Jelen cikkünkben a harmadik országba történő adattovábbításra vonatkozó szabályokat foglaltuk össze. Mi is minősül "harmadik országnak"? A "harmadik ország" fogalmát a 2011. évi CXII. törvény, azaz, az Info tv. értelmező rendelkezései között találhatjuk, mely szerint minden olyan állam, amely nem EGT-állam, azaz az összes Uniós tagállam, illetve Izland, Lichtenstein és Norvégia is. Amennyiben tehát nem Uniós tagállamba, illetve a fent nevesített országok valamelyikébe kívánunk személyes adatot továbbítani, úgy a harmadik országba történő adattovábbítás szabályai irányadóak. Ezt a GDPR V. fejezete szabályozza, mely általános elvként fogalmazza meg, hogy olyan személyes adatok továbbítására, amelyeket harmadik országba történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, a Rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti a Rendelet V. fejezetben rögzített feltételeket. A fentiekből jól látható, hogy az adattovábbításra csak akkor kerülhet sor, ha az a Rendelet általános előírásainak is megfelelően történik – így többek között – van megfelelő jogalap az adattovábbításra, a továbbításra az alapelvek betartásával és a Rendeletben előírt egyéb kötelezettségek, mint például az előzetes tájékoztatás teljesítése mellett kerül sor.
Bármikor jogom van megtudni, hogyan jutott a személyes adatom egy vállalat birtokába, s arra mikor adtam engedélyt. Bármikor jogom van egy automatikusan hozott döntést manuálisan felülvizsgáltatni. A munkahelyemen átláthatóvá válik, hogy a személyes adataimhoz a munkáltató mellett mely kollégák férhetnek hozzá. Az adatkezelőnek bármilyen adatvédelmi incidenst jelezni kell az illetékes hatóságnak. Ha pedig nagy a valószínűsége, hogy az érintettre is kihatással lesz az adatszivárgás, akkor őt is értesíteni kell, hogy az szükséges óvintézkedéseket megtegye (pl. bankkártya, vagy személyi igazolvány csere) Mindazonáltal a rendeletben érintett másik fél - az adatkezelő - oldaláról nézve a változásokat, a rendelet komoly kihívások elé állítja a vállalkozásokat. 2018. május 25. után nem tárolható olyan személyes adat, amelyre a rendelet szabályozása nem alkalmazható. Olyan adatkezelési rendszer kiépítése az elvárt - a már meglévő adatbázist kiegészítve, vagy azt lecserélve -, amely lehetővé teszi annak bizonyítását, hogy jogosan kezeli az érintett személyes adatát, bármely személyes adat változásáról tájékoztatni képes minden érintettet, képes nyilvántartani, mit, kinek és mikor adott át az adatkezelő, kérésre képes megszüntetni a teljes adatkezelést, vagy álnevesíteni a személyes adatokat, képes a kezelt adatokat összesíteni, csoportosítani, átlátni.
A GDPR hatálya kiterjed minden olyan vállalkozásra vagy szervezetre, amely személyes adatokat kezel, gyűjt, használ stb., így már azoknak a vállalatoknak is alkalmazni kell a rendelet szabályait, amelyek akárcsak csak egyetlen munkavállalóval vagy ügyféllel is rendelkeznek. Mindehhez adatvédelmi szabályzattal kell rendelkezniük. Adatvédelmi szabályzat Az adatvédelmi szabályzat tartalmazza a különböző jogalapokat, amely alapján az adatkezelés megtörténhet. A szabályzat rögzíti az érintetteknek nyújtott tájékoztatás tartalmát, felsorolja az egyes adatfajtákat, kitérve arra, hogy mely adatot milyen jogalappal és meddig kezelhet a vállalat, valamint kifejti az érintettek jogait és jogérvényesítési lehetőségeit is. Ahhoz, hogy bármilyen szervezet, vállalkozás adatainkat kezelhesse, megfelelő jogalapra van szüksége. Az adatkezelés jogalapjáról az előbbiekben részletesen bemutatott GDPR 6. cikk (1) bekezdés a) pontja rendelkezik. A hozzájárulást azt jelenti, hogy az érintett a felhatalmazásban meghatározottak szerint hozzájárul adatainak kezeléséhez, hozzájárulása azonban bármikor visszavonható.
2018. május 25-én hatályba lépett az Általános adatvédelmi rendelet (az Európai Parlament és Tanács 2016/679 rendelete (GDPR)), amely az Európai Unió országaira egységes szabályozást veztett be az adatkezelés szabályozásában. GDPR cikksorozatunk rövid áttekintést nyújt az adatvédelem vállalkozások számára legfontosabb témáiban. Első cikkünkben a személyes adat fogalmát ismertetjük, kitérünk továbbá a KKV-kra vonatkozó nyilvántartási feladatokkal kapcsolatos szabályokra. A személyes adat. A GDPR meghatározása szerint személyes adat azonosított vagy azonosítható természetes személyre (ő az "érintett") vonatkozó információ egy személy akkor azonosítható, ha közvetett vagy közvetlen módon, pl. valamely azonosító, név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján a személye pontosan megállapítható. Gyakorlatilag ide tartozik minden adat, amellyel egy természetes személy egyértelműen azonosítható.
Ügyfeleinknek azt tanácsoljuk, hogy a nehezen eldönthető kérdésekben a szóban forgó adatokat tekintsék személyes adatoknak. Abból nem lehet baj, ha biztosítják ezeknek az adatoknak a személyes adatokkal kapcsolatban előírt védelmet, és így csökken az adatvédelmi problémák lehetősége.