Brüsszel, 2019.7.24.

COM(2019) 374 final

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg








A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak

Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg

I.Bevezetés

Az általános adatvédelmi rendelet 1 (a továbbiakban: a rendelet) több mint egy éve alkalmazandó az Európai Unió egész területén. Ez a rendelet a koherens és korszerűsített uniós adatvédelmi környezet központi eleme a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvvel 2 és az uniós intézményekre és szervekre vonatkozó adatvédelmi rendelettel 3 együtt. Ezt a jogi keretet az elektronikus hírközlési adatvédelmi rendelet teszi majd teljessé, amely jelenleg a jogalkotási eljárás szakaszában tart.

A szigorú adatvédelmi szabályok elengedhetetlenek a személyes adatok védelméhez való alapvető jog biztosításához. Központi jelentőségűek a demokratikus társadalomban 4 , és az egyre inkább adatközpontú gazdaság fontos elemei. Az Európai Unió arra törekszik, hogy megragadja a digitális transzformáció által a szolgáltatások, a munkahelyek és az innováció terén kínált számos lehetőséget, egyúttal leküzdje az ezzel járó kihívásokat. A személyazonosság-lopás, a különleges adatok kiszivárogtatása, az egyének hátrányos megkülönböztetése, a „beépített” elfogultság, a jogellenes tartalmak megosztása és a tolakodó megfigyelési eszközök fejlesztése csak néhány azon problémák közül, amelyek egyre gyakrabban képezik nyilvános vita tárgyát, tekintettel arra, hogy a polgárok egyértelműen elvárják adataik védelmét.

Az adatvédelem ténylegesen globális jelenséggé vált, hiszen az emberek világszerte egyre jobban megbecsülik és értékelik adataik védelmét és biztonságát. Számos ország fogadott el a rendeletben foglaltakhoz hasonló elveken alapuló, átfogó adatvédelmi szabályokat, vagy jelenleg dolgozik ilyen szabályok elfogadásán. Ennek eredményeképpen világszerte közelednek egymáshoz az adatvédelmi szabályok. Ezáltal új lehetőségek nyílnak meg a piaci szereplők, illetve a hatóságok közötti adatáramlás megkönnyítésére, egyúttal pedig a személyes adatok Unión belüli és világszintű védelmének erősítésére.

Az adatvédelmet minden eddiginél komolyabban vesszük, ugyanis messzemenő hatást gyakorol különféle érdekeltekre és ágazatokra. A Bizottság elkötelezett az iránt, hogy irányításával az Európai Unió sikeresen bevezesse az új adatvédelmi rendszert, és támogatásával minden tekintetben maradéktalanul működőképessé váljon ez a rendszer. A Bizottság ebben a közleményben mérleget von az adatvédelmi szabályok Unión belüli következetes végrehajtásával, az új irányítási rendszer működésével, a polgárokra és a vállalkozásokra gyakorolt hatással, valamint az Európai Unió által az adatvédelmi rendszerek világszintű közelítéséért tett erőfeszítéseivel kapcsolatosan eddig elért eredményekről. A rendelet alkalmazásáról szóló, 2018. januári bizottsági közlemény 5 folytatásának tekinthető, és a több érdekelt felet tömörítő csoport 6 munkáján, különösen az egyéves helyzetértékelésben való közreműködésén és a Bizottság által 2019. június 13-án tartott helyzetértékelő rendezvény 7 keretében folytatott megbeszéléseken alapul. Ennek a közleménynek a Bizottság által 2020. májusra tervezett felülvizsgálatban 8 is szerepe lesz.

Az uniós adatvédelmi jogi keret az innováció iránti emberközpontú európai megközelítés egyik sarokköve. Egyre szélesebb körben válik szabályozási alapvetéssé olyan szakpolitikai területeken, mint az egészségügy és a kutatás, a mesterséges intelligencia, a közlekedés, az energetika, a versenyjog és a bűnüldözés. A Bizottság következetesen hangsúlyozta az új adatvédelmi szabályok megfelelő végrehajtásának és érvényesítésének fontosságát, ahogy arra a rendelet alkalmazásáról szóló, 2018. januári közleményében és a személyes adatok választásokkal összefüggésben történő felhasználásáról szóló, 2018. szeptemberi iránymutatásában 9 is rávilágított. E közlemény közzétételéig jelentős előrelépést sikerült tenni e cél felé, de még kétségkívül folytatni kell a munkát a rendelet maradéktalan végrehajtása érdekében.

II.Egy kontinens, egy törvény: az adatvédelmi keret érvényben van a tagállamokban

A rendelet egyik legfontosabb célkitűzése volt, hogy egységesítse az előző adatvédelmi irányelv 10 alapján fennállt 28 eltérő nemzeti jog miatt széttagolt jogi környezetet, és ezzel jogbiztonságot nyújtson az egyéneknek és a vállalkozásoknak az Unió egész területén. Ez a célkitűzés nagyrészt teljesült.

A jogi keret harmonizációja

A rendelet ugyan közvetlenül alkalmazandó a tagállamokban, de emellett arra is kötelezi őket, hogy nemzeti szinten különféle jogi intézkedéseket hozzanak, különösen azért, hogy létrehozzák a nemzeti adatvédelmi hatóságokat és megállapítsák azok hatásköreit 11 , szabályokat határozzanak meg bizonyos kérdéskörökre, többek között a személyes adatok védelmének a véleménynyilvánítás és a tájékozódás szabadságával való összeegyeztetésére vonatkozóan, valamint módosítsanak vagy hatályon kívül helyezzenek adatvédelmi vonatkozású ágazati jogszabályokat. E közlemény közzétételekor három 12 kivételével az összes tagállam naprakésszé tette nemzeti adatvédelmi jogát. Az ágazati jogszabályokkal kapcsolatos munka nemzeti szinten még zajlik. Az Európai Gazdasági Térségről szóló megállapodásba való belefoglalását követően a rendelet immár Norvégiában, Izlandon és Liechtensteinben is alkalmazandóvá vált, amely országok emellett saját nemzeti adatvédelmi jogszabályokat is elfogadtak.

Az érdekeltek azonban még nagyobb fokú harmonizációt tartanak szükségesnek bizonyos területeken 13 . A rendelet valóban biztosít némi mozgásteret a tagállamok számára, hogy pontosabban meghatározzák annak alkalmazását bizonyos területeken, például a kiskorúak online szolgáltatások igénybevételéhez való hozzájárulására vonatkozó korhatárt illetően 14 , valamint a személyes adatoknak többek között az orvostudomány és a közegészségügy terén való kezelésére vonatkozóan. Ebben az esetben a tagállami intézkedés keretét a következő két tényező jelöli ki:

I)a külön előírásokat tartalmazó nemzeti jogszabályoknak meg kell felelniük az Alapjogi Chartában 15 rögzített követelményeknek (és nem haladhatják meg a Chartára alapuló rendeletben kijelölt korlátokat);

II)nem akadályozhatják a személyes adatok Európai Unión belüli szabad áramlását 16 .

A tagállamok bizonyos esetekben a rendeleten túlmutató nemzeti követelményeket vezettek be, különösen ágazati jogszabályokat fogadtak el nagy számban, ami széttagoltsághoz és szükségtelen terhek kialakulásához vezet. Egy példa a rendeleten túlmenően bevezetett kiegészítő tagállami követelményekre: a német jogszabály arra kötelezi a legalább 20 alkalmazottat foglalkoztató vállalkozásokat, hogy adatvédelmi felelőst nevezzenek ki, aki állandó jelleggel közreműködik a személyes adatok automatizált kezelésében.

Folyamatos törekvések a nagyobb fokú harmonizációra

A Bizottság a nemzeti hatóságokkal kétoldalú párbeszédet folytat, amelynek keretében különösen az alábbi szempontok alapján vizsgálja a nemzeti intézkedéseket:

·az adatvédelmi hatóságok tényleges függetlensége, ezen belül elegendő pénzügyi források, valamint emberi és műszaki erőforrások rendelkezésre állása;

·hogyan korlátozzák a nemzeti jogszabályok az érintett jogait;

·az, hogy a nemzeti jogszabályok nem vezethetnek be a rendeleten túlmutató követelményeket, amennyiben nincs lehetőség külön előírások, például az adatkezelésre vonatkozó kiegészítő feltételek meghatározására;

·a személyes adatok védelméhez fűződő jognak a véleménynyilvánítás és a tájékozódás szabadságával való összeegyeztetésére vonatkozó kötelezettség teljesítése, figyelemmel arra, hogy tilos visszaélni ezzel a kötelezettséggel az újságírói tevékenységre gyakorolt visszatartó hatás elérése céljából.

Az Európai Adatvédelmi Testület (a továbbiakban: a Testület) keretében együttműködő adatvédelmi hatóságok munkája döntő szerepet játszik az új szabályok következetes alkalmazásának előmozdításában: a több tagállamot érintő jogérvényesítési intézkedések a Testület keretein belül zajló együttműködési és egységességi mechanizmuson 17 keresztül valósulnak meg, a Testület által elfogadott iránymutatások pedig hozzájárulnak a rendelet egységes értelmezéséhez. Mindazonáltal az érdekelt felek azt várják az adatvédelmi hatóságoktól, hogy haladjanak tovább ebben az irányban.

A tagállami bíróságok és az Európai Unió Bírósága szintén közreműködik az adatvédelmi szabályok egységes értelmezésének kialakításában. Egyes tagállami bíróságok közelmúltbeli ítéleteikben érvénytelenítették a nemzteti jogszabályok azon rendelkezéseit, amelyek eltérnek a rendelettől 18 .

III.Helyükre kerülnek az új irányítási rendszer alkotóelemei

A rendelet új irányítási struktúrát hozott létre, amelynek középpontjába a független tagállami adatvédelmi hatóságokat helyezte. E hatóságok érvényesítik a rendelet rendelkezéseit, és kapcsolattartóként járnak el az érdekeltek felé. Az adatvédelmi hatóságok nagyrészt ugyan több erőforráshoz jutott az elmúlt évben, azonban még mindig számottevő különbségek vannak a tagállamok között 19 .

Az adatvédelmi hatóságok élnek új hatásköreikkel

A rendelet nagyobb jogérvényesítési hatáskörrel ruházza fel az adatvédelmi hatóságokat. Az érintettek egy része által 2018 májusa előtt megfogalmazott aggályokkal ellentétben a tagállami adatvédelmi hatóságok kiegyensúlyozottan gyakorolják jogérvényesítési hatáskörüket. A szankcionálás helyett a párbeszédre összpontosítanak, különösen azoknak a legkisebb szereplőknek az esetében, amelyeknek a fő tevékenysége nem a személyes adatok kezelése. Ugyanakkor szükség esetén mernek ténylegesen élni új hatásköreikkel: többek között vizsgálatokat indítanak a közösségi média terén 20 , és az adatvédelmi szabályok megsértésének súlyosságától függően néhány ezertől több millió euróig terjedő közigazgatási bírságokat szabnak ki.

Néhány példa az adatvédelmi hatóságok által kiszabott pénzbírságokra 21 :

·5 000 EUR egy ausztriai sportfogadó kávézóra jogellenes videokamerás megfigyelés miatt;

·220 000 EUR egy lengyelországi adatkereskedő társaságra, amiért nem tájékoztatta az egyéneket adataik kezeléséről;

·250 000 EUR a spanyol labdarúgó-bajnokság első osztályára (LaLiga) az okostelefon-alkalmazásának átláthatatlan kialakítása miatt;

·50 millió EUR a Google-ra Franciaországban a felhasználói hozzájárulás megszerzésének feltételei miatt.

A vizsgálatok lefolytatásához elengedhetetlen, hogy az adatvédelmi hatóságok összegyűjtsék a lényeges bizonyítékokat, betartsák a tagállami jogszabályokban rögzített összes eljárási lépést, és jogszerű eljárásról gondoskodjanak a gyakran bonyolult ügyekben. Ez időigényes és sok munkával jár, ami magyarázatot ad arra, miért nem zárult még le a rendelet alkalmazásának kezdete óta indult vizsgálatok többsége.

Mindazonáltal a rendelet sikere nem a kiszabott bírságok száma, hanem az összes érintett szereplő szemléletmódjában és magatartásában bekövetkező változások alapján mérhető. Ezzel összefüggésben más eszközök is az adatvédelmi hatóságok rendelkezésére állnak: ilyen például az adatkezelés átmeneti vagy végleges korlátozása, ezen belül a harmadik országbeli címzett felé irányuló adatáramlás felfüggesztésének vagy tilalmának elrendelése 22 .

Egyes adatvédelmi hatóságok új eszközöket hoztak létre, például segélyvonalat indítottak, és eszközkészletet állítottak össze vállalkozások számára, míg mások újszerű megközelítésmódokat alakítottak ki, például szabályozási kötöttségek nélküli tesztelésre 23 biztosítanak lehetőséget, hogy ezzel segítsenek a vállalkozásoknak a szabályok betartására irányuló erőfeszítéseikben. Az érdekelt felek egy része – különösen a kis- és középvállalkozások bizonyos tagállamokban – úgy véli, hogy nem kapott elegendő támogatást és tájékoztatást 24 . E helyzet orvoslása céljából a Bizottság támogatást nyújt az adatvédelmi hatóságoknak, hogy megszólítsák az érdekelt feleket, főként az egyéneket, valamint a kis- és középvállalkozásokat 25 .

Működik az Európai Adatvédelmi Testület

Az adatvédelmi hatóságok fokozták az Európai Adatvédelmi Testület keretében végzett munkájukat 26 . Megfeszített munkájuknak köszönhetően a Testület mintegy húsz iránymutatást fogadott el a rendeletben felvetett legfontosabb szempontokról 27 . A Testület a rendeletben előírtak szerint kétéves munkaprogramban 28 fogalmazza meg, milyen területekkel foglalkozik a továbbiakban.

Több tagállamot érintő ügyekben az adatvédelmi hatóságok már nem egyszerűen nemzeti hatóságként, hanem egy valóban uniós szintű folyamat résztvevőiként járnak el minden szakaszban, a vizsgálattól a határozathozatalig. Ez a szorosabb együttműködés mindennapossá vált: 2019. június végéig 516, több tagállamot érintő ügyet kezeltek az együttműködési mechanizmus keretében.

A Bizottság aktívan közreműködik a Testület munkájában 29 , hogy előmozdítsa a rendelet szövegének és szellemének érvényesülését, és emlékeztet az uniós jog általános alapelveire 30 .

Az uniós adatvédelmi kultúra kialakítása felé

Az új irányítási rendszerben rejlő teljes potenciál még kiaknázásra vár. Fontos, hogy a Testület még észszerűbbé tegye döntéshozatali folyamatát, és közös uniós adatvédelmi kultúrát alakítson ki tagjai számára. Az adatvédelmi hatóságoknak lehetőségük nyílik a több tagállamot érintő kérdésekben összefogni 31 , például közös vizsgálatokat és jogérvényesítési intézkedéseket végrehajtani, ami közelebb hozhatja az említett célokat, egyúttal pedig az erőforrások szűkösségét is enyhítheti.

Számos érdekelt fél venné szívesen, ha az adatvédelmi hatóságok még szorosabban együttműködnének és egységes megközelítést követnének 32 . Az érdekeltek azt is kérik, hogy az adatvédelmi hatóságok következetesebb tanácsot adjanak 33 , a tagállami iránymutatások pedig teljes mértékben igazodjanak a Testület által megfogalmazottakhoz. Néhányan a rendeletben szereplő főbb fogalmak, például a kockázatalapú megközelítés további pontosítását is várják, különös tekintettel a főként kis- és középvállalkozások által megfogalmazott aggályokra.

Ezzel összefüggésben feltétlenül lehetővé kell tenni, hogy az érdekelt felek meglátásai nagyobb súllyal essenek latba a Testület munkájában. A Bizottság ezért üdvözli, hogy a Testület szisztematikus nyilvános konzultációt tartott az iránymutatásokról. Ezt a módszert – a mérlegelés korai szakaszában az érdekeltek számára célzott témakörökről szervezett műhelytalálkozókkal együtt – tovább kell vinni és hangsúlyosabbá kell tenni, hogy a Testület átlátható, átfogó és lényegi munkát végezzen.

IV.Az egyének élnek a jogaikkal, de további ismeretterjesztésre van szükség

Szintén a rendelet fő célkitűzései tartozik, hogy erősítse az egyének jogait. Polgári jogi szervezetek és fogyasztói szervezetek széles körben tekintik úgy, hogy a rendelet jelentősen hozzájárult a kölcsönös bizalomra épülő, igazságos digitális társadalom kialakításához.

Az adatvédelmi jogok pontosabb ismerete

Az egyének az Európai Unióban egyre jobban tisztában vannak az adatvédelmi szabályokkal és saját jogaikkal: egy 2019. májusi Eurobarométer felmérés 34 szerint a válaszadók 67 %-a tudott a rendeletről, 57 %-a pedig arról is értesült, hogy létezik tagállami adatvédelmi hatóság, amelyhez tájékoztatásért fordulhat, illetve panaszt nyújthat be. 73 %-uk hallott a rendelet által biztosított jogok közül legalább egyről. Azonban még mindig nagy számban vannak az Európai Unióban olyanok, akik nem tesznek személyes adataik védelméért az interneten. Például az egyének 44 %-a nem módosította az alapértelmezett adatvédelmi beállításokat az általa használt közösségi oldalakon.

Az egyének egyre több esetben gyakorolják a jogaikat

A jogok behatóbb ismeretének eredményeképpen az egyének határozottabban gyakorolják őket: ügyfélként, vásárlóként kérdéseket tesznek fel, és gyakrabban fordulnak az adatvédelmi hatóságokhoz, hogy tájékoztatást kérjenek, vagy panaszt tegyenek 35 . A vállalkozások is arról számoltak be, hogy több ágazatban, így a bankszektorban és a telekommunikációs ágazatban is megnőtt a személyes adatokhoz való hozzáférés iránti kérelmek száma. Az egyének emellett gyakrabban vonják vissza hozzájárulásukat, és többször gyakorolják a kereskedelmi közlemények elleni tiltakozáshoz való jogukat 36 .

A szereplők egy része ugyanakkor jelezte, hogy egyesek félreértették az adatvédelmi szabályokat, például azt hiszik, hogy az egyéneknek mindenfajta adatkezeléshez hozzá kell járulniuk, a törléshez való jog pedig abszolút jellegű (ezzel szemben a szereplőknek néha például jogi kötelezettségeik teljesítése érdekében kell tárolniuk személyes adatokat) 37 . Részükről a társadalmi szervezetek azt kifogásolják, hogy sokat kell várni egyes vállalkozások és adatvédelmi hatóságok válaszára.

Fontos megjegyezni, hogy nem kormányzati szervezetek több képviseleti keresetet indítottak egyének megbízásából, kihasználva a rendelet által kínált új lehetőséget 38 . Könnyebb lett volna képviseleti keresettel élni, ha több tagállam vette volna igénybe a rendeletben biztosított lehetőséget, hogy engedélyezze a nem kormányzati szervezetek számára a megbízás nélküli keresetindítást 39 .

Az ismeretterjesztő tevékenységek folytatásának szükségessége

Ezért tagállami és uniós szinten is tovább kell vinni a lakosságra összpontosító párbeszédet és ismeretterjesztő tevékenységeket. Ennek érdekében A Bizottság 2019 júliusában új internetes kampányt 40 indított, hogy az egyéneket az adatvédelmi nyilatkozatok elolvasására és a számukra legmegfelelőbb adatvédelmi beállítások megadására buzdítsa.

V.A vállalkozások kiigazítják módszereiket

A rendelet célja, hogy időtálló megoldásokat kínálva segítse a vállalkozásokat a digitális gazdaságban. A vállalkozások általában véve üdvözölték a rendeletben megfogalmazott elszámoltathatósági elvet, amely maga mögött hagyja a korábbi, előzetes megközelítést (a bejelentési követelmények megszüntetése, a kötelezettségek méretezhetősége és a beépített és az alapértelmezett adatvédelem rugalmassága, lehetővé téve az adatvédelmet biztosító megoldásokon alapuló versenyt). Ugyanakkor egyesek a jogbiztonság erősítését és kiegészítő vagy egyértelműbb iránymutatások megfogalmazását várják az adatvédelmi hatóságoktól 41 .

Észszerű adatgazdálkodás

A vállalkozások ugyan arról számoltak be, hogy több nehézséggel is szembesültek az új szabályokhoz való alkalmazkodás során 42 , de sokan kiemelték, hogy ezzel lehetőség nyílt arra, hogy az igazgatóság figyelmét is felhívják az adatvédelem kérdéskörére, rendet teremtsenek a birtokukban lévő adatokat illetően, erősítsék a biztonságot, alaposabban felkészüljenek az incidensekre, csökkentsék a szükségtelen kockázatoknak való kitettségüket, és bizalomteljesebb kapcsolatot alakítsanak ki ügyfeleikkel és üzletfeleikkel. Az átláthatóságot illetően a vállalkozások és a társadalmi szervezetek megemlítették, hogy kényes egyensúlyt kell teremteni az egyének rendeletben előírtak szerinti, maradéktalan tájékoztatása, egyúttal pedig a világos és közérthető nyelvezet és az egyének számára érthető forma között. A szereplők ebbe az irányba mutató innovatív megoldásokon dolgoznak.

A vállalkozások általánosságban jelezték, hogy sikerült bevezetniük az érintetteket illető új jogokat, de esetenként nehézséget okozott nekik a kérelmek megnövekedett száma és szerteágazóbb jellege 43 miatt a határidők betartása, illetve a kérelmet benyújtó személyek személyazonosságának ellenőrzése.

Az innovációra gyakorolt hatás

A rendelet nemcsak lehetővé teszi, de ösztönzi is új technológiák fejlesztését a személyes adatok védeleméhez való alapvető jog tiszteletben tartása mellett. Ez megfigyelhető többek között a mesterséges intelligencia területén.

A vállalkozások elkezdtek újfajta, fokozott adatvédelmet biztosító szolgáltatásokból álló kínálatot kialakítani. Egyes tagállamokban például egyre nagyobb piaci részesedésre tesznek szert a felhasználókat azok a keresőmotorok, amelyek nem követik nyomon a felhasználókat, és nem jelenítenek meg viselkedésalapú reklámokat. Más vállalkozások az egyéneknek biztosított új jogokra – például a személyes adataik hordozhatóságára – épülő szolgáltatásokat fejlesztenek. Egyre több vállalkozás igyekszik a személyes adatok tiszteletben tartásának kidomborításával kitűnni a versenyből és vásárlásra ösztönözni. Ezek a fejlemények nem korlátozódnak az Európai Unióra, hanem rendkívül innovatív külföldi gazdaságokban is megfigyelhető 44 .

Az „alacsony kockázatú” mikro- és kisvállalkozások egyedi helyzete

A tagállamok között tapasztalható eltérések ellenére megállapítható, hogy a személyes adatok kezelésétől eltérő fő tevékenységet folytató mikro- és kisvállalkozások 45 azon érdekelt felek között vannak, amelyeknél a legtöbb kérdés merül fel a rendelet alkalmazásáról. Míg a kérdések részben az adatvédelmi szabályok ismeretének hiányából erednek, az érdekeltek aggályait viszont esetenként felerősítik a fizetett szolgáltatást nyújtó tanácsadó irodák kampányai, a téves információk terjedése – például az egyénektől származó hozzájárulás módszeres megszerzésének szükségességére vonatkozóan 46 –, valamint a tagállami szinten előírt kiegészítő követelmények.

Ezzel összefüggésben a mikro- és kisvállalkozások az egyedi helyzetükhöz igazodó, kifejezetten gyakorlati jellegű tájékoztatást nyújtó iránymutatás kidolgozását szorgalmazzák. Az adatvédelmi hatóságok egy része tagállami szinten már gondoskodott erről 47 . A Bizottság a tagállami kezdeményezések kiegészítéseképpen tájékoztató anyagot tett közzé, amelyben gyakorlati lépések bemutatásával nyújt segítséget ezeknek a vállalkozásoknak 48 .

A rendelet által kínált eszközök igénybe vétele

A rendelet több olyan eszközről is rendelkezik, amellyel igazolható a szabályok teljesítése. Ilyenek például az általános szerződési feltételek, a magatartási kódexek és az újonnan bevezetett tanúsítási mechanizmusok.

Az általános szerződési feltételek olyan mintafeltételek, amelyek önkéntesen belefoglalhatók a – például az adatkezelő és az adatfeldolgozó között kötendő – szerződésbe, és rögzítik a szerződő felek rendelet szerinti kötelezettségeit. A rendelet a nemzetközi és az Unión belüli adattovábbítás tekintetében is kibővíti az általános szerződési feltételek alkalmazásának lehetőségeit 49 . A nemzetközi adattovábbítás terén széles körű használatuk azt jelzi 50 , hogy nagy segítséget jelentenek a vállalkozások számára a szabályok betartására irányuló erőfeszítéseikben, és különösen hasznosak azoknak a vállalkozásoknak, amelyeknek nem áll módjában mindegyik adatfeldolgozó vállalkozójukkal egyedi szerződésről tárgyalni.

Több ágazatban a harmonizáció előmozdítása szempontjából is hasznosnak tartják az általános szerződési feltételek elfogadását, különösen akkor, ha a Bizottság fogadja el őket. A Bizottság együttműködik majd az érdekelt felekkel, hogy közösen aknázzák ki a rendelet kínálta lehetőségeket, és naprakésszé tegyék a már meglévő feltételeket.

A magatartási kódexek betartása szintén olyan működési és gyakorlati eszköz, amellyel az ágazati szereplők könnyebben igazolhatják a rendelet előírásainak teljesítését 51 . A magatartási kódexeket meghatározott kategóriájú adatkezelőket és adatfeldolgozókat képviselő szakmai szövetségeknek vagy szervezeteknek kell kidolgozniuk, ismertetve, hogyan hajthatók végre az adatvédelmi szabályok az adott ágazatban. A kötelezettségek kockázatokkal való összehangolása esetén 52 a kis- és középvállalkozások számára is nagyon hasznos és költséghatékony megoldásnak bizonyulhat a kötelezettségeik teljesítésére.

Végezetül pedig a tanúsítás is hasznos eszköz lehet a rendeletben fogalt bizonyos követelmények teljesítésének igazolására. Növelheti a jogbiztonságot a vállalkozások számára, és világszinten előmozdíthatja a rendelet érvényesülését. Az Európai Adatvédelmi Testület által a közelmúltban elfogadott tanúsítási és akkreditálási iránymutatás 53 lehetőséget nyit tanúsítási rendszerek kialakítására az Európai Unióban. A Bizottság figyelemmel kíséri majd ezeket a fejleményeket, és adott esetben él a rendelet alapján kapott felhatalmazásával, hogy megfogalmazza a tanúsításra vonatkozó követelményeket. A Bizottság emellett a rendelet szempontjából lényeges elemeket illetően szabványosítási felkéréssel is fordulhat az uniós szabványügyi szervekhez.

VI.Folyamatban van a felfelé irányuló konvergencia nemzetközi szinten

Nem csak az Európai Unióban van igény a személyes adatok védelmére. A közelmúltban az internetes biztonságról készült nemzetközi felmérés kimutatta, hogy világszerte egyre csökken a bizalom, emiatt pedig az emberek változtatnak internetes viselkedési szokásaikon 54 . Egyre több vállalkozás igyekszik azzal eloszlatni ezeket az aggályokat, hogy saját elhatározásából az Unión kívüli ügyfeleire is kiterjeszti a rendelet alapján keletkezett jogokat.

Ezenkívül, mivel a világ országai egyre nagyobb figyelmet fordítanak az ehhez hasonló kihívások leküzdésére, új adatvédelmi szabályokkal vértezik fel magukat, vagy a meglévőket teszik korszerűbbé. E jogszabályok és az uniós adatvédelmi rendszer között gyakran sok közös vonás fedezhető fel, ilyen például az átfogó jogszabály alkalmazása ágazati szabályok helyett, az érvényesíthető, személyhez fűződő jogok és a független felügyeleti hatóság. Ez a tendencia valóban világméretű, Dél-Koreától Brazíliáig, Chilétől Thaiföldig és Indiától Indonéziáig megfigyelhető. Az Európa Tanács – közelmúltban a Bizottság jelentős közreműködésével korszerűsített 55 – 108. egyezményének 56 egyre inkább nyitott tagsága is egyértelműen jelzi a felfelé irányuló konvergencia e tendenciáját.

A biztonságos és szabad adatáramlás támogatása megfelelőségi határozatokkal és más eszközökkel

Ez a kialakulóban lévő konvergencia új lehetőségeket nyit meg az adatáramlás megkönnyítésére, következésképpen a kereskedelemre és a hatóságok közötti együttműködésre, egyúttal pedig az Unión belüli egyének külföldre továbbított adataira vonatkozó védelem erősítésére.

A Bizottság „A személyes adatok cseréje és védelme a globalizált világban” című, 2017. évi közleményében 57 megfogalmazott stratégia végrehajtása során, az adatvédelmi rendszerek egymáshoz való közelítésének elemeire építve, azokat továbbfejlesztve fokozta a harmadik országokat és más nemzetközi partnereket érintő szerepvállalását. Ennek keretében megvizsgálta megfelelőségi megállapítások kiválasztott harmadik országokkal való elfogadásának lehetőségét 58 . Ez a munka komoly eredményeket hozott, közülük kiemelendő az EU és Japán közötti kölcsönös megfelelőségi megállapodás 2019. februári hatálybalépése, amellyel létrejött a világ legnagyobb, szabad és biztonságos adatáramlást biztosító térsége. A Dél-Koreával folytatott megfelelőségi tárgyalások előrehaladott állapotban vannak, emellett jelenleg zajlik a feltáró munka a megfelelőségi megbeszélések több latin-amerikai országgal, például Chilével és Brazíliával való megindításával kapcsolatosan, a folyamatban lévő jogalkotási folyamatoktól függően. Ígéretes fejlemények tapasztalhatók Ázsia bizonyos részeiben, így Indiában, Indonéziában és Tajvanon, valamint az európai keleti és déli szomszédság országaiban is, ezáltal pedig a jövőben megnyílhat az út a megfelelőségi határozatok előtt.

A Bizottság egyúttal üdvözli, hogy a rendelet szerinti megfelelőséghez hasonló adattovábbítási eszközöket bevezető országok elismerték, hogy az Európai Unió és az EU által „megfelelőként” elfogadott országok a szükséges mértékű védelmet biztosítják 59 . Ezáltal létrejöhet olyan, országok közötti hálózat, ahol az adatok szabadon áramolhatnak.

Emellett élénk munka folyik más harmadik országokkal, például Argentínával, Izraellel, Kanadával és Új-Zélanddal a 1995. évi adatvédelmi irányelv alapján elfogadott megfelelőségi határozatok rendelet hatálya alatti folytonosságának biztosítása érdekében. Mindeközben az EU–USA adatvédelmi pajzs is hasznosnak bizonyult: 4700 vállalkozás részvétele mellett nyújt nagyfokú védelmet a transzatlanti adatáramláshoz 60 . Éves felülvizsgálata lehetővé teszi a keret megfelelő működésének rendszeres ellenőrzését, és az újonnan felmerülő kérdések mielőbbi rendezését.

Mivel az adatáramlás esetében nincsen egyenmegoldás, a Bizottság azon is dolgozik az érdekelt felekkel és a Testülettel, hogy a rendelet nemzetközi adattovábbításhoz biztosított eszközeiben rejlő összes lehetőséget kiaknázza. Ez olyan eszközöket érint, mint az általános szerződési feltételek, a tanúsítási rendszerek kialakítása, a magatartási kódexek, illetve a közjogi szervre vonatkozó közigazgatási megállapodások. Ezzel összefüggésben a Bizottság tapasztalatot és bevált módszereket kíván cserélni más olyan rendszereket illetően, amelyekben egyedi ismeretek alakultak ki némely ilyen eszközzel kapcsolatosan. A Bizottság mérlegeli, hogy él-e a rendeletben adott felhatalmazásokkal ezeket az adattovábbítási eszközöket, különösen az általános szerződési feltételeket illetően.

A kizárólag kétoldalú eszközökön túlmenően érdemes lenne megvizsgálni, hogy a hasonló felfogású országokkal összefogva létre lehetne-e hozni egy nemzetközi keretet e téren, tekintettel arra, hogy az adatáramlás jelenleg a kereskedelem, a kommunikáció és a társas érintkezés egyre lényegesebb elemévé válik. Ilyen eszköz lehetővé tenné, hogy az adatok szabadon áramoljanak a szerződő felek között, egyúttal pedig közös értékek és egymáshoz közeledő rendszerek alapján biztosítaná a szükséges mértékű védelmet. Kialakításához például építeni lehetne a korszerűsített 108. egyezményre, vagy meríteni lehetne a Japán által az év elején indított, bizalmon alapuló szabad adatáramlásra vonatkozó kezdeményezésből.

Új szinergiák létrehozása a kereskedelmi és az adatvédelmi eszközök között

A Bizottság az adatvédelmi előírások nemzetközi szintű közelítésének előmozdítása mellett a digitális protekcionizmus leküzdése iránt is elkötelezett. E célból kereskedelmi megállapodásokba foglalható, adatáramlásról és adatvédelemről szóló egyedi rendelkezéseket dolgozott ki, amelyeket módszeresen napirendre tűz két- és többoldalú tárgyalások során, például a WTO keretében az e-kereskedelemről jelenleg zajló megbeszélésekben. Ezek a horizontális rendelkezések kizárják a kizárólagosan protekcionista intézkedéseket, például a kötelező adatlokalizációs követelményeket, egyúttal pedig megőrzik a felek szabályozási autonómiáját az adatvédelemhez való alapvető jog megóvása érdekében.

Az adatvédelemről folytatott párbeszédnek és a kereskedelmi tárgyalásoknak ugyan elkülönülve kell zajlaniuk, de ki is egészíthetik egymást: az ilyen jellegű szinergiára a legjobb példa az EU és Japán közötti kölcsönös megfelelőségi megállapodás, amely még jobban megkönnyíti a kereskedelmi forgalmat, és ezáltal növeli a gazdasági partnerségi megállapodás előnyeit. Az ilyen jellegű, közös értékeken és szigorú előírásokon alapuló és hatékony jogérvényesítéssel támogatott közelítés tulajdonképpen a lehető legszilárdabb alapot biztosítja a személyes adatok cseréjéhez, ezt pedig nemzetközi partnereink közül is mind többen ismerik el 61 . Mivel egyre több vállalkozás folytat határokon átnyúló tevékenységet, és szívesebben alkalmazna hasonló szabályokat világszerte minden üzleti tevékenységében, ez a fajta közelítés hozzájárul a közvetlen külföldi tőkebefektetésnek kedvező környezet megteremtéséhez, ezzel megkönnyítve a kereskedelmet és fokozva a kereskedelmi partnerek közötti bizalmat.

A bűnözés és a terrorizmus elleni küzdelem érdekében folytatott információcsere megkönnyítése megfelelő garanciák alapján

Az adatvédelmi rendszerek összeegyeztethetőségének fokozása is jelentősen megkönnyítheti az uniós és külföldi szabályozó, rendészeti és igazságügyi hatóságok között elengedhetetlenül szükséges információcserét, hatékonyabbá és gördülékenyebbé téve a bűnüldözési együttműködést 62 . Ennek érdekében a Bizottság mérlegeli, hogy a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvben biztosított lehetőséggel élve megfelelőségi határozatokat fogadjon el annak érdekében, hogy elmélyítse az együttműködést fő partnereivel a bűnözés és a terrorizmus elleni küzdelemben. Ezenkívül a 2017 februárjában hatályba lépett EU–USA keretmegállapodás 63 mintaként használható a más fontos biztonsági partnerekkel kötendő hasonló megállapodásokhoz.

A harmadik országokkal folytatott tartós bűnüldözési együttműködés alapjául szolgáló, szigorú adatvédelmi előírások fontosságát alátámasztó további példák között említhető az utas-nyilvántartási adatállományok (PNR-ek) 64 továbbítása, valamint az Europol és fontos nemzetközi partnerek közötti műveleti információcsere. E téren jelenleg is zajlanak vagy hamarosan megindulnak a nemzetközi megállapodásokról szóló tárgyalások a déli szomszédság több országával 65 .

Az erős adatvédelmi garanciák a nyomozások során az elektronikus bizonyítékokhoz való, határon átnyúló hozzáférésről szóló esetleges későbbi – kétoldalú (EU–USA megállapodás) vagy többoldalú (az Európa Tanács számítástechnikai bűnözésről szóló budapesti egyezményének második kiegészítő jegyzőkönyve) – megállapodásnak is alapvető elemét képezik majd 66 .

Együttműködés az adatvédelmi jogérvényesítés terén

Mivel napjainkban az adatvédelmi szabályok betartásával kapcsolatos problémák vagy az információbiztonsági incidensek nagyszámú egyént érinthetnek egyszerre több ország joghatósága alatt, ezért a felügyelő hatóságok nemzetközi szorosabb nemzetközi szintű együttműködése hozzájárulhat a személyhez fűződő jogok védelmének hatékonyabbá tételéhez és a gazdasági szereplő számára biztosabb környezet megteremtéséhez. A Bizottság mindezekre tekintettel és a Testülettel szoros kapcsolatot tartva dolgozik majd azon, hogyan tehetné gördülékenyebbé az uniós és külföldi felügyelő hatóságok közötti jogérvényesítési együttműködést, többek között élve a rendelet által e téren biztosított új hatásköreivel 67 . Az együttműködés különféle módon megvalósulhat, közös értelmezési és vagy gyakorlati eszközök kidolgozásától 68 a folyamatban lévő nyomozásokkal kapcsolatos információcseréig.

Végezetül pedig a Bizottságnak emellett szándékában áll élénkebb párbeszédet folytatni a regionális szervezetekkel és hálózatokkal, például a Délkelet-ázsiai Nemzetek Szövetségével (ASEAN), az Afrikai Unióval, az ázsiai és csendes-óceáni térségi adatvédelmi hatóságok fórumával (APPA) vagy az Iberoamerikai Adatvédelmi Hálózattal, amelyek mind egyre fontosabb szerepet játszanak a közös adatvédelmi szabályok alakításában, a bevált módszerek megosztásának támogatásában és a jogérvényesítő szervek közötti együttműködés előmozdításában. A Bizottság emellett a Gazdasági Együttműködési és Fejlesztési Szervezettel és az Ázsiai és Csendes-óceáni Gazdasági Együttműködési Szervezettel is együttműködik, hogy az előírások közelítése révén nagyfokú adatvédelemről gondoskodjon.

VII.Az adatvédelmi jogszabályok számos szakpolitika szerves részét képezik

A személyes adatok védelme az Unió több szakpolitikájába beépül, és ezáltal garantált.

Telekommunikációs és elektronikus hírközlési szolgáltatások

A Bizottság 2017 januárjában az elektronikus hírközlési adatvédelmi rendeletre vonatkozó javaslatot 69 . A javaslat célja a hírközlés titkosságának az Alapjogi Charta rendelkezései szerinti védelme, egyúttal pedig a kommunikáció részét képező személyes adatok és a végfelhasználói hírközlő végberendezések védelme.

A javasolt elektronikus hírközlési adatvédelmi rendelet a fent említett célokat szolgáló egyedi szabályok meghatározásával részletezi és kiegészíti a rendelet rendelkezéseit. Korszerűsíti a jelenleg hatályos uniós elektronikus adatvédelmi szabályokat 70 , hogy azok tükrözzék a technológiai és jogi fejleményeket. Az egyének magánéletét megillető védelem erősítése érdekében kiterjeszti az új szabályok hatályát a hálózatsemleges online hírközlési szolgáltatásokat nyújtó szolgáltatókra, ezzel egyenlő versenyfeltételeket teremtve az összes elektronikus hírközlési szolgáltatás számára. Míg az Európai Parlament 2017 októberében elfogadta a háromoldalú egyeztetések indítására vonatkozó megbízatást, addig a Tanács még nem állapodott meg általános megközelítésről. A Bizottság továbbra is teljes mértékben elkötelezett az elektronikus hírközlési adatvédelmi rendelet mellett, és támogatja a társjogalkotókat abban, hogy gyorsan elfogadják a rendeletjavaslatot.

Egészségügy és kutatás

A rendelet szerint különleges adatnak minősülő egészségügyi adatok tagállamok közötti cseréjének megkönnyítése egyre fontosabbá válik a közegészségügy területén, aminek a közérdekben gyökerező okai vannak. Ilyen többek között az egészségügyi ellátás vagy kezelés biztosítása, a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem, valamint az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása. A rendelet szabályokat állapít meg annak érdekében, hogy az egészségügyi adatokat jogszerű és megbízható módon kezeljék és cseréjék az Unió egész területén. Ezek a szabályok harmadik felek betegek egészségügyi adataihoz – köztük a betegadatlapokon, e-rendelvényeken és a későbbiekben majd az átfogó elektronikus egészségügyi dokumentációkban szereplő adatokhoz – való hozzáférésére és ezen adatok tudományos kutatási célokra való felhasználására is vonatkoznak. Emellett a Bizottság a klinikai vizsgálatok szakterületére vonatkozóan kérdéseket és válaszokat állított össze a klinikai vizsgálatokról szóló rendelet 71 és az általános adatvédelmi rendelet közötti viszonyról 72 .

Mesterséges intelligencia (MI)

Az MI stratégiai jelentősége folyamatosan növekszik, ezért feltétlenül ki kell dolgozni a fejlesztésére és felhasználására vonatkozó nemzetközi szabályokat. Az MI fejlesztésének és elterjedésének előmozdítása során a Bizottság emberközpontú megközelítés mellett döntött, tehát az MI alkalmazási módjait az alapvető jogok tiszteletben tartásával kell kialakítani 73 . Ezzel összefüggésben a rendeletben rögzített szabályok általános keretet adnak, és olyan egyedi kötelezettségeket és jogokat fogalmaznak meg, amelyek különösen lényegesek a személyes adatok MI-vel történő kezelése szempontjából. A rendelet például felruházza az érintettet azzal a joggal, hogy bizonyos helyzetektől eltekintve ne irányuljon rá kizárólagosan automatizált döntéshozatal 74 . Emellett egyedi átláthatósági követelményeket is rögzít az automatizált döntéshozatal alkalmazására vonatkozóan, különös tekintettel az ilyen döntéshozatal tényéről való tájékoztatás, valamint a döntéshozatal jelentőségével és az érintettre nézve várható következményekkel kapcsolatos érthető információk és magyarázat közlése iránti kötelezettségre. 75 A rendelet ezen alapelveiről a mesterséges intelligenciával foglalkozó, magas szintű szakértői csoport 76 , a Gazdasági Együttműködési és Fejlesztési Szervezet 77 és a G20-csoport 78 is elismerte, hogy az MI-vel kapcsolatosan felmerülő kihívások és lehetőségek szempontjából különösen fontosak. Az Európai Adatvédelmi Testület az MI-t jelölte meg az egyik lehetséges témakörként a 2019–2020. évi munkaprogramjában 79 .

Közlekedés

Az összekapcsolt autók és az intelligens városok fejlesztése egyre nagyobb mértékben támaszkodik nagy mennyiségű személyes adat kezelésére és több szereplő – köztük gépjárművek, autógyártók, telematikai szolgáltatók és a közúti infrastruktúráért felelős hatóságok – közötti cseréjére. A környezet többszereplős jellege némileg bonyolulttá teszi a személyes adatok kezelésében közreműködő különböző szereplők szerep- és feladatkörének kijelölését és annak biztosítását, hogy az összes szerelő jogszerűen végezze az adatkezelést. A rendelet és az elektronikus hírközlési adatvédelmi jogszabályok betartása elengedhetetlen az intelligens közlekedési rendszerek sikeres kiépítéséhez az összes közlekedési mód esetében, valamint a digitális eszközök és szolgáltatások elterjesztéséhez az egyének és áruk nagyobb fokú mobilitásának lehetővé tétele érdekében 80 .

Energetika

Az energiaágazatban a digitális megoldások fejlesztéséhez egyre nagyobb szükség van a személyes adatok kezelésére. A „Tiszta energia minden európainak” csomag 81 részeként elfogadott jogszabályok a villamosenergia-ágazat digitalizálását lehetővé tevő új rendelkezéseket, valamint az adatokhoz való hozzáférésre, az adatgazdálkodásra és az interoperabilitásra vonatkozó szabályokat tartalmaz, amelyek utat nyitnak a fogyasztók valós idejű adatainak kezeléséhez, ezáltal pedig megtakarítás érhető el, valamint ösztönözhető a saját termelés és az energiapiaci részvétel. Az adatvédelmi szabályok betartása ezért rendkívül fontos e rendelkezések sikeres végrehajtásához.

Versenyjog

A személyes adatok kezelése egyre fontosabb tényező a versenypolitikában 82 . Mivel kizárólag az adatvédelmi hatóságok rendelkeznek megbízással az adatvédelmi szabályok megsértésének kivizsgálására, a verseny-, a fogyasztóvédelmi és az adatvédelmi hatóságok szükség esetén jelenleg és a jövőben is együttműködnek, ha hatáskörük találkozásánál szükség van erre. A Bizottság támogatja az ilyen jellegű együttműködést, és kiemelt figyelemmel kíséri a fejleményeket.

Választások

A választási csomag 83 részeként 2018. szeptemberben közzétett, a személyes adatok választásokkal összefüggésben történő felhasználásáról szóló iránymutatásában 84 a Bizottság felhívta a figyelmet azokra a szabályokra, amelyek különösen fontosak a választásokban közreműködő szereplők számára, külön kitérve a választók mikrocélzására. Ez az iránymutatás tükröződött az Európai Adatvédelmi Testület nyilatkozatában 85 , több adatvédelmi hatóság pedig saját iránymutatást tett közzé tagállami szinten. A választási csomag emellett felhívást is tartalmazott arra vonatkozóan, hogy mindegyik tagállam hozzon létre nemzeti választási hálózatot a választási ügyekben illetékes, valamint a választásokat érintő internetes tevékenységekre vonatkozó – például adatvédelmi – szabályok nyomon követéséért és érvényesítéséért felelős hatóságok bevonásával. Új intézkedések születtek az adatvédelmi szabályok európai politikai pártok és alapítványok általi megsértésére vonatkozó szankciók bevezetésére. A Bizottság ajánlotta a tagállamoknak, hogy ugyanezt a megközelítést kövessék nemzeti szinten. A 2019. évi európai parlamenti választások értékelése az adatvédelmi szempontok figyelembevételével készül, eredményei pedig 2019 októberére várhatók.

Bűnüldözés

Hatékony és valódi biztonsági unió csak az Európai Unió Alapjogi Chartájában és a másodlagos uniós jogszabályokban foglalt alapvető jogok maradéktalan tiszteletben tartására építhető. Ennek keretében megfelelő adatvédelmi garanciákat kell biztosítani a személyes adatok bűnüldözési célú biztonságos cseréjének lehetővé tétele érdekében. A magánélet tiszteletben tartásához és az adatvédelemhez való jog bármilyen korlátozásához szigorúan meg kell vizsgálni annak szükségességét és arányosságát.

VIII.Következtetés

A jelenleg rendelkezésére álló információk és az érdekelt felekkel folytatott párbeszéd alapján a Bizottság előzetes értékelése, hogy a rendelet alkalmazásának első éve összességében véve kedvezően alakult. Mindazonáltal ez a közlemény is rávilágított arra, hogy több területen is továbbra fejlődésre van szükség.

A jogi keret bevezetése és kiegészítése:

·A három tagállamnak, amely még nem tette naprakésszé nemzeti adatvédelmi jogszabályait, ezt haladéktalanul meg kell tennie. Az összes tagállamnak be kell fejeznie az ágazati jogszabályai összehangolását a rendelet követelményeivel.

·A Bizottság a rendelkezésére álló összes eszközt, köztük a kötelezettségszegési eljárást is felhasználja annak elérése érdekében, hogy az összes tagállam betartsa a rendeletet és korlátozza az adatvédelmi keret esetleges széttagolódását.

Az új irányítási rendszerben rejlő teljes potenciál kiaknázása:

·A tagállamoknak elegendő emberi, pénzügyi és műszaki erőforrást kell biztosítaniuk a nemzeti adatvédelmi hatóságok számára.

·Az adatvédelmi hatóságoknak szorosabbra kell fűzniük együttműködésüket, például közös vizsgálatok végrehajtásával. A tagállamoknak meg kell könnyíteniük az ilyen vizsgálatok lefolytatását.

·A Testületnek tovább kell fejlesztenie az uniós adatvédelmi kultúrát, és maradéktalanul ki kell használnia a rendeletben meghatározott eszközöket a szabályok összehangolt alkalmazása érdekében. További iránymutatásokat kell készítenie, különösen a kis- és középvállalkozások számára.

·A Testület titkárságának szakértelmét bővíteni kell, hogy hatékonyabban támogassa és irányítsa a Testület által végzett munkát.

·A Bizottság továbbra is támogatja az adatvédelmi hatóságokat és a Testületet, különösen azáltal, hogy tevékenyen közreműködik a Testület munkájában, és felhívja annak figyelmét az uniós jog követelményeire a rendelet végrehajtása során.

·A Bizottság támogatja az adatvédelmi hatóságok és más hatóságok közötti kapcsolattartást, különösen a versenyjog terén, a hatáskörük teljes tiszteletben tartása mellett.

Az érdekelt felek támogatása és bevonása:

·A Testület javítania kell azon, ahogy bevonja az érdekelt feleket a munkájába. A Bizottság továbbra is pénzügyi támogatást nyújt az adatvédelmi hatóságoknak, hogy segítsen nekik megszólítani az érdekelt feleket.

·A Bizottság folytatja ismeretterjesztő tevékenységeit és az érdekelt felekkel végzett munkáját.

A nemzetközi konvergencia előmozdítása:

·A Bizottság tovább élénkíti a megfelelőségről folytatott párbeszédet az alkalmas fő partnerekkel, többek között a bűnüldözés területén. Célja főként, hogy a következő hónapokban lezárja a jelenleg zajló tárgyalásokat Dél-Koreával. 2020-ban jelentést készít az adatvédelmi irányelv alapján elfogadott 11 megfelelőségi határozatról.

·A Bizottság folytatja a közös munkát – többek között technikai segítségnyújtás, információcsere és a bevált módszerek megosztása útján – azokkal az országokkal, amelyek korszerű adatvédelmi jogszabályokat kívánnak elfogadni, és támogatja az együttműködést harmadik országbeli felügyelő hatóságokkal és regionális szervezetekkel.

·A bizottság többoldalú és regionális szervezetekkel is kapcsolatot tart majd, hogy előmozdítsa a szigorú adatvédelmi előírások alkalmazását a kereskedelem ösztönzése és az együttműködés megkönnyítése érdekében (például a Japán által a G20-csoport keretében indított, bizalmon alapuló szabad adatáramlásra vonatkozó kezdeményezés alapján).

A rendelet 86 előírja, hogy a Bizottság 2020-ban készítsen jelentést annak végrehajtásáról. Ez lehetőséget kínál az elért haladás értékelésére és annak felmérésére, hogy az új adatvédelmi rendszer különféle alkotóelemei két év alkalmazás után teljes körűen működnek-e. A Bizottság e célból egyeztet az Európai Parlamenttel, a Tanáccsal, a tagállamokkal, az Európai Adatvédelmi Testülettel, az érdekelt felekkel és az érintett polgárokkal.

(1)    Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.): https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:32016R0679
(2)    Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4.):     https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=celex:32016L0680 Az irányelvet a tagállamoknak 2018. május 6-ig kellett átültetniük. A biztonsági unióról szóló jelentések beszámolnak az átültetés aktuális állásáról.
(3)    Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39–98. o.): https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A32018R1725 2018. december 11-től alkalmazandó.
(4)    Az indiai legfelsőbb bíróság precedensértékű, 2017. augusztus 24-i ítéletében alapvető jogként ismerte el a magánélet tiszteletben tartásához való jogot mint „az emberi méltóság elengedhetetlen feltételét”.
(5)    A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: „Erősebb védelem, új lehetőségek – a Bizottság iránymutatása az általános adatvédelmi rendelet 2018. május 25-től történő közvetlen alkalmazásáról”, COM(2018) 43 final:      https://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043
(6)    A Bizottság által létrehozott, a rendelettel foglalkozó, több érdekelt felet tömörítő csoport a civil társadalom és az üzleti élet képviselőiből, valamint tudományos és gyakorlati szakemberekből áll:     http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537.
(7)     https://europa.eu/rapid/press-release_IP-19-2956_hu.htm
(8)    A rendelet 97. cikke.
(9)    „A Bizottság iránymutatása az uniós adatvédelmi szabályok választásokkal összefüggésben történő alkalmazásáról”, COM(2018) 638 final: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52018DC0638&qid=1551190000678&from=HU
(10)    Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról     https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex:31995L0046  
(11)    Ide tartozik például a közigazgatási bírság kiszabására vonatkozó hatáskör.
(12)    2019. július 23-án Görögországban, Portugáliában és Szlovéniában még folyamatban volt a vonatkozó nemzeti jogszabályok meghozatala.
(13)    Lásd a rendelettel foglalkozó, több érdekelt felet tömörítő csoport 2019. június 13-i jelentését: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670.
(14)    Belgiumban, Dániában, az Egyesült Királyságban, Észtországban, Finnországban, Lettországban, Máltán és Svédországban 13 év, Ausztriában, Bulgáriában, Cipruson, Litvániában, Olaszországban és Spanyolországban 14 év, Csehországban és Franciaországban 15 év, Hollandiában, Horvátországban, Írországban, Lengyelországban, Luxemburgban, Magyarországon, Németországban, Romániában és Szlovákiában pedig 16 év.
(15)    8. cikk.
(16)    Az Európai Unió működéséről szóló szerződés 16. cikkének (2) bekezdésével összhangban.
(17)    A rendelet 60. cikke szerint az adatvédelmi hatóságoknak együtt kell működniük, hogy konkrét esetekben egyformán értelmezzék a rendeletet. A 64. cikk értelmében a Testület bizonyos esetekben véleményt bocsát ki, hogy gondoskodjon a rendelet egységes alkalmazásáról. Végezetül pedig a Testület felhatalmazással rendelkezik arra, hogy az adatvédelmi hatóságokra nézve kötelező erejű döntéseket fogadjon el, amennyiben valamilyen kérdésben nem értenek egyet.
(18)    Németországban és Spanyolországban volt rá példa.
(19)     https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf  
(20)    For instance, the Irish Data Protection Commission opened 15 formal investigations in relation to the compliance of multinational technology companies with the Regulation. See page 49 of the 2018 annual report of the Irish Data Protection Commission:     https://www.dataprotection.ie/en/news-media/press-releases/dpc-publishes-annual-report-25-may-31-december-2018
(21)    A pénzbírság kiszabásáról szóló határozatok közül több még bírósági felülvizsgálat alatt áll.
(22)    Az 58. cikk (2) bekezdésének f) és j) pontja.
(23)     https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/09/ico-call-for-views-on-creating-a-regulatory-sandbox/
(24)    Lásd az általános adatvédelmi rendelettel foglalkozó, több érdekelt felet tömörítő csoport jelentését: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670  
(25)    2018-ban kilenc adatvédelmi hatóság összesen 2 millió EUR támogatást kapott a 2018–2019. évi tevékenységeihez Belgiumban, Bulgáriában, Dániában, Magyarországon, Litvániában, Lettországban, Hollandiában, Szlovéniában és Izlandon: https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2017 ;  
2019-ben 1 millió EUR kerül kiutalásra:
https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2019  
(26)    A Testület jogi személyiséggel rendelkezik, és a tagállamok adatvédelmi felügyeleti hatóságainak vezetőiből és az európai adatvédelmi biztosból áll.
(27)     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_hu  
(28)     https://edpb.europa.eu/our-work-tools/our-documents/publication-type/work-program_hu  
(29)    Szavazati joggal nem rendelkező résztvevőként.
(30)    A Bizottság emellett segített zökkenőmentessé tenni a Testület létrehozását, és kommunikációs rendszerének rendelkezésre bocsátásával támogatja annak működését.
(31)    A rendelet 62. cikke.
(32)    Lásd a rendelettel foglalkozó, több érdekelt felet tömörítő csoport jelentését: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670.    A vállalkozások szerint például jobban össze lehetne hangolni a rendelet 35. cikke értelmében adatvédelmi hatásvizsgálatot igénylő adatkezelési műveletek fajtáit tartalmazó tagállami jegyzékeket.
(33)    Köztük a szövetségi államok különböző hatóságai is.
(34)     https://europa.eu/rapid/press-release_IP-19-2956_hu.htm  
(35)     https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf  
(36)    Lásd az általános adatvédelmi rendelettel foglalkozó, több érdekelt felet tömörítő csoport jelentését.
(37)    Lásd az általános adatvédelmi rendelettel foglalkozó, több érdekelt felet tömörítő csoport jelentését.
(38)    A rendelet 80. cikkének (1) bekezdése.
(39)    A rendelet 80. cikkének (2) bekezdése.
(40)    Az egyéneknek és vállalkozásoknak szóló tájékoztató anyagok terjesztésére irányuló korábbi kampány nyomdokain halad tovább. https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_hu  
(41)    Lásd a rendelettel foglalkozó, több érdekelt felet tömörítő csoport jelentését.
(42)    A legnagyobb nehézségek között gyakran merül fel az informatikai rendszer naprakésszé tétele, különösen a beépített és alapértelmezett adatvédelem elveinek, a biztonsági mentésekből való törléshez való jognak és egyebeknek a bevezetésével összefüggésben.
(43)    A vállalkozások szintén a Testülethez fordultak, hogy a megalapozatlan vagy túlzó kérelmekről is készítsen iránymutatást.
(44)    Az izraeli kiberbiztonsági ágazati szövetség által közzétett jelentés szerint például a kiberbiztonság adat- és magánélet-védelmi alágazata volt a leggyorsabban növekvő alágazat 2018-ban, ami részben annak tudható be, hogy kezdetét vette az általános adatvédelmi rendelet alkalmazása.
(45)    A kkv fogalmának következő internetcímen található meghatározása szerint: https://ec.europa.eu/growth/smes/business-friendly-environment/sme-definition_en
(46)    A rendelet valójában nem kizárólag a hozzájárulásra támaszkodik, hanem több jogalapról is rendelkezik a személyes adatok kezelését illetően.
(47)    Példaként a francia adatvédelmi hatóság által készített útmutató elérhető a következő internetcímen: https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement
(48)     https://ec.europa.eu/commission/sites/beta-political/files/ds-02-18-544-hu-n.pdf
(49)    Lásd a rendelet 28. cikkét. A Bizottság elfogadott általános szerződési feltételek az Unió egész területén érvényesek. Ezzel szemben az adatvédelmi hatóság által a 28. cikk (8) bekezdése szerint elfogadott feltételek csak az őket elfogadó hatóságra nézve kötelezőek, így az 55. és az 56. cikk értelmében kizárólag az adott hatóság illetékességébe tartozó adatkezelési műveletek tekintetében alkalmazhatók általános szerződési feltételként.
(50)    A vállalkozások tulajdonképpen főként ezekre a feltételekre támaszkodnak az általuk végzett adatátadás során.
(51)    Az Európai Adatvédelmi Testület 2019. június 4-én a magatartási kódexekről szóló iránymutatást fogadott el. Ebben a magatartási kódexek tagállami és uniós szinten történő benyújtására, jóváhagyására és közzétételére vonatkozó eljárásokat és szabályokat is tisztázza.
(52)    A rendelet (98) preambulumbekezdése.
(53)     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en ;     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42018-accreditation-certification-bodies-under_en
(54)    Lásd a CIGI és az Ipsos internetes biztonságról és bizalomról szóló 2019. nemzetközi felmérését. A felmérés szerint a megkérdezettek 78 %-ának vannak aggályai az internetes adatvédelmet illetően. 49 % úgy nyilatkozott, hogy bizalmatlansága miatt kevesebb személyes adatot oszt meg az interneten, míg 43 % arról számolt be, hogy jobban odafigyel készüléke biztonságára, 39 % pedig azt válaszolta, hogy egyéb óvintézkedések mellett jobban megválogatja, mikor használja az internetet. A felmérést a következő 25 országban végezték el: Ausztrália, Brazília, Dél-Afrika, Dél-Korea, az Egyesült Államok, Egyiptom, Franciaország, Hongkong, India, Indonézia, Japán, Kanada, Kenya, Kína, Lengyelország, Mexikó, Nagy-Britannia, Németország, Nigéria, Olaszország, Oroszország, Pakisztán, Svédország, Törökország és Tunézia.
(55)    A személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezmény (ETS 108) módosításáról szóló, a Miniszteri Bizottság 2018. május 17–18-án a dániai Helsingørben tartott 128. ülésén elfogadott jegyzőkönyv. A korszerűsített 108. egyezmény egységes szerkezetbe foglalt szövege a következő internetcímen érhető el:  https://rm.coe.int/16808ade9d
(56)    Az Európa Tanács 1981. január 28-i egyezménye az egyének védelméről a személyes adatok gépi felhasználása során (ETS 108), és a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló 2001-es kiegészítő jegyzőkönyve (ETS 181). Ez az egyetlen kötelező erejű, többoldalú megállapodás az adatvédelem terén. Legutóbb Argentína, Marokkó, Mexikó és a Zöld-foki Köztársaság csatlakozott az Egyezményt ratifikáló országok sorához.
(57)    A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: „A személyes adatok cseréje és védelme a globalizált világban”, COM(2017) 7 final.
(58)    A rendelet emellett lehetővé tette a nemzetközi szervezetekre vonatkozó megfelelőségi megállapítások elfogadását az ilyen szervezetekkel folytatott adatcsere megkönnyítésére irányuló uniós törekvések részeként.
(59)    Ezt a megközelítést alkalmazza például Argentína, Izrael, Kolumbia és Svájc.
(60)    Ez azt jelenti, hogy az adatvédelmi pajzs a működése első három évében több részt vevő vállalkozásra tett szert, mint elődje, a „védett adatkikötő” működése 13 éve alatt.
(61)    Ahogy azt például a G20-ak vezetőinek oszakai nyilatkozatában szereplő, „bizalmon alapuló szabad adatáramlás” fogalmára való hivatkozás is tükrözi:     https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf
(62)    Lásd: a Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Az európai biztonsági stratégia, COM(2015) 185 final.
(63)    Az EU és az USA közötti megállapodás a személyes adatok védelméről a bűncselekmények – köztük terrorista cselekmények – megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása céljából, a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő adattovábbítás vagy -feldolgozás terén. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex:22016A1210(01) (a továbbiakban: a keretmegállapodás). A keretmegállapodás az első olyan kétoldalú nemzetközi megállapodás a bűnüldözés területén, amely az adatvédelmi jogok és kötelezettségek átfogó jegyzékéről rendelkezik az uniós vívmányokkal összhangban. Jól példázza, hogyan fokozható a bűnüldözési együttműködés egy fontos nemzetközi partnerrel, ha sikerül erős adatvédelemi garanciákról megállapodni.
(64)    Az ENSZ Biztonsági Tanácsa 2017. december 21-i 2396. sz. határozatában felhívta az összes ENSZ-tagállamot, hogy teremtsék meg a PNR-adatok gyűjtésének, kezelésének és elemzésének lehetőségét az emberi jogok és alapvető szabadságok tiszteletben tartása mellett. Lásd még: a Bizottság közleménye – „Az európai biztonsági stratégia”, COM (2015)185 final: http://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52015DC0185&from=HU
(65)     https://ec.europa.eu/home-affairs/news/security-union-strengthening-europols-cooperation-third-countries-fight-terrorism-and-serious_en  
(66)     http://europa.eu/rapid/press-release_IP-19-2891_en.htm  
(67)    Lásd a rendelet 50. cikkét az adatvédelem terén folytatott nemzetközi együttműködésről. Ez a rendelkezés kiterjed az együttműködés legkülönfélébb formáira, az adatvédelmi jogszabályokról való tájékoztatástól a panaszok illetékes hatósághoz történő továbbításán át a vizsgálatokban történő segítségnyújtásig.
(68)    Például közös űrlapok az adatvédelmi incidensek bejelentésére.
(69)     https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A52017PC0010  
(70)    Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37–47. o.).
(71)     https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex%3A32014R0536  
(72)     https://ec.europa.eu/health/sites/health/files/files/documents/qa_clinicaltrials_gdpr_en.pdf  
(73)    A Bizottság közleménye (2019. április 8.) az emberközpontú mesterséges intelligencia iránti bizalom növeléséről: https://ec.europa.eu/digital-single-market/en/news/communication-building-trust-human-centric-artificial-intelligence      A magas szintű szakértői csoport 2019. április 8-i, mesterséges intelligenciára vonatkozó etikai iránymutatása: https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai Lásd még az OECD Tanácsának mesterséges intelligenciáról szóló ajánlását: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 ; a G20-csoport által a G20-ak vezetőinek oszakai nyilatkozata részeként jóváhagyott MI-alapelveket: https://www.g20.org/pdf/documents/en/annex_08.pdf ; valamint a G20-csoport kereskedelemről és digitális gazdaságról szóló miniszteri nyilatkozata: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf
(74)    A rendelet 22. cikke.
(75)    A rendelet 13. cikke (2) bekezdésének f) pontja.
(76)     https://ec.europa.eu/digital-single-market/en/high-level-expert-group-artificial-intelligence
(77)    A z OECD Tanácsának mesterséges intelligenciáról szóló ajánlása:  https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449  
(78)    A G20-csoport kereskedelemről és digitális gazdaságról szóló miniszteri nyilatkozata:     https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf
(79)     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_en.pdf  
(80)    Például az útvonal tervezésnek és a különböző szállítóeszközök út közbeni használatának megkönnyítésével.
(81)    Különösen a villamosenergia-irányelv:     https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX%3A32009L0072  
(82)    Például az M.8788 számú Apple/Shazam ügy és az M.8124 számú Microsoft/LinkedIn ügy.
(83)     https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52018DC0638&qid=1551190000678&from=HU  
(84)     http://europa.eu/rapid/press-release_IP-18-5681_hu.htm  
(85)     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-03-13-statement-on-elections_en.pdf  
(86)    A rendelet 97. cikke.