[pic] | AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA | Brüsszel, 2.5.2007 COM(2007) 228 végleges A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK az adatvédelemnek a magánélet védelmét erősítő technológiák által történő ösztönzéséről A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK az adatvédelemnek a magánélet védelmét erősítő technológiák által történő ösztönzéséről (EGT vonatkozású szöveg) 1. BEVEZETÉS Az információs és kommunikációs technológiák (IKT) intenzív és szüntelen fejlődése állandóan új szolgáltatásokat kínál, amelyek jobbá teszik az emberek életét. A virtuális térben zajló interakciók nyersanyagát túlnyomórészt azoknak egyéneknek a személyes adatai képezik, akik e térben mozognak, amikor árukat és szolgáltatásokat vásárolnak, másokkal kapcsolatba lépnek, kapcsolatot tartanak, illetve gondolataikat közlik a világhálón keresztül. E fejlődés előnyei mellett az egyén számára új kockázatok merülnek fel, mint például a személyazonosság-lopás, a diszkriminatív profilok létrehozása, a folyamatos felügyelet vagy a csalás. Az Európai Unió alapjogi chartája 8. cikkében elismeri a személyes adatok védelméhez való jogot. Ezt az alapjogot a főleg a 95/46/EK adatvédelmi irányelvből[1] és a 2002/58/EK elektronikus hírközlési adatvédelmi irányelvből[2] álló európai jogi keretben, valamint a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló 45/2001/EK rendeletben[3] tették közzé. Ezek a jogszabályok számos az adatkezelő kötelezettségeit megállapító és az adatalany jogait elismerő lényegi rendelkezést megállapítanak. Előírják a megszegés esetén alkalmazandó szankciókat és megfelelő jogorvoslati lehetőségeket is és végrehajtási mechanizmusokat hoznak létre azok eredményessé tétele érdekében. Ez a rendszer azonban elégtelennek bizonyulhat, amikor a személyes adatokat az IKT hálózatokon keresztül terjesztik világszerte és feldolgozásuk számos joghatóságot érint, gyakran az EU-n kívül. E helyzetekben a hatályban lévő jogszabályokat tekinthetik alkalmazandónak, amelyek alapján világos jogi válaszra lehet következtetni. Ezenkívül azonosítani lehet a végrehajtásukra szolgáló hatáskörrel rendelkező hatóságot is. Azonban jelentős gyakorlati akadályok állhatnak fenn a különböző szereplők által különböző helyeken történő adatfeldolgozás során alkalmazott technológiához kapcsolódó nehézségek miatt és a nemzeti közigazgatási és bírósági határozatok más joghatóságok alatt, különösképpen EU tagsággal nem rendelkező országokban történő végrehajtásából is adódhatnak akadályok. Míg szigorúan véve az adatkezelők rendelkeznek jogi felelősséggel az adatvédelmi jogszabályok betartásáért, társadalmi és etikai szempontból mások is rendelkeznek némi felelősséggel az adatvédelemért. Ezek között vannak azok is, akik megtervezik a műszaki leírásokat és akik ténylegesen felépítik, vagy kivitelezik az alkalmazásokat, illetve az operációs rendszereket. Az adatvédelmi irányelv 17. cikke megállapítja az adatkezelő kötelezettségeit a megfelelő műszaki és szervezeti intézkedések végrehajtásával, valamint adatok feldolgozásával járó kockázat és a védelmet igénylő adatok jellegének megfelelő szintű biztonság biztosításával kapcsolatban. Az elektronikus hírközlési adatvédelmi irányelv[4] már bizonyos mértékben előirányozza a technológia alkalmazását a jogszabályok, különösen az adatvédelmi jogszabályok tiszteletben tartása érdekében. A jogi keret célkitűzéseinek elérése érdekében – amelynek célja a személyes adatok feldolgozásának minimálisra csökkentése és ahol lehetséges anonim vagy álnéven szereplő adatok használata – további lépést támogathatnának a magánélet védelmét erősítőerősítő technológiák elnevezésű intézkedések, amelyek megkönnyítenék annak biztosítását, hogy az adatvédelmi jogszabályok megsértése és az egyén jogainak megsértése ne csak tiltott legyen és szankciókat vonjon maga után, hanem technikailag is nehezebbé váljon. E közlemény célja – amely közlemény az adatvédelmi irányelv[5] végrehajtásáról szóló első jelentésből következik – hogy fontolóra vegye a magánélet védelmét erősítő technológiák előnyeit, megállapítsa a Bizottság célkitűzéseit ezen a területen e technológiák előmozdítása érdekében és világos intézkedéseket határozzon meg annak érdekében, hogy e célkitűzéseket megvalósítsák a magánélet védelmét erősítőerősítő technológiák fejlesztése, valamint az adatkezelők és a fogyasztók által történő alkalmazásuk támogatása által. 2. MELYEK A MAGÁNÉLET VÉDELMÉT ERŐSÍTŐERŐSÍTŐ TECHNOLÓGIÁK? A magánélet védelmét erősítőerősítő technológiákra vonatkozóan számos meghatározás létezik, amelyeket a tudományos közösség és a témára vonatkozó kísérleti projektek alkalmaznak. Például az EK által finanszírozott PISA projekt szerint a magánélet védelmét erősítő ő technológiák az IKT intézkedések összefüggő rendszerét jelentik, amely a személyes adatok kiküszöbölése vagy csökkentése által, illetve a személyes adatok szükségtelen és/vagy nem kívánatos feldolgozásának elkerülése által védelmezi a magánéletet úgy, hogy közben nem csorbul az informatikai rendszer működőképessége. A magánélet védelmét erősítőerősítő technológiák használata segít az információs és kommunikációs rendszerek és szolgáltatások megtervezésében úgy, hogy közben minimálisra csökkenti a személyes adatok gyűjtését és használatát és megkönnyíti az adatvédelmi jogszabályoknak való megfelelést. A Bizottság, az adatvédelmi irányelv végrehajtására vonatkozó első beszámolójában fontolóra veszi, hogy „…a megfelelő technológiai intézkedések alkalmazása alapvető kiegészítője a jogi eszközöknek és szerves részét kell hogy képezze minden olyan erőfeszítésnek, amely a magánélet megfelelő színvonalú védelmének elérésére irányul…” . A magánélet védelmét erősítőerősítő technológiák használatának azt kell eredményeznie, hogy nehezebbé váljon bizonyos adatvédelmi jogszabályok megszegése és/vagy könnyebb legyen a szabálysértések leleplezése. Az IKT dinamikus színterén a magánélet védelmét erősítő különböző technológiák hatékonysága, a magánélet védelmének biztosítására - ideértve az adatvédelmi jogszabályoknak való megfelelés szempontjait – eltérő és idővel változik. A technológiák csoportosítási szempontjai szintén különbözőek. Lehetnek önálló (hálózattól függetlenül működő) eszközök, amelyek célirányos cselekvést igényelnek a fogyasztóktól (vagyis meg kell vásárolniuk és telepíteniük kell azokat személyi számítógépükre), vagy be lehetnek építve az információs rendszerek architektúrájába. Itt a magánélet védelmét erősítőerősítő technológiák számos példája említhető. - Az adatok bizonyos idő elteltével történő automatikus névtelenné tétele azt az elvet támasztja alá, hogy a feldolgozott adatokat olyan formában kell tartani, amely az adatalanyok azonosítását csak annyi időre teszi lehetővé, amennyi annak a célnak az érdekében szükséges, amelyre az adatokat eredetileg összegyűjtötték. - A titkosítási eszközök, amelyek meggátolják a hackertevékenységet, amikor az információ átvitelre kerül az interneten keresztül, alátámasztják az adatkezelő azon kötelességét, hogy megtegye a megfelelő intézkedéseket a személyes adatoknak a jogszerűtlen feldolgozással szembeni védelme érdekében. - A kukkoló-letiltó programok, amelyek meggátolják a felhasználó személyi számítógépén elhelyezett kukkoló programokat abban, hogy a felhasználó tudta nélkül végrehajtsanak bizonyos utasításokat, fokozzák a megfelelést azon elvnek, amely szerint az adatokat tisztességesen és törvényesen kell feldolgozni és az adatalanyt tájékoztatni kell az adatfeldolgozásról. - Az Adatvédelmi Érdekek Platformja (P3P), – amely lehetővé teszi, hogy az internet felhasználók elemezzék a honlapok adatvédelmi politikáját és összevessék azt azzal, hogy a felhasználó milyen információkat kíván kibocsátani – segít abban, hogy az adatalanyok a megfelelő tájékoztatás után járulhassanak hozzá adataik feldolgozásához. 3. A BIZOTTSÁG TÁMOGATJA A MAGÁNÉLET VÉDELMÉT ERőSÍTő TECHNOLÓGIÁKAT A Bizottság úgy véli, hogy a magánélet védelmét erősítő technológiákat fejleszteni kell és szélesebb körben kell alkalmazni, különösen amikor a személyes adatokat IKT hálózatokon keresztül dolgozzák fel. A Bizottság úgy véli, hogy a magánélet védelmét erősítő technológiák javítanák a magánélet védelmét és elősegítenék az adatvédelmi jogszabályoknak való megfelelést. A magánélet védelmét erősítő technológiák alkalmazása kiegészítené a meglévő jogi keretet és végrehajtási mechanizmusokat. A 2006. május 31-i biztonságos információs társadalomra vonatkozó stratégiáról szóló bizottsági közleményben COM(2006) 251 a Bizottság felkérte különösen a magánszektort, hogy „ösztönözzék a biztonságot erősítő termékek, eljárások és szolgáltatások kiépítését, hogy meggátolják, illetve küzdjenek a személyazonosság-lopás és egyéb, a magánélet sérelmére elkövetett támadások ellen.” Továbbá a Bizottságnak a páneurópai eIDM-keret 2010-ig kialakított ütemterve[6] szerint az elektronikus személyazonosság-kezelés egyik kulcsfontosságú elve, hogy „a rendszernek biztonságosnak kell lennie, végre kell hajtania a szükséges óvintézkedéseket a felhasználó magánéletének védelme érdekében és lehetővé kell tennie, hogy használatát a helyi érdekekhez és érzékenységekhez igazítsák.” A különböző szereplők közbelépése az adatfeldolgozás területén és a különböző nemzeti joghatóságok érintettsége megnehezíthetné a jogi keret végrehajtását. Másrészt a magánélet védelmét erősítő technológiák biztosíthatnák, hogy bizonyos adatvédelmi jogszabályok megszegése – ami az alapvető jogok, többek között a magánélet megsértését eredményezné – elkerülhető legyen, mivel megvalósítása technológiailag nehezebbé válna. A Bizottság tudatában van annak a ténynek, hogy a technológia, bár döntő szerepe van a magánélet védelmében, önmagában nem elegendő a magánélet védelmének biztosításához. A magánélet védelmét erősítő technológiákat az adatvédelmi jogszabályok érvényesíthető keretszabályozása szerint kell alkalmazni, amely számos rugalmas szintű adatvédelmet biztosít minden egyén számára. A magánélet védelmét erősítő technológiák használata nem jelenti azt, hogy az üzemeltetőket fel lehet menteni bizonyos kötelezettségek alól (pl. az alól, hogy az egyéni felhasználók számára biztosítaniuk kell az adataikhoz való hozzáférés jogát). A fontos közérdekeket szintén jobban lehetne szolgálni. Az adatvédelem jogi kerete biztosítja az általános elvek korlátozását és az egyéni jogokkal való összeütközést fontos közérdekek miatt, mint például a közbiztonság, a bűnözés elleni küzdelem vagy a közegészségügy. E korlátozások feltételeit az adatvédelmi irányelv 13. cikke és az elektronikus hírközlési adatvédelmi irányelv 15. cikke határozza meg. Ezek lényegében hasonlóak az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikkében leírt feltételekhez, nevezetesen ahhoz, hogy az ilyen összeütközés a jogszabályoknak megfelelően történik, megfelelő és szükséges a demokratikus társadalomban törvényes közös cél érdekében[7]. A magánélet védelmét erősítő technológiák használata nem gátolhatja meg a bűnüldöző szerveket vagy más illetékes hatóságokat abban, hogy feladataikat jogszerűen végezve fontos közérdek miatt, pl. a számítógépes bűnözés, a terrorizmus elleni küzdelem, vagy a fertőző betegségek terjedésének megakadályozása érdekében beavatkozzanak. A felelős hatóságoknak olyan helyzetben kell lenniük, hogy szükség esetén hozzáférhessenek a személyes adatokhoz e célok elérése érdekében és a jogszabályokban leírt eljárásoknak, feltételeknek és védintézkedéseknek megfelelően. Az adatvédelmi jogszabályok megfelelőbb tiszteletben tartása szintén pozitív hatással lenne a fogyasztóknak különösen a virtuális térbe vetett bizalmára. Számos ígéretes és hozzáadott értékű szolgáltatásnak, amely a személyes adatok IT hálózatokon keresztül történő továbbítására támaszkodik, – mint például az e-tanulás, az elektronikus kormányzás, az e-egészségügy, az elektronikus bankszolgáltatások vagy az intelligens gépkocsi rendszerek – minden bizonnyal előnyére válna. Az emberek biztosak lehetnének abban, hogy az önmaguk azonosítása, szolgáltatás igénybevétele vagy fizetés céljából közölt adatokat kizárólag törvényes célokra használják fel és hogy a digitális közösségben való részvételük miatt nem kell feláldozniuk a jogaikat. 4. AZ ELVÉGZETT MUNKA ÉS A TOVÁBB VEZETő ÚT Annak érdekében, hogy többek között a magánélet védelmét erősítő technológiák támogatásával, fejlesztésével és használatával a Közösségen belül elérjék a magánélet és az adatvédelem magasabb színvonalának elérésére irányuló célkitűzést, a Bizottság a következő tevékenységek elvégzésére készül a szereplők széles körének bevonásával, ideértve saját szolgálatait, a nemzeti hatóságokat az ipart és a fogyasztókat. A megbeszélések során figyelmet szentelnek majd a kkv-k különleges helyzetére és lehetőségeikre illetve a magánélet védelmét erősítő technológiák használatának ösztönzésére. A Bizottságban többek között mérlegelnie kell a bizalom és a tudatosság kérdését, amelyek különleges fontosságúak a kkv-k számára. 4.1. Első célkitűzés: a magánélet védelmét erősítő technológiák fejlesztésének támogatása Amennyiben a magánélet védelmét erősítő technológiákat széles körben kell alkalmazni, azok további tervezésére, fejlesztésére és előállítására van szükség. Bár ezt bizonyos mértékig már elvégezték a köz- és magánszférában, a Bizottság úgy véli, hogy e tevékenységeket fel kell gyorsítani. E cél szem előtt tartásával azonosítani kell a magánélet védelmét erősítő technológiák szükségességét és technológiai követelményeiket és KTF-tevékenységek segítségével ki kell fejleszteni az eszközöket. 4.1.1. 1,1. alprogram: A magánélet védelmét erősítő technológiák szükségességének és technológiai követelményeinek azonosítása A magánélet védelmét erősítő technológiák erőteljesen függnek az IKT fejlődésétől. Amint felfedték a technológiai fejlődésből fakadó veszélyeket, azonosítani kell a technológiai megoldás megfelelő követelményeit. A Bizottság ösztönzi a különböző érdekelt feleket, hogy gyűljenek össze és vitassák meg a magánélet védelmét erősítő technológiák kérdését. E csoportok magukban foglalják majd különösen az IKT ágazat képviselőit, a magánélet védelmét erősítő technológiák kialakítóit, az adatvédelmi hatóságokat, a bűnüldöző szerveket, a technológiai partnereket (ideértve a kapcsolódó területek, mint például az e-egészségügy vagy az informatikai biztonság szekértőit), a fogyasztókat és a polgári jogi szervezeteket. Ezen érdekelt feleknek rendszeresen szemügyre kell venni a technológia alakulását, fel kell fedni azokat a veszélyeket, amelyeket az alapvető jogok és az adatvédelem számára jelent és körvonalazni kell a magánélet védelmét erősítő technológiákra alapozott megoldás technikai követelményeit. Ez magában foglalhatja a technológiai intézkedések finombeállítását a különböző kockázatoknak és adatoknak megfelelően és számításba véve a közérdek, mind például a közbiztonság védelmének szükségességét. 4.1.2. 1,2. alprogram: A magánélet védelmét erősítő technológiák fejlesztése Amint a magánélet védelmét erősítő technológiák szükségességét és technológiai követelményeit azonosították, konkrét intézkedésekre van szükség, hogy elérkezzenek a kész végtermékhez. A Bizottság már foglalkozott a magánélet védelmét erősítő technológiák kérdésével. A 6. keretprogram égisze alatt támogatja a digitális személyazonosítási menedzsment, a magánélet és az információs társadalom kérdéseivel foglalkozó PRIME projektet[8]. Az OPEN-TC[9] projekt lehetővé teszi a nyílt megbízható számítógép használaton alapuló adatvédelmet, a DISCREET[10] projekt pedig kialakítja a köztes eszközöket ahhoz, hogy a magánéletnek a fejlett hálózati szolgáltatások terén is érvényt szerezzenek. A jövőben, a 7. keretprogram keretében a Bizottság egyéb KTF projekteket és széles körű kísérleti bemutatókat is támogat, hogy felkeltse és fokozza a magánélet védelmét erősítő technológiák iránti érdeklődést. A cél az, hogy biztosítsák a felhasználót felelősséggel felruházó, magánéletet védelmező szolgáltatások alapját, Európa-szerte kiegyenlítve a jogi és technikai különbségeket az állami és a magánszektor együttműködése útján. A Bizottság a nemzeti hatóságokat és a magánszektort is felkéri, hogy fektessenek be a magánélet védelmét erősítő technológiák fejlesztésébe. Az ilyen befektetések kulcsfontosságúak ahhoz, hogy az európai ipar előrébb jusson egy olyan ágazatban, amely növekedni fog, mivel a technológiai szabványok egyre inkább megkövetelik e technológiák használatát, csakúgy mint a fogyasztók, akik inkább tudatában lesznek annak, hogy védeniük kell jogaikat a virtuális térben. 4.2. Második célkitűzés: az elérhető magánélet védelmét erősítő technológiák adatkezelők által történő használatának támogatása A magánélet védelmét erősítő technológiák előnyei csak akkor bontakoznak ki igazán, ha hatékony módon bekerülnek a személyes adatok feldolgozását végző technikai berendezések és szoftver eszközök használatába. Ezért elsődlegesen fontos az ilyen berendezéseket előállító ipar, valamint azon adatkezelők részvétele, akik azokat felhasználják az adatfeldolgozó tevékenységek elvégzéséhez. 4.2.1. 2,1. alprogram: A magánélet védelmét erősítő technológiák iparban történő használatának támogatása A Bizottság úgy véli, hogy mindenkinek, aki részt vesz a személyes adatok feldolgozásában, előnyére válna a magánélet védelmét erősítő technológiák szélesebb körű használata. Az IKT iparnak, mint a magánélet védelmét erősítő technológiák elsődleges kialakítójának és szolgáltatójának különösen fontos szerepe van a magánélet védelmét erősítő technológiák fejlesztésében. A Bizottság felkér minden adatkezelőt, hogy szélesebb körben és fokozottabban építse be és alkalmazza eljárásai során a magánélet védelmét erősítő technológiákat. A Bizottság ebből a célból szemináriumokat szervez az IKT ipar kulcsfontosságú szereplőinek és különösen a magánélet védelmét erősítő technológiák kialakítóinak részvételével azzal a céllal, hogy elemezzék lehetséges hozzájárulásukat a magánélet védelmét erősítő technológiák használatának előmozdítása terén az adatkezelők körében. A Bizottság a magánélet védelmét erősítő technológiák gazdasági előnyeiről is tanulmányt készít és terjeszti annak eredményeit annak érdekében, hogy a vállalkozásokat, különösen a kkv-kat e technológiák használatára ösztönözze. 4.2.2. 2,2. alprogram: A személyes adatok megfelelő védelmi szabványainak tiszteletben tartásának biztosítása a magánélet védelmét erősítő technológiák segítségével Míg a kiterjedt reklám tevékenység az IKT ipar, vagyis a magánélet védelmét erősítő technológiák előállítójának aktív részvételét igényli, a megfelelő szabványok tiszteletben tartása az önszabályozáson túlmutató intézkedéseket, illetve a résztvevő szereplők jószándékát igényli. A Bizottság megfelelő hatásvizsgálatok segítségével felméri a személyes adatoknak a magánélet védelmét erősítő technológiák segítségével történő jogszerű feldolgozására vonatkozó szabványok kialakításának szükségességét. E vizsgálatok eredménye alapján kétféle eszközt lehet fontolóra venni. - 2.2.a) alprogram: Szabványosítás A Bizottság fontolóra veszi annak szükségességét, hogy a szabványosítási tevékenységek során tiszteletben tartsák az adatvédelmi jogszabályokat. A Bizottság arra törekszik, hogy számításba vegye az érdekelt felekkel a magánélet védelmét erősítő technológiákról folytatott többoldalú vita eredményeit a Bizottság megfelelő intézkedéseinek és az európai szabványügyi szervek munkájának előkészítésekor. Ez elsődlegesen fontos lesz, különösen ott, ahol a vita olyan megfelelő adatvédelmi szabványokat azonosít, amelyek bizonyos magánélet védelmét erősítő technológiák beépítését és használatát igénylik. A Bizottság felkérheti az európai szabványügyi testületeket (CEN/CENELEC/ETSI) a sajátos európai szükségletek felmérésére, valamint arra, hogy azután nemzetközi szintre emeljék azokat az európai és nemzetközi szabványügyi szervezetek közötti jelenlegi egyezmények alkalmazásával. Adott esetben az európai szabványügyi szervezeteknek speciális szabványosítási munkaprogramot kell kialakítani, amely fedezi az európai szükségleteket és ezáltal nemzetközi szinten kiegészíti az aktuális munkát. - 2.2.b) alprogram: Az adatfeldolgozás biztonságvédelmi intézkedéseire vonatkozó nemzeti jogszabályok összehangolása Az adatvédelmi irányelv[11] nyomán kialakult nemzeti jogszabályok bizonyos befolyást engednek a nemzeti adatvédelmi hatóságoknak a pontos technikai követelmények meghatározása, mint például az adatkezelők eligazítása, a létrehozott rendszerek megvizsgálása, illetve a technikai útmutatók kiadása terén. A nemzeti adatvédelmi hatóságok azt is megkövetelhetik, hogy beépítsenek és használjanak bizonyos magánélet védelmét erősítő technológiákat, ahol azt az adott személyes adatok feldolgozása szükségessé teszi. A Bizottság úgy véli, hogy ez egy olyan terület, ahol a nemzeti gyakorlat összehangolása pozitív módon hozzájárulhat a magánélet védelmét erősítő technológiák használatának előmozdításához. Különösen a 29. cikk által létrehozott munkacsoportnak[12] lenne a szerepe, hogy hozzájáruljon irányelv értelmében elfogadott nemzeti intézkedések egységes alkalmazásához. A Bizottság ezért felkéri a 29. cikk által létrehozott munkacsoportot, hogy folytassa munkáját ezen a területen és foglalja bele programjába a magánélet védelmét erősítő technológiák adatfeldolgozási műveleteibe való beépítése szükségességének elemzésére irányuló állandó tevékenységet, az adatvédelmi jogszabályok tiszteletben tartása biztosításának hatékony módjaként. Ez a munka azután biztosítson iránymutatásokat az adatvédelmi hatóságok számára a megfelelő eszközök összehangolt elfogadásával történő nemzeti szintű végrehajtáshoz. 4.2.3. 2,3. alprogram: A magánélet védelmét erősítő technológiák hatóságok által történő használatának támogatása A hatóságok folyamatosan számos személyes adatokat érintő adatfeldolgozó műveletet folytatnak feladataik végzése közben a nemzet és a Közösség szintjén egyaránt. A hatóságok kötelesek tiszteletben tartani az alapvető jogokat, ideértve a személyes adatok védelméhez való jogot és biztosítaniuk kell azok mások által történő tiszteletben tartását és ezért egyértelműen példát kell mutatniuk. A nemzeti hatóságokra vonatkozóan a Bizottság megjegyzi, hogy az elektronikus kormányzat elterjedése a közszolgáltatás hatékonysága fokozásának eszköze. Az elektronikus kormányzati szolgáltatások szerepe Európa jövőjében című bizottsági közlemény[13] megállapítása szerint a magánélet védelmét erősítő technológiák alkalmazása szükséges a sikert elősegítő bizalom megteremtéséhez. A Bizottság felkéri a kormányokat, hogy biztosítsák az adatvédelmi védintézkedések elektronikus kormányzati alkalmazásokba történő beleágyazását többek között azáltal, hogy a magánélet védelmét erősítő technológiákat a lehető legszélesebb körben alkalmazzák azok megtervezésében és kivitelezésében. A közösségi intézmények és szervek vonatkozásában a Bizottság maga biztosítja, hogy megfeleljenek a 45/2001/EK rendelet követelményeinek, különösen a magánélet védelmét erősítő technológiák szélesebb körű alkalmazása által a személyes adatok feldolgozását magukban foglaló IKT alkalmazások kivitelezésében. Ugyanakkor a Bizottság felkéri az EU intézményeket, hogy ugyanezt tegyék. Az európai adatvédelmi biztos tanácsaival hozzájárulhat ahhoz, hogy a közösségi intézmények és szervek kidolgozzák a személyes adatok feldolgozására vonatkozó belső szabályokat. Új IKT alkalmazások saját használatra történő kiválasztásakor, illetve a létező alkalmazások fejlesztésekor a Bizottság fontolóra veszi a magánélet védelmét erősítő technológiák bevezetésének lehetőségét. A magánélet védelmét erősítő technológiák fontossága tükröződni fog a Bizottság átfogó IT kormányzási stratégiájában. A Bizottság tovább folytatja saját személyzete tudatosságának fejlesztését. A magánélet védelmét erősítő technológiák kivitelezése azonban a Bizottság IKT alkalmazásaiban a megfelelő termékek elérhetőségétől függ és eseti alapon kell értékelni az alkalmazás fejlődési ciklusával összhangban. 4.3. Harmadik célkitűzés: a fogyasztók ösztönzése a magánélet védelmét erősítő technológiák alkalmazására Továbbra is a fogyasztóknak áll leginkább érdekében annak biztosítása, hogy személyes információikat megfelelően használják, hogy az adatvédelmi jogszabályokat megfelelően életbe léptessék és hogy a magánélet védelmét erősítő technológiák mindezt hatékony módon biztosítsák. Ezért a fogyasztókat teljes mértékben fel kell világosítani a magánélet védelmét erősítő technológiák használatának azon előnyeiről, hogy csökkenthetik a személyes adataik feldolgozása során felmerülő kockázatokat. Olyan helyzetet kell számukra biztosítani, hogy IT berendezések és szoftver vásárlásakor, illetve elektronikus szolgáltatások igénybevételekor döntéseiket ismeretek birtokában hozhassák meg. Tudatában kell lenniük a fennálló kockázatoknak és különösen annak, hogy a magánélet védelmét erősítő technológiák megfelelő védelmet nyújtanak-e. Egyszerű és érthető információt kell biztosítani a felhasználók számára a magánélet védelmét szolgáló lehetséges technológiai eszközökről. A magánélet védelmét erősítő technológiák és a magánélet védelmét erősítő technológiákat magukban foglaló elektronikus szolgáltatások egyre növekvő használata viszonzásul gazdasági előnyöket jelent majd az azokat felhasználó iparágak számára és kedvező lavinahatást eredményezhet arra bátorítva más vállalkozásokat, hogy nagyobb figyelmet fordítsanak az adatvédelmi jogszabályok betartására. E cél elérése érdekében számos lépés megtételére van szükség. 4.3.1. 3,1. alprogram: A fogyasztók tájékoztatása Következetes stratégiát kell alkalmazni annak érdekében, hogy a fogyasztókat tájékoztassák, milyen kockázatokkal jár jogaikra nézve adataik feldolgozása és milyen megoldásokat kínálhatnak e kockázatokra a magánélet védelmét erősítő technológiák az adatvédelmi jogszabályokban rejlő létező jogorvoslati lehetőségek kiegészítéseként. A Bizottság egy sor uniós szintű magánélet védelmét erősítő technológiákra vonatkozó tudatosságfejlesztő tevékenység elindítását tervezi. E tevékenység elvégzésével kapcsolatos fő felelősség a nemzeti adatvédelmi hatóságok körébe tartozik, amelyek már megfelelő tapasztalatokkal rendelkeznek ezen a területen. A Bizottság felkéri e hatóságokat, hogy fejlesszék tudatosságerősítő tevékenységeiket és minden rendelkezésükre álló lehetséges eszközzel törekedjenek a magánélet védelmét erősítő technológiákra vonatkozó információk terjesztésére. A Bizottság ezenkívül sürgeti a 29. cikk által létrehozott munkacsoportot, hogy a nemzeti gyakorlatot következetes munkatervben koordinálja a magánélet védelmét erősítő technológiákra vonatkozó tudatosság fejlesztése érdekében és hogy szolgáljon találkozási pontként a nemzeti szinten már bevált gyakorlat tapasztalatainak megosztásához. Különösen a fogyasztói szövetségek és más szereplők, mint például a fogyasztóvédelmi központok hálózata (ECC-Net), – amelynek az a szerepe, hogy uniós szintű hálózatot biztosítson a polgárok fogyasztói jogaikra vonatkozó tanácsadáshoz, – partnerekké válhatnának a fogyasztók tájékoztatására irányuló törekvésben. 4.3.2. 3.2. alprogram: A fogyasztók megfelelő ismeretek birtokában meghozott döntéseinek elősegítése: Adatvédelmi bizalompecsétek A magánélet védelmét erősítő technológiák bevezetését és alkalmazását ösztönözni lehetne, amennyiben e technológiák jelenléte és alapvető jellemvonásai egy adott termékben könnyen felismerhetők lennének. A Bizottság ebből a célból az adatvédelmi bizalompecsétek uniós szintű rendszerének megvalósíthatóságát szándékozik tanulmányozni, ami magában foglalná egy gazdasági és társadalmi hatásvizsgálat elvégzését is. Az ilyen adatvédelmi bizalompecséteknek az lenne a céljuk, hogy biztosítsák a fogyasztók számára, hogy könnyebben felismerjék, vajon egy adott termék biztosítja, vagy elősegíti-e az adatvédelmi jogszabályok tiszteletben tartását az adatfeldolgozás területén, különösen a megfelelő magánélet védelmét erősítő technológiák beépítése által. Annak érdekében, hogy az adatvédelmi bizalompecsét elérje ezt a célt, a Bizottság úgy véli, hogy az alábbi elveket kell tiszteletben tartani. - Az adatvédelmi bizalompecsét-rendszerek számát minimális szinten kell tartani. Valójában a pecsétek elterjedése több zavart okozhat a fogyasztónak és alááshatja bizalmát valamennyi pecsétben. Ezért meg kellene vizsgálni, hogy az európai adatvédelmi bizalompecsétet, be kell-e építeni, s ha igen, milyen mértékben egy általánosabb biztonságvédelmi tanúsítási rendszerbe[14]. - Az adatvédelmi bizalompecsét-rendszereket csak akkor kellene odaítélni, ha az adott termék megfelel az adatvédelmi jogszabályoknak megfelelő szabványoknak. A szabványoknak az egész Európai Unió területén a lehető legegységesebbeknek kellene lenniük. - A hatóságoknak, különösen a nemzeti adatvédelmi hatóságoknak fontos szerepet kell betölteniük a rendszerben a megfelelő szabványok és az eljárások meghatározásában valamint a pecsétrendszer működésének ellenőrzésében. Ezt szem előtt tartva és figyelembe véve a pecsétekkel kapcsolatos programokra vonatkozó korábbi tapasztalatokat egyéb területeken (pl. a környezetvédelem, a mezőgazdaság és a termékek és szolgáltatások biztonsági tanúsítvánnyal való ellátása terén), a Bizottság párbeszédet folytat valamennyi érintett érdekelt féllel, ideértve a nemzeti adatvédelmi hatóságokat, az ipari és fogyasztói szövetségeket valamint a szabványügyi szerveket. [1] Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.). [2] Az Európai Parlament és a Tanács 2002. július 12-i 2002/58/EK irányelve az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről („Elektronikus hírközlési adatvédelmi irányelv”), HL L 201., 2002.7.31., 37. o. [3] A személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendelet (HL L 8., 2001.1.12., 1-22. o.). [4] A 2002/58/EK irányelv (46) preambulumbekezdése és 14. cikkének (3) bekezdése [5] COM (2003) 265(01), 2003.5.15., lásd http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf [6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf [7] Az Európai Bíróság „Österreicher Rundfunk és mások” (“Rechnungshof") (a C-465/00., C-138/01. és C-139/01. egyesített ügyek, 2003. május 20-i ítélet, teljes kamara, (2003) ECR I-4989) ügyben hozott ítélete, ECR [2003] I-04989, (71) és (72) bekezdés. [8] https://www.prime-project.eu/ [9] http://www.opentc.net/ [10] http://www.ist-discreet.org/ [11] Pl. a 17. cikk [12] A 95/46/EK irányelv 29. cikke által létrehozott, a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport. [13] COM (2003) 567 végleges, 2003.9.26. [14] A biztonságos információs társadalomra irányuló stratégia: „párbeszéd, partnerség, felvértezés és felelősségvállalás”-ról szóló, 2006. május 31-i közleményében (COM (2006) 251 végleges) a Bizottság már felkérte a magánszektort „a kimondottan EU igényeknek megfelelő (különösen a személyes adatok védelme terén) termékekre, szolgáltatásokra és folyamatokra vonatkozó, széles körben elérhető tanúsítási rendszerek létrehozására”.