13.10.2017   

HU

Az Európai Unió Hivatalos Lapja

C 345/138


Az Európai Gazdasági és Szociális Bizottság véleménye

Javaslat európai parlamenti és tanácsi rendeletre az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv hatályon kívül helyezéséről (elektronikus hírközlési adatvédelmi rendelet)

(COM(2017) 10 final – 2017/0003 (COD))

(2017/C 345/23)

Előadó:

Laure BATUT

Felkérés:

Európai Parlament, 2017.2.16.

az Európai Unió Tanácsa, 2017.3.9.

Jogalap:

az Európai Unió működéséről szóló szerződés 16. és 114. cikke

 

 

Illetékes szekció:

„Közlekedés, energia, infrastruktúra és információs társadalom” szekció

Elfogadás a szekcióülésen:

2017.6.14.

Elfogadás a plenáris ülésen:

2017.7.5.

Plenáris ülés száma:

527.

A szavazás eredménye:

(mellette/ellene/tartózkodott):

155/0/5

1.   Következtetések és ajánlások

1.1.

Az EGSZB mélységesen sajnálja, hogy az adatvédelemmel foglalkozó szövegeket – a köztük meglévő átfedések, terjedelmük, egymással való összefonódásuk és a megértésükhöz szükséges kereszthivatkozások miatt – valószínűtlen, hogy néhány bennfentesen kívül bárki elolvassa és végrehajtsa, hozzáadott értékük pedig nem látható a polgárok számára. Ez a szempont a rendelettervezet egészéből hiányzik. Az EGSZB azt javasolja, hogy az interneten tegyenek közzé egy összefoglaló brosúrát, amely mindezeket leírja és elérhetővé teszi a nagyközönség számára.

1.2.

Az EGSZB kiemeli, hogy a hatásvizsgálat által javasolt lehetőségek közül az Európai Bizottság azt választotta, amely a magánélet védelmének „fokozatos” megerősítését célozza. Vajon ennek oka az iparági érdekekkel való egyensúly biztosítása? Az Európai Bizottság nem fejti ki, hogy a magánélet védelme „mélyreható” megerősítésének mely elemei sértették volna az iparág érdekeit. Ez az álláspont hajlamos a szöveg jelentőségét már a megfogalmazási fázisban csökkenteni.

1.3.

Az EGSZB azt ajánlja, hogy az Európai Bizottság:

1.

vegye figyelembe, hogy a jövőben gyakorlatilag bármi adattá válhat és elektronikus kommunikáció tárgyát képezheti, ami a természetes és a jogi személyek magánéletére nézve következményekkel jár;

2.

tegye egyértelművé az Európai Unió Alapjogi Chartája alkalmazását és az emberi jogok érvényesülését a javaslatban (5., 8. és 11. cikk), valamint a nemzeti törvényekben megvalósítható korlátozási lehetőségeket (26. preambulumbekezdés);

3.

vizsgálja meg újra a javaslat 5. és 6. cikkét. Mivel elektronikus kommunikációt tesz lehetővé, az internet és a mobiltelefon olyan általános érdekű szolgáltatás, amelyhez egyetemes, elérhető és megfizethető hozzáférést kell biztosítani, anélkül, hogy a fogyasztók a használat érdekében kénytelenek lennének beleegyezni az üzemeltető által kért adataik kezelésébe. Ezért tehát elő kell írni, hogy a felhasználó számára érthető információ alapján lehetőséget kell biztosítani az elutasításra („sütik”, „üzenőfal” stb.);

4.

határozza meg egyértelműen, hogy az általános adatvédelmi rendelet kiegészítésére javasolt lex specialis megfelel az említett jogszabály általános elveinek és nem csökken az abban meghatározott védelmek mértéke, továbbá minden adatkezelésre, ideértve az online közönségmérést is (web audience measuring) az általános adatvédelmi rendelet elvei vonatkoznak (8. cikk);

5.

biztosítsa a szabályozási stabilitást a polgárok és a vállalkozások számára, és ennek érdekében tegye egyértelművé a rendelet szövegét és a végrehajtási intézkedések tartalmát a túl sok felhatalmazáson alapuló jogi aktus elkerülése érdekében;

6.

fejlesszen ki egy olyan stratégiát, amely alkalmas valamennyi fogyasztó tájékoztatására arról, hogy az Unió hű marad az emberi jogok tiszteletben tartására vonatkozó elveihez, valamint hogy szándéka a magánélet tiszteletben tartásának a megkövetelése nem csupán az elektronikus hírközlési szolgáltatóktól, hanem az OTT szolgáltatóktól (OTT: Over The Top) is;

7.

előzze meg, hogy az egészségügy egy szélesre nyitott kapu legyen a magánélet és a személyes adatok haszonleső kiaknázására az elektronikus hírközlés révén;

8.

gondoskodjon a gyakran az EU-n kívül található platformokon keresztül elektronikus hírközlés útján megvalósuló közösségi gazdaságról, adattovábbításról és adathasználatról;

9.

vegye figyelembe a dolgok internetét, amely mindenhol jelen van és az elektronikus kommunikációs eszközökön történő továbbítás során a magánélet sérelmét eredményezheti;

10.

vegye számításba az adattovábbítás következményeit és védje a személyek által tárolt adatokat, mert ezek többsége személyes adat (függetlenül az interfész jellegétől, ideértve a felhő alapú informatikát is);

11.

tegye egyértelművé a gépről gépre (M2M) történő adattovábbítás védelmét és e kérdésnek ne pusztán preambulumbekezdést (12), hanem cikket szenteljen;

12.

a polgárok jogszabályok dzsungelében való eligazodásának és a jogaik gyakorlásának az elősegítése érdekében hozzon létre egy mindenki számára elérhető és közérthető európai portált (Jogérvényesülési Főigazgatóság), amelyen elérhetőek az uniós és a nemzeti jogszabályok, a jogorvoslati lehetőségek és a joggyakorlatok (például tisztázza a (25) preambulumbekezdés, valamint a 12. és 13. cikk tartalmát);

13.

adjon az ellenőrző hatóságok kezébe olyan ellenőrzési eszközöket, amelyekkel el tudják látni a feladataikat (európai adatvédelmi biztos, nemzeti hatóságok);

14.

a fogyasztók számára tegye lehetővé, hogy jogaik védelmében európai szinten csoportosan lépjenek fel, és ennek érdekében alkosson egy új irányelvet, túllépve az ajánlás keretein (COM(2013) 401 és C(2013) 3539) (1).

2.   A jogszabályi környezet elemei

2.1.

Az elektronikus hírközlő hálózatok jelentős mértékben fejlődtek az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 95/46/EK és 2002/58/EK (2) irányelv hatálybalépése óta.

2.2.

Az adatvédelemről 2016-ban elfogadott általános rendelet [(EU) 2016/679 rendelet] vált az intézkedések alapjává és fektette le a fő elveket, ideértve az igazságügyi és büntetőbírósági adatokra vonatkozó elveket is. E rendelet értelmében a személyes adatok kizárólag szigorú feltételek szerint gyűjthetők, kizárólag jogszerű célokból, a titkosság tiszteletben tartása mellett (az általános adatvédelmi rendelet 5. cikke).

2.2.1.

Az Európai Bizottság 2016. októberben irányelvjavaslatot terjesztett be az Európai Elektronikus Hírközlési Kódex létrehozásáról (3) (amely 300 oldalból áll), amelyet még nem fogadtak el, ugyanakkor bizonyos fogalommeghatározások esetében, amelyek nem szerepelnek sem az általános adatvédelmi rendeletben, sem a vizsgálat tárgyát képező szövegben, az Európai Bizottság e javaslatra hivatkozik.

2.2.2.

Két, 2017. januárban kelt javaslat pontosít bizonyos aspektusokat az általános adatvédelmi rendelet alapján; az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről szóló rendeletjavaslatról (COM(2017) 8 final, EGSZB-s előadó: Jorge PEGADO LIZ), valamint a vizsgálat tárgyát képező, a magánélet tiszteletben tartásáról és a személyes adatok védelméről szóló szövegről (COM(2017) 10 final) van szó.

2.3.

Az előzőekben említett három szöveg ugyanazon a napon, 2018. május 25-én lép hatályba, és céljuk a jogok és az ellenőrzési eljárások harmonizálása.

2.4.

Megjegyzendő, hogy a harmonizálás elősegítése érdekében úgy döntöttek, hogy a magánélet védelme vonatkozásában nem irányelvet, hanem uniós rendeletet alkalmaznak.

3.   Bevezetés

3.1.

A civil társadalom tudni szeretné, hogy a mostanában körvonalazódó teljesen digitális világban vajon az Európai Unió nyújt-e olyan hozzáadott értéket, amely biztosítja a különböző fórumokon a magánélet félelem nélküli kibontakozását.

3.2.

A folyamatosan generált adatok révén minden felhasználó mindenhol nyomon követhető és azonosítható. A fizikailag létező, többségében Európán kívüli központokban végzett adatkezelés aggodalmakra ad okot.

3.3.

A „Big Data” (nagy adathalmazok) pénzzé vált; ezen adatok intelligens kezelése révén „profilozhatók” és „áruvá tehetők” a természetes és jogi személyek; gyakran a fogyasztók tudta nélkül pénzkereseti lehetőséget nyújtanak.

3.4.

Azonban főként az internetszolgáltatókon túli más új szereplők adatkezelési ágazatban való megjelenése az, ami szükségessé teszi a jogszabályok felülvizsgálatát.

4.   A javaslat összefoglalása

4.1.

A szöveggel az Európai Bizottság egyensúlyt kíván teremteni a fogyasztók és az iparág között:

engedélyezi az adatok szolgáltatók általi felhasználását, miközben a végfelhasználó számára lehetővé teszi az ellenőrzést azzal, hogy kifejezetten hozzájárulását kell adnia ehhez,

kötelezi a szolgáltatókat arra, hogy közöljék, miként fogják felhasználni az adatokat,

a hatásvizsgálat harmadik lehetőségét választja, amely a magánélet védelmének „fokozatos” megerősítését részesíti előnyben, szemben a negyedik lehetőséggel, amely „mélyreható” megerősítést javasol.

4.2.

A javaslat célja, hogy végrehajtsa az általános adatvédelmi rendeletet, amely a magánadatok bizalmas jellegéhez és a törléshez való joghoz hasonlatosan általánosan alkalmazandó. Ezenkívül konkrétan a magánélet tiszteletben tartásáról és a személyes adatok védelméről szól a távközlésben; javasolja a magánélet védelmére, valamint az összehangolt ellenőrzésekre és szankciókra vonatkozó szabályok szigorítását.

4.3.

Nem ír elő külön intézkedéseket a felhasználóktól származó személyes adatokban fennálló „rések” kapcsán, hanem már az első cikkekben (5. cikk) megerősíti az elektronikus hírközlés titkosságának az elvét.

4.4.

A szolgáltatók az elektronikus hírközlések tartalmát kezelhetik:

azon végfelhasználó számára történő szolgáltatásnyújtás céljából, aki a hozzájárulását adta,

az olyan érintett végfelhasználó esetében, aki ehhez hozzájárult (6. cikk (3) bekezdés, a) és b) pont).

4.5.

Kötelesek törölni, vagy névtelenné tenni a tartalmakat, miután azokat a címzettek megkapták.

4.6.

Az általános adatvédelmi rendelet 4. cikkének (11) bekezdése szerint az érintett személy „hozzájárulása” lehet akaratának minden önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

4.7.

A tervezetben benne maradt az általános adatvédelmi rendeletben meghatározott kifejezett hozzájárulás követelménye, a bizonyítás terhe pedig a szolgáltatókra hárul.

4.8.

Az „adatkezelés” alapja a hozzájárulás. Az adatkezelőnek képesnek kell lennie annak igazolására, hogy „az érintett személyes adatainak kezeléséhez hozzájárult” (az általános adatvédelmi rendelet 7. cikkének (1) bekezdése).

4.9.

Az uniós jog vagy a nemzeti jog bizonyos korlátozásokat alkalmazhat a titkosságra (kötelezettségek és jogok) a közérdek biztosítása vagy vizsgálat céljából.

4.10.

A természetes személyek előzetes hozzájárulása szükséges ahhoz, hogy a nyilvános elektronikus névjegyzékben szerepeljenek, és biztosítani kell számukra az őket érintő adatok ellenőrzéséhez, helyesbítéséhez és törléséhez szükséges eszközöket (15. cikk).

4.11.

A kifogásoláshoz való jog révén bármely felhasználó blokkolhatja a harmadik személyre (például egy kereskedőre) bízott adatai használatát, minden egyes későbbi üzenet küldése során is (16. cikk). Az új szabályok révén a felhasználók jobban tudják kezelni a paramétereiket („sütik”, azonosítók) és a „kéretlen” kommunikáció (levélszemét, üzenetek, SMS, hívások) blokkolható, ha a felhasználó nem járult hozzá azokhoz.

4.12.

A hívások azonosítása és a nemkívánatos hívások blokkolása (12. és 14. cikk) terén a rendelet hangsúlyozza, hogy e jogok a jogi személyeket is megilletik.

4.13.

Az ellenőrző rendszer szerkezeti felépítése megfelel az általános adatvédelmi rendeletnek (a felügyeleti hatóságokról szóló VI. fejezet és a felügyeleti hatóságok közötti együttműködésről szóló VII. fejezet).

4.13.1.

A tagállamok és az adatvédelemért felelős nemzeti hatóságaik feladata, hogy ellenőrizzék a titkosságra vonatkozó szabályok betartását. Az egyéb felügyeleti hatóságok kölcsönös segítségnyújtás keretében kifogást nyújthatnak be adott esetben a nemzeti felügyeleti hatóságoknak. Egységességi mechanizmus útján működnek együtt a nemzeti felügyeleti hatóságokkal és az Európai Bizottsággal (az általános adatvédelmi rendelet 63. cikke).

4.13.2.

Az Európai Adatvédelmi Testület ellenőrzi a vizsgálat tárgyát képező rendelet következetes alkalmazását (az általános adatvédelmi rendelet 68. és 70. cikke).

Iránymutatásokat, ajánlásokat és helyes gyakorlatokat tehet közzé a rendelet alkalmazásának az elősegítése érdekében.

4.14.

Mind a természetes, mind pedig a jogi személyek közé tartozó végfelhasználók élhetnek jogorvoslattal a jogsértések révén sérült érdekeik érvényesítése céljából; az elszenvedett kárért kártérítést kaphatnak.

4.15.

A közigazgatási bírságok előírt összegei esetében a visszatartó erő a cél, mivel ezek összege minden érintett esetében elérheti a tízmillió eurót is, egy vállalkozás esetében pedig az előző pénzügyi év teljes éves világpiaci forgalmának a 2 %-át, és a kettő közül a magasabb összeget kell kiszabni (23. cikk). A tagállamok szankciókat írnak elő azokra az esetekre, amelyekre nincs közigazgatási bírság előirányozva, és erről tájékoztatják az Európai Bizottságot.

4.16.

A magánélet tiszteletben tartásáról és a személyes adatok felhasználásáról szóló új jogszabály 2018. május 25-től lesz hatályos, ugyanakkor, mint a 2016. évi általános adatvédelmi rendelet és a személyes adatok uniós intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről szóló rendelet és az Európai Elektronikus Hírközlési Kódex átdolgozásáról szóló irányelvtervezet (COM(2016) 590 final), amennyiben azt elfogadják.

4.17.

Az általános adatvédelmi rendeletet végrehajtó különös szabályok (lex specialis) alkalmazási köre:

ratione jure: jogalap

Az EUMSZ 16. (adatvédelem) és 114. (egységes piac) cikkén, valamint az Alapjogi Charta 7. és 8. cikkén alapul. A rendelet célja az általános adatvédelmi rendelet kiegészítése a személyes adatnak tekinthető adatok terén.

ratione personae: szereplők

Az Európai Elektronikus Hírközlési Kódex tervezetében meghatározott végfelhasználók, természetes és jogi személyek állnak a hírközlési szolgáltatást nyújtó szolgáltatókkal szemben: a hagyományos szolgáltatókon túl elsősorban azon új szereplőkkel szemben, akiknek az új szolgáltatásai nem nyújtanak garanciákat a felhasználóknak. Az OTT „hálózatsemleges” technikák (azonnali üzenetküldés, SMS, IP-alapú beszélgetési technológiák, többszörös interfészek stb.) jelenleg nem tartoznak a meglévő jogszabályok hatálya alá.

ratione materiae: az adatok

A javaslat nem tartalmaz rendelkezéseket a felhőalapú számítástechnikában történő adatmegőrzésre vonatkozóan, és a tagállamokra bízza a fellépést az általános adatvédelmi rendelet a tiltakozáshoz való jog korlátozásáról szóló 23. cikkének, valamint az Európai Unió Bírósága ítélkezési gyakorlatának a tiszteletben tartása mellett (lásd az indokolás 1.3. pontját).

A felhasználónak hozzá kell járulnia a rendszerben generált adatok és metaadatok (dátum, óra, hely stb.) megőrzéséhez, ami nélkül ezeket az adatokat anonimmá kell tenni vagy törölni kell.

ratione loci: hol?

A tagállamokban kezelési tevékenységeket végző létesítmények, illetve más létesítményeknek az egyik tagállamban található szerve tekintendő „vezetőnek” az ellenőrzésnél, a nemzeti ellenőrző hatóságok betöltik a szerepüket és az európai adatvédelmi biztos felügyeli az egész folyamatot.

4.18.

Az EU célkitűzései: a digitális egységes piac

A digitális egységes piac egyik célja biztonságos digitális szolgáltatások feltételeinek megteremtése és a felhasználók bizalmának elnyerése például az online kereskedelem és az innovációk fejlesztése, illetve ezek hatására a munkahelyteremtés és a növekedés érdekében (indokolás, 1.1. pont).

A vizsgált rendelettervezet szintén egyfajta harmonizációt céloz az egyes szövegek között, illetve összhang megteremtésére törekszik a tagállamok körében.

Az Európai Bizottság háromévente értékelni fogja a rendelet végrehajtását, és az értékelést benyújtja az Európai Parlamentnek, a Tanácsnak és az EGSZB-nek (28. cikk).

5.   Általános megjegyzések

5.1.

Az EGSZB üdvözli, hogy az egész Unióban egyszerre hoznak létre egységes és koherens szabályokat a természetes és jogi személyek jogainak a védelmére az elektronikus hírközlésben használt digitális adatokkal összefüggésben.

5.1.1.

Üdvözli, hogy az Unió a polgárok és fogyasztók jogainak védelmére kel.

5.1.2.

Hangsúlyozza, hogy miközben a harmonizáció a cél, számos fogalom értelmezése a tagállamokra tartozik, ami miatt a rendelet egyfajta irányelvvé változik át, amely nagy teret enged a magánjellegű adatok áruként kezelésére. Különösen az egészségügy területe jelent nyitott kaput hatalmas mennyiségű magánjellegű adat gyűjtésére.

5.1.3.

A 11. cikk (1) bekezdése, a 13. cikk (2) bekezdése, a 16. cikk (4) és (5) bekezdése, valamint a 24. cikk inkább „átültető” rendelkezésnek minősíthető: ezek egy irányelv esetében megfelelőek lehetnek, egy rendelet esetében viszont nem. A szolgáltatóknak túl nagy mérlegelési jogkört hagytak a szolgáltatások minőségének a javítása érdekében (5. és 6. cikk). E rendelkezésnek az úgynevezett „Európai Elektronikus Hírközlési Kódexről” szóló irányelvre irányuló javaslat (COM(2016) 590 final) szerves részét kellene képeznie.

5.1.4.

Az EGSZB nagyon sajnálja, hogy e jogszabályok átfedései, terjedelme és egymással való összefonódásuk miatt valószínűtlen, hogy néhány bennfentesen kívül bárki elolvassa azokat. A dokumentumok ugyanis állandóan oda-vissza hivatkoznak egymásra. Ráadásul hozzáadott értékük nem látható a polgárok számára. A javaslat nehezen olvashatósága és összetettsége ellentétes a Célravezető és hatásos szabályozás program (REFIT) szellemével és a jogalkotás minőségének a javítására irányuló céllal, nehezen értelmezhetővé teszi a szöveget, és a védelemben réseket nyit.

5.1.5.

Például a rendeletjavaslat nem tartalmazza a „szolgáltató” fogalmának a meghatározását; az Európai Elektronikus Hírközlési Kódex tervezetére (4) kell hivatkozni, amely még nem lépett hatályba és amely meg fogja változtatni az ágazati szabályokat az egységes digitális piac keretében, nevezetesen a módosított 2002/21/EK keretirányelvet, a módosított 2002/20/EK „engedélyezési” irányelvet, a módosított 2002/22/EK „egyetemes szolgáltatás” irányelvet, a módosított 2002/19/EK „hozzáférés” irányelvet, a BEREC létrehozásáról szóló 1211/2009/EK rendeletet, a 676/2002/EK „rádióspektrum”-határozatot, a rádiófrekvencia-politikával foglalkozó csoport létrehozásáról szóló 2002/622/EK határozatot, valamint a többéves rádióspektrum-politikai program létrehozásáról szóló 243/2012/EU határozatot. Az alapvető kiindulópont természetesen továbbra is az adatvédelmi rendelet (lásd a fenti 2.2. pontot), amelynek kiegészítésére irányul, és amelyhez kapcsolódik a vizsgálat tárgyát képező javaslat.

5.2.

Az EGSZB külön kiemeli a végberendezéseken tárolt adatok védelméről és a lehetséges kivételekről szóló – alapvető jelentőségű, ugyanis az informatikai társaság számára a személyes adatokhoz hozzáférési lehetőséget biztosító – 8. cikk tartalmát. Rámutat továbbá a hívóvonal és a hívott vonal azonosításának korlátozásáról szóló 12. cikkre; ez a két cikk a hozzá nem értők számára nehezen érthető.

5.2.1.

Az 1995. évi irányelv (2. cikk) úgy határozta meg a „személyes adatokat”, mint „egy azonosított vagy azonosítható magánszemélyre (érintettre) vonatkozó bármely információt”. A vizsgálat tárgyát képező rendelet az adatvédelmet kiterjeszti a metaadatokra is, és immár mind a magánszemélyekre, mind pedig a jogi személyekre alkalmazandó. Ismételten ki kell emelni, hogy a tervezet célja kettős: egyrészt a személyes adatok védelme, másrészt pedig az adatok és az elektronikus hírközlési szolgáltatások EU-n belüli szabad áramlásának biztosítása (1. cikk).

5.2.2.

Az EGSZB hangsúlyozza, hogy a jogi személyek adatainak a védelmére irányuló szándék (1. cikk (2) bekezdés) ellentétes lesz más jogszabályokkal, amelyekben nem szerepel, hiszen az nincs egyértelműen leírva, hogy ezekre az esetre is alkalmazandó (lásd az általános adatvédelmi rendelet, az uniós intézményekben található adatok esetét).

5.3.

Az EGSZB nem tudja, hogy vajon e javaslat valódi célja nem az 1. cikk (2) bekezdésének, vagyis az elektronikus hírközlési adatok és szolgáltatások Unión belüli szabad áramlása biztosításának a hangsúlyozása-e, amelyet nem korlátoz és nem tilt a természetes és jogi személyek magánéletének és magáncélú kommunikációjának tiszteletben tartásával összefüggő okokból, ahelyett, hogy ténylegesen azt biztosítaná, ami az 1. cikk (1) bekezdésében szerepel, vagyis a magánélet és a magáncélú kommunikáció tiszteletben tartásához való jogokat, továbbá a személyes adatok kezelése tekintetében a természetes és jogi személyek védelmét.

5.4.

Mindennek az alapja a természetes vagy jogi személy kifejezett hozzájárulása. Következésképpen az EGSZB szerint a felhasználókat tájékoztatni, képezni kell és óvatosnak kell maradniuk, mivel ha egyszer hozzájárultak, a szolgáltató még több tartalmat és metaadatot kezelhet, hogy a lehető legnagyobb hatást és legtöbb nyereséget érje el. A sütik elfogadása előtt hányan tudják, hogy a süti egy nyomkövető modul? A felhasználók jogaik érvényesítéséről való felvilágosításának, az anonimmá tételnek vagy a kódolásnak az e rendelethez kapcsolódó prioritások közé kellene tartozniuk.

6.   Részletes megjegyzések

6.1.

A magánjellegű adatok ellenőrzését csak olyan szervezeteknek kellene végezni, akik maguk is nagyon szigorú szabályoknak felelnek meg, valamint ismert és jogszerű célkitűzéseik vannak (általános adatvédelmi rendelet).

6.2.

Az EGSZB ismét sajnálja, hogy „a személyes adatok védelméhez való jog kinyilatkoztatott elveivel kapcsolatban túl sok a kivétel és a korlátozás (5)”. Az Európai Unió sajátosságának továbbra is a szabadság és a biztonság közötti egyensúlynak kell maradnia – azt nem válthatja fel a személyek alapvető jogai és az iparági érdekek egyensúlya. A 29. cikk szerinti munkacsoport a rendelettervezetről szóló elemzésében (WP247, 2017.4.4., 1/2017. sz. vélemény, 17. pont) szigorúan rámutatott arra, hogy a szöveg csökkenti az általános adatvédelmi rendelet által biztosított védelem szintjét, különösen a terminál helye és a gyűjthető adatok körének elmaradt meghatározása miatt, és nem vezet be alapértelmezett védelmet a magánélet vonatkozásában (19. pont).

6.3.

Az adatok olyanok, mint az adott személy meghosszabbításai, egyfajta szellemidentitás, „árnyék-ID”. Az adatok az őket generáló személy tulajdonát képezik, de kezelésük után már nincs rájuk befolyása. Az adatok megőrzéséért és kezeléséért az egyes államok maradnak továbbra is felelősek, és a jogok korlátozásának a szövegtervezet által biztosított lehetősége miatt nincs harmonizáció. Az EGSZB hangsúlyozza az eltérések kockázatát, amely abból ered, hogy a jogok korlátozása a tagállamok mérlegelésétől függ.

6.4.

Felmerül a kérdés, mindenekelőtt a vállalatoknál dolgozó személyek esetében, hogy a munka közben generált adatok kinek a tulajdonát képezik. Hogyan védik őket?

6.5.

Az ellenőrzés szerkezeti felépítése nem világos (6); az Európai Adatvédelmi Bizottság felügyelete ellenére az önkényesség elleni garanciák nem tűnnek elegendőnek és nem mérték fel, hogy mennyi idő szükséges ahhoz, hogy az eljárások szankciókkal végződjenek.

6.6.

Az EGSZB amellett foglal állást, hogy létre kell hozni egy európai portált, ahol az összes uniós és nemzeti jogszabályt, joganyagot, jogorvoslati utat, ítélkezési gyakorlatot és praktikus elemet összegyűjtik és naprakészen tartják, ily módon segítve a polgárokat és a fogyasztókat a jogszabályok és gyakorlatok dzsungelében való eligazodásban, jogaik gyakorlásában. A portál létrehozásához legalább a 2016. október 26-i (EU) 2016/2102. számú, a közszférabeli szervezetek honlapjainak és mobilalkalmazásainak akadálymentesítéséről szóló irányelv rendelkezéseiből és az európai akadálymentesítési intézkedéscsomagként ismert irányelvre vonatkozó javaslat (2015/0278(COD)) (12), (15) és (21) preambulumbekezdéséből kellene ihletet meríteni, és a portálnak minden végfelhasználó számára hozzáférhető és érthető tartalmakat kell biztosítania. Az EGSZB kész részt venni a portál kialakításának szakaszaiban.

6.7.

A 22. cikkből hiányzik egy hivatkozás a „csoportos fellépésekre”, amint azt az EGSZB már jelezte az Európai Elektronikus Hírközlési Kódexről szóló véleményében.

6.8.

Az alkalmazási kör korlátozása (2. cikk (2) bekezdés); az adatkezelési hatáskörnek az érintett beleegyezése nélküli kiterjesztése (6. cikk (1) és (2) bekezdés); az a valószínűtlen eset, hogy az ÖSSZES érintett felhasználó hozzájárulását megszerzik (6. cikk (3) bekezdés b) albekezdés, továbbá a 8. cikk (1), (2) és (3) bekezdése); valamint a tagállamok által abban az esetben megvalósítható jogkorlátozások, amennyiben úgy ítélik meg, hogy ezek „szükséges, megfelelő és arányos” intézkedések, mind megannyi szabályt jelentenek, amelyek tartalma sokféle módon értelmezhető és ellentétes a magánélet tényleges védelmével. Megkülönböztetett figyelmet kell továbbá fordítani a kiskorúakra vonatkozó adatok védelmére.

6.9.

Az EGSZB üdvözli a 12. cikkben említett ellenőrzéshez való jogot, ám rámutat a különösen talányos megfogalmazásra, amely úgy tűnik, hogy támogatja az „ismeretlen” vagy „rejtett” telefonhívások alkalmazását, mintha a névtelenség ajánlatos lenne, miközben az alapelvnek a hívás azonosíthatóságának kellene lennie.

6.10.

A nem kívánt tájékoztatás (16. cikk) és a közvetlen üzletszerzés már szerepel a „tisztességtelen kereskedelmi gyakorlatokról” szóló irányelvben (7). Az alapszabálynak az „opt-in”-nek (elfogadás) és nem az „opt-out”-nak (elutasítás) kellene lennie.

6.11.

Az Európai Bizottság értékelése háromévente esedékes, ami digitális téren túl hosszú idő. Két értékelés után a digitális világ várhatóan teljesen átalakul. Ugyanakkor a kiterjeszthető felhatalmazásnak (25. cikk) határozott időtartamra kellene szólnia, amely esetleg megújítható.

6.12.

A jogszabályoknak a felhasználók jogait az üzleti tevékenységhez szükséges jogbiztonság biztosítása mellett kell megőrizniük (EUSZ 3. cikk). Az EGSZB sajnálja, hogy a gépről gépre (M2M) történő adatforgalom nem szerepel a javaslatban: az Európai Elektronikus Hírközlési Kódexre kell támaszkodni (irányelvjavaslat, 2. és 4. cikk).

6.12.1.

A dolgok internete (8) a „BigData” (nagy adathalmazok) állapotból a „Huge Data” (óriási adathalmazok) majd az „All Data” (minden adat) állapot felé vezet majd. Ez a jövőbeli innovációs hullámok kulcsa. A gépek pedig, akár kicsik, akár nagyok, kommunikálnak egymással, és személyes adatokat adnak át egymásnak (például a karóra rögzíti a szívritmus-adatokat, és továbbítja azokat a háziorvosnak). Számos digitális szereplő indított az internethez kapcsolódó dolgoknak fenntartott saját platformot: az Amazon, a Microsoft, az Intel, vagy Franciaországban az Orange és a La Poste.

6.12.2.

A dolgok internete a mindennapokban könnyen rosszindulatú támadások tárgyává válhat, a távolról begyűjthető személyes információk (földrajzi helyzet, egészségügyi adatok, video- és audiofolyamok) mennyisége pedig növekszik. Az adatvédelmi rések iránt érdeklődnek egyebek mellett a biztosítótársaságok, akik már azt ajánlják ügyfeleiknek, hogy szerezzenek be az internethez kapcsolódó dolgokat, és vállaljanak felelősséget azok használatáért.

6.13.

Sok internetes óriás törekszik az eredeti alkalmazásának egy platform irányába történő fejlesztésére: ily módon meg kell különböztetni egymástól a Facebook alkalmazást és a Facebook platformot, mely révén a fejlesztők a felhasználók profiljából elérhető alkalmazásokat tervezhetnek. Az Amazon az online értékesítésre szakosodott webes alkalmazás volt. Napjainkra platformmá vált, amelyen harmadik személyek – egyénektől a nagy csoportokig – értékesíthetik a termékeiket az Amazon forrásait, az elismertségét, a logisztikáját stb. kihasználva. Mindez a személyes adatok továbbításán keresztül történik.

6.14.

A megosztásalapú gazdaságban terjednek a platformok: „a kapcsolat egy platform közreműködésével, elsősorban elektronikus úton alakul ki egyrészt a javak vagy szolgáltatások tulajdonosai, másrészt pedig több felhasználó között (9)”. Miközben e platformokra nagy az igény az általuk biztosított tevékenység és munkahelyek miatt, az EGSZB-ben felmerül a kérdés, hogy az általuk generált adatforgalom hogyan ellenőrizhető akár az általános adatvédelmi rendelet, akár e rendelet alkalmazása keretében.

Kelt Brüsszelben, 2017. július 5-én.

az Európai Gazdasági és Szociális Bizottság elnöke

Georges DASSIS


(1)  2013.6.11. – IP/13/525 és 13/531. sz. feljegyzés – Jogérvényesülési Főigazgatóság.

(2)  A 2002/58/EK irányelv rendelkezései (13. cikk) a kéretlen leveleket (spam) a 2009. évi módosítással tiltják, amely bevezette az „opt-in” elvet, amelynek értelmében a szolgáltatónak a címzett előzetes beleegyezését kell kérnie az „üzleti jellegű üzenetek” küldéséhez.

(3)  COM(2016) 590 final, 2016.10.12., az Európai Parlament és a Tanács irányelvjavaslata az Európai Elektronikus Hírközlési Kódex létrehozásáról (EEHK), 2. o. (HL C 125., 2017.4.21., 56. o.).

(4)  A 2016.10.12.-i COM(2016) 590 dokumentum és az 1–11. melléklet (HL C 125., 2017.4.21., 56. o.).

(5)  HL C 125., 2017.4.21., 56. o. és HL C 110., 2006.5.9., 83. o.

(6)  A vizsgált rendelet IV. fejezete az általános adatvédelmi rendelet VII. fejezetére, különösen annak 68. cikkére utal vissza.

(7)  HL L 149., 2005.6.11., 22. o., 8. és 9. cikk.

(8)  WP247/17, 2017.4.1.-i vélemény, 19. pont (HL C 12., 2015.1.15., 1. o.).

(9)  HL C 125., 2017.4.21., 56. o.