nemzetközi szervezetet az indokokról, és vele a helyzet orvoslása érdekében konzultációkat folytat.

(7) Az (5) bekezdés szerinti határozat nem érinti a személyes adatoknak a szóban forgó harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, illetve a szóban forgó nemzetközi szervezet részére a 46–49. cikk alapján történő továbbítását.

Connexe

(8) A Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

(9) A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat az e cikk (3) vagy az (5) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

ISO 27701 Considérants Lignes directrices & Jurisprudence Laisser un commentaire
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


lire le texte complet

Considérants

(103) Az Unió egészére kiterjedő hatállyal a Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt, így biztosítva az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ilyen esetekben a személyes adatok az említett országokba vagy nemzetközi szervezetek részére történő továbbítása további engedély beszerzése nélkül lehetséges. A Bizottság a harmadik országnak vagy nemzetközi szervezetnek küldött, teljes körű indokolással ellátott értesítést követően határozhat úgy is, hogy visszavonja ezt a döntést.

(104) A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes adatokat egy vagy több konkrét ágazatban kezelik. A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

(105) A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során a természetes személyek védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottság a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultál a Testülettel.

(106) A Bizottság ellenőrzi a harmadik ország, a harmadik ország valamely területe vagy egy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított védelem szintjével kapcsolatos határozatok működésének ellenőrzését, ideértve a 95/46/EK irányelv 25. cikk (6) vagy a 26. cikk (4) bekezdése alapján elfogadott határozatokat is. A megfelelőségi határozatokban a Bizottság rendelkezik a határozatok működésének időszakos felülvizsgálatát célzó mechanizmusról. Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni. A nyomon követés és az időszakos felülvizsgálatok elvégzése céljából a Bizottság figyelembe veszi az Európai Parlament és a Tanács, valamint az egyéb érintett szervek és források véleményét és megállapításait. A Bizottság – észszerű határidőn belül – értékeli az utóbbi határozatok végrehajtását, és jelzi az e kérdést érintő megállapításait az e rendelet szerint létrehozott, a 182/2011/EU európai parlamenti és tanácsi rendelet (12) értelmében vett bizottság, valamint az Európai Parlament és a Tanács felé.

(12) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) A Bizottság azt is megállapíthatja, hogy az adott harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet már nem biztosít megfelelő szintű adatvédelmet. Következésképpen a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha e rendeletbe foglalt, a személyes adatok továbbításra megfelelő garanciák alapján történik, ideértve a kötelező erejű vállalati szabályokat, és a meghatározott helyzetekben biztosított eltérésekre vonatkozó követelményeket. Erre az esetre a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról rendelkezni kell. A Bizottság megfelelő időben tájékoztatja az érintett harmadik országot vagy nemzetközi szervezetet az indokokról, és vele a helyzet orvoslása érdekében konzultációkat folytat.

Lignes directrices & Jurisprudence Laisser un commentaire
[js-disqus]