Az EU Bizottsága 2021. június 4-én elfogadta a 2021/914 számú végrehajtási határozatát, amely „leváltotta” a korábban alkalmazott (2010/87/EU számú bizottsági határozatban, illetve a 2001/497/EK számú bizottsági határozatban foglalt) modellszerződéseket (SCC). Mindezzel az EU területén működő adatkezelők részére új minta áll rendelkezésre, amennyiben harmadik országba (vagyis az EGT-n – tehát az EU+Norvégia, Izland, Liechtenstein – kívülre) szeretnének személyes adatot továbbítani.
Az új modellszerződések megalkotásának több sürgető tényező is az alapját képezte:
- egyfelől a fent említett korábbi bizottsági határozatok még a GDPR megalkotása előtti időkben születtek, így csak erőteljes analógiák útján voltak alkalmazhatóak egyes a GDPR alapján megítélendő kérdésekben
- másfelől az EU Bíróság tavaly nyári ítélete (Schrems II ügy) már előrevetítette a korábban alkalmazott SCC-k felülvizsgálatának kérdését, mivel a bíróság – ugyan a modellszerződések jogintézményét elfogadta, és alkalmazásuk lehetőségét fenntartotta, ugyanakkor ezzel összefüggésben – olyan kötelezettségek teljesítését írta elő az adatot továbbítók tekintetében, amelyek mikénti teljesítésére nézve a régi modellszerződések (illetve a kialakult gyakorlat) nem szolgált megfelelő iránymutatásul.
Az 914-es határozat újítása a korábbiakhoz képest, hogy valamennyi adattovábbítási változatra külön-külön, szövegszerűen kidolgozott mintát biztosít. Az adattovábbító félnek kell eldöntenie, hogy a kérdéses esetben:
a) adatkezelőtől adatkezelőhöz;
b) adatkezelőtől adatfeldolgozóhoz;
c) adatfeldolgozótól adatfeldolgozóhoz, vagy
d) adatfeldolgozótól adatkezelőhöz
történik a személyes adatok továbbítása.
A fenti adattovábbítási szcenáriók szerint kialakított modulokból a felek összeállíthatják a konkrét estre szóló szövegszerű megállapodást, amelyet a csatolt mellékletek szerint még fel kell tölteniük a konkrét estre vonatkozó adatokkal:
a) szerződő felek adatai;
b) az adattovábbítás meghatározása (pl. érintettek kategóriái, továbbított adatok kategóriái, esetleges „érzékeny adatok”, adattovábbítás gyakorisága, célja, jellege);
c) illetékes felügyeleti hatóság meghatározása
d) az adatok védelmét biztosító technikai és szervezési intézkedések leírása.
Mindemellett a feleknek olyan kötelezettségük is fennáll, hogy az adattovábbítás helye szerinti ország jogrendjét, hatóságainak adat megismerési lehetőségeit, jogköreit, az érintettek jogát, jogérvényesítési lehetőségeit szabályozó előírásokat feltérképezzék, és a megállapodás mintegy háttéranyagaként (tehát írott formában) értékeljék, a tekintetben, hogy ezek alapján az adatot átvevő fél egyáltalán képes lehet e a szerződésben vállalt kötelezettségei teljesítésére.
Lényeges, hogy a felek által megkötött szerződést az illetékes felügyeleti hatóságnak (Magyarországon a NAIH) be kell nyújtani, mivel azzal összefüggésben a hatóság az Infotv. 64/A § (1) d) pontjában írt engedélyezési jogkört gyakorol azzal összefüggésben.
FONTOS! A 914-es határozat kimondja, hogy a korábban megkötött modellszerződések 2021. szeptember 27-ét követően csak külön feltételek teljesülése esetén képezhetik alapján a harmadik országba irányuló adattovábbításnak. Ebből kifolyóan az adatkezelők elsődleges feladata a harmadik országba irányuló adattovábbításaik felmérése mellett, hogy a korábbi modellszerződéseiket felülvizsgálják, adott estben az új mintának megfelelő megállapodást kössenek.