31.8.2017

Az Európai Unió Hivatalos Lapja

C 288/107

Az Európai Gazdasági és Szociális Bizottság véleménye – Javaslat európai parlamenti és tanácsi rendeletre az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és a 1247/2002/EK határozat hatályon kívül helyezéséről

[COM(2017) 8 final – 2017/0002 (COD)]

(2017/C 288/15)

Előadó:

Jorge PEGADO LIZ

Felkérés:	Európai Bizottság, 2017.4.26.
Jogalap:	az Európai Unió működéséről szóló szerződés 16. cikkének (2) bekezdése

Illetékes szekció:	„Közlekedés, energia, infrastruktúra és információs társadalom” szekció
Elfogadás a szekcióülésen:	2017.5.16.
Elfogadás a plenáris ülésen:	2017.5.31.
Plenáris ülés száma:	526.
A szavazás eredménye: (mellette/ellene/tartózkodott)	161/0/2

1. Következtetések és ajánlások

1.1

Az Európai Bizottság ezzel a vizsgált javaslatával szigorúan technikai és jogi szempontból általában pontos és megfelelő módon teljesíti azt az igényt, hogy a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről szóló hatályos 45/2001/EK európai parlamenti és tanácsi rendelet (1) és 1247/2002/EK európai parlamenti, tanácsi és bizottsági határozat (2) szabályait kiigazítsa az új általános adatvédelmi rendeletnek (3) megfelelően, amely 2018. május 25-től az egész EU-ban alkalmazandó lesz.

1.2

Ezzel együtt az EGSZB emlékeztet az általános adatvédelmi rendeletre vonatkozó, immár elfogadott javaslat kapcsán tett megjegyzéseire és ajánlásaira, és sajnálja, hogy ez a végső változat nem vette azokat teljes mértékben figyelembe. Attól tart továbbá, hogy a késlekedés az elfogadás és a hatálybalépés terén az erre a területre jellemző gyors technológiai fejlődés miatt növeli a jogtalan adatgyűjtés kockázatát, valamint az adatkezelés és -forgalmazás terén történő visszaéléseket – azaz attól fél, hogy a rendelet már a végrehajtását megelőzően elavul. Minthogy a vizsgált javaslat az általános adatvédelmi rendeletnek az európai intézmények működéséhez való igazítását jelenti, ezek az aggályok ugyanígy érvényesek a vizsgált szövegre is, különösen a nyelvezet homályossága, az átlagos polgár általi megértés nehézségei tekintetében.

1.3

Másrészről az EGSZB úgy véli, hogy az EU intézményeiben zajló folyamatokat példaként kell tekinteni a nemzeti szintű eljárások számára, és úgy tartja, hogy emiatt különös körültekintéssel kell eljárni a vizsgált javaslat megfogalmazásakor.

1.4

Ebben az összefüggésben az EGSZB úgy véli, hogy explicit módon kellett volna foglalkozni az olyan szempontokkal, mint a vizsgált javaslat összehangolása az Európai Unió tisztviselőinek személyzeti szabályzatával, a zaklatás, az internetes zaklatás (cyberbullying) és a visszaélés-bejelentés (whistle blowing) kezelése az EU intézményein belül, a javaslat alkalmazása a dolgok internete, az óriási méretű adathalmazok és a keresőmotorok olyan használata vonatkozásában, amelynek célja a személyes adatokhoz való hozzáférés, azok létrehozása vagy felhasználása, illetve a személyes adatoknak az intézmények közösségi hálózati oldalain (Facebook, Twitter, Instagram, LinkedIn stb.) történő közzététele.

1.5

Az EGSZB hasonlóképpen értékelné, ha a javaslat figyelmet fordított volna arra, hogy felsorolja az informatikai rendszereknek az adatok kezelését támogató biztonsági feltételeit és a kibertámadások és az ilyen adatok megsértése vagy szivárgása elleni biztosítékokat. Ez garantálná a technológiai semlegességet, és nem csupán az egyes szolgálatokra jellemző belső szabályok szintjére utalna. Ekként világosabb volna az adatvédelem és a bűnözés és a terrorizmus elleni küzdelem viszonya anélkül, hogy ez aránytalan vagy túlzott felügyeleti eszközök elfogadásához vezetne, amelyeket egyébként is minden esetben az európai adatvédelmi biztosnak kell felügyelnie.

1.6

Az EGSZB azt is értékelné, ha a javaslat meghatározta volna azokat a készségeket és képzési és alkalmassági jellemzőket, amelyek megkövetelhetők ahhoz, hogy valakit adatvédelmi tisztviselőnek, adatkezelőnek vagy adatfeldolgozónak nevezzenek ki az EU intézményeiben; ezek a feladatkörök is minden esetben az európai adatvédelmi biztos ellenőrzése és felügyelete alatt állnak.

1.7

Az EGSZB örülne annak, ha tekintettel a gyűjtött és az érintettek magánéletére közvetlenül ható – különösen az egészségügyi, adózási és társadalombiztosítási – adatok jellegére, azokat az adott cél érdekében szigorúan a szükségesre korlátoznák és maximális védelemben részesítenék, a lehető legnagyobb mértékben garantálva az ilyen különösen érzékeny személyes adatok kezelésének biztonságosságát, nemzetközi szabványokra, a legfejlettebb nemzeti jogszabályokra és egyes tagállamok bevált gyakorlataira támaszkodva.

1.8

Az EGSZB hangsúlyozza, hogy a javaslatban kifejezetten elő kell írni az európai adatvédelmi biztos eszközeinek megerősítését és megfelelő számú, az adatvédelem területén magas szintű ismeretekkel és technikai készségekkel rendelkező személyzet biztosítását.

1.9

Az EGSZB ismét megerősíti, hogy a kollektív jogi személyeknek (vállalatoknak, NGO-knak, kereskedelmi társaságoknak stb.) is védelmet kell élvezniük az adatgyűjtés és -kezelés terén.

1.10

Végezetül az EGSZB részletes elemzésében felsorol egy sor, különféle előírásokban végrehajtandó módosítást, amelyek elfogadása hozzájárulna a személyes adatok eredményesebb védelméhez az EU intézményein belül, éspedig nemcsak a tisztviselők, hanem a velük kapcsolatban álló európai polgárok ezrei vonatkozásában is. Ennek megfelelően az EGSZB kéri, hogy az Európai Bizottság, továbbá az Európai Parlament és a Tanács is vegye azokat figyelembe a javaslat végső megfogalmazása során.

2. A javaslat tárgya és kerete

2.1

Amint azt az Európai Bizottság az indokolásban megállapítja, a javaslat célja a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi védelméről szóló 45/2001/EK rendelet (4) és 1247/2002/EK határozat hatályon kívül helyezése , éspedig két okból:

—	az adatvédelemhez való alapvető jog védelme,

—	a személyes adatok Unión belüli szabad áramlásának biztosítása.

2.2

Hosszú és gyötrelmes vajúdás eredményeként a Tanács és az Európai Parlament végül elfogadta az általános adatvédelmi rendeletet (5) (ÁAR), amely 2018. május 25-től lesz alkalmazandó az egész EU-ban. Ez a rendelet számos jogalkotási eszköz (6), különösen pedig az említett 45/2001/EK rendelet és az 1247/2002/EK határozat kiigazítását teszi szükségessé.

2.3

Az érdekelt felek körében folytatott felmérések és konzultációk, valamint az elmúlt 15 év során történő alkalmazással kapcsolatos értékelő tanulmány eredményeit részletesen felsorolva és figyelembe véve az Európai Bizottság egyebek között az alábbi következtetéseket vonja le:

—	az európai adatvédelmi biztos által hozott szankciók révén javítani lehetne a 45/2001/EK rendelet érvényesítését,

—	a felügyelő hatóság hatásköreinek fokozott alkalmazása az adatvédelmi szabályok jobb végrehajtását eredményezheti,

—	a hatékonyság növelése és az adminisztratív terhek csökkentése érdekében egyszerűsíteni kell az értesítések és az előzetes ellenőrzések rendszerét,

—	az adatkezelőknek kockázatkezelési megközelítést kellene alkalmazniuk, és az adatkezelési műveletek elvégzése előtt kockázatértékelést kellene végezniük az adatmegőrzésre és adatbiztonságra vonatkozó követelmények megfelelőbb teljesítése érdekében,

—	a távközlési ágazatra vonatkozó jelenlegi szabályok elavultak, és ezt a fejezetet össze kell hangolni az elektronikus hírközlési adatvédelmi irányelvvel,

—

a rendelet néhány kulcsfontosságú fogalommeghatározását – például az uniós intézmények, szervek és hivatalok adatkezelőinek azonosításáról, a címzett fogalmáról, valamint a titoktartás követelményének a külső adatfeldolgozókra való kiterjesztéséről szóló rendelkezések esetében – egyértelműbbé kell tenni.

2.4

Tekintettel a korábbi jogi eszközökbe bevezetendő módosítások természetére és mértékére, az Európai Bizottság úgy határozott, hogy teljes egészében hatályon kívül helyezi és az említett rendelkezésekkel összhangban levő, itt vizsgált rendelettel váltja fel ezeket az eszközöket, hogy a jogszabály alkalmazása – amint azt a 98. cikk előírja – az (EU) 2016/679 rendelettel egy időben kezdődhessen meg.

3. Általános megjegyzések

3.1

Szigorúan technikai és jogi szempontból az EGSZB elvben egyetért az alábbiakkal:

—	az itt vizsgált kezdeményezés szükségességével és időszerűségével,

—	a választott jogi eszközzel, vagyis a rendelettel,

—	azzal a döntéssel, hogy teljes egészében hatályon kívül helyezik a jelenlegi eszközöket,

—	az elfogadáshoz választott jogalappal,

—	az arányosság, a szubszidiaritás valamint az elszámoltathatóság (accountability) kritériumainak bizonyított tiszteletben tartásával,

—	a szabályok érthetőségével és szerkezeti felépítésével,

—	bizonyos fogalmak, például az érvényes hozzájárulás fogalmának jobb meghatározásával,

—	azzal, hogy nyilvánvaló összhangban van azzal a többi jogi eszközzel, amelyhez kapcsolódik, különösen az (EU) 2016/679 rendelettel, a COM(2017) 10 final rendeletjavaslattal és az Európai Bizottság „Az európai adatgazdaság kiépítése” című közleményével (7),

—	azzal a döntéssel, hogy a szöveg most először tartalmaz konkrét bírságokat az esetleges nem teljesítés vagy jogsértés esetére,

—	az európai adatvédelmi biztos hatásköreinek megerősítésével,

—	a kezdeményezésnek a REFIT programon kívüli elindításával,

—

azzal a nyilvánvaló törekvéssel, hogy összhangot teremtsenek más alapvető jogokkal, például az Alapjogi Chartában a véleménynyilvánítás szabadságára (11. cikk), a szellemi tulajdon védelmére (17. cikk (2) bekezdés), a faj, etnikai származás, genetikai tulajdonság, vallás vagy meggyőződés, politikai vagy más vélemény, fogyatékosság vagy szexuális irányultság alapján történő megkülönböztetés tilalmára (21. cikk), a gyermekek jogaira (24. cikk), az emberi egészség védelmének magas szintjére (35. cikk), a dokumentumokhoz való hozzáférésre (42. cikk) és a jogorvoslatra és a pártatlan bíróságra (47. cikk) vonatkozóakkal.

3.2

Mindemellett azonban továbbra is érvényesek az EGSZB megjegyzései és ajánlásai az általános adatvédelmi rendeletre vonatkozó javaslat (8) kapcsán, amely immár elfogadott rendelet (9), és amelynek végső változata nem vette azokat teljes mértékben figyelembe. A késlekedés az elfogadás és a hatálybalépés terén az erre a területre jellemző gyors technológiai fejlődés miatt növeli a jogtalan adatgyűjtés kockázatát, valamint az adatkezelés és -forgalmazás terén történő visszaéléseket – azaz félő, hogy a rendelet már a végrehajtását megelőzően elavul. Minthogy a vizsgált javaslat az általános adatvédelmi rendeletnek az európai intézmények működéséhez való igazítását jelenti, ezek az aggályok ugyanígy érvényesek a vizsgált szövegre is, különösen a nyelvezet homályossága, az átlagos polgár általi megértés nehézségei tekintetében. Jobb lett volna a két javaslatot egyszerre közzétenni és tárgyalni.

3.3

Másrészről, mivel az EU intézményeiben zajló folyamatokat példaként kell tekinteni a nemzeti szintű eljárások számára, az EGSZB úgy tartja, hogy bizonyos témákkal foglalkozni kellett volna a vizsgált javaslatban.

3.4

Először is nem egyértelmű, hogy a javaslatot megfelelően hozzáigazították-e az Európai Unió tisztviselőinek személyzeti szabályzatához (31/EGK rendelet (10)), ugyanis hiányoznak olyan sajátos normatív rendelkezések, amelyek garantálják az intézmények tisztviselőinek és alkalmazottainak a felvétellel, a karrierrel, a szerződés időtartamával, esetleges megújításával és értékelésével kapcsolatos személyi adatainak hatékonyabb védelmét.

3.4.1

Ha nem is ebben a dokumentumban, de általános jellegű rendelkezéseket kellene tervbe venni olyan szabályokkal, amelyek a tisztviselők és családtagjaik egészségügyi nyilvántartására, a tisztviselők által létrehozott vagy felhasznált adatokra és genetikai adataikra, az e-mailen akár a polgárok által az uniós intézményeknek elküldött, akár az intézmények tisztviselői által kiküldött vagy egymással vagy a külvilággal megosztott üzenetek kezelésére és védelmére, valamint ezek tartalmára és a meglátogatott internetes oldalakra vonatkoznak (11).

3.4.2

Ugyanígy kiemelt figyelmet érdemelne a zaklatás, az internetes zaklatás (cyberbullying) és a visszaélés-bejelentés (whistle blowing) az EU intézményein belül, a 68. cikkben foglaltakon túlmenően is.

3.4.3

Az EGSZB a vizsgált javaslat és az (EU) 2016/679 rendelet alkalmazása kapcsán is kérdéseket vet fel, a dolgok internete, a nagy adathalmazok és a keresőmotorok személyes adatokhoz való hozzáférés, azok létrehozása vagy felhasználása érdekében történő használata, illetve az intézmények által a közösségi hálózati oldalaikon (Facebook, Twitter, Instagram, LinkedIn, stb.) az érintettek kifejezett jóváhagyásától függetlenül közzétett személyes adatok kapcsán.

3.5

Az EGSZB értékelné, ha az Európai Bizottság javaslata amellett, hogy a rendeletre irányuló javaslat 34. cikkében utal az elektronikus kommunikáció bizalmas jellegére, figyelmet fordított volna arra, hogy felsorolja az informatikai rendszereknek az adatok kezelését támogató biztonsági feltételeit és a kibertámadások és az ilyen adatok megsértése vagy szivárgása elleni biztosítékokat (12). Ez garantálná a technológiai semlegességet, és nem csupán az egyes szolgálatokra jellemző belső szabályok szintjére utalna. Ekként világosabb volna az adatvédelem és a bűnözés és a terrorizmus elleni küzdelem viszonya anélkül, hogy ez aránytalan vagy túlzott felügyeleti eszközök elfogadásához vezetne, amelyeket egyébként is minden esetben az európai adatvédelmi biztosnak kell felügyelnie.

3.6

Az EGSZB hangsúlyozza, hogy a személyes adatok uniós intézményeken belüli összekapcsolása nem alapulhat mindössze a (16) preambulumbekezdésben említett elszámoltathatóság elvén, és ennek kapcsán arra buzdítja az Európai Bizottságot, hogy vezessen be külön szabályt, amely megköveteli, hogy az összekapcsolásra csak akkor kerülhet sor, ha azt az adatkezelő önálló vagy az adatfeldolgozóval közös kérésére az európai adatvédelmi biztos engedélyezte.

3.7

Jobban örült volna annak, ha az (51) preambulumbekezdésben és a 44. cikk (3) bekezdésében foglaltak sérelme nélkül meghatározásra kerültek volna azok a készségek, valamint képzési és alkalmassági jellemzők, amelyek elvárhatók ahhoz, hogy valakit adatvédelmi tisztviselőnek, adatkezelőnek vagy adatfeldolgozónak nevezzenek ki az uniós intézményekben (13). Amennyiben ezek a tisztviselők visszaélnek feladataikból adódó jogköreikkel, azt valóban olyan eltántorító jellegű szankciókkal kellene sújtani fegyelmi, polgári jogi és büntetőjogi szinten, amelyeket a javaslat tartalmaz – minden esetben az európai adatvédelmi biztos ellenőrzése és felügyelete alatt.

3.8

Bár elismeri, hogy a vizsgált javaslat a hatályos 45/2001/EK rendelethez képest növeli a védelem szintjét, az EGSZB örülne annak, ha tekintettel a gyűjtött és az érintettek magánéletére közvetlenül ható – különösen az egészségügyi, adózási és társadalombiztosítási – adatok jellegére, azokat az adott cél érdekében a szigorúan szükségesre korlátoznák és maximális védelemben részesítenék, maximális mértékben garantálva a személyes adatok kezelésének biztonságosságát, nemzetközi szabványokra, a legfejlettebb nemzeti jogszabályokra és egyes tagállamok bevált gyakorlataira támaszkodva (14).

3.9

Bár tisztában van azzal, hogy mind az (EU) 2016/679 rendelet, mind pedig a vizsgált javaslat csak azokra az adatokra vonatkozik, amelyek érintettjei természetes személyek, megismétli, hogy a kollektív jogi személyek (vállalatok, NGO-k, kereskedelmi társaságok stb.) adatait is védelemben kell részesíteni a gyűjtés és a kezelés során.

4. Részletes megjegyzések

4.1

A javaslat szövegének részletes vizsgálata felvet néhány kétséget és fenntartást az EU Alapjogi Chartájában rögzített, a magánélet védelmével kapcsolatos elvek, valamint az arányosság és az elővigyázatosság elvének fényében.

4.2 3. cikk

Az uniós intézmények és szervek meghatározása a (2) bekezdés a) pontjában szerepel: az Európai Unióról szóló szerződés, az EUMSZ vagy az Euratom-szerződés által vagy azok alapján létrehozott uniós intézményekről, szervekről, hivatalokról és ügynökségekről van szó. Az EGSZB felteszi a kérdést, hogy ez a definíció tartalmazza-e a munkacsoportokat, a tanácsadó testületeket, bizottságokat, platformokat, ad hoc csoportokat stb., valamint azokat a nemzetközi informatikai hálózatokat, amelyekben az intézmények részt vesznek, ám amelyeket nem birtokolnak.

4.3 4. cikk

4.3.1

Tekintettel arra, hogy az itt vizsgált rendelet az uniós intézményeken belül feldolgozott adatokra vonatkozik, az EGSZB örömmel venné, ha – a kezelt adatok jellegére tekintettel – kifejezetten belekerülne a megkülönböztetésmentesség elve.

4.3.2

A 4. cikk (1) bekezdés b) pontjában említett, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő adatkezeléshez elő kellene írni az európai adatvédelmi biztos előzetes jóváhagyását, amiről az 58. cikk jelenleg nem rendelkezik.

4.3.3

Végezetül szükség lenne egy, a 45/2001/EK rendelet jelenlegi 7. cikkével egyenértékű kifejezett előírásra az adatok uniós intézmények közötti átadását illetően.

4.4 5. cikk

4.4.1

Nem világos, hogy a rendeletjavaslat 5. cikk (1) bekezdésének b) pontjára miért nem vonatkozik az ugyanezen cikk (2) bekezdésében rögzített követelmény, ellentétben a 6. cikk c) és e) pontjával, amelyek mindegyikére érvényes az általános adatvédelmi rendelet 3. cikke.

4.4.2

Az EGSZB úgy véli, hogy a d) pontot ki kellene egészíteni azzal, hogy a hozzájárulásnak a jóhiszeműség elvével összhangban kell történnie.

4.5 6. cikk

4.5.1

E cikk alkalmazását minden esetben az európai adatvédelmi biztos előzetes jóváhagyásához kell kötni.

4.5.2

Ezekben az esetekben az érintettet mindig előre tájékoztatni kell erről az eshetőségről a gyűjtés során vagy az új határozat meghozatala pillanatában, hogy adott esetben kérhesse a helyesbítést, törlést vagy az adatkezelés korlátozását, illetve tiltakozhasson az ellen.

4.6 8. cikk

4.6.1

Az EGSZB úgy tudja, hogy a 16 évesnél fiatalabb (13 és 16 év közötti) gyermekek hozzájárulásának érvényességére vonatkozó szabály alóli kivétel – amely már magában is helytelen – csak a tagállamok számára megengedett a nemzeti joggal kapcsolatos kulturális okokból (általános adatvédelmi rendelet 8. cikk), ám nem megengedhető az uniós intézmények számára (8. cikk (1) bekezdés, amely a beleegyezési korhatárt 13 évben állapítja meg).

4.6.2

Másrészről pedig nincsen meghatározva, hogy miként kell az európai adatvédelmi biztosnak „különös figyelmet fordítania” a gyermekekre (58. cikk (1) bekezdés b) pont), különösen a 36. cikkben említett felhasználói névjegyzékek esetén, amikor az adataik a nyilvánosság számára hozzáférhetőek.

4.7 10. cikk

4.7.1

Az (1) bekezdésnek tartalmaznia kellene a párttagságot (ami nem azonos a politikai véleménnyel) és a magánéletet.

4.7.2

A (2) bekezdés b) pontjában még az érintett jogi előírásokból fakadó kötelezettségei teljesítése érdekében történő adatkezelés esetén is mindig előzetesen értesíteni kell az érintettet.

4.7.3

A (2) bekezdés d) pontjában az adatkezelésre csak az érintett egyetértésével kerülhet sor.

4.7.4

Az e) pont csak akkor jelenthet kivételt, ha az érintett nyilatkozataiból jogosan levonható az, hogy egyetért az adatkezeléssel.

4.8 14. cikk

Mivel az uniós intézmények nem számíthatnak fel díjat a nyújtott szolgáltatásokért, a kérelem teljesítésének megtagadására csak végső esetben (ultima ratio) kerülhet sor.

4.9 15., 16. és 17. cikk

4.9.1

A 15. cikk (2) bekezdésében említett kiegészítő információkat ki kellene egészíteni azzal a kötelezettséggel, hogy az érintettet tájékoztatni kell arról, hogy az adatkezelő válaszadása kötelező vagy fakultatív jellegű-e, valamint arról, hogy milyen következményekkel járhat a válaszadás hiánya.

4.9.2

Amennyiben az adatokat nyílt hálózatokon gyűjtik, az érintettet minden esetben tájékoztatni kell arról, hogy személyes adatai biztonsági intézkedések nélkül jelenhetnek meg a hálózatokon, és ez azzal a kockázattal jár, hogy arra fel nem hatalmazott harmadik személyek látják vagy felhasználják őket.

4.9.3

A 17. cikk (1) bekezdésében rögzített jog keretében adandó visszajelzést szabadon és korlátozások nélkül, észszerű időközönként, gyorsan vagy azonnal és díjmentesen kell biztosítani.

4.9.4

Az EGSZB javasolja, hogy az érintettet legyen kötelező tájékoztatni arról is, hogy a rá vonatkozó adatok feldolgozása folyamatban van-e.

4.9.5

A 17. cikk (1) bekezdése értelmében nyújtott információkat érthető, világos és egyértelmű módon kell átadni, különösen a feldolgozásra kerülő adatokat és azok eredetét illetően.

4.10 21. cikk

Az EGSZB úgy értelmezi, hogy az, hogy a rendeletjavaslatból kimaradtak az általános adatvédelmi rendelet 21. cikkének (2) és (3) bekezdésében említettekkel azonos rendelkezések, azt jelenti, hogy az adatokat sosem lehet közvetlen üzletszerzés érdekében feldolgozni, ami üdvözlendő. Az értelmezés bizonytalanságát azonban nyilvánvalóan meg kellene szüntetni a rendelet szövegében.

4.11 24. cikk

4.11.1

Az EGSZB úgy véli, hogy a (2) bekezdés c) pontját ki kellene egészíteni azzal, hogy ezt a hozzájárulást meg kell előznie az érintett kifejezett tájékoztatásának azzal kapcsolatban, hogy milyen jogi következményekkel járnak a döntései – hiszen csak így lesz megfelelően tájékozott a hozzájárulása.

4.11.2

A (3) bekezdést az EGSZB úgy értelmezi, hogy az említett megfelelő intézkedéseket nem az adatkezelőnek, hanem az európai adatvédelmi biztosnak kell meghatároznia.

4.12 25. cikk

4.12.1

Az EGSZB attól tart, hogy a rendeletjavaslat 25. cikkének jelenlegi megfogalmazása túlságosan tágan értelmezi az általános adatvédelmi rendelet 23. cikkét az érintett alapvető jogait meghatározó előírások alkalmazása korlátozásának hatálya tekintetében. Javasolja, hogy azt kritikus szemmel, az egyes bekezdések józan és esetleg korlátozó jellegű elemzése alapján vizsgálják felül, különösen az Alapjogi Charta 7. cikkében előírt, az elektronikus hírközlő hálózatokon történő titoktartáshoz való jog korlátozását illetően, amit a jelenlegi elektronikus hírközlési adatvédelmi irányelv vetett fel, és az EGSZB által egy másik véleményben vizsgált rendeletjavaslat is átvett.

4.12.2

Az EGSZB határozottan ellenzi a 25. cikk (2) bekezdésében foglalt lehetőséget arra, hogy az uniós intézmények és szervek nem kifejezetten erre őket feljogosító jogi aktusok alapján korlátozhassák az érintettek jogait illető korlátozások alkalmazását. Ugyanez vonatkozik a 34. cikkre is.

4.13 26. cikk

Egyértelművé kellene tenni, hogy a személyes adatok kezelőit, feldolgozóit, valamint azokat a személyeket, akik feladataik ellátása során a kezelt személyes adatokat megismerhetik, szakmai titoktartás kötelezi, még szolgálati jogviszonyuk megszűnését követően – egy észszerű időszakon keresztül – is.

4.14 29. és 39. cikk

Tekintettel arra és annak ellenére, hogy az általános adatvédelmi rendelet 24. cikkének (3) bekezdése, valamint 40. és azt követő cikkei nem kerültek bele a rendeletjavaslatba (magatartási kódex), amint azt a 26. cikkről szóló preambulumbekezdés kifejezetten megemlíti, nem tűnik helyénvalónak, hogy a rendeletjavaslat 29. cikkének (5) bekezdésében és 39. cikkének (7) bekezdésében elfogadják azt, hogy nem uniós intézménynek vagy szervnek az általános adatvédelmi rendelet 40. cikkében említett magatartási kódexhez való egyszerű csatlakozása megfelelő garanciának legyen tekinthető ahhoz, hogy ellássa az adatfeldolgozó feladatkört.

4.15 31. cikk

Az EGSZB úgy véli, hogy a 31. cikk (5) bekezdésében említett lehetőség helyett kötelezően kell előírni azt, hogy adatkezelési tevékenységeikről szóló nyilvántartásaikat központi nyilvántartásban vezessék.

4.16 33. cikk

Az EGSZB javasolja még, hogy az adatkezelők és az adatfeldolgozók legyenek felelősek az adathordozók, az adattárolás, az adatfelhasználás és az adattovábbítás ellenőrzéséért, és ennek keretében azért, hogy:

—	megakadályozzák az illetéktelen személyek hozzáférését az adatfeldolgozásra használt berendezésekhez,

—	megelőzzék az adathordozók jogosulatlan olvasását, másolását, módosítását és eltávolítását,

—	megakadályozzák az adatok jogosulatlan bevitelét, valamint a tárolt személyes adatokba való jogosulatlan betekintést és az adatok jogosulatlan módosítását vagy törlését,

—	megakadályozzák, hogy a gépi adatfeldolgozási rendszereket adatátviteli berendezés segítségével jogosulatlan személyek használják,

—	biztosítsák, hogy ellenőrizhető és megállapítható legyen, hogy mely szervekhez lehet személyes adatokat továbbítani,

—	biztosítsák, hogy az arra jogosult személyek csak azokhoz az adatokhoz férjenek hozzá, amelyekre a hozzáférési jogosultságuk vonatkozik.

4.17 34. cikk

Az EGSZB reméli, hogy ez a cikk összhangban van a magánélet elektronikus kommunikációban történő védelméről szóló rendeletjavaslatban foglalt rendelkezésekkel, valamint hogy az uniós intézményeket és szerveket az európai adatvédelmi biztos ellenőrzi elektronikus kommunikációjuk bizalmas jellegét illetően.

4.18 42. cikk

Az EGSZB attól tart, hogy az (1) bekezdésben található „elfogadását követően” kitétel úgy értelmezhető, hogy a konzultáció csupán a jogalkotási aktus elfogadását követően kötelező; azt megelőzően még a manapság jellemző informális formában is elmaradhat.

4.19 44. cikk

Az EGSZB úgy véli, hogy elviekben csak tisztviselőket lenne szabad adatvédelmi tisztviselőnek kinevezni. Amennyiben ez kivételesen nem lehetséges, akkor pedig a közbeszerzési szabályok keretében kell szerződtetni őket a szolgáltatásnyújtásra, az európai adatvédelmi biztos felügyelete alatt.

4.20 45. cikk

4.20.1

A fent említettek ellenére, amennyiben nem tisztviselőről van szó, feladatai jellegére tekintettel az adatvédelmi tisztviselő felmentését bármikor lehetővé kell tenni, és ehhez elegendő az európai adatvédelmi biztos támogató véleménye (a rendelet 45. cikkének (8) bekezdése).

4.20.2

Véleménye szerint a kinevezés időtartamát öt évben kell meghatározni, és a mandátum megújítását csak egyszer szabad lehetővé tenni.

4.21 56. cikk

A közelmúltban történt és az intézmények igen magas rangú tisztviselőit érintő közismert események miatt tanácsos összeférhetetlenséget meghatározni és a megbízatás megszűnését követő észszerű ideig tiltani a szakmai tevékenységet egyes funkciókban, különösen magánvállalkozásokban.

4.22 59. cikk

Egyes nyelvekben, különösen az angol nyelvi változatban az (5) bekezdésben használt „actions” kifejezés túlságosan szűk értelmezést tesz lehetővé, és helyette inkább a „proceedings” szót kellene használni (a magyar nyelvi változatban használt „kereset” megfelelő).

4.23 63. cikk

A (3) bekezdés kapcsán és tekintettel a vizsgált javaslat témájának érzékenységére, az EGSZB úgy véli, hogy meg kellene fordítani a hallgatólagos elutasítás elvét, és ezáltal kötelezni az európai adatvédelmi biztost arra, hogy kifejezetten reagáljon a hozzá intézett valamennyi panaszra, enélkül ugyanis azok jóváhagyottnak tekintendők.

4.24 65. cikk

Amint az (EU) 2016/679 rendeletjavaslatról készült EGSZB-vélemény is említette, fontos, hogy a javaslat a 67. cikkben említetten kívül is biztosítsa azt a lehetőséget, hogy a személyes adatok megsértése miatti fellépésre csoportos kereset keretében kerüljön sor, és ehhez ne legyen szükség egyéni megbízásra, mivel általában az ilyen jogsértések nemcsak egyetlen személyt érintenek, hanem többet, és számuk esetenként nem is meghatározható.

4.25

A rendeletjavaslat nem egyértelmű és szubjektív kifejezésekkel és fogalmakkal van tele, amit tanácsos lenne felülvizsgálni és kijavítani. Ilyen például: „a lehetséges mértékben”, „ha lehetséges”, „késedelem nélkül”, „magas kockázat”, „megfelelően figyelembe venni”, „észszerű határidőn belül”, „különösen fontos”.

Kelt Brüsszelben, 2017. május 31-én.

az Európai Gazdasági és Szociális Bizottság elnöke

Georges DASSIS

(1) HL L 8., 2001.1.12., 1. o.

(2) HL L 183., 2002.7.12., 1. o.

(3) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (HL L 119., 2016.5.4., 1. o.).

(4) Az erre irányuló javaslatról az EGSZB véleményt tett közzé (HL C 51., 2000.2.23., 48. o.).

(5) A 2016. április 27-i (EU) 2016/679 rendelet (HL L 119., 2016.5.4., 1. o.).

(6) COM(2015) 10 final, COM(2017) 9 final.

(7) COM(2017) 9 final.

(8) HL C 229., 2012.7.31., 90. o.

(9) Az (EU) 2016/679 rendelet.

(10) HL L 45., 1962.6.14., 1385/62. o., valamint a későbbi módosítások.

(11) Amint az például „A Belga magánéleti bizottság véleményei és ajánlásai a magánélet munkahelyi védelméről” című jogszabálygyűjteményben [Avis et Recommandations de la Commission de la Vie privé de la Belgique sur la vie privé sur le lieu de travail] is szerepel (2013. január).

(12) Amint az például a „Javaslat kezdeményezésre az adatszivárgás megelőzése érdekében betartandó biztonsági intézkedésekre vonatkozóan” [Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données] című dokumentumban is szerepel – Belga magánéleti bizottság, 2013/01, 2013. január 21.

(13) Amint azt például az „Iránymutatások az adatvédelmi tisztviselők számára” [Guidelines on Data Protection Officers] című dokumentum tartalmazza, a 29. cikkel foglalkozó 243. munkacsoport, 2016. december 13.

(14) Lásd például a portugál adatvédelmi törvényt (október 26-i 67/98. törvény).