A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatvédelmi szakértője elmondta, egy cégnek mindenekelőtt azt kell felmérnie, hogy a külföldi adattovábbítás eseti vagy rendszeres, egyedi vagy csoportos. „Rendszeres, kiterjedt adattovábbítás esetén érdemes belső kötelező szervezeti szabályozást alkotni, majd jóváhagyatni azt a NAIH-hal. Így megfelelő védelmi szintet biztosíthatnak munkavállalóik adatainak” - fogalmazott. Hozzátette, eseti, egyszerűbb adatkezelés esetén mindössze egy közvetlen szerződést kell kötni a külföldi vállalattal.
A tervezettség a kulcs a külföldi adattovábbításban
Az adatkezelésnek tervezettsége kell legyen – mondta Osztopáni Krisztián. Kiemelte, a vállalatvezetőnek a belső folyamatok mentén kell megszerveznie az egységes adatkezelést. A követelmények betartását a NAIH is ellenőrizni tudja – mutatott rá az adatvédelmi szakértő. Hozzátette, a cégvezetők általában tájékozottak, azonban sokszor megkeresik a hivatalt. A NAIH a tájékoztatás mellett bejelentések nyomán vizsgálati jogkörrel is bír.
Hatályon kívül a Safe Harbour
Az Európai Bizottság 2000-ben fogadta el azt a határozat, amely elismeri az Egyesült Államok által kiadott, védett adatkikötőre (Safe Harbour) vonatkozó alapelveket, mivel azok megfelelő védelmet biztosítanak az unióból továbbított személyes adatok számára. Az Európai Unió Bírósága azonban októberben hatályon kívül helyezte ezt a jogszabályt.
Ezzel lépéskényszerbe kerültek az amerikai adatkezelők - fogalmazott Osztopáni Krisztián. Hangsúlyozta, a jogszabályváltozás több ezer vállalatot érint. Számukra az egyik megoldás az, ha minden uniós vállalattal egyenként szerződést kötnek. A másik lehetőség, ha maga a cég vállalatcsoportot hoz létre és belső szinten alkot adatvédelmi szabályozást. Kiemelte, ez az európai leányvállalattal bíró amerikai cégeknek lehet megfelelő út.
Az Európai Unió bírósága októberi döntésével hatályon kívül helyezte az unió és az Amerikai Egyesült Államok közötti, védett adatkikötőkre vonatkozó különmegállapodást. A Rádió Orienten Osztopáni Krisztián adatvédelmi szakértő elmondta, ezzel az amerikai cégek lépéskényszerbe kerültek: vagy egyenként kötnek szerződést az európai cégekkel, vagy vállalatcsoporton belül szabályozzák az adatvédelmi kérdéseket. A külföldi adattovábbítás szinte az összes adatot érintheti, köztük például egy külföldi baleset esetén az egészségügyi adatokat. Osztopáni Krisztián elmondta, már az első európai uniós adatvédelmi irányelv tartalmazott útmutatókat e téren. „Korán felismerték annak a fontosságát, hogy az állampolgárok akkor is élvezhessék személyes adataik védelmét, amikor azok unión kívüli adatkezelőhöz kerülnek” - emelte ki.
