13.10.2017   

HU

Az Európai Unió Hivatalos Lapja

C 345/138

Előadó:

Laure BATUT

1.1.

Az EGSZB mélységesen sajnálja, hogy az adatvédelemmel foglalkozó szövegeket – a köztük meglévő átfedések, terjedelmük, egymással való összefonódásuk és a megértésükhöz szükséges kereszthivatkozások miatt – valószínűtlen, hogy néhány bennfentesen kívül bárki elolvassa és végrehajtsa, hozzáadott értékük pedig nem látható a polgárok számára. Ez a szempont a rendelettervezet egészéből hiányzik. Az EGSZB azt javasolja, hogy az interneten tegyenek közzé egy összefoglaló brosúrát, amely mindezeket leírja és elérhetővé teszi a nagyközönség számára.

1.2.

Az EGSZB kiemeli, hogy a hatásvizsgálat által javasolt lehetőségek közül az Európai Bizottság azt választotta, amely a magánélet védelmének „fokozatos” megerősítését célozza. Vajon ennek oka az iparági érdekekkel való egyensúly biztosítása? Az Európai Bizottság nem fejti ki, hogy a magánélet védelme „mélyreható” megerősítésének mely elemei sértették volna az iparág érdekeit. Ez az álláspont hajlamos a szöveg jelentőségét már a megfogalmazási fázisban csökkenteni.

1.3.

Az EGSZB azt ajánlja, hogy az Európai Bizottság:

2.1.

Az elektronikus hírközlő hálózatok jelentős mértékben fejlődtek az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 95/46/EK és 2002/58/EK (2) irányelv hatálybalépése óta.

2.2.

Az adatvédelemről 2016-ban elfogadott általános rendelet [(EU) 2016/679 rendelet] vált az intézkedések alapjává és fektette le a fő elveket, ideértve az igazságügyi és büntetőbírósági adatokra vonatkozó elveket is. E rendelet értelmében a személyes adatok kizárólag szigorú feltételek szerint gyűjthetők, kizárólag jogszerű célokból, a titkosság tiszteletben tartása mellett (az általános adatvédelmi rendelet 5. cikke).

2.2.1.

Az Európai Bizottság 2016. októberben irányelvjavaslatot terjesztett be az Európai Elektronikus Hírközlési Kódex létrehozásáról (3) (amely 300 oldalból áll), amelyet még nem fogadtak el, ugyanakkor bizonyos fogalommeghatározások esetében, amelyek nem szerepelnek sem az általános adatvédelmi rendeletben, sem a vizsgálat tárgyát képező szövegben, az Európai Bizottság e javaslatra hivatkozik.

2.2.2.

Két, 2017. januárban kelt javaslat pontosít bizonyos aspektusokat az általános adatvédelmi rendelet alapján; az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről szóló rendeletjavaslatról (COM(2017) 8 final, EGSZB-s előadó: Jorge PEGADO LIZ), valamint a vizsgálat tárgyát képező, a magánélet tiszteletben tartásáról és a személyes adatok védelméről szóló szövegről (COM(2017) 10 final) van szó.

2.3.

Az előzőekben említett három szöveg ugyanazon a napon, 2018. május 25-én lép hatályba, és céljuk a jogok és az ellenőrzési eljárások harmonizálása.

2.4.

Megjegyzendő, hogy a harmonizálás elősegítése érdekében úgy döntöttek, hogy a magánélet védelme vonatkozásában nem irányelvet, hanem uniós rendeletet alkalmaznak.

3.1.

A civil társadalom tudni szeretné, hogy a mostanában körvonalazódó teljesen digitális világban vajon az Európai Unió nyújt-e olyan hozzáadott értéket, amely biztosítja a különböző fórumokon a magánélet félelem nélküli kibontakozását.

3.2.

A folyamatosan generált adatok révén minden felhasználó mindenhol nyomon követhető és azonosítható. A fizikailag létező, többségében Európán kívüli központokban végzett adatkezelés aggodalmakra ad okot.

3.3.

A „Big Data” (nagy adathalmazok) pénzzé vált; ezen adatok intelligens kezelése révén „profilozhatók” és „áruvá tehetők” a természetes és jogi személyek; gyakran a fogyasztók tudta nélkül pénzkereseti lehetőséget nyújtanak.

3.4.

Azonban főként az internetszolgáltatókon túli más új szereplők adatkezelési ágazatban való megjelenése az, ami szükségessé teszi a jogszabályok felülvizsgálatát.

4.1.

A szöveggel az Európai Bizottság egyensúlyt kíván teremteni a fogyasztók és az iparág között:

4.2.

A javaslat célja, hogy végrehajtsa az általános adatvédelmi rendeletet, amely a magánadatok bizalmas jellegéhez és a törléshez való joghoz hasonlatosan általánosan alkalmazandó. Ezenkívül konkrétan a magánélet tiszteletben tartásáról és a személyes adatok védelméről szól a távközlésben; javasolja a magánélet védelmére, valamint az összehangolt ellenőrzésekre és szankciókra vonatkozó szabályok szigorítását.

4.3.

Nem ír elő külön intézkedéseket a felhasználóktól származó személyes adatokban fennálló „rések” kapcsán, hanem már az első cikkekben (5. cikk) megerősíti az elektronikus hírközlés titkosságának az elvét.

4.4.

A szolgáltatók az elektronikus hírközlések tartalmát kezelhetik:

4.5.

Kötelesek törölni, vagy névtelenné tenni a tartalmakat, miután azokat a címzettek megkapták.

4.6.

Az általános adatvédelmi rendelet 4. cikkének (11) bekezdése szerint az érintett személy „hozzájárulása” lehet akaratának minden önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

4.7.

A tervezetben benne maradt az általános adatvédelmi rendeletben meghatározott kifejezett hozzájárulás követelménye, a bizonyítás terhe pedig a szolgáltatókra hárul.

4.8.

Az „adatkezelés” alapja a hozzájárulás. Az adatkezelőnek képesnek kell lennie annak igazolására, hogy „az érintett személyes adatainak kezeléséhez hozzájárult” (az általános adatvédelmi rendelet 7. cikkének (1) bekezdése).

4.9.

Az uniós jog vagy a nemzeti jog bizonyos korlátozásokat alkalmazhat a titkosságra (kötelezettségek és jogok) a közérdek biztosítása vagy vizsgálat céljából.

4.10.

A természetes személyek előzetes hozzájárulása szükséges ahhoz, hogy a nyilvános elektronikus névjegyzékben szerepeljenek, és biztosítani kell számukra az őket érintő adatok ellenőrzéséhez, helyesbítéséhez és törléséhez szükséges eszközöket (15. cikk).

4.11.

A kifogásoláshoz való jog révén bármely felhasználó blokkolhatja a harmadik személyre (például egy kereskedőre) bízott adatai használatát, minden egyes későbbi üzenet küldése során is (16. cikk). Az új szabályok révén a felhasználók jobban tudják kezelni a paramétereiket („sütik”, azonosítók) és a „kéretlen” kommunikáció (levélszemét, üzenetek, SMS, hívások) blokkolható, ha a felhasználó nem járult hozzá azokhoz.

4.12.

A hívások azonosítása és a nemkívánatos hívások blokkolása (12. és 14. cikk) terén a rendelet hangsúlyozza, hogy e jogok a jogi személyeket is megilletik.

4.13.

Az ellenőrző rendszer szerkezeti felépítése megfelel az általános adatvédelmi rendeletnek (a felügyeleti hatóságokról szóló VI. fejezet és a felügyeleti hatóságok közötti együttműködésről szóló VII. fejezet).

4.13.1.

A tagállamok és az adatvédelemért felelős nemzeti hatóságaik feladata, hogy ellenőrizzék a titkosságra vonatkozó szabályok betartását. Az egyéb felügyeleti hatóságok kölcsönös segítségnyújtás keretében kifogást nyújthatnak be adott esetben a nemzeti felügyeleti hatóságoknak. Egységességi mechanizmus útján működnek együtt a nemzeti felügyeleti hatóságokkal és az Európai Bizottsággal (az általános adatvédelmi rendelet 63. cikke).

4.13.2.

Az Európai Adatvédelmi Testület ellenőrzi a vizsgálat tárgyát képező rendelet következetes alkalmazását (az általános adatvédelmi rendelet 68. és 70. cikke).

4.14.

Mind a természetes, mind pedig a jogi személyek közé tartozó végfelhasználók élhetnek jogorvoslattal a jogsértések révén sérült érdekeik érvényesítése céljából; az elszenvedett kárért kártérítést kaphatnak.

4.15.

A közigazgatási bírságok előírt összegei esetében a visszatartó erő a cél, mivel ezek összege minden érintett esetében elérheti a tízmillió eurót is, egy vállalkozás esetében pedig az előző pénzügyi év teljes éves világpiaci forgalmának a 2 %-át, és a kettő közül a magasabb összeget kell kiszabni (23. cikk). A tagállamok szankciókat írnak elő azokra az esetekre, amelyekre nincs közigazgatási bírság előirányozva, és erről tájékoztatják az Európai Bizottságot.

4.16.

A magánélet tiszteletben tartásáról és a személyes adatok felhasználásáról szóló új jogszabály 2018. május 25-től lesz hatályos, ugyanakkor, mint a 2016. évi általános adatvédelmi rendelet és a személyes adatok uniós intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről szóló rendelet és az Európai Elektronikus Hírközlési Kódex átdolgozásáról szóló irányelvtervezet (COM(2016) 590 final), amennyiben azt elfogadják.

4.17.

Az általános adatvédelmi rendeletet végrehajtó különös szabályok (lex specialis) alkalmazási köre:

—

ratione personae: szereplők

—

ratione materiae: az adatok

—

ratione loci: hol?

4.18.

Az EU célkitűzései: a digitális egységes piac

5.1.

Az EGSZB üdvözli, hogy az egész Unióban egyszerre hoznak létre egységes és koherens szabályokat a természetes és jogi személyek jogainak a védelmére az elektronikus hírközlésben használt digitális adatokkal összefüggésben.

5.1.1.

Üdvözli, hogy az Unió a polgárok és fogyasztók jogainak védelmére kel.

5.1.2.

Hangsúlyozza, hogy miközben a harmonizáció a cél, számos fogalom értelmezése a tagállamokra tartozik, ami miatt a rendelet egyfajta irányelvvé változik át, amely nagy teret enged a magánjellegű adatok áruként kezelésére. Különösen az egészségügy területe jelent nyitott kaput hatalmas mennyiségű magánjellegű adat gyűjtésére.

5.1.3.

A 11. cikk (1) bekezdése, a 13. cikk (2) bekezdése, a 16. cikk (4) és (5) bekezdése, valamint a 24. cikk inkább „átültető” rendelkezésnek minősíthető: ezek egy irányelv esetében megfelelőek lehetnek, egy rendelet esetében viszont nem. A szolgáltatóknak túl nagy mérlegelési jogkört hagytak a szolgáltatások minőségének a javítása érdekében (5. és 6. cikk). E rendelkezésnek az úgynevezett „Európai Elektronikus Hírközlési Kódexről” szóló irányelvre irányuló javaslat (COM(2016) 590 final) szerves részét kellene képeznie.

5.1.4.

Az EGSZB nagyon sajnálja, hogy e jogszabályok átfedései, terjedelme és egymással való összefonódásuk miatt valószínűtlen, hogy néhány bennfentesen kívül bárki elolvassa azokat. A dokumentumok ugyanis állandóan oda-vissza hivatkoznak egymásra. Ráadásul hozzáadott értékük nem látható a polgárok számára. A javaslat nehezen olvashatósága és összetettsége ellentétes a Célravezető és hatásos szabályozás program (REFIT) szellemével és a jogalkotás minőségének a javítására irányuló céllal, nehezen értelmezhetővé teszi a szöveget, és a védelemben réseket nyit.

5.1.5.

Például a rendeletjavaslat nem tartalmazza a „szolgáltató” fogalmának a meghatározását; az Európai Elektronikus Hírközlési Kódex tervezetére (4) kell hivatkozni, amely még nem lépett hatályba és amely meg fogja változtatni az ágazati szabályokat az egységes digitális piac keretében, nevezetesen a módosított 2002/21/EK keretirányelvet, a módosított 2002/20/EK „engedélyezési” irányelvet, a módosított 2002/22/EK „egyetemes szolgáltatás” irányelvet, a módosított 2002/19/EK „hozzáférés” irányelvet, a BEREC létrehozásáról szóló 1211/2009/EK rendeletet, a 676/2002/EK „rádióspektrum”-határozatot, a rádiófrekvencia-politikával foglalkozó csoport létrehozásáról szóló 2002/622/EK határozatot, valamint a többéves rádióspektrum-politikai program létrehozásáról szóló 243/2012/EU határozatot. Az alapvető kiindulópont természetesen továbbra is az adatvédelmi rendelet (lásd a fenti 2.2. pontot), amelynek kiegészítésére irányul, és amelyhez kapcsolódik a vizsgálat tárgyát képező javaslat.

5.2.

Az EGSZB külön kiemeli a végberendezéseken tárolt adatok védelméről és a lehetséges kivételekről szóló – alapvető jelentőségű, ugyanis az informatikai társaság számára a személyes adatokhoz hozzáférési lehetőséget biztosító – 8. cikk tartalmát. Rámutat továbbá a hívóvonal és a hívott vonal azonosításának korlátozásáról szóló 12. cikkre; ez a két cikk a hozzá nem értők számára nehezen érthető.

5.2.1.

Az 1995. évi irányelv (2. cikk) úgy határozta meg a „személyes adatokat”, mint „egy azonosított vagy azonosítható magánszemélyre (érintettre) vonatkozó bármely információt”. A vizsgálat tárgyát képező rendelet az adatvédelmet kiterjeszti a metaadatokra is, és immár mind a magánszemélyekre, mind pedig a jogi személyekre alkalmazandó. Ismételten ki kell emelni, hogy a tervezet célja kettős: egyrészt a személyes adatok védelme, másrészt pedig az adatok és az elektronikus hírközlési szolgáltatások EU-n belüli szabad áramlásának biztosítása (1. cikk).

5.2.2.

Az EGSZB hangsúlyozza, hogy a jogi személyek adatainak a védelmére irányuló szándék (1. cikk (2) bekezdés) ellentétes lesz más jogszabályokkal, amelyekben nem szerepel, hiszen az nincs egyértelműen leírva, hogy ezekre az esetre is alkalmazandó (lásd az általános adatvédelmi rendelet, az uniós intézményekben található adatok esetét).

5.3.

Az EGSZB nem tudja, hogy vajon e javaslat valódi célja nem az 1. cikk (2) bekezdésének, vagyis az elektronikus hírközlési adatok és szolgáltatások Unión belüli szabad áramlása biztosításának a hangsúlyozása-e, amelyet nem korlátoz és nem tilt a természetes és jogi személyek magánéletének és magáncélú kommunikációjának tiszteletben tartásával összefüggő okokból, ahelyett, hogy ténylegesen azt biztosítaná, ami az 1. cikk (1) bekezdésében szerepel, vagyis a magánélet és a magáncélú kommunikáció tiszteletben tartásához való jogokat, továbbá a személyes adatok kezelése tekintetében a természetes és jogi személyek védelmét.

5.4.

Mindennek az alapja a természetes vagy jogi személy kifejezett hozzájárulása. Következésképpen az EGSZB szerint a felhasználókat tájékoztatni, képezni kell és óvatosnak kell maradniuk, mivel ha egyszer hozzájárultak, a szolgáltató még több tartalmat és metaadatot kezelhet, hogy a lehető legnagyobb hatást és legtöbb nyereséget érje el. A sütik elfogadása előtt hányan tudják, hogy a süti egy nyomkövető modul? A felhasználók jogaik érvényesítéséről való felvilágosításának, az anonimmá tételnek vagy a kódolásnak az e rendelethez kapcsolódó prioritások közé kellene tartozniuk.

6.1.

A magánjellegű adatok ellenőrzését csak olyan szervezeteknek kellene végezni, akik maguk is nagyon szigorú szabályoknak felelnek meg, valamint ismert és jogszerű célkitűzéseik vannak (általános adatvédelmi rendelet).

6.2.

Az EGSZB ismét sajnálja, hogy „a személyes adatok védelméhez való jog kinyilatkoztatott elveivel kapcsolatban túl sok a kivétel és a korlátozás (5)”. Az Európai Unió sajátosságának továbbra is a szabadság és a biztonság közötti egyensúlynak kell maradnia – azt nem válthatja fel a személyek alapvető jogai és az iparági érdekek egyensúlya. A 29. cikk szerinti munkacsoport a rendelettervezetről szóló elemzésében (WP247, 2017.4.4., 1/2017. sz. vélemény, 17. pont) szigorúan rámutatott arra, hogy a szöveg csökkenti az általános adatvédelmi rendelet által biztosított védelem szintjét, különösen a terminál helye és a gyűjthető adatok körének elmaradt meghatározása miatt, és nem vezet be alapértelmezett védelmet a magánélet vonatkozásában (19. pont).

6.3.

Az adatok olyanok, mint az adott személy meghosszabbításai, egyfajta szellemidentitás, „árnyék-ID”. Az adatok az őket generáló személy tulajdonát képezik, de kezelésük után már nincs rájuk befolyása. Az adatok megőrzéséért és kezeléséért az egyes államok maradnak továbbra is felelősek, és a jogok korlátozásának a szövegtervezet által biztosított lehetősége miatt nincs harmonizáció. Az EGSZB hangsúlyozza az eltérések kockázatát, amely abból ered, hogy a jogok korlátozása a tagállamok mérlegelésétől függ.

6.4.

Felmerül a kérdés, mindenekelőtt a vállalatoknál dolgozó személyek esetében, hogy a munka közben generált adatok kinek a tulajdonát képezik. Hogyan védik őket?

6.5.

Az ellenőrzés szerkezeti felépítése nem világos (6); az Európai Adatvédelmi Bizottság felügyelete ellenére az önkényesség elleni garanciák nem tűnnek elegendőnek és nem mérték fel, hogy mennyi idő szükséges ahhoz, hogy az eljárások szankciókkal végződjenek.

6.6.

Az EGSZB amellett foglal állást, hogy létre kell hozni egy európai portált, ahol az összes uniós és nemzeti jogszabályt, joganyagot, jogorvoslati utat, ítélkezési gyakorlatot és praktikus elemet összegyűjtik és naprakészen tartják, ily módon segítve a polgárokat és a fogyasztókat a jogszabályok és gyakorlatok dzsungelében való eligazodásban, jogaik gyakorlásában. A portál létrehozásához legalább a 2016. október 26-i (EU) 2016/2102. számú, a közszférabeli szervezetek honlapjainak és mobilalkalmazásainak akadálymentesítéséről szóló irányelv rendelkezéseiből és az európai akadálymentesítési intézkedéscsomagként ismert irányelvre vonatkozó javaslat (2015/0278(COD)) (12), (15) és (21) preambulumbekezdéséből kellene ihletet meríteni, és a portálnak minden végfelhasználó számára hozzáférhető és érthető tartalmakat kell biztosítania. Az EGSZB kész részt venni a portál kialakításának szakaszaiban.

6.7.

A 22. cikkből hiányzik egy hivatkozás a „csoportos fellépésekre”, amint azt az EGSZB már jelezte az Európai Elektronikus Hírközlési Kódexről szóló véleményében.

6.8.

Az alkalmazási kör korlátozása (2. cikk (2) bekezdés); az adatkezelési hatáskörnek az érintett beleegyezése nélküli kiterjesztése (6. cikk (1) és (2) bekezdés); az a valószínűtlen eset, hogy az ÖSSZES érintett felhasználó hozzájárulását megszerzik (6. cikk (3) bekezdés b) albekezdés, továbbá a 8. cikk (1), (2) és (3) bekezdése); valamint a tagállamok által abban az esetben megvalósítható jogkorlátozások, amennyiben úgy ítélik meg, hogy ezek „szükséges, megfelelő és arányos” intézkedések, mind megannyi szabályt jelentenek, amelyek tartalma sokféle módon értelmezhető és ellentétes a magánélet tényleges védelmével. Megkülönböztetett figyelmet kell továbbá fordítani a kiskorúakra vonatkozó adatok védelmére.

6.9.

Az EGSZB üdvözli a 12. cikkben említett ellenőrzéshez való jogot, ám rámutat a különösen talányos megfogalmazásra, amely úgy tűnik, hogy támogatja az „ismeretlen” vagy „rejtett” telefonhívások alkalmazását, mintha a névtelenség ajánlatos lenne, miközben az alapelvnek a hívás azonosíthatóságának kellene lennie.

6.10.

A nem kívánt tájékoztatás (16. cikk) és a közvetlen üzletszerzés már szerepel a „tisztességtelen kereskedelmi gyakorlatokról” szóló irányelvben (7). Az alapszabálynak az „opt-in”-nek (elfogadás) és nem az „opt-out”-nak (elutasítás) kellene lennie.

6.11.

Az Európai Bizottság értékelése háromévente esedékes, ami digitális téren túl hosszú idő. Két értékelés után a digitális világ várhatóan teljesen átalakul. Ugyanakkor a kiterjeszthető felhatalmazásnak (25. cikk) határozott időtartamra kellene szólnia, amely esetleg megújítható.

6.12.

A jogszabályoknak a felhasználók jogait az üzleti tevékenységhez szükséges jogbiztonság biztosítása mellett kell megőrizniük (EUSZ 3. cikk). Az EGSZB sajnálja, hogy a gépről gépre (M2M) történő adatforgalom nem szerepel a javaslatban: az Európai Elektronikus Hírközlési Kódexre kell támaszkodni (irányelvjavaslat, 2. és 4. cikk).

6.12.1.

A dolgok internete (8) a „BigData” (nagy adathalmazok) állapotból a „Huge Data” (óriási adathalmazok) majd az „All Data” (minden adat) állapot felé vezet majd. Ez a jövőbeli innovációs hullámok kulcsa. A gépek pedig, akár kicsik, akár nagyok, kommunikálnak egymással, és személyes adatokat adnak át egymásnak (például a karóra rögzíti a szívritmus-adatokat, és továbbítja azokat a háziorvosnak). Számos digitális szereplő indított az internethez kapcsolódó dolgoknak fenntartott saját platformot: az Amazon, a Microsoft, az Intel, vagy Franciaországban az Orange és a La Poste.

6.12.2.

A dolgok internete a mindennapokban könnyen rosszindulatú támadások tárgyává válhat, a távolról begyűjthető személyes információk (földrajzi helyzet, egészségügyi adatok, video- és audiofolyamok) mennyisége pedig növekszik. Az adatvédelmi rések iránt érdeklődnek egyebek mellett a biztosítótársaságok, akik már azt ajánlják ügyfeleiknek, hogy szerezzenek be az internethez kapcsolódó dolgokat, és vállaljanak felelősséget azok használatáért.

6.13.

Sok internetes óriás törekszik az eredeti alkalmazásának egy platform irányába történő fejlesztésére: ily módon meg kell különböztetni egymástól a Facebook alkalmazást és a Facebook platformot, mely révén a fejlesztők a felhasználók profiljából elérhető alkalmazásokat tervezhetnek. Az Amazon az online értékesítésre szakosodott webes alkalmazás volt. Napjainkra platformmá vált, amelyen harmadik személyek – egyénektől a nagy csoportokig – értékesíthetik a termékeiket az Amazon forrásait, az elismertségét, a logisztikáját stb. kihasználva. Mindez a személyes adatok továbbításán keresztül történik.

6.14.

A megosztásalapú gazdaságban terjednek a platformok: „a kapcsolat egy platform közreműködésével, elsősorban elektronikus úton alakul ki egyrészt a javak vagy szolgáltatások tulajdonosai, másrészt pedig több felhasználó között (9)”. Miközben e platformokra nagy az igény az általuk biztosított tevékenység és munkahelyek miatt, az EGSZB-ben felmerül a kérdés, hogy az általuk generált adatforgalom hogyan ellenőrizhető akár az általános adatvédelmi rendelet, akár e rendelet alkalmazása keretében.