EURÓPAI BIZOTTSÁG

Brüsszel, 2019.5.29.

COM(2019) 250 final

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK EMPTY

Iránymutatás a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló rendeletről

Tartalomjegyzék

1.    Bevezetés    

Az iránymutatás célja    

2.    A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet közötti kölcsönhatások – vegyes adatkészletek    

2.1.    A nem személyes adatok fogalma a nem személyes adatok szabad áramlásáról szóló rendeletben    

Személyes adatok    

Nem személyes adatok    

2.2.    Vegyes adatkészletek    

3.    Az adatok szabad áramlása és az adatlokalizációs követelmények megszüntetése    

3.1.    A nem személyes adatok szabad áramlása    

3.2.    A személyes adatok szabad áramlása    

3.3.    A nem személyes adatok szabad áramlásáról szóló rendelet hatálya    

3.4.    A tagállamok belső felépítésével kapcsolatos tevékenységek    

4.    Az adatok szabad áramlását támogató önszabályozási megközelítések    

4.1.    Az adatok hordozása és a felhőszolgáltatók közötti váltás    

A hordozhatóság fogalma és az általános adatvédelmi rendelettel való kölcsönhatás    

4.2.    Magatartási kódexek és a személyes adatok védelmével kapcsolatos tanúsítási rendszerek    

4.3.    A határokon átnyúló adatkezelésbe vetett bizalom növelése – a biztonság tanúsítása            

Záró megjegyzések    

A jelen dokumentumot az Európai Bizottság kizárólag tájékoztatás céljából bocsátja rendelkezésre. A dokumentum nem a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet hivatalos értelmezését tartalmazza, és nem minősül az Európai Bizottság határozatának vagy álláspontjának. Nem érint továbbá semmilyen bizottsági határozatot vagy állásfoglalást, és nem érinti az Európai Unió Bíróságának a rendelet uniós Szerződésekkel összhangban történő értelmezésére vonatkozó hatáskörét.

1.    Bevezetés

Az egyre inkább adatok által vezérelt gazdaságban az adatáramlások az üzleti folyamatok középpontjában állnak a különböző méretű vállalatok és valamennyi ágazat esetében. Az új digitális technológiák új lehetőségeket teremtenek a nagyközönség, a vállalkozások és a közigazgatás számára az Európai Unióban (a továbbiakban: az EU).

Az adatok határokon átívelő cseréjének szélesebb körre történő kiterjesztése és az adatgazdaság fellendítése érdekében az Európai Parlament és a Tanács 2018 novemberében az Európai Bizottság (a továbbiakban: a Bizottság) javaslata alapján elfogadta a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló (EU) 2018/1807 rendeletet 1 (a továbbiakban: a nem személyes adatok szabad áramlásáról szóló rendelet). A rendeletet 2019. május 28-tól kell alkalmazni. A személyes adatok szabad áramlásának elvét már lefektette a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet 2 (a továbbiakban: az általános adatvédelmi rendelet). Ennek eredményeként jelenleg átfogó keret áll rendelkezése a közös európai adattér és valamennyi adat Európai Unión belüli szabad áramlása tekintetében 3 .

A nem személyes adatok szabad áramlásáról szóló rendelet jogbiztonságot teremt a vállalkozások számára az adataik kezelése során az EU valamennyi területén, növeli az adatkezelési szolgáltatásokba vetett bizalmat, és akadályozza a vevőfogvatartási gyakorlatokat. Ez több választási lehetőséget teremt a vevők számára, növeli a hatékonyságot, és előmozdítja a felhőtechnológiák elterjedését, ami jelentős megtakarításokat eredményez az uniós vállalkozások számára. Egy tanulmány szerint az uniós vállalkozások 20‑50 %-kal csökkenthetik IT-költségeiket a felhőalapú megoldásokra történő migrációval 4 .

A két rendeletnek köszönhetően az adatok szabadon áramolhatnak a tagállamok között, ami lehetővé teszi az adatkezelési szolgáltatások felhasználói számára, hogy a különböző uniós piacokon összegyűjtött adatokra támaszkodva fokozzák produktivitásukat és versenyképességüket. A felhasználók ezáltal teljes mértékben kiaknázhatják a nagy uniós piac által biztosított méretgazdaságosság előnyeit, ami javítja a globális versenyképességüket és növeli az európai adatgazdaság összekapcsolhatóságát.

A nem személyes adatok szabad áramlásáról szóló rendelet három lényeges vonással rendelkezik:

·Főszabályként megtiltja a tagállamoknak, hogy arra vonatkozó követelményeket határozzanak meg, hogy az adatokat hol kell lokalizálni. Az e szabály alóli kivételek csak közbiztonsági okokkal indokolhatók, és csupán az arányosság elvével összhangban alkalmazhatók.

·A rendelet együttműködési mechanizmust hoz létre annak biztosítása érdekében, hogy az illetékes hatóságok továbbra is képesek legyenek a más tagállamban kezelt adatokhoz való hozzáférésre irányuló jogaik gyakorlására.

·Az ágazat számára ösztönzést nyújt arra, hogy a Bizottság támogatásával dolgozzon ki önszabályozáson alapuló magatartási kódexeket a szolgáltatóváltással és az adatok hordozásával kapcsolatban.

Az iránymutatás célja

Ez az iránymutatás a nem személyes adatok szabad áramlásáról szóló rendelet 8. cikke (3) bekezdésének tesz eleget, amely előírja a Bizottság számára, hogy iránymutatást tegyen közzé az e rendelet és az általános adatvédelmi rendelet közötti kölcsönhatásokról, „különösen a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek tekintetében”.

Az iránymutatás célja, hogy segítsen a felhasználóknak – különösen a kis- és középvállalkozásoknak – abban, hogy megértsék a nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet közötti kölcsönhatásokat 5 . Az iránymutatás ezért különösen az alábbiakkal foglalkozik: i. a nem személyes adatok és a személyes adatok fogalma; ii. az adatok szabad áramlásának elvei és az adatlokalizálási követelmények tiltása a két rendelet szerint; valamint iii. az adathordozhatóság fogalma a nem személyes adatok szabad áramlásáról szóló rendelet szerint. Az iránymutatás továbbá kitér a két rendeletben előírt önszabályozási követelményekre is.

A nem személyes adatok szabad áramlásáról szóló rendelet kizárólag az általános adatvédelmi rendelet értelmében vett „személyes adatoktól eltérő adatokra” terjed ki. Az általános adatvédelmi rendelet szabályozza a személyes adatok kezelését, és az uniós adatvédelmi keretrendszer alapvető részét képezi 6 . 2018. május 25-én lépett hatályba a tagállamokban. A rendelet összehangolt szabályokat határoz meg a személyek EU-n/EGT-n belüli védelme érdekében a személyes adataik kezelésével és az ilyen adatok szabad áramlásával kapcsolatban. Az általános adatvédelmi rendelet: i. meghatározza, milyen információk minősülnek személyes adatoknak; ii. meghatározza a kezelésükre vonatkozó jogalapokat; és egyéb rendelkezések mellett iii. meghatározza az adatok kezelése során érvényesítendő jogokat és kötelezettségeket 7 . A személyes adatok szabad áramlásának elvével kapcsolatban az általános adatvédelmi rendelet 1. cikkének (3) bekezdése előírja, hogy „[a] személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból”.

A legtöbb valós helyzetben az adatkészletek valószínűleg személyes és nem személyes adatokat egyaránt tartalmaznak. Ezt gyakran „vegyes adatkészletnek” nevezzük. Az alábbi 2.2. szakasz tovább részletezi a nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet közötti kölcsönhatásokat a vegyes adatkészletek tekintetében.

Az egyértelműség kedvéért nincsenek egymásnak ellentmondó kötelezettségek az általános adatvédelmi rendeletben és a nem személyes adatok szabad áramlásáról szóló rendeletben.

2.    A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet közötti kölcsönhatások – vegyes adatkészletek

2.1.    A nem személyes adatok fogalma a nem személyes adatok szabad áramlásáról szóló rendeletben

A nem személyes adatok szabad áramlásáról szóló rendelet 8 célja, hogy biztosítsa a személyes adatoktól eltérő adatok szabad áramlását. A rendelet végig az „adatok” kifejezést használja, amelyet az (EU) 2016/679 rendelet (az általános adatvédelmi rendelet) 9 4. cikkének 1. pontjában meghatározott személyes adatoktól eltérő adatokként kell értelmezni. Az ilyen adatok, amelyeket e dokumentumban „nem személyes adatoknak” is nevezünk, az általános adatvédelmi rendeletben definiált személyes adatokkal szembeállítva (a contrario) vannak meghatározva.

Személyes adatok

Az általános adatvédelmi rendelet szerint: „»személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

A személyes adatok széles körű értelmezése szándékos, és a korábbi jogszabályokhoz 10 képest lényegében változatlan maradt az általános adatvédelmi rendeletben. A személyes adatok fogalmának különböző aspektusait, például a „bármely információ”, „vonatkozó”, „azonosított vagy azonosítható” elemeket a 29. cikk szerinti munkacsoport 11 már tárgyalta a személyes adatok fogalmáról szóló, 2007. június 20-i 4/2007. sz. véleményében (WP 136).

Az olyan területeken, mint a kutatás, bevett gyakorlat, hogy álnevesítik a személyes adatokat az érintett egyének személyazonosságának elrejtése érdekében. Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk nélkül többé nem állapítható meg, mely konkrét természetes személyre vonatkoznak. Az ilyen további információkat külön kell tárolni, valamint szervezési és technikai intézkedésekkel kell biztosítani (pl. titkosítás) 12 , 13 . Mindazonáltal az álnevesített adatok továbbra is azonosítható személyre vonatkozó információknak minősülnek, ha további információk használatával meg lehet állapítani, mely személyre vonatkoznak 14 . Az ilyen adatok az általános adatvédelmi rendelettel összhangban személyes adatnak minősülnek.

Nem személyes adatok

Ha az adatok nem az általános adatvédelmi rendelet szerinti „személyes adatok”, akkor nem személyes adatokról van szó. A nem személyes adatokat eredetük szerint az alábbiak szerint lehet osztályozni:

·Először is: azok az adatok, amelyek eredetileg nem vonatkoztak azonosított vagy azonosítható személyekre, például a szélturbinákra felszerelt érzékelők által létrehozott, időjárásra vonatkozó adatok vagy az ipari gépek karbantartási igényeire vonatkozó adatok.

·Másodszor: azok az adatok, amelyek kezdetben személyes adatok voltak, azonban később anonimmá 15 váltak. A személyes adatok anonimizálása eltér a (fent ismertetett) álnevesítéstől, mivel a megfelelően anonimizált adatok esetében nem állapítható meg, mely konkrét személyre vonatkoztak, még további adatok használatával 16 sem, ezért nem személyes adatoknak minősülnek.

Annak értékelése, hogy az adatokat megfelelően anonimizálták-e, az egyes esetek konkrét és egyedi körülményeitől függ 17 . Az állítólagosan anonimizált adatkészletek újbóli azonosítására vonatkozó számos példa rámutatott arra, hogy az ilyen értékelés megterhelő lehet 18 . Az egyének azonosíthatóságának értékelése érdekében minden olyan eszközt figyelembe kell venni, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy az érintett egyén közvetlen vagy közvetett azonosítása céljából felhasználhatja 19 .

Ha azonban a nem személyes adatok bármilyen módon egy egyénre vonatkoztathatók, és azt idézik elő, hogy az adott egyén közvetlenül vagy közvetve azonosíthatóvá válik, az adatokat személyes adatoknak kell tekinteni.

Ha például a gyártási sorra vonatkozó minőség-ellenőrzési jelentés lehetővé teszi az adatok összekötését a konkrét gyári dolgozókkal (pl. akik a gyártási paramétereket beállították), akkor az adatok személyes adatoknak minősülnek, és az általános adatvédelmi rendelet alkalmazandó. Ugyanezen szabályok alkalmazandók, ha a technológia és az adatelemzés fejlődése lehetővé teszi az anonimizált adatok személyes adatokká konvertálását.  21

Mivel a személyes adatok fogalmának meghatározása „természetes személyekre” utal, a jogi személyek nevét és elérhetőségeit tartalmazó adatkészletek elvileg nem személyes adatok 22 . Egyes helyzetekben azonban lehetnek személyes adatok 23 . Ez a helyzet akkor, ha például a jogi személy neve ugyanaz, mint annak a természetes személynek a neve, akinek a jogi személy a tulajdonában áll, vagy ha az információ azonosított vagy azonosítható természetes személyre vonatkozik 24 .

2.2.    Vegyes adatkészletek

A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet két különböző szempontból közelíti meg az adatok EU-n belüli szabad áramlását.

A nem személyes adatok szabad áramlásáról szóló rendelet általánosan tiltja az adatlokalizációs követelmények alkalmazását a nem személyes adatok esetében. A rendelet 4. cikkének (1) bekezdése szerint az adatlokalizációs követelmények alkalmazása tilos, kivéve, ha azok közbiztonsági okokból indokoltak, és összhangban állnak az arányosság elvével.

Az általános adatvédelmi rendelet a személyes adatok magas szintű védelmének biztosítása mellett a személyes adatok szabad áramlását is lehetővé teszi. A rendelet 1. cikkének (3) bekezdésével összhangban a személyes adatok szabad áramlása „nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból”. A két rendelet együttesen „valamennyi” adat szabad áramlását lehetővé teszi az EU-n belül. A külön rendelkezéseket a 3.1. és a 3.2. szakasz tárgyalja részletesebben.

A vegyes adatkészletek személyes és nem személyes adatokat egyaránt tartalmaznak. A vegyes adatkészletek teszik ki az adatgazdaságban használt adatkészletek többségét, és a technológiai fejleményeknek, például a dolgok internetének (azaz a digitálisan összekapcsolódó dolgoknak), a mesterséges intelligenciának és a nagy adathalmazok elemzését lehetővé tévő technológiáknak köszönhetően széles körben elterjedtek.

A vegyes adatkészletekkel kapcsolatban a nem személyes adatok szabad áramlásáról szóló rendelet 25 az alábbiakat írja elő:

„Személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek esetében e rendelet az adatkészlet nem személyes adatokat tartalmazó részére alkalmazandó. Abban az esetben, ha egy adatkészletben a személyes és a nem személyes adatok elválaszthatatlanul összekapcsolódnak, ez a rendelet az (EU) 2016/679 rendelet sérelme nélkül alkalmazandó.”

Ez azt jelenti, hogy a személyes és nem személyes adatokból álló adatkészlet esetén:

·az adatkészlet nem személyes adatokat tartalmazó részére a nem személyes adatok szabad áramlásáról szóló rendelet alkalmazandó;

·az adatkészlet személyes adatokat tartalmazó részére az általános adatvédelmi rendelet szabad áramlásra vonatkozó rendelkezése 26 alkalmazandó; valamint

·ha a nem személyes adatokat tartalmazó rész és a személyes adatokat tartalmazó rész elválaszthatatlanul összekapcsolódik, akkor az általános adatvédelmi rendeletből eredő adatvédelmi jogok és kötelezettségek teljes mértékben alkalmazandók a teljes vegyes adatkészletre, még akkor is, ha a személyes adatok csak az adatkészlet kis részét teszik ki 27 .

Ez az értelmezés összhangban áll az Európai Unió Alapjogi Chartájában 28 biztosított, személyes adatok védelméhez való joggal, valamint a nem személyes adatok szabad áramlásáról szóló rendelet 29 (8) preambulumbekezdésével. A rendelet (8) preambulumbekezdése előírja, hogy „[e] rendelet nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével ... kapcsolatos jogi keretet, ... különösen az [általános adatvédelmi rendeletet], valamint az (EU) 2016/680 és a 2002/58/EK … irányelvet”.

Az „elválaszthatatlanul összekapcsolódnak” kifejezést a két rendelet 30 egyike sem definiálja. Gyakorlati célokból utalhat olyan helyzetekre, ahol az adatkészlet személyes adatokat és nem személyes adatokat egyaránt tartalmaz, és ezek szétválasztása nem lehetséges, vagy az adatkezelő megítélése szerint gazdaságilag nem hatékony vagy technikailag nem megvalósítható. Például az ügyfélkapcsolat-kezelési (CRM-) és értékesítési jelentéstételi rendszerek megvásárlásakor a vállalatnak kétszer annyiba kerülnek a szoftverek, ha külön szoftvert vesz a CRM-hez (személyes adatok), és külön a CRM-adatokon alapuló értékesítési jelentéstételi rendszerhez (összesített/nem személyes adatok).

Az adatkészlet szétválasztása továbbá valószínűleg jelentősen csökkenti az adatkészlet értékét. Ezenkívül az adatok változó jellege (lásd a 2.1. szakaszt) még inkább megnehezíti az egyértelmű különbségtételt és ezáltal a különböző adatkategóriák szétválasztását.

Fontos megjegyezni, hogy egyik rendelet sem kötelezi arra a vállalkozásokat, hogy szétválasszák az általuk adatkezelőként vagy adatfeldolgozóként kezelt adatkészleteket.

Ennek következtében a vegyes adatkészletek esetében általában alkalmazandók az adatkezelők és az adatfeldolgozók kötelezettségei, és érvényesülnek az általános adatvédelmi rendelet által az érintettek számára biztosított jogok.

Végezetül elengedhetetlen, hogy az egyének és a vállalatok kellő jogbiztonságot élvezzenek az adatkezelés tekintetében, és bizalmat tanúsítsanak iránta. Ez az adatgazdaság szempontjából is létfontosságú. A két rendelet biztosítja ezt, és mindkettő célja, hogy ne ütközzön akadályba az adatok szabad áramlása.

3.    Az adatok szabad áramlása és az adatlokalizációs követelmények megszüntetése

Ez a szakasz részletesebben ismerteti az adatlokalizációs követelményeknek a nem személyes adatok szabad áramlásáról szóló rendelet szerinti fogalmát és a szabad áramlásnak az általános adatvédelmi rendeletben szereplő elvét. Bár ezek a rendelkezések a tagállamokat célozzák, a vállalkozások számára is hasznos lehet, ha pontosabb képet kapnak arról, hogy e két rendelet miként járul hozzá valamennyi adat EU-n belüli szabad áramlásához.

3.1.    A nem személyes adatok szabad áramlása

A nem személyes adatok szabad áramlásáról szóló rendelet 33 szerint „[a]z adatlokalizációs követelmények alkalmazása tilos, kivéve, ha azok közbiztonsági okokból indokoltak, és összhangban állnak az arányosság elvével”.

Az adatlokalizációs követelmény a vonatkozó fogalommeghatározás 34 szerint „bármely olyan, tagállami törvényben, rendeletben vagy közigazgatási rendelkezésben meghatározott vagy a tagállamok és közjogi intézmények általános és következetes közigazgatási gyakorlataiból – beleértve többek között a 2014/24/EU irányelv sérelme nélkül a közbeszerzés területét is – eredő kötelezettség, tilalom, feltétel, korlátozás vagy más követelmény, amely előírja, hogy az adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adatkezelés bármely másik tagállamban történjen 35 ”.

A fogalommeghatározás rámutat arra, hogy az adatok EU-n belüli szabad áramlását korlátozó intézkedések számos formát ölthetnek. Meg lehetnek határozva jogszabályokban, közigazgatási rendeletekben és rendelkezésekben, vagy akár általános és konzisztens közigazgatási gyakorlatokból is eredhetnek. Az adatlokalizációs követelmények alkalmazásának tiltása továbbá kiterjed a nem személyes adatok szabad áramlását közvetlenül és közvetve korlátozó intézkedésekre is.

A közvetlen adatlokalizációs követelmények közé tartozhat például, ha az adatokat kötelező egy adott földrajzi helyen tárolni (pl. a szervereket egy adott tagállamban kell tárolni), vagy ha egyedi nemzeti technikai követelményeknek kell megfelelni (pl. az adatokat bizonyos nemzeti formátumban kell használni).

A közvetett adatlokalizációs követelmények, amelyek akadályoznák a személyes adatok más tagállamon belüli kezelését, szintén számos formát ölthetnek. Magukban foglalhatják például az adott tagállamban tanúsított vagy jóváhagyott technológiai létesítmények használatára vonatkozó kötelezettséget vagy egyéb olyan követelményeket, amelyek hatásaként az adatok kezelése nehezebbé válik az Európai Unió egy meghatározott földrajzi területén vagy térségén kívül 36 , 37 .

Annak értékelésekor, hogy az adott intézkedés közvetett adatlokalizációs követelménynek minősül-e, figyelembe kell venni az egyes esetek konkrét körülményeit.

A nem személyes adatok szabad áramlásáról szóló rendelet 38 a „közbiztonság” fogalmára hivatkozik, ahogyan azt az Európai Unió Bíróságának ítélkezési gyakorlata körvonalazza. A közbiztonság „a tagállamok külső és belső biztonságára egyaránt kiterjed 39 , ahogyan a közvédelem kérdéseire is, különösen a bűncselekmények kivizsgálásának, felderítésének és büntetőeljárás alá vonásának elősegítése érdekében. Valamely alapvető társadalmi érdeket érintő, olyan tényleges és kellően súlyos fenyegetés fennállását feltételezi 40 , mint például az intézmények és alapvető közszolgáltatások működésének vagy a lakosság életének veszélyeztetése, továbbá a külkapcsolatoknak vagy a népek békés együttélésének súlyos megzavarása vagy a katonai érdekeket fenyegető kockázat.”

Ezenkívül a közbiztonsági okokkal indokolt adatlokalizációs követelményeknek arányosnak kell lenniük. Az Európai Unió Bíróságának ítélkezési gyakorlatával összhangban az arányosság elve szerint az elfogadott intézkedéseknek alkalmasnak kell lenniük az elérni kívánt cél megvalósítására, és nem léphetik túl az e cél eléréséhez szükséges mértéket 41 .

Az egyértelműség kedvéért az adatlokalizációs követelmények alkalmazásának tiltása nem hat ki az uniós jog által előírt, már meglévő korlátozásokra 42 .

A nem személyes adatok szabad áramlásáról szóló rendelet továbbá nem határoz meg kötelezettségeket a vállalkozások számára, és nem korlátozza a szerződéses szabadságukat azzal kapcsolatban, hogy az adataikat hol kezeljék.

A tagállamok kötelesek a területükön érvényes valamennyi adatlokalizációs követelmény részleteit nyilvánosan elérhetővé tenni a nemzeti egységes online információs ponton (nemzeti weboldalakon). A szóban forgó információkat rendszeresen frissíteniük kell, vagy a naprakész információkat egy másik uniós jogi aktus értelmében létrehozott központi információs pont rendelkezésére kell bocsátaniuk 43 . A vállalkozások kényelme és a releváns információkhoz való hozzáférésük EU-szerte történő megkönnyítése érdekében a Bizottság közzéteszi az információs pontokhoz vezető hivatkozásokat az „Európa Önökért” portálon 44 .

3.2.    A személyes adatok szabad áramlása

Az általános adatvédelmi rendelet 45 szerint „[a] személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból”.

Ha egy tagállam a személyes adatok védelmétől eltérő okból vezet be a személyes adatok lokalizációjára vonatkozó követelményeket, akkor azokat az Európai Unió működéséről szóló szerződésben 46 , 47 szereplő, az alapvető szabadságokra és az alapvető szabadságoktól való eltérés engedélyezett okaira vonatkozó rendelkezések, valamint a vonatkozó uniós jog, például a szolgáltatásokról szóló irányelv 48 és az e-kereskedelemről szóló irányelv 49 tekintetében kell értékelni.

Az általános adatvédelmi rendelet 50 elismeri, hogy a tagállamok bevezethetnek feltételeket – köztük korlátozásokat is – a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelése tekintetében. Ahogyan azonban az (53) preambulumbekezdésben szerepel, ez nem akadályozhatja a személyes adatok Unión belüli szabad áramlását azokban az esetekben, amikor az említett feltételek az ilyen adatok határokon átnyúló kezelésére vonatkoznak. Ez összhangban áll az Európai Unió működéséről szóló szerződés 16. cikkével, amely meghatározza a személyes adatok védelméhez való joggal kapcsolatos szabályok és az ilyen adatok szabad áramlásával kapcsolatos szabályok elfogadására vonatkozó jogalapot.

3.3.    A nem személyes adatok szabad áramlásáról szóló rendelet hatálya

Ahogyan azt korábban említettük, a nem személyes adatok szabad áramlásáról szóló rendelet célja a nem személyes adatok „Unión belüli” szabad áramlásának biztosítása 51 . Ezért a szóban forgó rendelet nem alkalmazandó az EU-n kívüli adatkezelési műveletekre és az ilyen adatkezelésre vonatkozó adatlokalizációs követelményekre 52 , 53 .

A rendelet alkalmazási köre ezért a 2. cikk (1) bekezdésével összhangban az elektronikus nem személyes adatok EU-n belüli adatkezelésére korlátozódik, amelyet:

a)szolgáltatásként nyújtanak az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy

b)az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végez saját szükségleteinek kielégítése érdekében.

Bár a nem személyes adatok szabad áramlásáról szóló rendelet nem alkalmazandó, ha a nem személyes adatokkal kapcsolatos valamennyi adatkezelést az EU-n kívül végzik, az általános adatvédelmi rendeletet be kell tartani, ha az adatkészletben szerepelnek személyes adatok is. Különösen az általános adatvédelmi rendelet által előírt, harmadik országok vagy nemzetközi szervezetek részére történő személyesadat-továbbításokra vonatkozó szabályokat kell betartani minden esetben 55 .

3.4.    A tagállamok belső felépítésével kapcsolatos tevékenységek

A nem személyes adatok szabad áramlásáról szóló rendelet nem kötelezi a tagállamokat arra, hogy külső felet bízzanak meg olyan szolgáltatások nyújtásával, amelyeket maguk kívánnak nyújtani vagy a közbeszerzési szerződéstől eltérő módon kívánnak megszervezni 56 .

A nem személyes adatok szabad áramlásáról szóló rendelet 2. cikke (3) bekezdésének második albekezdése szerint:

„Ez a rendelet nem érinti a tagállamok belső szervezetére vonatkozó azon törvényeket, rendeleteket és közigazgatási rendelkezéseket, amelyek meghatározzák a közigazgatási szervek és a 2014/24/EU irányelv 57 2. cikke (1) bekezdésének 4. pontjában meghatározott közjogi intézmények adatkezeléssel kapcsolatos hatáskörét és felelősségi körét a magánfelek szerződéses díjazása nélkül, továbbá nem érinti a tagállamok azon törvényeit, rendeleteit és közigazgatási rendelkezéseit, amelyek e hatáskörök és felelősségi körök végrehajtását szabályozzák.” 58

Lehetnek olyan jogos érdekek, amelyek az adatkezelési szolgáltatások ilyen típusú „saját nyújtása”, például a visszaszervezés vagy a közigazgatások közötti kölcsönös megállapodások mellett szólhatnak. Jellemző például a „kormányzati felhő” használata vagy az állami intézmények és szervek adatkezelési tevékenységeinek elvégzésével központi informatikai ügynökséget megbízó kormányzat.

A nem személyes adatok szabad áramlásáról szóló rendelet azonban arra ösztönzi a tagállamokat, hogy vegyék figyelembe a gazdasági hatékonyságot és a külső szolgáltatók alkalmazásával járó egyéb előnyöket 59 , 60 . Amint a nemzeti hatóságok elkezdik „kiszervezni” az adatkezelést magánfelek szerződéses díjazásával, és az adatkezelés az EU-ban történik, az adatkezelésre a nem személyes adatok szabad áramlásáról szóló rendelet alkalmazandó, azaz a nem személyes adatok szabad áramlásának elve érvényes a nemzeti hatóságok általános és közigazgatási gyakorlataira. Nevezetesen a hatóságoknak tartózkodniuk kell attól, hogy adatlokalizációs korlátozásokat vezessenek be, például a közbeszerzési pályázatok esetén 61 .

4.    Az adatok szabad áramlását támogató önszabályozási megközelítések

Az önszabályozás hozzájárul az innovációhoz és a piaci szereplők közötti bizalom megteremtéséhez, és javíthatja a piaci változásokra való reagálás képességét. Ez a szakasz áttekintést nyújt a személyes és nem személyes adatok kezelésével kapcsolatos önszabályozási kezdeményezésekről.

4.1.    Az adatok hordozása és a felhőszolgáltatók közötti váltás

A nem személyes adatok szabad áramlásáról szóló rendelet egyik célja, hogy akadályozza a vevőfogvatartási gyakorlatok alkalmazását. Ezek a gyakorlatok akkor fordulnak elő, ha a felhasználók nem tudnak váltani a szolgáltatók között, mert az adataik „be vannak zárva” a szolgáltató rendszerébe, például a specifikus adatformátum vagy a szerződéses megállapodások miatt, és nem továbbíthatók a szolgáltató informatikai rendszerén kívülre. Az adatok akadályok nélküli hordozása fontos ahhoz, hogy a felhasználók szabadon tudjanak választani az adatkezelési szolgáltatások között, és ezáltal biztosítani lehessen a tényleges versenyt a piacon.

A vállalkozások közötti adathordozhatóság egyre fontosabbá válik a digitális ágazatok széles körében, beleértve a felhőszolgáltatásokat is.

A nem személyes adatok szabad áramlásáról szóló rendelet 6. cikke előírja a Bizottság számára, hogy ösztönözze és segítse elő az önszabályozáson alapuló uniós szintű magatartási kódexek (a továbbiakban: magatartási kódexek) kidolgozását annak érdekében, hogy hozzájáruljon a versenyképes adatgazdaság megteremtéséhez. Ez alapot biztosít az ágazat számára a szolgáltatóváltással és az adatok különböző informatikai rendszerek közötti hordozásával kapcsolatos, önszabályozáson alapuló magatartási kódexek kidolgozásához.

Számos szempontot figyelembe kell venni az adatok hordozására vonatkozó magatartási kódexek kidolgozásakor, nevezetesen az alábbiakat:

·bevált gyakorlatok a szolgáltatóváltás megkönnyítésére és az adatok strukturált, általánosan használt és géppel olvasható formátumban történő hordozására;

·minimális tájékoztatási követelmények annak biztosítása érdekében, hogy a szerződések megkötése előtt a foglalkozásszerű felhasználók kellően részletes és egyértelmű információt kapjanak az alkalmazandó folyamatokról, műszaki követelményekről, időkeretekről és díjakról arra az esetre, ha egy foglalkozásszerű felhasználó az adatait az egyik szolgáltatótól egy másikhoz kívánja átvinni vagy saját informatikai rendszerébe szeretné visszavinni;

·a felhőszolgáltatások összehasonlítását megkönnyítő tanúsítási rendszerekkel kapcsolatos megközelítések; valamint

·kommunikációs ütemtervek, amelyek célja a magatartási kódexek ismertebbé tétele.

A felhőszolgáltatások piacán a Bizottság elkezdte megkönnyíteni az egységes digitális piac felhőszolgáltatásokban érdekelt feleit tömörítő munkacsoportok munkáját, keretet teremtve a felhőszakértők és a foglalkozásszerű felhasználók – köztük kis- és középvállalatok – együttműködéséhez. Ebben a szakaszban az egyik alcsoport az adatok hordozhatóságával és a felhőszolgáltatók közötti váltással kapcsolatos önszabályozási magatartási kódexeket dolgozza ki (SWIPO-munkacsoport) 62 , míg a másik alcsoport a felhőszolgáltatások biztonsági tanúsítási rendszerének kidolgozásával foglalkozik (CSPCERT-munkacsoport) 63 .

A SWIPO-munkacsoport keretében kidolgozás alatt álló magatartási kódexek a felhőszolgáltatások teljes spektrumát, azaz az infrastruktúra-szolgáltatást (IaaS), a platformszolgáltatást (PaaS), valamint a szoftverszolgáltatást (SaaS) is lefedik.

A Bizottság elvárása szerint a különböző magatartási kódexeket szerződésifeltétel-mintákkal 64 kell kiegészíteni. Ezek lehetővé fogják tenni, hogy a magatartási kódexek gyakorlati bevezetése és alkalmazása a technikai és jogi sajátosságok kellő figyelembevételével történjen, ami különösen fontos lesz a kis- és középvállalkozások számára. A szerződésifeltétel-minták kialakítására a tervek szerint az új magatartási kódexek kidolgozása után kerül sor (amelyet 2019. november 29-ig el kell végezni).

A nem személyes adatok szabad áramlásáról szóló rendelet 8. cikkével összhangban a Bizottság 2022. november 29-ig értékelni fogja a rendelet végrehajtását. Ez lehetővé fogja tenni az alábbiak értékelését: i. az adatok Európán belüli szabad áramlásának hatása; ii. a rendelet alkalmazása, különösen a vegyes adatkészletek tekintetében; iii. annak megállapítása, hogy a tagállamok milyen mértékben helyezték ténylegesen hatályon kívül az indokolatlan adatlokalizációs korlátozásokat; valamint iv. a magatartási kódexek piaci hatékonysága az adatok hordozása és a felhőszolgáltatók közötti váltás terén.

A hordozhatóság fogalma és az általános adatvédelmi rendelettel való kölcsönhatás

Mindkét rendelet 65 hivatkozik az adathordozhatóságra, és a cél az, hogy megkönnyítsék az adatok egyik informatikai környezetből egy másikba, azaz egy másik szolgáltató rendszereibe vagy helyszíni rendszerekbe történő hordozását. Ez megakadályozza a vevőfogvatartást, és elősegíti a versenyt a szolgáltatók között. A rendeletek azonban a hordozhatóságra irányuló megközelítésüket tekintve eltérnek egymástól a célzott érdekcsoportok közötti kapcsolat és a rendelkezések jogi jellege terén.

Az általános adatvédelmi rendelet 20. cikke szerint a személyes adatok hordozhatóságához való jog az érintett és az adatkezelő közötti kapcsolatra összpontosít. A rendelkezés az érintett azon jogára vonatkozik, amely szerint tagolt, széles körben használt, géppel olvasható formában megkaphatja az adatkezelő rendelkezésére bocsátott személyes adatokat, továbbá ezeket továbbíthatja egy másik adatkezelőnek vagy saját tárolási kapacitásainak anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta 66 . Jellemzően ezekben a kapcsolatokban az érintettek különböző online szolgáltatások felhasználói, akik váltani szeretnének a szolgáltatók között.

A nem személyes adatok szabad áramlásáról szóló rendelet 6. cikke nem írja elő a foglalkozásszerű felhasználók számára az adatok hordozásához való jogot, hanem az egyes ágazatokra vonatkozó önkéntes magatartási kódexek kidolgozása révén megvalósítandó önszabályozási megközelítést alkalmaz. Ugyanakkor azokat a helyzeteket célozza, amikor a foglalkozásszerű felhasználó adatkezelési szolgáltatást kínáló harmadik félnek kiszervezte az adatkezelést 67 . A nem személyes adatok szabad áramlásáról szóló rendelet 3. cikkének 8. pontjával összhangban a „foglalkozásszerű felhasználó” „olyan természetes vagy jogi személy – ideértve a közigazgatási szerveket és a közjogi intézményeket is –, aki vagy amely kereskedelmi, üzleti, kézműipari, szakmai tevékenységéhez vagy feladatához kapcsolódóan használ vagy igényel adatkezelési szolgáltatást”.

A gyakorlatban a nem személyes adatok szabad áramlásáról szóló rendelet 6. cikke szerinti hordozhatóság a foglalkozásszerű felhasználó (amely személyes adatok kezelésével járó esetekben az általános adatvédelmi rendelettel összhangban „adatkezelőnek” minősülhet), valamint a szolgáltató (amely egyes esetekben „adatfeldolgozónak” is minősülhet) közötti üzleti interakciókra vonatkozik.

A különbségek ellenére előfordulhatnak olyan helyzetek, ahol a vegyes adatkészletekkel kapcsolatban az adatok hordozására mind a nem személyes adatok szabad áramlásáról szóló rendelet, mind pedig az általános adatvédelmi rendelet hatálya kiterjed.

4.2.    Magatartási kódexek és a személyes adatok védelmével kapcsolatos tanúsítási rendszerek

Az általános adatvédelmi rendelet szerinti kötelezettségeknek való megfelelés bizonyítására magatartási kódexeket és tanúsítási rendszereket lehet alkalmazni (lásd a 24. cikk (3) bekezdését és a 28. cikk (5) bekezdését).

Az általános adatvédelmi rendelet 40. cikkének (1) bekezdésével és 42. cikkének (1) bekezdésével összhangban a tagállamoknak, a felügyeleti hatóságoknak, az Európai Adatvédelmi Testületnek és a Bizottságnak arra kell ösztönözniük az ipart, hogy magatartási kódexeket dolgozzanak ki, és adatvédelmi tanúsítási mechanizmusokat hozzanak létre.

Az adatkezelők vagy adatfeldolgozók egyes kategóriáit képviselő egyesületek vagy egyéb szervek készíthetnek az adott ágazatra vonatkozó közös magatartási kódexet. A kódex tervezetét jóváhagyásra be kell nyújtani az illetékes felügyeleti hatósághoz 69 . Ha a magatartási kódex tervezete több tagállamban végzett adatkezelési tevékenységekre vonatkozik, a felügyeleti hatóságnak azt jóváhagyás előtt be kell nyújtania az Európai Adatvédelmi Testülethez. A Testület ezt követően véleményezi, hogy a kódextervezet megfelel-e az általános adatvédelmi rendeletnek.

Az Európai Adatvédelmi Testület közzétette az általános adatvédelmi rendelet szerinti magatartási kódexekről és ellenőrző testületekről szóló, 1/2019. sz. iránymutatását 70 . Az iránymutatás magában foglalja a magatartási kódexek kidolgozására vonatkozó információkat, valamint az azok jóváhagyására vonatkozó kritériumokat és egyéb hasznos információkat. Hasonlóképpen, az Európai Adatvédelmi Testületnek az általános adatvédelmi rendelet 42. és 43. cikke szerinti tanúsításról és tanúsítási kritériumok azonosításáról szóló, 1/2018. számú iránymutatása tájékoztatást nyújt az említett rendelet szerinti tanúsításról, valamint a tanúsítási kritériumok kialakításáról és jóváhagyásáról 71 .

4.3.    A határokon átnyúló adatkezelésbe vetett bizalom növelése – a biztonság tanúsítása

Ahogyan a nem személyes adatok szabad áramlásáról szóló rendelet (33) preambulumbekezdésében szerepel, a határokon átnyúló adatkezelési megoldásokba vetett bizalom erősítése nyomán a piaci szereplők és a közszféra várhatóan kevésbé lesz hajlamos arra, hogy adatlokalizációt alkalmazzon az adatbiztonság biztosítása érdekében. A Bizottság által 2017-ben előterjesztett kiberbiztonsági csomag 76 mellett a CSPCERT-munkacsoport a felhőszolgáltatások európai tanúsítási rendszerére vonatkozó ajánlásokat dolgoz ki, amelyeket be fog mutatni a Bizottságnak. Egy ilyen rendszer megkönnyítheti az adatok szabad áramlását, összehasonlíthatóbbá teheti a felhőszolgáltatásokat, valamint előmozdíthatja a felhőszolgáltatások igénybevételét. A Bizottság felkérheti az ENISA-t (az Európai Uniós Kiberbiztonsági Ügynökséget), hogy a kiberbiztonsági jogszabállyal 77 összhangban készítsen javaslatokat a rendszerrel kapcsolatban. A rendszer mind a személyes, mind pedig a nem személyes adatokra kiterjedhet. A kiberbiztonsági jogszabály mellett és a 4.2. szakaszban említettek szerint az általános adatvédelmi rendelet is használható az adatbiztonságra vonatkozó megfelelő garanciák meglétének igazolására 78 .

Záró megjegyzések

A jogbiztonság és az adatkezelésbe vetett bizalom elengedhetetlen ahhoz, hogy az EU képes legyen maradéktalanul kiaknázni az adatokban rejlő lehetőségeket, és ezáltal ágazatokon és határokon átívelő értékláncok alakulhassanak ki. A két rendelet biztosítja mindehhez a feltételeket, és mindkettő célja az adatok szabad áramlásának lehetővé tétele. A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet közösen fekteti le az összes adat Európai Unión belüli szabad áramlásának és a rendkívül versenyképes európai adatgazdaságnak az alapjait.

(1)

   Az Európai Parlament és a Tanács (EU) 2018/1807 rendelete (2018. november 14.) a nem személyes adatok Európai Unióban való szabad áramlásának keretéről, HL L 303., 2018.11.28., 59. o.

(2)

   Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL L 119., 2016.5.4., 1. o.

(3)

   Az általános adatvédelmi rendelet az Európai Gazdasági Térségre (EGT) is kiterjed, amely magában foglalja Izlandot, Liechtensteint és Norvégiát. Ezenkívül a nem személyes adatok szabad áramlásáról szóló rendelet EGT-vonatkozású szöveg.

(4)

   Deloitte: Measuring the economic impact of cloud computing in Europe (A felhőalapú számítástechnika gazdasági hatásának értékelése Európában), SMART 2014/0031, 2016. Elérhető a következő internetcímen: http://ec.europa.eu/newsroom/document.cfm?doc_id=41184

(5)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (37) preambulumbekezdése.

(6)

-Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL L 119., 2016.5.4., 1. o.

-Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről, HL L 295., 2018.11.21., 39. o.

-(EU) 2016/680 irányelv a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről, HL L 119., 2016.5.4., 89. o.

-Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv), HL L 201., 2002.7.31., 37. o. (jelenleg felülvizsgálat alatt).

(7)

   A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) és az európai adatvédelmi jogszabályok különböző szempontjaival kapcsolatos további iránymutatásért lásd az általános adatvédelmi rendelet 70. cikkével összhangban számos iránymutatást kiadó Európai Adatvédelmi Testület weboldalát, amely elérhető itt: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_hu . A vonatkozó weboldal tartalmazza az Európai Adatvédelmi Testület elődje, a 29. cikk szerinti munkacsoport által kiadott iránymutatások, ajánlások és egyéb dokumentumok hivatkozásait is. Továbbá annak érdekében, hogy felhívja a polgárok és vállalkozások figyelmét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet), a Bizottság egy adatvédelemről szóló közleményt, az általános adatvédelmi rendelet közvetlen alkalmazásával kapcsolatos iránymutatást (COM(2018) 43 final) adott ki, amely elérhető itt: https://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043

(8)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 1. cikke.

(9)

   Lásd a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 3. cikkének 1. pontját.

(10)

   Lásd a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének a) pontját (érvényesség lejáratának ideje: 2018. május 24., a helyébe az általános adatvédelmi rendelet lépett). Lásd továbbá a Bíróságnak a személyes adatok fogalmával kapcsolatos ítélkezési gyakorlatát, amely elismeri a fogalom széles körű értelmezését, például az alábbi ítéletekben: a Bíróság 2009. január 29-i ítélete, Productores de Música de España (Promusicae) kontra Telefónica de España SAU, C-275/06, ECLI:EU:C:2008:54; a Bíróság 2011. november 24-i ítélete, Scarlet Extended SA kontra Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C-70/10, ECLI:EU:C:2011:771; a Bíróság 2016. október 19-i ítélete, Patrick Breyer kontra Bundesrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779.

(11)

   A 29. cikk szerinti munkacsoport tanácsadó testület volt, amely adatvédelmi kérdésekben látta el tanácsokkal a Bizottságot, és amely segített az összehangolt uniós adatvédelmi politikák kialakításában. Az általános adatvédelmi rendelet 2018. május 25-i hatálybalépését követően a 29. cikk szerinti munkacsoport utódja az Európai Adatvédelmi Testület lett.

(12)

   Lásd a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 5. pontját, amely az „álnevesítés” kifejezést definiálja.

(13)

   Egy új gyógyszer hatásairól szóló kutatási tanulmány esetében például akkor beszélhetünk álnevesítésről, ha a tanulmány résztvevőinek személyes adatait egyedi azonosítóval (pl. számmal vagy kóddal) helyettesítik a kutatási dokumentációban, és a személyes adataikat a hozzájuk rendelt egyedi azonosítóval külön tárolják egy titkosított dokumentumban (pl. jelszóval védett adatbázisban).

(14)

   Lásd a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (26) preambulumbekezdését.

(15)

   Lásd a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (26) preambulumbekezdését, amely szerint „[a]z adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható”.

(16)

   Lásd a Bíróság 2016. október 19-i ítéletét, Patrick Breyer kontra Bundesrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779. A Bíróság kimondta, hogy a dinamikus internetprotokoll (IP)-cím személyes adatnak minősülhet, ha egy harmadik személy (pl. internetszolgáltató) birtokában további adatok vannak, amelyek lehetővé teszik az érintett egyén azonosítását. Az egyén azonosításának lehetősége olyan eszközt kell, hogy jelentsen, amelyről észszerűen feltételezhető, hogy fel fogják használni az egyén közvetlen vagy közvetett azonosítására.

(17)

   Az adatok anonimizálását mindig a legkorszerűbb anonimizálási technikák alkalmazásával kell elvégezni.

(18)

   Az állítólagosan anonimizált adatok újbóli azonosítására vonatkozó példákért lásd az Európai Parlament ITRE bizottsága számára Colin Blackman és Simon Forge által a jövőbeli adatáramlásokról készített tanulmányt: Data Flows — Future Scenarios: In-Depth Analysis for the ITRE Committee (Adatáramlások – Jövőbeli forgatókönyvek: Részletes elemzés az ITRE bizottság számára), 2017, 22. o., 2. keretes szöveg. Elérhető a következő internetcímen:     http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/607362/IPOL_IDA(2017)607362_EN.pdf

(19)

   Lásd az (EU) 2016/679 rendelet (általános adatvédelmi rendelet) (26) preambulumbekezdését, amely szerint „[a]nnak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését”.

(20)

   Lásd a 29. cikk szerinti munkacsoport 2014. április 10-én elfogadott, anonimizálási technikákról szóló 05/2014. sz. véleményét (WP216, 9. o.): „Az adatkészlet csak akkor minősíthető anonimnak, ha az adatkezelő olyan szinten összesíti az adatokat, hogy az egyedi események többé nem azonosíthatók. Például: ha egy szervezet adatokat gyűjt az egyének utazásairól, az egyes személyek utazási mintái az adott esemény szintjén továbbra is személyes adatnak minősülnének bármely fél esetén, ha az adatkezelő (vagy bármely fél) továbbra is hozzáfér az eredeti nyers adatokhoz, még akkor is, ha a közvetlen azonosítókat eltávolították a harmadik felek rendelkezésére bocsátott adatkészletből. Ha azonban az adatkezelő törli a nyers adatokat, és csak a magas szinten összesített statisztikákat bocsátja a harmadik felek részére (pl. »hétfőnként az X útvonalon 160 %-kal több utas van, mint keddenként«), akkor azok anonim adatoknak minősülnek.”

(21)

   Ha a személyes adatokat jogszerűtlenül kezelik, vagy az adatkezelés egyéb módon sérti az általános adatvédelmi rendeletet, az érintettek (természetes személyek) az általános adatvédelmi rendelettel összhangban jogosultak arra, hogy panaszt tegyenek az EU-ban a megfelelő nemzeti felügyeleti hatóságnál (adatvédelmi hatóság), vagy hatékony jogorvoslattal éljenek a nemzeti bíróság előtt. A nemzeti felügyeleti hatóságok feladatait, illetékességét és hatásköreit az általános adatvédelmi rendelet VI. fejezetének 2. szakasza szabályozza.

(22)

   A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (14) preambulumbekezdése kimondja, hogy „[e] rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat”. Ezt azonban a személyes adatok fogalmának az általános adatvédelmi rendelet 4. cikkének 1. pontjában foglalt meghatározása fényében kell értelmezni.

(23)

   Lásd a Bíróság 2010. november 9-i ítéletét, Volker und Markus Schecke GbR (C-92/09) és Hartmut Eifert (C-93/09) kontra Land Hessen egyesített ügyek, ECLI:EU:C:2010:662, 52. pont.

(24)

    https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_hu

(25)

   2. cikk, (2) bekezdés.

(26)

   A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 1. cikkének (3) bekezdése. Lásd még a 3.2. szakaszt.

(27)

   Ahogyan az a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló európai parlamenti és tanácsi rendeletre irányuló javaslathoz készült hatásvizsgálatot tartalmazó bizottsági szolgálati munkadokumentumban (SWD(2017) 304 final) (1/2. rész, 3. o.) szerepel, „függetlenül attól, mennyi személyes adat található a vegyes adatkészletekben, a GDPR-t [az általános adatvédelmi rendeletet] teljes mértékben be kell tartani a készlet személyes adatokat tartalmazó része tekintetében”.

(28)

   Az Európai Unió Alapjogi Chartája, HL C 362., 2012.10.26., 391. o.

(29)

   Lásd a rendelet (8) preambulumbekezdését.

(30)

   A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet.

(31)

   Az egészségügyi mobilalkalmazások fejlődése és működése az általános adatvédelmi rendelet szabályainak szigorú betartását teszi szükségessé. Ezeket a követelményeket a jelenleg készülő, az egészségügyi mobilalkalmazásokra vonatkozó adatvédelmi magatartási kódex fogja részletesebben meghatározni. Ennek készítésével kapcsolatban további információk itt találhatók: https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps

(32)

   Lásd a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 6. cikkének (1) bekezdését.

(33)

   4. cikk, (1) bekezdés.

(34)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 3. cikkének 5. pontja.

(35)

   Megjegyzendő, hogy a jogszerű és jogszerűtlen adatlokalizációs követelmények alkalmazási körével kapcsolatos jogbizonytalanság tovább korlátozza a piaci szereplők és az állami ágazat előtt az adatkezelés helye tekintetében nyitva álló választási lehetőségeket (lásd a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (4) preambulumbekezdését).

(36)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (4) preambulumbekezdése.

(37)

   Lásd a nem személyes adatok szabad áramlásáról szóló rendelet elfogadását megelőzően az adatlokalizációs követelményekkel kapcsolatban elvégzett két tanulmányt: 1. Godel, M. et al.: Facilitating cross border data flows in the Digital Single Market (A határokon átívelő adatáramlások megkönnyítése az egységes digitális piacon), SMART-szám: 2015/2016. Elérhető a következő internetcímen: http://ec.europa.eu/newsroom/document.cfm?doc_id=41185 és 2. Time.lex, Spark Legal Network és Tech4i2: Cross-border data flow in the digital single market: study on data localisation restrictions (Határokon átívelő adatáramlás az egységes digitális piacon: az adatlokalizációs követelményekre vonatkozó tanulmány). SMART-szám: 2015/0054. Elérhető a következő internetcímen:     http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695

(38)

   (19) preambulumbekezdés.

(39)

   Lásd például a Bíróság 2010. november 23-i ítéletét, Land Baden-Württemberg kontra Tsakouridis, C-145/09, ECLI:EU:C:2010:708, 43. pont, valamint a Bíróság 2017. április 4-i ítéletét, Sahar Fahimian kontra Bundesrepublik Deutschland, C-544/15, ECLI:EU:C:2017:225, 39. pont.

(40)

   Lásd például a Bíróság 2008. december 22-i ítéletét, Európai Közösségek Bizottsága kontra Osztrák Köztársaság, C-161/07, ECLI:EU:C:2008:759, 35. pont, valamint az abban foglalt ítélkezési gyakorlatot, továbbá a Bíróság 2009. március 26-i ítéletét, Európai Közösségek Bizottsága kontra Olasz Köztársaság, C-326/07, ECLI:EC:C:2009:193, 70. pont, valamint az abban foglalt ítélkezési gyakorlatot.

(41)

   Lásd például a Bíróság 2010. július 8-i ítéletét, Afton Chemical Limited kontra Secretary of State for Transport, C-343/09, ECLI:EU:C:2010:419, 45. pont, valamint az abban foglalt ítélkezési gyakorlatot.

(42)

   Lásd például a közös hozzáadottértékadó-rendszerről szóló, 2006. november 28-i 2006/112/EK irányelv 245. cikkének (2) bekezdését, amely előírja, hogy „[a] tagállamok előírhatják, hogy a területükön letelepedett adóalanyok bejelentsék a megőrzés helyét, ha az a tagállam területén kívül van”. Ezt a követelményt azonban a 249. cikkel összhangban kell értelmezni, amely kimondja, hogy: „[a]mennyiben az adóalany az általa kiállított vagy kapott számlákat az adatokhoz on–line hozzáférést biztosító elektronikus úton tárolja, és a megőrzés helye az adóalany letelepedésétől eltérő tagállamban van, akkor a letelepedés szerinti tagállam illetékes hatóságainak, ezen irányelv alkalmazásában, joguk van a számlákhoz elektronikus úton hozzáférni, azokat letölteni és felhasználni az adóalany letelepedése szerinti tagállam jogszabályai által megállapított korlátok közt, és amennyiben ez a hatóságok számára ellenőrzés céljából szükséges”.

(43)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 4. cikkének (4) bekezdése.

(44)

    https://europa.eu/youreurope/index.htm

(45)

   A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 1. cikkének (3) bekezdése.

(46)

   Az Európai Unió működéséről szóló szerződés egységes szerkezetbe foglalt változata, HL C 326., 2012.10.26., 47. o.

(47)

   Lásd továbbá a Bíróság 2008. június 19-i ítéletét, Európai Közösségek Bizottsága kontra Luxemburgi Nagyhercegség, C-319/06, ECLI:EU:C:2008:350, 90–91. pont: a Bíróság úgy ítélte meg, hogy az egyes dokumentumok adott tagállamban történő elérhetővé tételére és megőrzésére vonatkozó kötelezettség a szolgáltatások nyújtására irányuló szabadság korlátozásának minősül; az az indoklás, amely szerint „a hatóságok számára általánosságban könnyebb a felügyeleti feladataik ellátása”, nem elegendő.

(48)

   Az Európai Parlament és a Tanács 2006/123/EK irányelve (2006. december 12.) a belső piaci szolgáltatásokról, HL L 376., 2006.12.27., 36. o.

(49)

   Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól (Elektronikus kereskedelemről szóló irányelv), HL L 178., 2000.7.17., 1. o.

(50)

   A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 9. cikkének (4) bekezdése.

(51)

   Lásd a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 1. cikkét.

(52)

   Lásd a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (15) preambulumbekezdését.

(53)

   Az „adatkezelés” kifejezés széleskörűen van meghatározva (a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 3. cikkének 2. pontja), és ahogyan az a (17) preambulumbekezdésben szerepel, a rendeletet a legszélesebb értelemben vett adatkezelésre kell alkalmazni, amely valamennyi típusú informatikai rendszer használatát magában foglalja.

(54)

   Megjegyzendő, hogy a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet nem érinti azokat az adatlokalizációs követelményeket, amelyeket a tagállamok a nem személyes adatok harmadik országokban történő tárolásával kapcsolatban vezetnek be, és ezek a követelmények jelen lehetnek a nemzeti jogrendszerekben. Az egyértelműség kedvéért az általános adatvédelmi rendelet alkalmazandó az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek: a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unión belül tanúsított viselkedésükről van szó (lásd az általános adatvédelmi rendelet 3. cikkének (2) bekezdését).

(55)

   A személyes adatok harmadik országokba történő továbbításával kapcsolatban tekintse meg a Bizottság következő weboldalát: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_hu , valamint „A személyes adatok cseréje és védelme a globalizált világban” című, az Európai Parlamentnek és a Tanácsnak címzett bizottsági közleményt (COM(2017) 07 final), amely elérhető itt: https://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1558966587399&uri=CELEX:52017DC0007 . Japán vonatkozásában a Bizottság 2019. január 23-án megfelelőségi határozatot fogadott el, amely szigorú adatvédelmi garanciák alapján lehetővé teszi a személyes adatok szabad áramlását a két gazdaság között.

(56)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (14) preambulumbekezdése.

(57)

   A közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről szóló, 2014. február 26-i 2014/24/EU európai parlamenti és tanácsi irányelv (HL L 94., 2014.3.28., 65. o.) 2. cikke (1) bekezdésének 4. pontja értelmében a „»közjogi intézmény«: olyan intézmény, amelyre a következők mindegyike jellemző: a) amely kifejezetten olyan közérdekű célra jött létre, amely nem ipari vagy kereskedelmi jellegű; b) amely jogi személyiséggel rendelkezik; és c) amelyet többségi részben állami, területi vagy települési hatóság, vagy egyéb közjogi intézmény finanszíroz; vagy amelynek irányítása e hatóságok vagy intézmények felügyelete alatt áll; vagy amelynek olyan ügyvezető, döntéshozó vagy felügyelő testülete van, amely tagjainak többségét állami, területi vagy települési hatóság, vagy egyéb közjogi intézmény nevezi ki”.

(58)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (13) preambulumbekezdése rámutat arra, hogy a rendelet nem érinti a 2014/24/EU irányelvet.

(59)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (14) preambulumbekezdése.

(60)

   A külső szolgáltató olyan jogalany, amely nem „közjogi intézmény” a közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről szóló, 2014. február 26-i 2014/24/EU európai parlamenti és tanácsi irányelv (HL L 94., 2014.3.28. 65. o.) 2. cikke (1) bekezdésének 4. pontja értelmében.

(61)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (13) preambulumbekezdése.

(62)

   A felhőszolgáltatások közötti váltásért és az adatok hordozásáért felelős munkacsoport.

(63)

   Az európai felhőszolgáltatók tanúsításáért felelős munkacsoport. Lásd még a 4.3. szakaszt.

(64)

   Lásd a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (30) preambulumbekezdését.

(65)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet 6. cikke és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 20. cikke.

(66)

   Lásd a 29. cikk szerinti munkacsoport „Iránymutatás az adathordozhatósághoz való jogról” című, 2016. december 13-án elfogadott, legutóbb 2017. április 17-én felülvizsgált és elfogadott WP 242 rev.01 jelzetű dokumentumát.

(67)

   A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14-i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (29) preambulumbekezdése szerint: „Jóllehet az egyéni fogyasztók élvezik a jelenlegi uniós jog [azaz az általános adatvédelmi rendelet] előnyeit, e jog nem segíti elő a szolgáltatók közötti váltás lehetőségét azon felhasználók számára, akik üzleti vagy szakmai tevékenységük folytatása során járnak el.”

(68)

   Lásd a 29. cikk alapján létrehozott munkacsoport felhőalapú számítástechnikáról szóló, 05/2012. számú, 2012. július 1-jén elfogadott véleményét (WP196), amely tovább részletezi a felhőszolgáltatás felhasználóinak és a felhőszolgáltatóknak a személyes adatok kezelésével kapcsolatos szerepét és kötelezettségeit.

(69)

   Lásd a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 40. cikkének (5) bekezdését és 55. cikkét.

(70)

   Európai Adatvédelmi Testület: 1/2019. sz. iránymutatás az (EU) 2016/679 rendelet szerinti magatartási kódexekről és ellenőrző testületekről; az elfogadás időpontja: 2019. február 12., a nyilvános konzultációra szánt verzió a következő internetcímen érhető el: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_en  

(71)

   Európai Adatvédelmi Testület: 1/2018. számú iránymutatás az (EU) 2016/679 rendelet 42. és 43. cikke szerinti tanúsításról és a tanúsítási kritériumok azonosításáról; az elfogadás időpontja: 2019. január 23., az iránymutatás a következő internetcímen érhető el: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en

(72)

   Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (érvényesség lejáratának ideje: 2018. május 24.).

(73)

   Az uniós felhőszolgáltatási magatartási kódexszel kapcsolatos további információkért lásd: https://eucoc.cloud/en/home.html

(74)

   A CISPE felhőszolgáltatási magatartási kódexével kapcsolatos további információkért lásd: https://cispe.cloud/code-of-conduct/

(75)

   A felhőalapú megoldások biztonságával foglalkozó szövetség magatartási kódexével kapcsolatos további információkért lásd: https://gdpr.cloudsecurityalliance.org/

(76)

   További információkért lásd a következő honlapot: https://ec.europa.eu/digital-single-market/en/cyber-security

(77)

   Az Európai Parlament és a Tanács rendelete (2019. április 17.) az ENISA-ról (Európai Uniós Kiberbiztonsági Ügynökség), valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról és az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály).

(78)

   Lásd a kiberbiztonsági jogszabály (74) preambulumbekezdését.