1. Mi minősül harmadik országnak?
Minden ország az EGT térségen kívül, vagyis az EU tagállamai+Norvégia+Izland+Liechtenstein kivételével a Föld bármely más országa
2. Mi minősül adat továbbításnak?
Minden olyan tevékenység, amelynek eredményeként a személyes adat:
- ténylegesen (fizikailag pl. adathordozón, vagy adattovábbító hálózat útján) a harmadik országban lévő címzetthez jut vagy;
- a harmadik országban lévő címzett hozzáférhet (pl. informatikai hálózat útján biztosított hozzáféréssel), vagy;
- a harmadik országban lévő címzett megismerheti a személyes adatot (betekintési jog).
Nem minősül harmadik országba irányuló adattovábbításnak, ha az adatkezelőtől eltérő címzetthez nem jut el a személyes adat, számára nem válik megismerhetővé, még akkor sem, ha közben ténylegesen harmadik ország területére kerül (pl. az adatkezelő ügyvezetője a laptopján tárolt személyes adatokkal együtt harmadik országba utazik).
3. Hogyan lehetséges szabályosan a harmadik országba irányuló személyes adatot továbbítani?
Alapvetően a GDPR 44.-49. cikkekben meghatározott szabályok szerint, illetve esetekben, amely rendelkezések egyfajta sorrendiséget is jelentenek vagyis:
- elsődlegesen az EU Bizottságának un. megfelelőségi határozata alapján (45. cikk)
- megfelelőségi határozat hiányában az adatkezelő által kialakított megfelelő garanciák alapján, úgy mint
- kötelező erejű vállalati szabályok (un. BCR – Binding Corporate Rules)
- az EU Bizottság által elfogadott általános adatvédelmi kikötések
- a felügyeleti hatóság által jóváhagyott magatartási kódex, vagy tanúsítási mechanizmus alapján
- továbbá az illetékes felügyeleti hatóság engedélyével az adatkezelő vagy adatfeldolgozó és a harmadik országbeli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések (un. SCC – Standard Contractual Clauses, vagy szabvány/keretszerződések)
- vagy a 49. cikkben meghatározott un. különös helyzetekben biztosított eltérési lehetőségek alapján
4. Mire célszerű ügyelni?
Az un. harmadik országokba történő személyes adattovábbítások megfelelő keretének kialakítása, az alapul fekvő jogalap kiválasztása, az adattovábbítás választott formája, jogalapja szerint teendő további intézkedéseknek a meghatározása rendszerint adatvédelmi szakembert igénylő feladat. Amennyiben az ilyen jellegű adattovábbítás nem eseti, javasolt mindenképpen szakértő tanácsát kérni az adattovábbítót terhelő kötelezettségek megállapításához, teljesítéséhez.