EURÓPAI BIZOTTSÁG
Brüsszel, 2019.7.24.
COM(2019) 374 final
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg
EURÓPAI BIZOTTSÁG
Brüsszel, 2019.7.24.
COM(2019) 374 final
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg
A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak
Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg
I.Bevezetés
Az általános adatvédelmi rendelet 1 (a továbbiakban: a rendelet) több mint egy éve alkalmazandó az Európai Unió egész területén. Ez a rendelet a koherens és korszerűsített uniós adatvédelmi környezet központi eleme a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvvel 2 és az uniós intézményekre és szervekre vonatkozó adatvédelmi rendelettel 3 együtt. Ezt a jogi keretet az elektronikus hírközlési adatvédelmi rendelet teszi majd teljessé, amely jelenleg a jogalkotási eljárás szakaszában tart.
A szigorú adatvédelmi szabályok elengedhetetlenek a személyes adatok védelméhez való alapvető jog biztosításához. Központi jelentőségűek a demokratikus társadalomban 4 , és az egyre inkább adatközpontú gazdaság fontos elemei. Az Európai Unió arra törekszik, hogy megragadja a digitális transzformáció által a szolgáltatások, a munkahelyek és az innováció terén kínált számos lehetőséget, egyúttal leküzdje az ezzel járó kihívásokat. A személyazonosság-lopás, a különleges adatok kiszivárogtatása, az egyének hátrányos megkülönböztetése, a „beépített” elfogultság, a jogellenes tartalmak megosztása és a tolakodó megfigyelési eszközök fejlesztése csak néhány azon problémák közül, amelyek egyre gyakrabban képezik nyilvános vita tárgyát, tekintettel arra, hogy a polgárok egyértelműen elvárják adataik védelmét.
Az adatvédelem ténylegesen globális jelenséggé vált, hiszen az emberek világszerte egyre jobban megbecsülik és értékelik adataik védelmét és biztonságát. Számos ország fogadott el a rendeletben foglaltakhoz hasonló elveken alapuló, átfogó adatvédelmi szabályokat, vagy jelenleg dolgozik ilyen szabályok elfogadásán. Ennek eredményeképpen világszerte közelednek egymáshoz az adatvédelmi szabályok. Ezáltal új lehetőségek nyílnak meg a piaci szereplők, illetve a hatóságok közötti adatáramlás megkönnyítésére, egyúttal pedig a személyes adatok Unión belüli és világszintű védelmének erősítésére.
Az adatvédelmet minden eddiginél komolyabban vesszük, ugyanis messzemenő hatást gyakorol különféle érdekeltekre és ágazatokra. A Bizottság elkötelezett az iránt, hogy irányításával az Európai Unió sikeresen bevezesse az új adatvédelmi rendszert, és támogatásával minden tekintetben maradéktalanul működőképessé váljon ez a rendszer. A Bizottság ebben a közleményben mérleget von az adatvédelmi szabályok Unión belüli következetes végrehajtásával, az új irányítási rendszer működésével, a polgárokra és a vállalkozásokra gyakorolt hatással, valamint az Európai Unió által az adatvédelmi rendszerek világszintű közelítéséért tett erőfeszítéseivel kapcsolatosan eddig elért eredményekről. A rendelet alkalmazásáról szóló, 2018. januári bizottsági közlemény 5 folytatásának tekinthető, és a több érdekelt felet tömörítő csoport 6 munkáján, különösen az egyéves helyzetértékelésben való közreműködésén és a Bizottság által 2019. június 13-án tartott helyzetértékelő rendezvény 7 keretében folytatott megbeszéléseken alapul. Ennek a közleménynek a Bizottság által 2020. májusra tervezett felülvizsgálatban 8 is szerepe lesz.
Az uniós adatvédelmi jogi keret az innováció iránti emberközpontú európai megközelítés egyik sarokköve. Egyre szélesebb körben válik szabályozási alapvetéssé olyan szakpolitikai területeken, mint az egészségügy és a kutatás, a mesterséges intelligencia, a közlekedés, az energetika, a versenyjog és a bűnüldözés. A Bizottság következetesen hangsúlyozta az új adatvédelmi szabályok megfelelő végrehajtásának és érvényesítésének fontosságát, ahogy arra a rendelet alkalmazásáról szóló, 2018. januári közleményében és a személyes adatok választásokkal összefüggésben történő felhasználásáról szóló, 2018. szeptemberi iránymutatásában 9 is rávilágított. E közlemény közzétételéig jelentős előrelépést sikerült tenni e cél felé, de még kétségkívül folytatni kell a munkát a rendelet maradéktalan végrehajtása érdekében.
II.Egy kontinens, egy törvény: az adatvédelmi keret érvényben van a tagállamokban
A rendelet egyik legfontosabb célkitűzése volt, hogy egységesítse az előző adatvédelmi irányelv 10 alapján fennállt 28 eltérő nemzeti jog miatt széttagolt jogi környezetet, és ezzel jogbiztonságot nyújtson az egyéneknek és a vállalkozásoknak az Unió egész területén. Ez a célkitűzés nagyrészt teljesült.
A jogi keret harmonizációja
A rendelet ugyan közvetlenül alkalmazandó a tagállamokban, de emellett arra is kötelezi őket, hogy nemzeti szinten különféle jogi intézkedéseket hozzanak, különösen azért, hogy létrehozzák a nemzeti adatvédelmi hatóságokat és megállapítsák azok hatásköreit 11 , szabályokat határozzanak meg bizonyos kérdéskörökre, többek között a személyes adatok védelmének a véleménynyilvánítás és a tájékozódás szabadságával való összeegyeztetésére vonatkozóan, valamint módosítsanak vagy hatályon kívül helyezzenek adatvédelmi vonatkozású ágazati jogszabályokat. E közlemény közzétételekor három 12 kivételével az összes tagállam naprakésszé tette nemzeti adatvédelmi jogát. Az ágazati jogszabályokkal kapcsolatos munka nemzeti szinten még zajlik. Az Európai Gazdasági Térségről szóló megállapodásba való belefoglalását követően a rendelet immár Norvégiában, Izlandon és Liechtensteinben is alkalmazandóvá vált, amely országok emellett saját nemzeti adatvédelmi jogszabályokat is elfogadtak.
Az érdekeltek azonban még nagyobb fokú harmonizációt tartanak szükségesnek bizonyos területeken 13 . A rendelet valóban biztosít némi mozgásteret a tagállamok számára, hogy pontosabban meghatározzák annak alkalmazását bizonyos területeken, például a kiskorúak online szolgáltatások igénybevételéhez való hozzájárulására vonatkozó korhatárt illetően 14 , valamint a személyes adatoknak többek között az orvostudomány és a közegészségügy terén való kezelésére vonatkozóan. Ebben az esetben a tagállami intézkedés keretét a következő két tényező jelöli ki:
I)a külön előírásokat tartalmazó nemzeti jogszabályoknak meg kell felelniük az Alapjogi Chartában 15 rögzített követelményeknek (és nem haladhatják meg a Chartára alapuló rendeletben kijelölt korlátokat);
II)nem akadályozhatják a személyes adatok Európai Unión belüli szabad áramlását 16 .
A tagállamok bizonyos esetekben a rendeleten túlmutató nemzeti követelményeket vezettek be, különösen ágazati jogszabályokat fogadtak el nagy számban, ami széttagoltsághoz és szükségtelen terhek kialakulásához vezet. Egy példa a rendeleten túlmenően bevezetett kiegészítő tagállami követelményekre: a német jogszabály arra kötelezi a legalább 20 alkalmazottat foglalkoztató vállalkozásokat, hogy adatvédelmi felelőst nevezzenek ki, aki állandó jelleggel közreműködik a személyes adatok automatizált kezelésében.
Folyamatos törekvések a nagyobb fokú harmonizációra
A Bizottság a nemzeti hatóságokkal kétoldalú párbeszédet folytat, amelynek keretében különösen az alábbi szempontok alapján vizsgálja a nemzeti intézkedéseket:
·az adatvédelmi hatóságok tényleges függetlensége, ezen belül elegendő pénzügyi források, valamint emberi és műszaki erőforrások rendelkezésre állása;
·hogyan korlátozzák a nemzeti jogszabályok az érintett jogait;
·az, hogy a nemzeti jogszabályok nem vezethetnek be a rendeleten túlmutató követelményeket, amennyiben nincs lehetőség külön előírások, például az adatkezelésre vonatkozó kiegészítő feltételek meghatározására;
·a személyes adatok védelméhez fűződő jognak a véleménynyilvánítás és a tájékozódás szabadságával való összeegyeztetésére vonatkozó kötelezettség teljesítése, figyelemmel arra, hogy tilos visszaélni ezzel a kötelezettséggel az újságírói tevékenységre gyakorolt visszatartó hatás elérése céljából.
Az Európai Adatvédelmi Testület (a továbbiakban: a Testület) keretében együttműködő adatvédelmi hatóságok munkája döntő szerepet játszik az új szabályok következetes alkalmazásának előmozdításában: a több tagállamot érintő jogérvényesítési intézkedések a Testület keretein belül zajló együttműködési és egységességi mechanizmuson 17 keresztül valósulnak meg, a Testület által elfogadott iránymutatások pedig hozzájárulnak a rendelet egységes értelmezéséhez. Mindazonáltal az érdekelt felek azt várják az adatvédelmi hatóságoktól, hogy haladjanak tovább ebben az irányban.
A tagállami bíróságok és az Európai Unió Bírósága szintén közreműködik az adatvédelmi szabályok egységes értelmezésének kialakításában. Egyes tagállami bíróságok közelmúltbeli ítéleteikben érvénytelenítették a nemzteti jogszabályok azon rendelkezéseit, amelyek eltérnek a rendelettől 18 .
III.Helyükre kerülnek az új irányítási rendszer alkotóelemei
A rendelet új irányítási struktúrát hozott létre, amelynek középpontjába a független tagállami adatvédelmi hatóságokat helyezte. E hatóságok érvényesítik a rendelet rendelkezéseit, és kapcsolattartóként járnak el az érdekeltek felé. Az adatvédelmi hatóságok nagyrészt ugyan több erőforráshoz jutott az elmúlt évben, azonban még mindig számottevő különbségek vannak a tagállamok között 19 .
Az adatvédelmi hatóságok élnek új hatásköreikkel
A rendelet nagyobb jogérvényesítési hatáskörrel ruházza fel az adatvédelmi hatóságokat. Az érintettek egy része által 2018 májusa előtt megfogalmazott aggályokkal ellentétben a tagállami adatvédelmi hatóságok kiegyensúlyozottan gyakorolják jogérvényesítési hatáskörüket. A szankcionálás helyett a párbeszédre összpontosítanak, különösen azoknak a legkisebb szereplőknek az esetében, amelyeknek a fő tevékenysége nem a személyes adatok kezelése. Ugyanakkor szükség esetén mernek ténylegesen élni új hatásköreikkel: többek között vizsgálatokat indítanak a közösségi média terén 20 , és az adatvédelmi szabályok megsértésének súlyosságától függően néhány ezertől több millió euróig terjedő közigazgatási bírságokat szabnak ki.
Néhány példa az adatvédelmi hatóságok által kiszabott pénzbírságokra 21 :
·5 000 EUR egy ausztriai sportfogadó kávézóra jogellenes videokamerás megfigyelés miatt;
·220 000 EUR egy lengyelországi adatkereskedő társaságra, amiért nem tájékoztatta az egyéneket adataik kezeléséről;
·250 000 EUR a spanyol labdarúgó-bajnokság első osztályára (LaLiga) az okostelefon-alkalmazásának átláthatatlan kialakítása miatt;
·50 millió EUR a Google-ra Franciaországban a felhasználói hozzájárulás megszerzésének feltételei miatt.
A vizsgálatok lefolytatásához elengedhetetlen, hogy az adatvédelmi hatóságok összegyűjtsék a lényeges bizonyítékokat, betartsák a tagállami jogszabályokban rögzített összes eljárási lépést, és jogszerű eljárásról gondoskodjanak a gyakran bonyolult ügyekben. Ez időigényes és sok munkával jár, ami magyarázatot ad arra, miért nem zárult még le a rendelet alkalmazásának kezdete óta indult vizsgálatok többsége.
Mindazonáltal a rendelet sikere nem a kiszabott bírságok száma, hanem az összes érintett szereplő szemléletmódjában és magatartásában bekövetkező változások alapján mérhető. Ezzel összefüggésben más eszközök is az adatvédelmi hatóságok rendelkezésére állnak: ilyen például az adatkezelés átmeneti vagy végleges korlátozása, ezen belül a harmadik országbeli címzett felé irányuló adatáramlás felfüggesztésének vagy tilalmának elrendelése 22 .
Egyes adatvédelmi hatóságok új eszközöket hoztak létre, például segélyvonalat indítottak, és eszközkészletet állítottak össze vállalkozások számára, míg mások újszerű megközelítésmódokat alakítottak ki, például szabályozási kötöttségek nélküli tesztelésre 23 biztosítanak lehetőséget, hogy ezzel segítsenek a vállalkozásoknak a szabályok betartására irányuló erőfeszítéseikben. Az érdekelt felek egy része – különösen a kis- és középvállalkozások bizonyos tagállamokban – úgy véli, hogy nem kapott elegendő támogatást és tájékoztatást 24 . E helyzet orvoslása céljából a Bizottság támogatást nyújt az adatvédelmi hatóságoknak, hogy megszólítsák az érdekelt feleket, főként az egyéneket, valamint a kis- és középvállalkozásokat 25 .
Működik az Európai Adatvédelmi Testület
Az adatvédelmi hatóságok fokozták az Európai Adatvédelmi Testület keretében végzett munkájukat 26 . Megfeszített munkájuknak köszönhetően a Testület mintegy húsz iránymutatást fogadott el a rendeletben felvetett legfontosabb szempontokról 27 . A Testület a rendeletben előírtak szerint kétéves munkaprogramban 28 fogalmazza meg, milyen területekkel foglalkozik a továbbiakban.
Több tagállamot érintő ügyekben az adatvédelmi hatóságok már nem egyszerűen nemzeti hatóságként, hanem egy valóban uniós szintű folyamat résztvevőiként járnak el minden szakaszban, a vizsgálattól a határozathozatalig. Ez a szorosabb együttműködés mindennapossá vált: 2019. június végéig 516, több tagállamot érintő ügyet kezeltek az együttműködési mechanizmus keretében.
A Bizottság aktívan közreműködik a Testület munkájában 29 , hogy előmozdítsa a rendelet szövegének és szellemének érvényesülését, és emlékeztet az uniós jog általános alapelveire 30 .
Az uniós adatvédelmi kultúra kialakítása felé
Az új irányítási rendszerben rejlő teljes potenciál még kiaknázásra vár. Fontos, hogy a Testület még észszerűbbé tegye döntéshozatali folyamatát, és közös uniós adatvédelmi kultúrát alakítson ki tagjai számára. Az adatvédelmi hatóságoknak lehetőségük nyílik a több tagállamot érintő kérdésekben összefogni 31 , például közös vizsgálatokat és jogérvényesítési intézkedéseket végrehajtani, ami közelebb hozhatja az említett célokat, egyúttal pedig az erőforrások szűkösségét is enyhítheti.
Számos érdekelt fél venné szívesen, ha az adatvédelmi hatóságok még szorosabban együttműködnének és egységes megközelítést követnének 32 . Az érdekeltek azt is kérik, hogy az adatvédelmi hatóságok következetesebb tanácsot adjanak 33 , a tagállami iránymutatások pedig teljes mértékben igazodjanak a Testület által megfogalmazottakhoz. Néhányan a rendeletben szereplő főbb fogalmak, például a kockázatalapú megközelítés további pontosítását is várják, különös tekintettel a főként kis- és középvállalkozások által megfogalmazott aggályokra.
Ezzel összefüggésben feltétlenül lehetővé kell tenni, hogy az érdekelt felek meglátásai nagyobb súllyal essenek latba a Testület munkájában. A Bizottság ezért üdvözli, hogy a Testület szisztematikus nyilvános konzultációt tartott az iránymutatásokról. Ezt a módszert – a mérlegelés korai szakaszában az érdekeltek számára célzott témakörökről szervezett műhelytalálkozókkal együtt – tovább kell vinni és hangsúlyosabbá kell tenni, hogy a Testület átlátható, átfogó és lényegi munkát végezzen.
IV.Az egyének élnek a jogaikkal, de további ismeretterjesztésre van szükség
Szintén a rendelet fő célkitűzései tartozik, hogy erősítse az egyének jogait. Polgári jogi szervezetek és fogyasztói szervezetek széles körben tekintik úgy, hogy a rendelet jelentősen hozzájárult a kölcsönös bizalomra épülő, igazságos digitális társadalom kialakításához.
Az adatvédelmi jogok pontosabb ismerete
Az egyének az Európai Unióban egyre jobban tisztában vannak az adatvédelmi szabályokkal és saját jogaikkal: egy 2019. májusi Eurobarométer felmérés 34 szerint a válaszadók 67 %-a tudott a rendeletről, 57 %-a pedig arról is értesült, hogy létezik tagállami adatvédelmi hatóság, amelyhez tájékoztatásért fordulhat, illetve panaszt nyújthat be. 73 %-uk hallott a rendelet által biztosított jogok közül legalább egyről. Azonban még mindig nagy számban vannak az Európai Unióban olyanok, akik nem tesznek személyes adataik védelméért az interneten. Például az egyének 44 %-a nem módosította az alapértelmezett adatvédelmi beállításokat az általa használt közösségi oldalakon.
Az egyének egyre több esetben gyakorolják a jogaikat
A jogok behatóbb ismeretének eredményeképpen az egyének határozottabban gyakorolják őket: ügyfélként, vásárlóként kérdéseket tesznek fel, és gyakrabban fordulnak az adatvédelmi hatóságokhoz, hogy tájékoztatást kérjenek, vagy panaszt tegyenek 35 . A vállalkozások is arról számoltak be, hogy több ágazatban, így a bankszektorban és a telekommunikációs ágazatban is megnőtt a személyes adatokhoz való hozzáférés iránti kérelmek száma. Az egyének emellett gyakrabban vonják vissza hozzájárulásukat, és többször gyakorolják a kereskedelmi közlemények elleni tiltakozáshoz való jogukat 36 .
A szereplők egy része ugyanakkor jelezte, hogy egyesek félreértették az adatvédelmi szabályokat, például azt hiszik, hogy az egyéneknek mindenfajta adatkezeléshez hozzá kell járulniuk, a törléshez való jog pedig abszolút jellegű (ezzel szemben a szereplőknek néha például jogi kötelezettségeik teljesítése érdekében kell tárolniuk személyes adatokat) 37 . Részükről a társadalmi szervezetek azt kifogásolják, hogy sokat kell várni egyes vállalkozások és adatvédelmi hatóságok válaszára.
Fontos megjegyezni, hogy nem kormányzati szervezetek több képviseleti keresetet indítottak egyének megbízásából, kihasználva a rendelet által kínált új lehetőséget 38 . Könnyebb lett volna képviseleti keresettel élni, ha több tagállam vette volna igénybe a rendeletben biztosított lehetőséget, hogy engedélyezze a nem kormányzati szervezetek számára a megbízás nélküli keresetindítást 39 .
Az ismeretterjesztő tevékenységek folytatásának szükségessége
Ezért tagállami és uniós szinten is tovább kell vinni a lakosságra összpontosító párbeszédet és ismeretterjesztő tevékenységeket. Ennek érdekében A Bizottság 2019 júliusában új internetes kampányt 40 indított, hogy az egyéneket az adatvédelmi nyilatkozatok elolvasására és a számukra legmegfelelőbb adatvédelmi beállítások megadására buzdítsa.
V.A vállalkozások kiigazítják módszereiket
A rendelet célja, hogy időtálló megoldásokat kínálva segítse a vállalkozásokat a digitális gazdaságban. A vállalkozások általában véve üdvözölték a rendeletben megfogalmazott elszámoltathatósági elvet, amely maga mögött hagyja a korábbi, előzetes megközelítést (a bejelentési követelmények megszüntetése, a kötelezettségek méretezhetősége és a beépített és az alapértelmezett adatvédelem rugalmassága, lehetővé téve az adatvédelmet biztosító megoldásokon alapuló versenyt). Ugyanakkor egyesek a jogbiztonság erősítését és kiegészítő vagy egyértelműbb iránymutatások megfogalmazását várják az adatvédelmi hatóságoktól 41 .
Észszerű adatgazdálkodás
A vállalkozások ugyan arról számoltak be, hogy több nehézséggel is szembesültek az új szabályokhoz való alkalmazkodás során 42 , de sokan kiemelték, hogy ezzel lehetőség nyílt arra, hogy az igazgatóság figyelmét is felhívják az adatvédelem kérdéskörére, rendet teremtsenek a birtokukban lévő adatokat illetően, erősítsék a biztonságot, alaposabban felkészüljenek az incidensekre, csökkentsék a szükségtelen kockázatoknak való kitettségüket, és bizalomteljesebb kapcsolatot alakítsanak ki ügyfeleikkel és üzletfeleikkel. Az átláthatóságot illetően a vállalkozások és a társadalmi szervezetek megemlítették, hogy kényes egyensúlyt kell teremteni az egyének rendeletben előírtak szerinti, maradéktalan tájékoztatása, egyúttal pedig a világos és közérthető nyelvezet és az egyének számára érthető forma között. A szereplők ebbe az irányba mutató innovatív megoldásokon dolgoznak.
A vállalkozások általánosságban jelezték, hogy sikerült bevezetniük az érintetteket illető új jogokat, de esetenként nehézséget okozott nekik a kérelmek megnövekedett száma és szerteágazóbb jellege 43 miatt a határidők betartása, illetve a kérelmet benyújtó személyek személyazonosságának ellenőrzése.
Az innovációra gyakorolt hatás
A rendelet nemcsak lehetővé teszi, de ösztönzi is új technológiák fejlesztését a személyes adatok védeleméhez való alapvető jog tiszteletben tartása mellett. Ez megfigyelhető többek között a mesterséges intelligencia területén.
A vállalkozások elkezdtek újfajta, fokozott adatvédelmet biztosító szolgáltatásokból álló kínálatot kialakítani. Egyes tagállamokban például egyre nagyobb piaci részesedésre tesznek szert a felhasználókat azok a keresőmotorok, amelyek nem követik nyomon a felhasználókat, és nem jelenítenek meg viselkedésalapú reklámokat. Más vállalkozások az egyéneknek biztosított új jogokra – például a személyes adataik hordozhatóságára – épülő szolgáltatásokat fejlesztenek. Egyre több vállalkozás igyekszik a személyes adatok tiszteletben tartásának kidomborításával kitűnni a versenyből és vásárlásra ösztönözni. Ezek a fejlemények nem korlátozódnak az Európai Unióra, hanem rendkívül innovatív külföldi gazdaságokban is megfigyelhető 44 .
Az „alacsony kockázatú” mikro- és kisvállalkozások egyedi helyzete
A tagállamok között tapasztalható eltérések ellenére megállapítható, hogy a személyes adatok kezelésétől eltérő fő tevékenységet folytató mikro- és kisvállalkozások 45 azon érdekelt felek között vannak, amelyeknél a legtöbb kérdés merül fel a rendelet alkalmazásáról. Míg a kérdések részben az adatvédelmi szabályok ismeretének hiányából erednek, az érdekeltek aggályait viszont esetenként felerősítik a fizetett szolgáltatást nyújtó tanácsadó irodák kampányai, a téves információk terjedése – például az egyénektől származó hozzájárulás módszeres megszerzésének szükségességére vonatkozóan 46 –, valamint a tagállami szinten előírt kiegészítő követelmények.
Ezzel összefüggésben a mikro- és kisvállalkozások az egyedi helyzetükhöz igazodó, kifejezetten gyakorlati jellegű tájékoztatást nyújtó iránymutatás kidolgozását szorgalmazzák. Az adatvédelmi hatóságok egy része tagállami szinten már gondoskodott erről 47 . A Bizottság a tagállami kezdeményezések kiegészítéseképpen tájékoztató anyagot tett közzé, amelyben gyakorlati lépések bemutatásával nyújt segítséget ezeknek a vállalkozásoknak 48 .
A rendelet által kínált eszközök igénybe vétele
A rendelet több olyan eszközről is rendelkezik, amellyel igazolható a szabályok teljesítése. Ilyenek például az általános szerződési feltételek, a magatartási kódexek és az újonnan bevezetett tanúsítási mechanizmusok.
Az általános szerződési feltételek olyan mintafeltételek, amelyek önkéntesen belefoglalhatók a – például az adatkezelő és az adatfeldolgozó között kötendő – szerződésbe, és rögzítik a szerződő felek rendelet szerinti kötelezettségeit. A rendelet a nemzetközi és az Unión belüli adattovábbítás tekintetében is kibővíti az általános szerződési feltételek alkalmazásának lehetőségeit 49 . A nemzetközi adattovábbítás terén széles körű használatuk azt jelzi 50 , hogy nagy segítséget jelentenek a vállalkozások számára a szabályok betartására irányuló erőfeszítéseikben, és különösen hasznosak azoknak a vállalkozásoknak, amelyeknek nem áll módjában mindegyik adatfeldolgozó vállalkozójukkal egyedi szerződésről tárgyalni.
Több ágazatban a harmonizáció előmozdítása szempontjából is hasznosnak tartják az általános szerződési feltételek elfogadását, különösen akkor, ha a Bizottság fogadja el őket. A Bizottság együttműködik majd az érdekelt felekkel, hogy közösen aknázzák ki a rendelet kínálta lehetőségeket, és naprakésszé tegyék a már meglévő feltételeket.
A magatartási kódexek betartása szintén olyan működési és gyakorlati eszköz, amellyel az ágazati szereplők könnyebben igazolhatják a rendelet előírásainak teljesítését 51 . A magatartási kódexeket meghatározott kategóriájú adatkezelőket és adatfeldolgozókat képviselő szakmai szövetségeknek vagy szervezeteknek kell kidolgozniuk, ismertetve, hogyan hajthatók végre az adatvédelmi szabályok az adott ágazatban. A kötelezettségek kockázatokkal való összehangolása esetén 52 a kis- és középvállalkozások számára is nagyon hasznos és költséghatékony megoldásnak bizonyulhat a kötelezettségeik teljesítésére.
Végezetül pedig a tanúsítás is hasznos eszköz lehet a rendeletben fogalt bizonyos követelmények teljesítésének igazolására. Növelheti a jogbiztonságot a vállalkozások számára, és világszinten előmozdíthatja a rendelet érvényesülését. Az Európai Adatvédelmi Testület által a közelmúltban elfogadott tanúsítási és akkreditálási iránymutatás 53 lehetőséget nyit tanúsítási rendszerek kialakítására az Európai Unióban. A Bizottság figyelemmel kíséri majd ezeket a fejleményeket, és adott esetben él a rendelet alapján kapott felhatalmazásával, hogy megfogalmazza a tanúsításra vonatkozó követelményeket. A Bizottság emellett a rendelet szempontjából lényeges elemeket illetően szabványosítási felkéréssel is fordulhat az uniós szabványügyi szervekhez.
VI.Folyamatban van a felfelé irányuló konvergencia nemzetközi szinten
Nem csak az Európai Unióban van igény a személyes adatok védelmére. A közelmúltban az internetes biztonságról készült nemzetközi felmérés kimutatta, hogy világszerte egyre csökken a bizalom, emiatt pedig az emberek változtatnak internetes viselkedési szokásaikon 54 . Egyre több vállalkozás igyekszik azzal eloszlatni ezeket az aggályokat, hogy saját elhatározásából az Unión kívüli ügyfeleire is kiterjeszti a rendelet alapján keletkezett jogokat.
Ezenkívül, mivel a világ országai egyre nagyobb figyelmet fordítanak az ehhez hasonló kihívások leküzdésére, új adatvédelmi szabályokkal vértezik fel magukat, vagy a meglévőket teszik korszerűbbé. E jogszabályok és az uniós adatvédelmi rendszer között gyakran sok közös vonás fedezhető fel, ilyen például az átfogó jogszabály alkalmazása ágazati szabályok helyett, az érvényesíthető, személyhez fűződő jogok és a független felügyeleti hatóság. Ez a tendencia valóban világméretű, Dél-Koreától Brazíliáig, Chilétől Thaiföldig és Indiától Indonéziáig megfigyelhető. Az Európa Tanács – közelmúltban a Bizottság jelentős közreműködésével korszerűsített 55 – 108. egyezményének 56 egyre inkább nyitott tagsága is egyértelműen jelzi a felfelé irányuló konvergencia e tendenciáját.
A biztonságos és szabad adatáramlás támogatása megfelelőségi határozatokkal és más eszközökkel
Ez a kialakulóban lévő konvergencia új lehetőségeket nyit meg az adatáramlás megkönnyítésére, következésképpen a kereskedelemre és a hatóságok közötti együttműködésre, egyúttal pedig az Unión belüli egyének külföldre továbbított adataira vonatkozó védelem erősítésére.
A Bizottság „A személyes adatok cseréje és védelme a globalizált világban” című, 2017. évi közleményében 57 megfogalmazott stratégia végrehajtása során, az adatvédelmi rendszerek egymáshoz való közelítésének elemeire építve, azokat továbbfejlesztve fokozta a harmadik országokat és más nemzetközi partnereket érintő szerepvállalását. Ennek keretében megvizsgálta megfelelőségi megállapítások kiválasztott harmadik országokkal való elfogadásának lehetőségét 58 . Ez a munka komoly eredményeket hozott, közülük kiemelendő az EU és Japán közötti kölcsönös megfelelőségi megállapodás 2019. februári hatálybalépése, amellyel létrejött a világ legnagyobb, szabad és biztonságos adatáramlást biztosító térsége. A Dél-Koreával folytatott megfelelőségi tárgyalások előrehaladott állapotban vannak, emellett jelenleg zajlik a feltáró munka a megfelelőségi megbeszélések több latin-amerikai országgal, például Chilével és Brazíliával való megindításával kapcsolatosan, a folyamatban lévő jogalkotási folyamatoktól függően. Ígéretes fejlemények tapasztalhatók Ázsia bizonyos részeiben, így Indiában, Indonéziában és Tajvanon, valamint az európai keleti és déli szomszédság országaiban is, ezáltal pedig a jövőben megnyílhat az út a megfelelőségi határozatok előtt.
A Bizottság egyúttal üdvözli, hogy a rendelet szerinti megfelelőséghez hasonló adattovábbítási eszközöket bevezető országok elismerték, hogy az Európai Unió és az EU által „megfelelőként” elfogadott országok a szükséges mértékű védelmet biztosítják 59 . Ezáltal létrejöhet olyan, országok közötti hálózat, ahol az adatok szabadon áramolhatnak.
Emellett élénk munka folyik más harmadik országokkal, például Argentínával, Izraellel, Kanadával és Új-Zélanddal a 1995. évi adatvédelmi irányelv alapján elfogadott megfelelőségi határozatok rendelet hatálya alatti folytonosságának biztosítása érdekében. Mindeközben az EU–USA adatvédelmi pajzs is hasznosnak bizonyult: 4700 vállalkozás részvétele mellett nyújt nagyfokú védelmet a transzatlanti adatáramláshoz 60 . Éves felülvizsgálata lehetővé teszi a keret megfelelő működésének rendszeres ellenőrzését, és az újonnan felmerülő kérdések mielőbbi rendezését.
Mivel az adatáramlás esetében nincsen egyenmegoldás, a Bizottság azon is dolgozik az érdekelt felekkel és a Testülettel, hogy a rendelet nemzetközi adattovábbításhoz biztosított eszközeiben rejlő összes lehetőséget kiaknázza. Ez olyan eszközöket érint, mint az általános szerződési feltételek, a tanúsítási rendszerek kialakítása, a magatartási kódexek, illetve a közjogi szervre vonatkozó közigazgatási megállapodások. Ezzel összefüggésben a Bizottság tapasztalatot és bevált módszereket kíván cserélni más olyan rendszereket illetően, amelyekben egyedi ismeretek alakultak ki némely ilyen eszközzel kapcsolatosan. A Bizottság mérlegeli, hogy él-e a rendeletben adott felhatalmazásokkal ezeket az adattovábbítási eszközöket, különösen az általános szerződési feltételeket illetően.
A kizárólag kétoldalú eszközökön túlmenően érdemes lenne megvizsgálni, hogy a hasonló felfogású országokkal összefogva létre lehetne-e hozni egy nemzetközi keretet e téren, tekintettel arra, hogy az adatáramlás jelenleg a kereskedelem, a kommunikáció és a társas érintkezés egyre lényegesebb elemévé válik. Ilyen eszköz lehetővé tenné, hogy az adatok szabadon áramoljanak a szerződő felek között, egyúttal pedig közös értékek és egymáshoz közeledő rendszerek alapján biztosítaná a szükséges mértékű védelmet. Kialakításához például építeni lehetne a korszerűsített 108. egyezményre, vagy meríteni lehetne a Japán által az év elején indított, bizalmon alapuló szabad adatáramlásra vonatkozó kezdeményezésből.
Új szinergiák létrehozása a kereskedelmi és az adatvédelmi eszközök között
A Bizottság az adatvédelmi előírások nemzetközi szintű közelítésének előmozdítása mellett a digitális protekcionizmus leküzdése iránt is elkötelezett. E célból kereskedelmi megállapodásokba foglalható, adatáramlásról és adatvédelemről szóló egyedi rendelkezéseket dolgozott ki, amelyeket módszeresen napirendre tűz két- és többoldalú tárgyalások során, például a WTO keretében az e-kereskedelemről jelenleg zajló megbeszélésekben. Ezek a horizontális rendelkezések kizárják a kizárólagosan protekcionista intézkedéseket, például a kötelező adatlokalizációs követelményeket, egyúttal pedig megőrzik a felek szabályozási autonómiáját az adatvédelemhez való alapvető jog megóvása érdekében.
Az adatvédelemről folytatott párbeszédnek és a kereskedelmi tárgyalásoknak ugyan elkülönülve kell zajlaniuk, de ki is egészíthetik egymást: az ilyen jellegű szinergiára a legjobb példa az EU és Japán közötti kölcsönös megfelelőségi megállapodás, amely még jobban megkönnyíti a kereskedelmi forgalmat, és ezáltal növeli a gazdasági partnerségi megállapodás előnyeit. Az ilyen jellegű, közös értékeken és szigorú előírásokon alapuló és hatékony jogérvényesítéssel támogatott közelítés tulajdonképpen a lehető legszilárdabb alapot biztosítja a személyes adatok cseréjéhez, ezt pedig nemzetközi partnereink közül is mind többen ismerik el 61 . Mivel egyre több vállalkozás folytat határokon átnyúló tevékenységet, és szívesebben alkalmazna hasonló szabályokat világszerte minden üzleti tevékenységében, ez a fajta közelítés hozzájárul a közvetlen külföldi tőkebefektetésnek kedvező környezet megteremtéséhez, ezzel megkönnyítve a kereskedelmet és fokozva a kereskedelmi partnerek közötti bizalmat.
A bűnözés és a terrorizmus elleni küzdelem érdekében folytatott információcsere megkönnyítése megfelelő garanciák alapján
Az adatvédelmi rendszerek összeegyeztethetőségének fokozása is jelentősen megkönnyítheti az uniós és külföldi szabályozó, rendészeti és igazságügyi hatóságok között elengedhetetlenül szükséges információcserét, hatékonyabbá és gördülékenyebbé téve a bűnüldözési együttműködést 62 . Ennek érdekében a Bizottság mérlegeli, hogy a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvben biztosított lehetőséggel élve megfelelőségi határozatokat fogadjon el annak érdekében, hogy elmélyítse az együttműködést fő partnereivel a bűnözés és a terrorizmus elleni küzdelemben. Ezenkívül a 2017 februárjában hatályba lépett EU–USA keretmegállapodás 63 mintaként használható a más fontos biztonsági partnerekkel kötendő hasonló megállapodásokhoz.
A harmadik országokkal folytatott tartós bűnüldözési együttműködés alapjául szolgáló, szigorú adatvédelmi előírások fontosságát alátámasztó további példák között említhető az utas-nyilvántartási adatállományok (PNR-ek) 64 továbbítása, valamint az Europol és fontos nemzetközi partnerek közötti műveleti információcsere. E téren jelenleg is zajlanak vagy hamarosan megindulnak a nemzetközi megállapodásokról szóló tárgyalások a déli szomszédság több országával 65 .
Az erős adatvédelmi garanciák a nyomozások során az elektronikus bizonyítékokhoz való, határon átnyúló hozzáférésről szóló esetleges későbbi – kétoldalú (EU–USA megállapodás) vagy többoldalú (az Európa Tanács számítástechnikai bűnözésről szóló budapesti egyezményének második kiegészítő jegyzőkönyve) – megállapodásnak is alapvető elemét képezik majd 66 .
Együttműködés az adatvédelmi jogérvényesítés terén
Mivel napjainkban az adatvédelmi szabályok betartásával kapcsolatos problémák vagy az információbiztonsági incidensek nagyszámú egyént érinthetnek egyszerre több ország joghatósága alatt, ezért a felügyelő hatóságok nemzetközi szorosabb nemzetközi szintű együttműködése hozzájárulhat a személyhez fűződő jogok védelmének hatékonyabbá tételéhez és a gazdasági szereplő számára biztosabb környezet megteremtéséhez. A Bizottság mindezekre tekintettel és a Testülettel szoros kapcsolatot tartva dolgozik majd azon, hogyan tehetné gördülékenyebbé az uniós és külföldi felügyelő hatóságok közötti jogérvényesítési együttműködést, többek között élve a rendelet által e téren biztosított új hatásköreivel 67 . Az együttműködés különféle módon megvalósulhat, közös értelmezési és vagy gyakorlati eszközök kidolgozásától 68 a folyamatban lévő nyomozásokkal kapcsolatos információcseréig.
Végezetül pedig a Bizottságnak emellett szándékában áll élénkebb párbeszédet folytatni a regionális szervezetekkel és hálózatokkal, például a Délkelet-ázsiai Nemzetek Szövetségével (ASEAN), az Afrikai Unióval, az ázsiai és csendes-óceáni térségi adatvédelmi hatóságok fórumával (APPA) vagy az Iberoamerikai Adatvédelmi Hálózattal, amelyek mind egyre fontosabb szerepet játszanak a közös adatvédelmi szabályok alakításában, a bevált módszerek megosztásának támogatásában és a jogérvényesítő szervek közötti együttműködés előmozdításában. A Bizottság emellett a Gazdasági Együttműködési és Fejlesztési Szervezettel és az Ázsiai és Csendes-óceáni Gazdasági Együttműködési Szervezettel is együttműködik, hogy az előírások közelítése révén nagyfokú adatvédelemről gondoskodjon.
VII.Az adatvédelmi jogszabályok számos szakpolitika szerves részét képezik
A személyes adatok védelme az Unió több szakpolitikájába beépül, és ezáltal garantált.
Telekommunikációs és elektronikus hírközlési szolgáltatások
A Bizottság 2017 januárjában az elektronikus hírközlési adatvédelmi rendeletre vonatkozó javaslatot 69 . A javaslat célja a hírközlés titkosságának az Alapjogi Charta rendelkezései szerinti védelme, egyúttal pedig a kommunikáció részét képező személyes adatok és a végfelhasználói hírközlő végberendezések védelme.
A javasolt elektronikus hírközlési adatvédelmi rendelet a fent említett célokat szolgáló egyedi szabályok meghatározásával részletezi és kiegészíti a rendelet rendelkezéseit. Korszerűsíti a jelenleg hatályos uniós elektronikus adatvédelmi szabályokat 70 , hogy azok tükrözzék a technológiai és jogi fejleményeket. Az egyének magánéletét megillető védelem erősítése érdekében kiterjeszti az új szabályok hatályát a hálózatsemleges online hírközlési szolgáltatásokat nyújtó szolgáltatókra, ezzel egyenlő versenyfeltételeket teremtve az összes elektronikus hírközlési szolgáltatás számára. Míg az Európai Parlament 2017 októberében elfogadta a háromoldalú egyeztetések indítására vonatkozó megbízatást, addig a Tanács még nem állapodott meg általános megközelítésről. A Bizottság továbbra is teljes mértékben elkötelezett az elektronikus hírközlési adatvédelmi rendelet mellett, és támogatja a társjogalkotókat abban, hogy gyorsan elfogadják a rendeletjavaslatot.
Egészségügy és kutatás
A rendelet szerint különleges adatnak minősülő egészségügyi adatok tagállamok közötti cseréjének megkönnyítése egyre fontosabbá válik a közegészségügy területén, aminek a közérdekben gyökerező okai vannak. Ilyen többek között az egészségügyi ellátás vagy kezelés biztosítása, a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem, valamint az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása. A rendelet szabályokat állapít meg annak érdekében, hogy az egészségügyi adatokat jogszerű és megbízható módon kezeljék és cseréjék az Unió egész területén. Ezek a szabályok harmadik felek betegek egészségügyi adataihoz – köztük a betegadatlapokon, e-rendelvényeken és a későbbiekben majd az átfogó elektronikus egészségügyi dokumentációkban szereplő adatokhoz – való hozzáférésére és ezen adatok tudományos kutatási célokra való felhasználására is vonatkoznak. Emellett a Bizottság a klinikai vizsgálatok szakterületére vonatkozóan kérdéseket és válaszokat állított össze a klinikai vizsgálatokról szóló rendelet 71 és az általános adatvédelmi rendelet közötti viszonyról 72 .
Mesterséges intelligencia (MI)
Az MI stratégiai jelentősége folyamatosan növekszik, ezért feltétlenül ki kell dolgozni a fejlesztésére és felhasználására vonatkozó nemzetközi szabályokat. Az MI fejlesztésének és elterjedésének előmozdítása során a Bizottság emberközpontú megközelítés mellett döntött, tehát az MI alkalmazási módjait az alapvető jogok tiszteletben tartásával kell kialakítani 73 . Ezzel összefüggésben a rendeletben rögzített szabályok általános keretet adnak, és olyan egyedi kötelezettségeket és jogokat fogalmaznak meg, amelyek különösen lényegesek a személyes adatok MI-vel történő kezelése szempontjából. A rendelet például felruházza az érintettet azzal a joggal, hogy bizonyos helyzetektől eltekintve ne irányuljon rá kizárólagosan automatizált döntéshozatal 74 . Emellett egyedi átláthatósági követelményeket is rögzít az automatizált döntéshozatal alkalmazására vonatkozóan, különös tekintettel az ilyen döntéshozatal tényéről való tájékoztatás, valamint a döntéshozatal jelentőségével és az érintettre nézve várható következményekkel kapcsolatos érthető információk és magyarázat közlése iránti kötelezettségre. 75 A rendelet ezen alapelveiről a mesterséges intelligenciával foglalkozó, magas szintű szakértői csoport 76 , a Gazdasági Együttműködési és Fejlesztési Szervezet 77 és a G20-csoport 78 is elismerte, hogy az MI-vel kapcsolatosan felmerülő kihívások és lehetőségek szempontjából különösen fontosak. Az Európai Adatvédelmi Testület az MI-t jelölte meg az egyik lehetséges témakörként a 2019–2020. évi munkaprogramjában 79 .
Közlekedés
Az összekapcsolt autók és az intelligens városok fejlesztése egyre nagyobb mértékben támaszkodik nagy mennyiségű személyes adat kezelésére és több szereplő – köztük gépjárművek, autógyártók, telematikai szolgáltatók és a közúti infrastruktúráért felelős hatóságok – közötti cseréjére. A környezet többszereplős jellege némileg bonyolulttá teszi a személyes adatok kezelésében közreműködő különböző szereplők szerep- és feladatkörének kijelölését és annak biztosítását, hogy az összes szerelő jogszerűen végezze az adatkezelést. A rendelet és az elektronikus hírközlési adatvédelmi jogszabályok betartása elengedhetetlen az intelligens közlekedési rendszerek sikeres kiépítéséhez az összes közlekedési mód esetében, valamint a digitális eszközök és szolgáltatások elterjesztéséhez az egyének és áruk nagyobb fokú mobilitásának lehetővé tétele érdekében 80 .
Energetika
Az energiaágazatban a digitális megoldások fejlesztéséhez egyre nagyobb szükség van a személyes adatok kezelésére. A „Tiszta energia minden európainak” csomag 81 részeként elfogadott jogszabályok a villamosenergia-ágazat digitalizálását lehetővé tevő új rendelkezéseket, valamint az adatokhoz való hozzáférésre, az adatgazdálkodásra és az interoperabilitásra vonatkozó szabályokat tartalmaz, amelyek utat nyitnak a fogyasztók valós idejű adatainak kezeléséhez, ezáltal pedig megtakarítás érhető el, valamint ösztönözhető a saját termelés és az energiapiaci részvétel. Az adatvédelmi szabályok betartása ezért rendkívül fontos e rendelkezések sikeres végrehajtásához.
Versenyjog
A személyes adatok kezelése egyre fontosabb tényező a versenypolitikában 82 . Mivel kizárólag az adatvédelmi hatóságok rendelkeznek megbízással az adatvédelmi szabályok megsértésének kivizsgálására, a verseny-, a fogyasztóvédelmi és az adatvédelmi hatóságok szükség esetén jelenleg és a jövőben is együttműködnek, ha hatáskörük találkozásánál szükség van erre. A Bizottság támogatja az ilyen jellegű együttműködést, és kiemelt figyelemmel kíséri a fejleményeket.
Választások
A választási csomag 83 részeként 2018. szeptemberben közzétett, a személyes adatok választásokkal összefüggésben történő felhasználásáról szóló iránymutatásában 84 a Bizottság felhívta a figyelmet azokra a szabályokra, amelyek különösen fontosak a választásokban közreműködő szereplők számára, külön kitérve a választók mikrocélzására. Ez az iránymutatás tükröződött az Európai Adatvédelmi Testület nyilatkozatában 85 , több adatvédelmi hatóság pedig saját iránymutatást tett közzé tagállami szinten. A választási csomag emellett felhívást is tartalmazott arra vonatkozóan, hogy mindegyik tagállam hozzon létre nemzeti választási hálózatot a választási ügyekben illetékes, valamint a választásokat érintő internetes tevékenységekre vonatkozó – például adatvédelmi – szabályok nyomon követéséért és érvényesítéséért felelős hatóságok bevonásával. Új intézkedések születtek az adatvédelmi szabályok európai politikai pártok és alapítványok általi megsértésére vonatkozó szankciók bevezetésére. A Bizottság ajánlotta a tagállamoknak, hogy ugyanezt a megközelítést kövessék nemzeti szinten. A 2019. évi európai parlamenti választások értékelése az adatvédelmi szempontok figyelembevételével készül, eredményei pedig 2019 októberére várhatók.
Bűnüldözés
Hatékony és valódi biztonsági unió csak az Európai Unió Alapjogi Chartájában és a másodlagos uniós jogszabályokban foglalt alapvető jogok maradéktalan tiszteletben tartására építhető. Ennek keretében megfelelő adatvédelmi garanciákat kell biztosítani a személyes adatok bűnüldözési célú biztonságos cseréjének lehetővé tétele érdekében. A magánélet tiszteletben tartásához és az adatvédelemhez való jog bármilyen korlátozásához szigorúan meg kell vizsgálni annak szükségességét és arányosságát.
VIII.Következtetés
A jelenleg rendelkezésére álló információk és az érdekelt felekkel folytatott párbeszéd alapján a Bizottság előzetes értékelése, hogy a rendelet alkalmazásának első éve összességében véve kedvezően alakult. Mindazonáltal ez a közlemény is rávilágított arra, hogy több területen is továbbra fejlődésre van szükség.
A jogi keret bevezetése és kiegészítése:
·A három tagállamnak, amely még nem tette naprakésszé nemzeti adatvédelmi jogszabályait, ezt haladéktalanul meg kell tennie. Az összes tagállamnak be kell fejeznie az ágazati jogszabályai összehangolását a rendelet követelményeivel.
·A Bizottság a rendelkezésére álló összes eszközt, köztük a kötelezettségszegési eljárást is felhasználja annak elérése érdekében, hogy az összes tagállam betartsa a rendeletet és korlátozza az adatvédelmi keret esetleges széttagolódását.
Az új irányítási rendszerben rejlő teljes potenciál kiaknázása:
·A tagállamoknak elegendő emberi, pénzügyi és műszaki erőforrást kell biztosítaniuk a nemzeti adatvédelmi hatóságok számára.
·Az adatvédelmi hatóságoknak szorosabbra kell fűzniük együttműködésüket, például közös vizsgálatok végrehajtásával. A tagállamoknak meg kell könnyíteniük az ilyen vizsgálatok lefolytatását.
·A Testületnek tovább kell fejlesztenie az uniós adatvédelmi kultúrát, és maradéktalanul ki kell használnia a rendeletben meghatározott eszközöket a szabályok összehangolt alkalmazása érdekében. További iránymutatásokat kell készítenie, különösen a kis- és középvállalkozások számára.
·A Testület titkárságának szakértelmét bővíteni kell, hogy hatékonyabban támogassa és irányítsa a Testület által végzett munkát.
·A Bizottság továbbra is támogatja az adatvédelmi hatóságokat és a Testületet, különösen azáltal, hogy tevékenyen közreműködik a Testület munkájában, és felhívja annak figyelmét az uniós jog követelményeire a rendelet végrehajtása során.
·A Bizottság támogatja az adatvédelmi hatóságok és más hatóságok közötti kapcsolattartást, különösen a versenyjog terén, a hatáskörük teljes tiszteletben tartása mellett.
Az érdekelt felek támogatása és bevonása:
·A Testület javítania kell azon, ahogy bevonja az érdekelt feleket a munkájába. A Bizottság továbbra is pénzügyi támogatást nyújt az adatvédelmi hatóságoknak, hogy segítsen nekik megszólítani az érdekelt feleket.
·A Bizottság folytatja ismeretterjesztő tevékenységeit és az érdekelt felekkel végzett munkáját.
A nemzetközi konvergencia előmozdítása:
·A Bizottság tovább élénkíti a megfelelőségről folytatott párbeszédet az alkalmas fő partnerekkel, többek között a bűnüldözés területén. Célja főként, hogy a következő hónapokban lezárja a jelenleg zajló tárgyalásokat Dél-Koreával. 2020-ban jelentést készít az adatvédelmi irányelv alapján elfogadott 11 megfelelőségi határozatról.
·A Bizottság folytatja a közös munkát – többek között technikai segítségnyújtás, információcsere és a bevált módszerek megosztása útján – azokkal az országokkal, amelyek korszerű adatvédelmi jogszabályokat kívánnak elfogadni, és támogatja az együttműködést harmadik országbeli felügyelő hatóságokkal és regionális szervezetekkel.
·A bizottság többoldalú és regionális szervezetekkel is kapcsolatot tart majd, hogy előmozdítsa a szigorú adatvédelmi előírások alkalmazását a kereskedelem ösztönzése és az együttműködés megkönnyítése érdekében (például a Japán által a G20-csoport keretében indított, bizalmon alapuló szabad adatáramlásra vonatkozó kezdeményezés alapján).
A rendelet 86 előírja, hogy a Bizottság 2020-ban készítsen jelentést annak végrehajtásáról. Ez lehetőséget kínál az elért haladás értékelésére és annak felmérésére, hogy az új adatvédelmi rendszer különféle alkotóelemei két év alkalmazás után teljes körűen működnek-e. A Bizottság e célból egyeztet az Európai Parlamenttel, a Tanáccsal, a tagállamokkal, az Európai Adatvédelmi Testülettel, az érdekelt felekkel és az érintett polgárokkal.