A kötelező erejű vállalati szabályok (BCR) jóváhagyása

A GDPR alapján harmadik országba vagy nemzetközi szervezetek részére történő adattovábbítás esetén az adatkezelő vagy adatfeldolgozó azáltal is biztosíthat megfelelő garanciákat, hogy kötelező erejű vállalati szabályokat (a továbbiakban: BCR) alkalmaz. A BCR a felügyeleti hatóság külön engedélye nélkül megfelelő garanciákat jelent, azonban ezt megelőzően az illetékes felügyeleti hatóságnak jóvá kell hagynia azt.

A GDPR értelmében „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Tartalmi követelmények

A BCR összeállítására vonatkozóan a GDPR 47. cikkében előírt követelmények irányadóak, ez alapján a három fő követelmény az alábbi:
A BCR a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
A BCR kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
A BCR tartalmazza legalább a 47. cikk (2) bekezdésében felsorolt tartalmi elemeket.

Amennyiben tehát egy vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja („Csoport”, vagy „kérelmező”) BCR-t kíván megalkotni, akkor figyelembe kell vennie a GDPR 47. cikkében előírt kötelező tartalmi elemeket, valamint az Európai Adatvédelmi Testület (a továbbiakban: Testület) által kiadott iránymutatásokat, munkadokumentumokat, amelyek az alábbiak:

WP 256 rev. 01: ( .pdf EN / .pdf HU ) Munkadokumentum a kötelező erejű vállalati szabályokba belefoglalandó elemeket és elveket tartalmazó táblázat meghatározásáról

WP 257 rev. 01: ( .pdf EN/ .pdf HU ) Az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályok elemeit és elveit tartalmazó táblázatot létrehozó munkadokumentum

A jóváhagyás során az illetékes felügyeleti hatóság, az érintett felügyeleti hatóságok, illetve a Testület az ezekben előírt tartalmi követelmények meglétét vizsgálja.

BCR jóváhagyása

Együttműködési eljárás

A GDPR úgy rendelkezik, hogy a BCR jóváhagyását az illetékes felügyeleti hatóság az egységességi mechanizmusnak megfelelően folytatja le, így biztosítva az Unió egész területén az egységességet. Amennyiben tehát egy illetékes felügyeleti hatóság BCR jóváhagyására irányuló eljárást folytat le, akkor a döntéstervezetet, illetve minden releváns információt, - ideértve például más érintett felügyeleti hatóságok véleményét - közölnie kell a Testülettel, amely ezt követően véleményt bocsát ki róla.

A BCR által szabályozott adatkezelések vonatkozásában az esetek többségében több felügyeleti hatóság is érintettnek tekinthető, mivel a kérelmező vállalkozáscsoportnak általában több mint egy tagállamban rendelkezik tevékenységi hellyel. A BCR jóváhagyására irányuló eljárásban ugyanis érintett hatóságnak tekinthető minden olyan tagállam felügyeleti hatósága, amelyekből a BCR alapján adattovábbításra kerül sor. Ezzel kapcsolatban a kérelmező által a kérelemben megjelölteket kell figyelembe venni.

A Testületnek benyújtandó döntéstervezet előkészítésére, vagyis az érintett hatóságok közötti, a BCR megfelelőségének vizsgálatára vonatkozó egyeztetésre vonatkozóan a GDPR nem állapít meg pontos eljárásrendet. A GDPR arra sem ad pontos előírást, hogy milyen módon kell kijelölni a 47. cikk alapján a BCR vonatkozásában „illetékes” hatóságot, vagyis azt, hogy egy konkrét BCR jóváhagyását melyik felügyeleti hatóságnál kell kezdeményezni. (Ez abból következik, hogy a Testület álláspontja alapján a BCR alapján végzett adattovábbítás az esetek többségében nem esik a személyes adatok határon átnyúló kezelésének fogalma alá, így arra nem alkalmazandók az 56. cikk rendelkezései, amelyek a fő felügyeleti hatóság illetékességét határozzák meg.)

A fentiek orvoslására a Testület elfogadta a WP 263 rev. 01 számú munkadokumentumot.

A Testület ebben lefekteti a BCR jóváhagyása iránti eljárások hatékony lefolytatását célzó, felülvizsgált együttműködési eljárás alapjait: egyrészt meghatározza, hogy milyen módon kell megállapítani azt, hogy egy adott BCR vonatkozásában mely felügyeleti hatóság tekinthető „illetékesnek”, vagyis ún. „vezető hatóságnak”, másrészt azt is, hogy milyen módon zajlik az egyeztetés az érintett tagállami felügyeleti hatóságok között a BCR jóváhagyását megelőzően a tartalmának elemzése, vizsgálata érdekében.

A Testület által kialakított együttműködési eljárás a vezető hatóság kijelölésével kezdődik. A kérelmezőnek a kérelemben indokolás mellett meg kell jelölnie, hogy az alábbi kritériumok alapján melyik felügyeleti hatóságot javasolja vezető hatóságnak. melynek során alapvetően a vállalkozáscsoport indokolással ellátott kérelme az irányadó.

  • a csoport európai központjának elhelyezkedése;

  • a csoporton belül az adatkezelési feladatokra kijelölt vállalkozás elhelyezkedése;

  • a csoporton belül annak a vállalkozásnak az elhelyezkedése, amely a legmegfelelőbb az eljárás lefolytatására (irányítási feladatok, adminisztratív terhek szempontjából), illetve arra, hogy a BCR alkalmazását a csoporton belül kikényszerítse;

  • azon vállalkozás elhelyezkedése, ahol az adatkezelés céljára és módjára vonatkozó döntések többségét hozzák;

  • azon tagállam, ahonnan harmadik országba történő adattovábbítások többsége történik.


Amennyiben egyetértés alakult ki az érintett felügyeleti hatóságok között arról, hogy melyik hatóság jár el vezető hatóságként a konkrét BCR vonatkozásában, az egységesség biztosítása érdekében, ez a hatóság a BCR tervezetét megküldi két másik felügyeleti hatóság részére („co-reviewers”, vagy közreműködő hatóságok), amelyek közreműködnek annak vizsgálatában és kiértékelésében.  Az eljárás ezen szakaszában folyamatos párbeszéd zajlik a vezető hatóság és a kérelmező között, mivel előfordulhat, hogy akár a vezető hatóság, akár a közreműködő hatóságok módosításokat tartanak szükségesnek. Az első szakasz akkor zárul le, amikor a vezető hatóság, és a közreműködő hatóságok egyetértenek abban, hogy a tervezet megfelel a GDPR és az iránymutatások által előírt tartalmi követelményeknek. Ezt követően az általuk elfogadhatónak tekintett tervezetet a vezető hatóság a többi érintett hatóságnak is megküldi, amelyek még szintén tehetnek észrevételeket. Ezt követően tekinthető a BCR tervezete véglegesnek.

A vezető hatóság (vagyis a BCR vonatkozásában tulajdonképpen „illetékes” hatóság) benyújtja a Testületnek a végleges tervezettel kapcsolatos döntéstervezetét, minden releváns információt, illetve az érintett hatóságok véleményéről, észrevételeiről szóló dokumentációt. A Testület előtt ezután a GDPR által meghatározott eljárásrendben folytatódik az egységességi mechanizmus. Amikor az egységességi mechanizmus is lezajlott, és a vezető hatóság elfogadta a BCR-t jóváhagyását tartalmazó döntését, a végleges szöveg megküldése mellett értesíti az érintett hatóságokat.

A fentieknek megfelelően jóváhagyott BCR-ral az adatkezelő megfelelő garanciákat biztosít az adattovábbításhoz, nem szükséges a BCR alapján történő adattovábbításokat bejelenteni vagy engedélyeztetni. Tekintettel arra, hogy a jóváhagyás során a BCR megfelelőségéről a felügyeleti hatóságokat uniós szinten összesítő Testület véleményt bocsát ki, ezért nem szükséges további tagállami jóváhagyási vagy engedélyezési eljárásokat lefolytatni a kérelmezőnek.

Engedélyezési eljárás

Amennyiben a kérelmező úgy ítéli meg, hogy a WP 263 rev.01 számú munkadokumentum alapján, az általa megalkotott BCR-ra vonatkozóan másik tagállam felügyeleti hatósága a vezető hatóság, és ezzel az érintett tagállami felügyeleti hatóságok is egyetértenek, akkor a fent leírt eljárást a kijelölt vezető hatóság folytatja le. Ebben az esetben, a kérelmező csoportjába tartozó magyarországi adatkezelőnek vagy adatfeldolgozónak nem kell az Infotv. szerinti adatkezelési engedélyezési eljárás lefolytatását kérelmezni. Az ilyen BCR esetében a NAIH mind a Testület által megalkotott együttműködési eljárás során, mind a Testület véleményének kibocsátása során részt vesz a BCR megfelelőségének vizsgálatában.

Ha a kérelmező álláspontja szerint, a WP 263 rev.01 munkadokumentumban meghatározott kritériumok alapján, a NAIH jelölendő ki vezető hatóságnak, akkor ezt a benyújtott kérelemben indokolni kell. Ha erre vonatkozóan a többi érintett felügyeleti hatóság sem jelez kifogást, akkor a NAIH adatkezelési engedélyezési eljárást folytat le az Infotv. 64/A-64/D §-aiban foglalt szabályoknak megfelelően.

Az eljárásban az ügyintézési határidő 180 nap.
A NAIH az eljárást a GDPR-ban meghatározott együttműködési eljárás, valamint egységességi mechanizmus alkalmazásának időtartalmára felfüggeszti. A BCR jóváhagyására irányuló kérelmek esetén a NAIH a jóváhagyás, illetve az engedély megadhatósága érdekében szükséges szerinti alkalommal a kérelem és az annak tárgyát képező tervezet módosítása vagy kiegészítése vonatkozásában nyilatkozattételre hívhatja fel az adatkezelőt.

Az adatkezelési engedélyezési eljárás lefolytatásáért fizetendő igazgatási szolgáltatási díjról szóló, az igazságügyi miniszter 25/2018 (IX. 3.) IM rendelete alapján a BCR jóváhagyására irányuló engedélyezési eljárás igazgatási szolgáltatási díja 288 000 forint.
A díjat a NAIH kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni. A díj megfizetése során az átutalási megbízás közlemény rovatában fel kell tüntetni az „adatkezelési engedélyezési eljárás lefolytatása” szöveget. A Hatóság kéri, hogy a közlemény rovatban a kérelmező csoport megnevezése is szerepeljen

A kérelemnek tartalmaznia kell: az általános közigazgatási rendtartásról szóló törvényben meghatározottakon túl a kötelező erejű vállalati szabályok kötelező jellegének igazolására szolgáló adatokat és a kötelező erejű vállalati szabályok tervezetét. A kérelmezőnek a BCR tervezetét magyar és angol nyelven kell benyújtania.

A kérelemhez mellékelni kell:A Hatóság javasolja, hogy amennyiben a kérelmező úgy ítéli meg, hogy az általa megalkotott BCR jóváhagyása során a WP 263. rev.01 munkadokumentumban szereplő kritériumok alapján a NAIH a vezető hatóság, a kérelem benyújtását megelőzően vegye fel a kapcsolatot az Engedélyezési és Incidensbejelentési Főosztállyal előzetes konzultáció kezdeményezése érdekében.

A korábban jóváhagyott BCR-ok

A GDPR 46. cikk (5) bekezdése alapján a valamely tagállam vagy felügyeleti hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. Ebből az következik, hogy nem szükséges a korábban jóváhagyott BCR-ok vonatkozásában ismételten kérelmezni a jóváhagyást.

A jóváhagyott kötelező erejű vállalati szabályokkal rendelkező csoportoknak azonban
a GDPR-ra való felkészülés jegyében összhangba kell hozniuk kötelező erejű vállalati szabályaikat az általános adatvédelmi rendelet követelményeivel. Ennek során figyelembe kell venniük GDPR 47. cikkében, illetve a fent hivatkozott WP 256 rev. 01, illetve WP 257 rev. 01 számú munkadokumentumokban foglaltakat. Ezeknek a csoportoknak (a vezető hatóság általi jóváhagyás időpontjában irányadó WP 153. számú munkadokumentum 5.1. pontja szerinti) kötelezettségük részeként 2018. május 25-öt követően esedékes éves felülvizsgálatuk keretében a vezető adatvédelmi hatóságon keresztül értesíteniük kell a kötelező erejű vállalati szabályok vonatkozó módosításairól a csoport valamennyi tagját és az adatvédelmi hatóságokat. Az aktualizált kötelező erejű vállalati szabályok új engedély vagy jóváhagyás kérelmezése nélkül alkalmazhatók.