12.9.2015

Az Európai Unió Hivatalos Lapja

C 301/1

Az európai adatvédelmi biztos ajánlásai az EU adatvédelmi reformmal kapcsolatos lehetőségeiről

(A teljes szöveg angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján www.edps.europa.eu)

(2015/C 301/01)

2015. június 24-én az Európai Unió három vezető intézménye, az Európai Parlament, a Tanács és az Európai Bizottság együttdöntéssel kapcsolatos tárgyalásba – úgynevezett háromoldalú informális egyeztetésbe – kezdett az általános adatvédelmi rendeletre irányuló javaslatról (1). A háromoldalú egyeztetés alapjául a Bizottság 2012. januári javaslata, a Parlament 2014. március 12-i jogalkotási állásfoglalása és a Tanács által 2015. június 15-én elfogadott általános megközelítés szolgált (2). A három intézmény úgy véli, hogy az általános adatvédelmi rendeletet mindenképpen a tágabb adatvédelmi reformcsomag részeként kell kezelni a rendőrségi és igazságügyi tevékenységekről szóló irányelvre irányuló javaslattal együtt. A folyamat várhatóan 2015 végéig lezárul, így feltehetőleg mindkét jogi aktust el lehet majd fogadni 2016 elején, amit kétéves átmeneti időszak követ majd (3).

Az európai adatvédelmi biztos hivatala az Európai Unió független intézménye. Az adatvédelmi biztos nem vesz részt a háromoldalú egyeztetésben, de a 45/2001/EK rendelet 41. cikkének (2) bekezdése értelmében felelős „[a] személyes adatok feldolgozása tekintetében […] annak biztosításáért, hogy a közösségi intézmények és szervek tiszteletben tartsák a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat”, és azért, hogy „a személyes adatok feldolgozásával kapcsolatos minden ügyben tanácsokkal lássa el a közösségi intézményeket és szerveket, valamint az érintetteket”. A biztost és a helyettes biztost 2014 decemberében nevezték ki, és kifejezetten megbízták azzal, hogy feladatait konstruktívabban és proaktívabban lássa el. A biztos és a helyettes biztos 2015 márciusában közzétette ötéves stratégiáját, amelyben kifejti, hogyan kívánja teljesíteni az említett megbízást, és e tekintetben hogyan számoltatható el (4).

E vélemény jelenti az első lépést az európai adatvédelmi biztos stratégiájának megvalósításában. Az uniós intézményekkel, tagállamokkal, civil társadalommal, ipari szereplőkkel és már érdekeltekkel folytatott egyeztetésre épülő tanácsainkkal kívánunk segítséget nyújtani a háromoldalú egyeztetés résztvevőinek abban, hogy kellő időben egyetértésre jussanak. E vélemény két részre osztva tárgyalja az általános adatvédelmi rendeletet:

—	az európai adatvédelmi biztos jövőképe az előremutató adatvédelmi szabályokról, az ajánlásokat bemutató példákkal; és

—

melléklet (Melléklet a 3/2015. sz. véleményhez: az általános adatvédelmi rendelet szövegének és az európai adatvédelmi biztos ajánlásainak összehasonlító táblázata), amely négy oszlopból álló táblázatban cikkenként hasonlítja össze az általános adatvédelmi rendelet Bizottság, Parlament és Tanács által elfogadott szövegét az európai adatvédelmi biztos ajánlásaival.

A vélemény elérhető weboldalunkon és mobilalkalmazáson keresztül. 2015 őszén további ajánlásokkal egészítjük majd ki egyrészt az általános adatvédelmi rendelet preambulumbekezdéseiről, másrészt – miután a Tanács elfogadta az irányelvvel kapcsolatos általános álláspontját – a rendőrségi és igazságügyi tevékenységekre vonatkozó adatvédelemről.

Az európai adatvédelmi biztos továbbra is fenntartja a Bizottság által javasolt reformcsomagról 2012 márciusában megfogalmazott általános véleményét. Három év elteltével azonban szükségét éreztük annak, hogy aktualizáljuk tanácsainkat, mivel közvetlenebb módon szeretnénk reagálni a társjogalkotók álláspontjára, és konkrét ajánlásokat kívánunk megfogalmazni (5).A 2012. évi véleményhez hasonlóan e vélemény is összhangban van a 29. cikk szerinti munkacsoport véleményeivel és nyilatkozataival, ideértve a háromoldalú egyeztetés fő témaköreiről június 17-én elfogadott függeléket, amelynek kidolgozásában az európai adatvédelmi biztos is közreműködött a munkacsoport teljes jogú tagjaként (6).

Egyedülálló lehetőség: a reform jelentősége

Az Európai Unió a célegyenesbe ért a személyes adatokra vonatkozó szabályok megreformálásáért folytatott maratoni munkában. Az általános adatvédelmi rendelet a következő évtizedekben kihatással lehet Unió-szerte minden egyénre és minden olyan szervezetre, amely személyes adatokat dolgoz fel, valamint azokra a harmadik országbeli szervezetekre is, amelyek Unión belüli egyének személyes adatait dolgozzák fel (7). Elérkezett az ideje annak, hogy a jövő adatközpontú társadalmában is megvédjük az egyének alapvető jogait és szabadságait.

A hatékony adatvédelem erősíti az egyén pozícióját, és felelősségteljes magatartásra ösztönzi a vállalkozásokat és a hatóságokat. E területen a jogszabályok összetettek és szakismereteket igényelnek, ezért szakmai tanácsadásra van szükség főként a független adatvédelmi hatóságok részéről, amelyek tisztában vannak a jogszabályi megfelelésben rejlő kihívásokkal. Az általános adatvédelmi rendelet várhatóan az Unió egyik leghosszabb jogi előírás-gyűjteménye lesz, így az EU-nak jelenleg arra kell törekednie, hogy gondosan kiválogassa azokat a rendelkezéseket, amelyek valóban szükségesek, és mellőzze azokat a részleteket, amelyek nem kívánt következményként túlzott mértékben befolyásolnák a jövőbeli technológiákat. Az egyes intézmények által kidolgozott szövegváltozatok az egyértelműséget és az érthetőséget hirdetik a személyes adatok kezelése terén, ezért az általános adatvédelmi rendeletnek ezt a gyakorlatba is át kell ültetnie azzal, hogy messzemenőkig a lényegre és a világos megfogalmazásra törekszik.

A Parlamentnek és a Tanácsnak mint társjogalkotónak kell eldöntenie, mi kerül a végleges jogszabályszövegbe, a Bizottság pedig jogalkotási kezdeményezőként és a Szerződések őreként segíti munkájukat. Az európai adatvédelmi biztos nem vesz részt a háromoldalú egyeztetésben, de jogi szakértelméből fakadóan tanácsokkal tud szolgálni, ráadásul a biztos és a helyettes biztos kinevezésekor kapott megbízásával és az európai adatvédelmi biztos nemrég közzétett stratégiájával összhangban proaktívan léphet fel e téren. E vélemény az adatvédelmi szabályok betartásának felügyelete és a szakpolitikai tanácsadás terén felhalmozott évtizedes tapasztalatra támaszkodva nyújt útmutatást az intézményeknek annak érdekében, hogy olyan jogszabály szülessen, amely az egyén érdekeit szolgálja.

A jogalkotás a lehetőségek tárházát nyitja meg. A jelenleg mérlegelt lehetőségek, vagyis a Bizottság, a Parlament, illetve a Tanács által támogatott szövegváltozatok mind tartalmaznak számos értékes rendelkezést, de mindegyiket lehet még fejleszteni. Véleményünk szerint a végeredmény nem lesz majd tökéletes, mindazonáltal segíteni kívánjuk az intézmények munkáját azért, hogy a lehető legjobb jogszabályt alkossák meg. Ajánlásaink ezért szorítkoznak a három szövegváltozatra. A következő három szempontra összpontosítottunk:

—	a polgárok számára előnyösebb megállapodás,

—	gyakorlatban működő szabályok,

—	egy emberöltőn át fennmaradó szabályok.

E vélemény az átláthatóságra és az elszámoltathatóságra összpontosít, ugyanis ezen elvek kettőse jelenti az általános adatvédelmi rendelet talán legjelentősebb újítását. A háromoldalú egyeztetési folyamatra minden eddiginél nagyobb figyelem irányul. Ajánlásaink nyilvánosak, és arra sürgetjük az uniós intézményeket, hogy ragadják magukhoz a kezdeményezést, és járjanak elől jó példával, hogy ez a jogalkotási reform átlátható folyamat, ne pedig titkos paktumok eredményeképpen szülessen meg.

Az EU-nak új konszenzusra van szüksége, és új fejezetet kell nyitnia az adatvédelem terén. A világ többi része éberen figyel. Mindennél jobban ügyelni kell az új jogszabály minőségére, és arra, hogyan viszonyul a külföldi jogrendszerekhez és tendenciákhoz. Az európai adatvédelmi biztos e véleményével jelezni kívánja, hogy hajlandó és kész segíteni abban, hogy az Unió a lehető legtöbbet hozza ki ebből a történelmi lehetőségből.

1. A polgárok számára előnyösebb megállapodás

Az uniós szabályok célja mindig is az volt, hogy megkönnyítsék az adatáramlást az Unión belül, valamint az EU és kereskedelmi partnerei között, úgy, hogy közben mindennél előrébb helyezzék az egyén jogait és szabadságait. Az internetnek köszönhetően eddig példátlan módon kiszélesedtek a kapcsolattartási és az önkifejezési lehetőségek, minden eddiginél tágabb terünk van arra, hogy értéket teremtsünk a vállalkozásoknak és a fogyasztóknak. A magánélet védelme ugyanakkor minden eddiginél fontosabb az európai polgárok számára. Az adatvédelemről szóló, 2015. júniusi Eurobarométer-felmérés (8) szerint tíz polgárból hat nem bízik az internetes vállalkozásokban, kétharmaduk pedig aggályosnak tartja, hogy nem tudják teljes mértékben ellenőrzésük alatt tartani az interneten keresztül megadott információkat.

A jogi keretnek a reformok után fenn kell tartania, sőt, emelnie kell az adatvédelem színvonalát az egyén javára. Az adatvédelmi reformcsomagra vonatkozó javaslat célja eredetileg „a magánélethez való jogok interneten való védelmének erősítése” volt azáltal, hogy a polgárok „alaposabban ismerjék jogaikat, és jobban ellenőrzésük alatt tudják tartani adataikat” (9). A civil szervezetek képviselői az Európai Bizottságnak írt 2015. áprilisi levelükben arra sürgették az intézményeket, hogy változatlanul tartsák magukat e szándékukhoz (10).

Az Európai Unió Alapjogi Chartájában, e terület elsődleges jogforrásában megfogalmazott elveket következetesen, dinamikusan és innovatív módon kell érvényesíteni, hogy a gyakorlatban is a polgárok érdekeit szolgálják. Átfogó reformot kell megvalósítani, a jogalkotók ezért kötelezték el magukat a jogszabálycsomag mellett, mivel azonban az adatfeldolgozással különálló jogi aktusok foglalkoznak majd, tisztázni kell azok pontos hatályát és egymásra gyakorolt hatását, és ki kell iktatni a kiskapukat, hogy a biztosítékok ne szenvedjenek csorbát (11).

Az európai adatvédelmi biztos számára a kiindulópontot az egyéni méltóság jelenti, amely előrébb való a jogszabályok puszta betartásának kérdésénél (12). Ajánlásaink megfogalmazásához az általános adatvédelmi rendelet mindegyik cikkét egyenként és együttesen is kiértékeltük abból a szempontból, hogy a jelenlegi jogi kerethez képest javítani fogja-e az egyén helyzetét. Hivatkozási alapként az adatvédelem legfontosabb alapelveit, vagyis az Európai Unió Alapjogi Chartájának 8. cikkében foglalt rendelkezéseket használtuk (13).

1.1. Fogalommeghatározások: tisztázzuk a személyes adatok mibenlétét

Gondoskodni kell arról, hogy az egyének eredményesebben gyakorolhassák jogaikat azon adatokat illetően, amelyek alapján azonosíthatók vagy kiválaszthatók, még akkor is, ha ezek az adatok „álnéven kezeltnek” minősülnek (14).

1.2. Az adatkezelés minden formájának egyszerre jogszerűnek és indokoltnak kell lennie.

—

Az adatfeldolgozás összes formájának meghatározott célokra korlátozására és megfelelő jogalapjának meglétére vonatkozó követelmények nem egymás alternatívái, együttesen kell teljesíteni őket. Azt javasoljuk, hogy kerülni kell a követelmények összevonását, amely gyengítené az említett elvek érvényesülését. Az Európai Uniónak ehelyett azt az elképzelést kellene megőriznie, egyszerűsítenie és a gyakorlatban is működőképesé tennie, hogy a személyes adatok kizárólag az adatgyűjtés eredeti céljával összeegyeztethető módon használhatók fel (15).

—

A hozzájárulás lehet az adatfeldolgozás egyik jogalapja, ugyanakkor meg kell akadályoznunk, hogy ezt a hozzájárulást úgy kényszerítsék ki, hogy nem is adnak valódi választási lehetőséget az egyénnek, vagy egyébként nincs is szükség az adatfeldolgozásra. Azt javasoljuk, hogy biztosítani kell a polgároknak a döntés lehetőségét arról, hogy – például klinikai kutatásnál – széles vagy szűk körű hozzájárulást adnak-e, amelyet aztán kötelező tiszteletben tartani, és amely visszavonható (16).

—

Az európai adatvédelmi biztos a személyes adatok nemzetközi továbbítása terén azokat az ésszerű és innovatív megoldásokat támogatja, amelyek megkönnyítik az adatcserét, de egyúttal tiszteletben tartják az adatvédelmi és felügyeleti elveket. Semmiképpen sem javasoljuk az adatkezelő jogos érdekén alapuló adattovábbítás engedélyezését, mivel ez esetben az egyén nem élvezne kellő védelmet, és az EU sem biztosíthat közvetlen hozzáférést harmadik országok hatóságainak az Unióban tárolt adatokhoz. A harmadik országbeli hatóságok adattovábbítás iránti kérelmének csak akkor szabad helyt adni, ha megfelel a kölcsönös jogsegélyről szóló megállapodásokban, nemzetközi szerződésekben vagy a nemzetközi együttműködés jogi keretein belül megfogalmazott normáknak (17).

1.3. Függetlenebb, határozottabb felügyelet

—	Az uniós általános adatvédelmi hatóságoknak az általános adatvédelmi rendelet hatálybalépésének pillanatától készen kell állniuk szerepkörük betöltésére, és az Európai Adatvédelmi Testületnek is teljes mértékben késznek kell lennie feladatai ellátására, amint alkalmazandóvá válik a rendelet (18).

—	A hatóságoknak meg kell tudniuk hallgatni és ki kell tudniuk vizsgálni az érintettek vagy szervek, szervezetek és egyesületek panaszait és kérelmeit.

—

Az egyén jogainak érvényesítéséhez hatékonyan működő rendszerre van szükség, amely gondoskodik a jogszerűtlen adatfeldolgozással okozott károkért való felelősségvállalásról és kártérítésről. Mivel egyértelmű, hogy a gyakorlatban számos akadálya van a jogorvoslatnak, ezért lehetővé kell tenni az egyéneknek, hogy szervek, szervezetek vagy egyesületek útján képviseltessék magukat bírósági eljárásokban (19).

2. Gyakorlatban működő szabályok

A biztosítékok nem tévesztendők össze az alakiságokkal. A túlzottan részletes vagy az üzleti folyamatokba túlságosan beleavatkozó szabályok magukban hordozzák a veszélyt, hogy később idejétmúlttá válnak. Ez esetben követhetjük az uniós versenyjogi kézikönyvben foglaltakat, miszerint szigorúan érvényesítik a viszonylag korlátozott másodlagos joganyagot, valamint az elszámoltathatóságra és a tudatosságra épülő szemléletmód követésére ösztönzik a vállalkozásokat (20).

Mindhárom szövegváltozat világosabb és egyszerűbb eljárást követel a személyes adatok feldolgozásáért felelős személyektől (21). A technikai kötelezettségeknek is hasonlóképpen tömörnek és érthetőnek kell lenniük, hogy az adatkezelők megfelelően hajtsák végre őket (22).

A meglévő eljárások nincsenek kőbe vésve: ajánlásainkban a bürokratikus terhek csökkentésének, valamint a dokumentálásra vonatkozó előírások és a lényegtelen alakiságok minimalizálásának módszereit kívánjuk azonosítani. Csak akkor javaslunk jogalkotást, ha arra valóban szükség van. Ezzel a társaságoknak, a közigazgatási szerveknek és az adatvédelmi hatóságoknak egyaránt mozgásteret biztosíthatunk, ahol az elszámoltathatóságnak és az adatvédelmi hatóságok útmutatásának kell dominálnia. Ajánlásaink figyelembevétele esetén az általános adatvédelmi rendelet szövege összességében véve 30 %-kal rövidülne a három intézmény szövegváltozatához képest (23).

2.1. Eljárások helyett hathatós biztosítékok

—

A dokumentálásnak a szabálykövetés eszközének, nem pedig céljának kell lennie, ezért a reformnak eredményorientáltnak kell lennie. Az adott helyzethez igazítható megközelítést javasolunk, amellyel az adatkezelők dokumentálási kötelezettségei egyetlen politikába sűríthetők, amely meghatározza, hogy a kockázatok figyelembevételével hogyan felelnek majd meg az előírásoknak, és e megfelelést átlátható módon bizonyítják az adatátvitel, az adatfeldolgozókkal kötött szerződések és az adatvédelem megsértésének bejelentése tekintetében is (24).

—

A konkrét kockázatértékelési kritériumok alapján és az uniós intézmények felügyelete során szerzett tapasztalatainkból eredően azt javasoljuk, hogy csak akkor szabad előírni az adatok megsértésének felügyelő hatóságnál való bejelentését és az adatvédelmi hatásvizsgálatok lefolytatását, ha az érintettek jogai és szabadságai vannak veszélyben (25).

—	Tevékenyen támogatni kell az ágazati kezdeményezéseket akár a kötelező erejű vállalati szabályok, akár adatvédelmi címkék alkalmazásával (26).

2.2. A közérdek és a személyes adatok védelme közötti egyensúly javítása

—

Az adatvédelmi szabályok nem akadályozhatják a valóban közérdeket szolgáló történelmi, statisztikai és tudományos kutatásokat. A felelős személyeknek meg kell tenniük a szükséges intézkedéseket a személyes adatoknak az egyén érdekeibe ütköző felhasználása ellen, ennek során pedig kiemelten ügyelniük kell például a különleges egészségügyi adatokra vonatkozó szabályok betartására (27).

—	A kutatóknak, a levél- és az irattárosoknak lehetővé kell tenni, hogy az említett biztosítékokat szem előtt tartva addig tárolják az adatokat, ameddig szükségük van rájuk (28).

2.3. Felügyelő hatóságok: a bizalom és a pozíció erősítése

—

Azt javasoljuk, hogy lehetővé kell tenni, hogy a felügyelő hatóságok útmutatást nyújtsanak az adatkezelőnek, és kidolgozzák saját belső eljárási szabályzatukat az általános adatvédelmi rendelet egyetlen felügyelő hatóság általi (az „egyablakos ügyintézés” elve), a polgárokhoz közel álló (a „közelség” elve) módon történő, egyszerűsített, könnyebb alkalmazása szellemében (29).

—	A hatóságoknak lehetőséget kell biztosítani arra, hogy a lényeges körülmények figyelembevételével hatékony, arányos és visszatartó erejű jogorvoslati és közigazgatási szankciókat hozzanak (30).

3. Egy emberöltőn át fennmaradó szabályok

A hatályos jogi keret alappillére, a 95/46/EK irányelv mintául szolgált az adatfeldolgozásról szóló további jogszabályok megalkotásához az Unión belül és világszerte egyaránt, sőt, az EU Alapjogi Chartájának 8. cikkében a személyes adatok védelméhez való jogról szóló rendelkezés szövege is ezen az irányelven alapul. A mostani reform egy olyan generáció számára alakítja majd ki az adatkezelés szabályait, amely már nem tudja, milyen volt az élet internet nélkül. AZ EU-nak ezért teljes mértékben tisztában kell lennie azzal, milyen hatást gyakorol ez a jogi aktus az egyénekre, és hogyan biztosítható fenntarthatósága a technológiai fejlődés során.

Az elmúlt években jelentősen megélénkült a személyes adatok előállítása, gyűjtése, elemzése és cseréje olyan technológiai újítások eredményeképpen, mint a dolgok internete, a felhőalapú számítástechnika, a nagy adathalmazok és a nyílt hozzáférésű adatok, amelyek kiaknázását az EU a versenyképessége kulcsának tekinti (31). Abból kiindulva, hogy a 95/46/EK irányelv meglehetősen hosszú ideje van hatályban, joggal számíthatunk arra, hogy hasonló idő telik majd el az adatvédelmi szabályok felülvizsgálatáig, amelyre talán a 2030-as évek végén kerül majd sor. Az adatközpontú technológiák viszont várhatóan jóval korábban összetalálkoznak a mesterséges intelligenciával, a természetes nyelvek feldolgozásával és a biometrikus rendszerekkel, ezáltal pedig a fejlett intelligenciáért gépi tanulási képességgel felruházott megoldások létrehozását teszi majd lehetővé.

Ezek a technológiák az adatvédelem elveit kérdőjelezik meg. Az előremutató reformnak ezért az egyén méltóságán kell alapulnia, és figyelembe kell vennie az etikai szempontokat. Helyre kell állítania a személyes adatok védelme terén megvalósuló innováció és annak kiaknázása közötti egyensúlyt, és olyan biztosítékokat kell meghatároznia, amelyek hatékonyan működnek digitalizált társadalmunkban.

3.1. Elszámoltathatóságon alapuló üzleti gyakorlatok és innovatív technikai megoldások

—

A reformnak meg kell fordítania azt a közelmúltban tapasztalható tendenciát, amelynek hatására terjed a titkos nyomon követés és az egyén elől rejtett profilokon alapuló döntéshozatal. Nem a célzott hirdetésekkel vagy a profilalkotással van a probléma, hanem azzal, hogy nincs érdemi tájékoztatás az e profilokat kidolgozó és az érintettekre hatást gyakorló algoritmikus logikáról (32). Azt javasoljuk, hogy az adatkezelőknek átláthatóbban kell tevékenykedniük.

—

Határozottan támogatjuk a beépített és az alapértelmezett adatvédelem elveinek bevezetését, hogy ezáltal beinduljon a piacorientált megoldások kidolgozása a digitális gazdaságban. A megfogalmazás egyszerűsítését javasoljuk azon előírásnál, miszerint az egyén jogait és érdekeit a termékfejlesztés és az alapértelmezett beállítások szerves részévé kell tenni (33).

3.2. Helyzetben az egyének

Az adatok hordozhatósága a digitális környezetben egyfajta átjárót jelent a felhasználói ellenőrzéshez, az egyének pedig jelenleg kezdenek ráébredni, hogy ez a lehetőség nem biztosított számukra. Azt javasoljuk, hogy az érintett kérésére lehetővé kell tenni az adatok egyik adatkezelőtől a másikhoz való közvetlen továbbítását, az érintetteket pedig fel kell jogosítani arra, hogy az adatokról másolatot kérjenek, amelyet maguk továbbíthatnak másik adatkezelőhöz (34).

3.3. Időtálló szabályok

Azt javasoljuk, hogy kerülni kell az olyan nyelvezet és gyakorlatok használatát, amelyek várhatóan idejétmúlttá vagy vitathatóvá válnak (35).

4. Befejezetlen ügyek

Az előremutató uniós adatvédelmi reformcsomag elfogadása elismerésre méltó, de mindössze részleges eredmény lesz.

Az intézmények egyetértenek abban, hogy az általános adatvédelmi rendeletben megfogalmazott elveket következetesen alkalmazni kell az uniós intézményekre. A jogbiztonság és a jogi keret egységessége mellett emeltünk szót, egyúttal pedig elismertük, hogy az uniós közszféra egyedi, és feltétlenül el kell kerülni a jelenlegi kötelezettségek lazulását (emellett rendelkezni kell az európai adatvédelmi biztos hivatalának jog- és szervezeti alapjáról). A Bizottságnak ezért az általános adatvédelmi rendelettel összhangban álló javaslatot kell megfogalmaznia a 45/2001/EK rendelet felülvizsgálatára rögtön az általános adatvédelmi rendeletről folyó egyeztetések lezárása után, hogy mindkét jogi aktus egyszerre lépjen hatályba (36).

Másrészről egyértelmű, hogy a 2002/58/EK irányelv (a továbbiakban: elektronikus hírközlési adatvédelmi irányelv) módosításra szorul. Ami pedig még fontosabb, az EU-nak világos jogi keretre van szüksége a közlések titkosságát illetően, amely a magánélethez való jog szerves részét képezi. E jogi keretnek nemcsak a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatókat, hanem a kommunikációt lehetővé tevő összes szolgáltatást szabályoznia kell. Ehhez jogbiztonságot nyújtó, harmonizációs szabályozásra van szükség, amely egyenlő feltételek mellett legalább ugyanolyan védelmi színvonalat biztosít az elektronikus hírközlési adatvédelmi irányelv értelmében.

E véleményünkben ezért azt javasoljuk, hogy kötelezettséget kell vállalni javaslatok mielőbbi, gyors elfogadására e két területen.

5. Döntő mozzanat a digitális jogok terén Európában és a világban

Egy emberöltő óta most először nyílik lehetőség arra, hogy az EU korszerűsítse és harmonizálja a személyes adatok kezelésére vonatkozó szabályokat. A magánélethez való jog és az adatvédelem nem zárja ki a gazdasági növekedést és a nemzetközi kereskedelmet, sőt a kiváló szolgáltatásokat és termékeket sem, hanem a minőséggel és az értékkel kapcsolatos javaslat részét képezi. Az Európai Tanács is felismerte, hogy elengedhetetlen a bizalom azoknál az innovatív termékeknél és szolgáltatásoknál, amelyek a személyes adatok feldolgozására támaszkodnak.

Az EU 1995-ben úttörő szerepet játszott az adatvédelem terén. Mára világszerte több mint száz ország rendelkezik adatvédelmi jogszabályokkal, és ezek kevesebb mint fele európai (37). Az Unióra mindazonáltal továbbra is éberen figyelnek azok az országok, amelyek jogi keretük létrehozását vagy felülvizsgálatát tervezik. Az utóbbi időben több esetben is fény derült tömeges megfigyelésre és adatok megsértésére, ami megrendítette a polgárok vállalkozásokba és kormányokba vetett bizalmát, így most hatalmas felelősség nehezedik az uniós jogalkotókra, akiknek idei döntései várhatóan Európán kívül is hatást gyakorolnak majd.

Az európai adatvédelmi biztos álláspontja szerint az általános adatvédelmi rendelet szövegváltozatai jó irányba mutatnak, de még maradtak kételyek, köztük néhány rendkívül súlyos. Az együttdöntési eljárásban mindig fennáll a veszélye annak, hogy a jó szándékú tárgyaló felek a politikai kompromisszum keresése közben bizonyos rendelkezéseket meggyengítenek. Az adatvédelmi reform esete azonban más, mivel alapvető jogokról van szó, valamint arról, hogyan óvjuk meg őket egy emberöltőn át.

Erre tekintettel e vélemény segítségül kíván szolgálni a vezető uniós intézmények számára a problémák megoldásában. Nemcsak az egyes érintettek jogait kívánjuk erősíteni, és az adatkezelők elszámoltathatóságát fokozni, hanem az innovációt is támogatni szeretnénk olyan jogi keretben, amely a technológia tekintetében semleges, a technológia lehetséges társadalmi előnyeihez viszont pozitívan viszonyul.

Mivel a tárgyalások már a célegyenesben vannak, abban reménykedünk, hogy az EU az ajánlásainknak köszönhetően olyan reformmal ér majd célba, amely éveken, sőt, évtizedeken át alkalmas lesz célja betöltésére: új fejezetet nyit az adatvédelemben a nemzetközi színtéren, ahol az EU jó példával jár elöl.

Kelt Brüsszelben, 2015. július 27-én.

Giovanni BUTTARELLI

európai adatvédelmi biztos

(1) Az Európai Parlament, a Tanács és az Európai Bizottság együttes nyilatkozatai – együttes nyilatkozat az együttdöntési eljárás gyakorlati vonatkozásairól (az EK-szerződés 251. cikke) (2007/C 145/02), HL C 145., 2007.6.30.

(2) COM(2012) 11; Az Európai Parlament 2014. márciusi 12-i jogalkotási állásfoglalása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról, P7_TA(2014)0212; a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslat – általános megközelítés kialakítása, 9565/15. sz. tanácsi dokumentum, 2015.6.11.

(3) A teljes címe: A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelvre irányuló javaslat, COM(2012) 10; az Európai Parlament 2014. március 12-i jogalkotási állásfoglalása a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelvre irányuló javaslatról, P7_TA(2014)0219. A háromoldalú egyeztetés ütemezéséről és tárgyi hatályáról az Európai Tanács 2015. június 25–26-i következtetései (EUCO 22/15) szolgálnak részletekkel; a háromoldalú egyeztetés „ütemtervét” a Parlament, a Tanács és a Bizottság közös sajtótájékoztatóján ismertették (http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [utolsó letöltés: 2015.7.20.]), de hivatalosan még nem tették közzé. Az általános adatvédelmi rendelet a Hivatalos Lapban való kihirdetését követő huszadik napon lép hatályba, és előreláthatólag a hatálybalépésétől számított két év elteltével teljes körűen alkalmazandó lesz (91. cikk).

(4) Álláshirdetés az európai adatvédelmi biztos álláshelyének betöltésére, COM/2014/10354 (2014/C 163 A/02), HL C 163., A/6, 2014.5.28. Az európai adatvédelmi biztos a 2015–2019 közötti időszakra vonatkozó stratégiájában ígéretet tett arra, hogy „működő megoldásokat keres, amelyekkel elkerülhetők a bürokratikus terhek, megőrizhető a rugalmasság a műszaki innováció és a határokon átnyúló adatáramlás terén, és lehetővé tehető az egyének számára, hogy hatékonyabban érvényesítsék jogaikat az interneten és azon kívül egyaránt”; Példamutatással az élen: az európai adatvédelmi biztos stratégiája a 2015–2019 közötti időszakra, 2015. március.

(5) Az európai adatvédelmi biztos véleménye az adatvédelmi reformcsomagról, 2015.3.7.

(6) Lásd a 29. cikk szerinti munkacsoport Vĕra Jourová jogérvényesülésért, a fogyasztópolitikáért és a nemek közötti esélyegyenlőségért felelős biztoshoz intézett levelének mellékletét, 2015.6.17.

(7) Az általános adatvédelmi rendelet tárgyi és területi hatályát nehéz tömören megfogalmazni. Az intézmények legalább abban egyetértenek, hogy a rendelet hatálya az Unión belül vagy kívül személyes adatok feldolgozását végző, uniós székhelyű szervezetekre, valamint azokra az Unión kívül letelepedett szervezetekre terjed ki, amelyek Unión belüli egyének személyes adatait dolgozzák fel, amikor termékeket és szolgáltatásokat kínálnak nekik, vagy nyomon követik őket. (A tárgyi hatályról lásd a 2. cikket, a területi hatályról pedig a 3. cikket.)

(8) A felmérés azt is kimutatta, hogy tíz polgárból hét aggódik amiatt, hogy adatait nem arra használják fel, amire begyűjtötték, hétből egy szerint pedig kifejezett jóváhagyását kellene kérni, valahányszor adatait begyűjtik és feldolgozzák, kétharmaduk pedig úgy gondolja, hogy fontos megoldani a személyes adatok régi és új szolgáltató közötti átvitelét. Az Euro 431. számú különjelentése az adatvédelemről, 2015. június. Az Eurobarométer-felmérés megállapításaival összevethetők a Pew Research által 2014-ben készített felmérés eredményével, amely szerint az amerikai polgárok 91 %-a érzi úgy, hogy elvesztette az ellenőrzést afelett, hogyan gyűjtik és használják fel a vállalatok a személyes adatokat, a közösségi hálózatok felhasználóinak 80 %-a tart attól, hogy harmadik felek, például hirdetők vagy vállalkozások megszerzik az adatait, és a lakosság 64 %-a gondolja úgy, hogy a kormánynak szigorúbban kellene szabályoznia a hirdetők tevékenységét. A Pew Research Privacy panelkutatása a magánéletről, 2014. január.

(9) A Bizottság az adatvédelmi szabályok átfogó reformját javasolta annak elérése érdekében, hogy a felhasználók jobban ellenőrzésük alatt tudják tartani adataikat, és csökkenjenek a vállalkozásoknál felmerülő költségek.

(10) Nem kormányzati szervezetek levele Jean-Claude Junckerhez, az Európai Bizottság elnökéhez, 2015.4.21. https://edri.org/files/DP_letter_Juncker_20150421.pdf és Frans Timmermans alelnök kabinetfőnökének válasza, 2015.7.17. https://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdf [utolsó letöltés: 2015.7.23.]. Az európai adatvédelmi biztos 2015 májusában több nem kormányzati szervezet képviselőjével is találkozott, hogy megvitassa velük aggályaikat. SAJTÓKÖZLEMÉNY, EDPS/2015/04, 2015.6.1., Uniós adatvédelmi reform: az európai adatvédelmi biztos találkozója nemzetközi állampolgári jogi csoportokkal; a megbeszélésről készül teljes videofelvétel megtekinthető az európai adatvédelmi biztos honlapján a https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc címen.

(11) 2. cikk (2) bekezdés e) pont.

(12) 1. cikk.

(13) Az Alapjogi Charta 8. cikke a következőképpen rendelkezik (utólagos kiemelés):

1.	Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

2.	Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.

3.	E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie.

(14) 10. cikk. Amíg nem áll rendelkezésre egyértelmű és jogilag kötelező erejű meghatározás „az álnéven kezelt adat” fogalmára a „személyes adattól” elkülönülten, addig ennek az adatfajtának az adatvédelmi szabályok hatálya alá kell tartoznia.

(15) A 6. cikk (2) és (4) bekezdése. Mivel az „összeegyeztethetőség” fogalmával kapcsolatosan némi bizonytalanság alakult ki, a 29. cikk szerinti munkacsoport célhoz kötöttségről szóló véleménye alapján azt javasoljuk, hogy általános kritériumokat kell meghatározni az adatfeldolgozás összeegyeztethetőségének értékelésére (lásd az 5. cikk (2) bekezdését).

(16) A tényleges funkcionális szétválasztás az egyik lehetséges módszer arra, hogy gondoskodjunk a hozzájárulás hiányában is tisztességes adatfeldolgozásról, a jogos érdek azonban nem értelmezhető túlzottan tág módon. Bizonyos esetekben kívül maradás feltétel nélküli jogának biztosítása is helyénvaló alternatív megoldás lehet. Annak megállapításához, hogy a hozzájárulás valóban önkéntes volt-e, egyrészt azt kell megvizsgálni, hogy jelentős egyenlőtlenség áll-e fenn az érintett és az adatkezelő között, másrészt a 6. cikk (1) bekezdésének b) pontja szerinti adatfeldolgozás esetén azt kell mérlegelni, hogy a szerződésteljesítés vagy a szolgáltatásnyújtás az e célra egyébként nem szükséges adatfeldolgozáshoz való hozzájáruláshoz kötött-e. (Lásd a 7. cikk (4) bekezdését.) Ez egybecseng az uniós fogyasztóvédelmi jogszabály rendelkezéseivel: az 1993. április 5-i 93/13/EGK irányelv 3. cikkének (1) bekezdése szerint „[e]gyedileg meg nem tárgyalt szerződési feltétel abban az esetben tekintendő tisztességtelen feltételnek, ha a jóhiszeműség követelményével ellentétben a felek szerződésből eredő jogaiban és kötelezettségeiben jelentős egyenlőtlenséget idéz elő a fogyasztó kárára”.

(17) Ilyen előírásokat tartalmaznak például a bizonyos ágazatokra és területekre vonatkozó megfelelőségi határozatok, a megfelelőségi határozatok időszakosan felülvizsgált változatai, valamint a kötelező erejű vállalati szabályok. Lásd a 40–45. cikket.

(18) 73. cikk.

(19) 76. cikk. Az adatvédelmi szabályok megszegésével kapcsolatos jogorvoslatot övező nehézségekéről lásd az Európai Unió Alapjogi Ügynökségének „Hozzáférés az adatvédelmi jogorvoslathoz az EU tagállamaiban” című, 2013. évi jelentését.

(20) Az uniós szabályok a társaságok önértékelésére helyezik a hangsúlyt az EUMSZ versenyellenes megállapodások tilalmáról szóló 101. cikkének betartását illetően, a piacon erőfölénnyel rendelkező cégek pedig „különös felelősséggel” tartoznak azért, hogy tartózkodjanak minden olyan intézkedéstől, amellyel akadályozhatják a tényleges versenyt (a 2009/C 45/02 sz. bizottsági iránymutatás 9. pontja). Lásd az európai adatvédelmi biztos „A magánélethez való jog és versenyképesség a nagy adathalmazok korában” című előzetes véleményét, 2014.3.14.

(21) A három szövegváltozat e tekintetben eltérően fogalmaz: „érthető módon és formában, világos és közérthető nyelven” (a Parlament szövegváltozatának (57) preambulumbekezdése, illetve a Bizottság és a Tanács szövegváltozatának 19. cikke), „világos és egyértelmű” módon (a Parlament szövegváltozatának (99) preambulumbekezdése és 10a. cikke) és „világos és érthető tájékoztatás” nyújtásával (a Parlament szövegváltozatának 10. és 11. cikke), valamint „tömör, átlátható, világos és érthető” tájékoztatással (a Parlament, a Bizottság és a Tanács szövegváltozatának (25) preambulumbekezdése, illetve a Parlament szövegváltozatának 11. cikke)

(22) A Parlament és a Tanács nagyrészt eltávolította a felhatalmazáson alapuló jogi aktusokra vonatkozó rendelkezéseket saját szövegváltozatából. Úgy véljük, hogy az EU-nak ennél is tovább kell mennie, és az ilyen technikai ügyeket a független hatóságok szakértelmére kell bíznia.

(23) Ajánlásaink alapján a szöveg mintegy 20 000 szóra csökkenne, szemben a három intézmény szövegváltozatának átlagban 28 000 szavas terjedelmével.

(24) 22. cikk.

(25) 31. és a 33. cikk.

(26) 39. cikk.

(27) 83. cikk. A kutatás és az archiválás önmagában nem teremt jogalapot az adatfeldolgozásra, éppen ezért a 6. cikk (2) bekezdésének törlését javasoljuk.

(28) 83a. cikk.

(29) A 29. cikk szerinti munkacsoport felvázolta az irányítással, az egységességi mechanizmussal és a független adatvédelmi hatóságba vetett bizalmon alapuló egyablakos ügyintézéssel kapcsolatos jövőképét, amelyet három réteg alkot:

—	önálló adatvédelmi hatóság, amely erős, és rendelkezik a hatáskörébe tartozó ügyek rendezéséhez szükséges erőforrásokkal;

—	hatékony együttműködés az adatvédelmi hatóságok között, határon átnyúló ügyekben egyértelmű vezetővel;

—

Európai Adatvédelmi Testület, amelynek autonómnak és önálló jogi személynek kell lennie, elegendő forrással kell rendelkeznie, soraiban az egymással egyenjogú adatvédelmi hatóságoknak a szolidaritás jegyében kell együttműködniük, hatáskörének ki kell terjednie jogilag kötelező erejű határozatok meghozatalára, munkáját pedig titkárságnak kell támogatnia az elnök közreműködésével.

(30) Javasoljuk még a felügyelő hatóságok illetékességének tisztázását és nemzetközi eljárás esetén vezető hatóság kijelölését is úgy, hogy a felügyelő hatóságok közben továbbra is kezelni tudják a tisztán helyi jellegű ügyeket. Azt javasoljuk, hogy egyszerűsíteni kell az egységességi mechanizmust annak tisztázása érdekében, hogyan kell felismerni azokat az eseteket, amikor a felügyelő hatóságnak az Európai Adatvédelmi Testülethez kell fordulnia, a Testületnek pedig jogilag kötelező erejű határozatot kell hoznia a rendelet következetesebb alkalmazása érdekében.

(31) A Bizottság közleménye az európai digitális egységes piaci stratégiáról, COM(2015) 192; az Európai Tanács 2015. júniusi következtetései, EUCO 22/15; a Tanács következtetései az európai ipar digitális átalakulásáról, 8993/15.

(32) A 14. cikk h) pontja.

(33) 23. cikk.

(34) 18. cikk. Azt javasoljuk továbbá, hogy az adathordozhatósághoz fűződő jognak a hatékonyság érdekében széles alkalmazási kört kell biztosítani, hogy ne kizárólag az érintett által közölt adatokat felhasználó feldolgozási műveletekre terjedjen ki.

(35) Javasoljuk olyan kifejezések mellőzősét, mint az „online”, az „írásban” és az „információs társadalom”.

(36) Véleményünk szerint a legjobb megoldás az lenne, ha egy erre vonatkozó rendelkezés már az általános adatvédelmi rendeletbe is bekerülne.

(37) Greenleaf, Graham, Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority (January 30, 2015) (Adatvédelmi jogszabályok világszerte 2015-ben: 109 országban, az európai jogszabályok már kisebbségbe kerültek, 2015. január 30.), 133. nemzetközi jelentés az adatvédelmi jogszabályokról és az üzletről, 2015. február; az UNSW 2015-21. sz. jogi tanulmánya.

AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ KÖZLEMÉNYEK

AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ TÁJÉKOZTATÁSOK

		ISSN 1977-0979
Az Európai Unió Hivatalos Lapja		C 301

Magyar nyelvű kiadás	Tájékoztatások és közlemények	58. évfolyam 2015. szeptember 12.

Közleményszám	Tartalom	Oldal
	I Állásfoglalások, ajánlások és vélemények
	AJÁNLÁSOK
	Európai Adatvédelmi Biztos
2015/C 301/01	Az európai adatvédelmi biztos ajánlásai az EU adatvédelmi reformmal kapcsolatos lehetőségeiről	1

	II Közlemények
	AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ KÖZLEMÉNYEK
	Európai Bizottság
2015/C 301/02	Bejelentett összefonódás engedélyezése (Ügyszám: M.7579 – Royal Dutch Shell/Keele Oy/Aviation Fuel Services Norway) ( 1 )	9
2015/C 301/03	Bejelentett összefonódás engedélyezése (Ügyszám: M.7685 – Perrigo/GSK Divestment Businesses) ( 1 )	9

	IV Tájékoztatások
	AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ TÁJÉKOZTATÁSOK
	Európai Bizottság
2015/C 301/04	Euroátváltási árfolyamok	10
	A TAGÁLLAMOKTÓL SZÁRMAZÓ TÁJÉKOZTATÁSOK
2015/C 301/05	A Bizottság közleménye a Közösségben a légi járatok működtetésére vonatkozó közös szabályokról szóló 1008/2008/EK európai parlamenti és tanácsi rendelet 16. cikkének (4) bekezdésében meghatározott eljárás alapján – Menetrend szerinti légi járatok üzemeltetésére vonatkozó közszolgáltatási kötelezettségek ( 1 )	11
2015/C 301/06	A Bizottság közleménye a Közösségben a légi járatok működtetésére vonatkozó közös szabályokról szóló 1008/2008/EK európai parlamenti és tanácsi rendelet 17. cikkének (5) bekezdésében meghatározott eljárás alapján – Pályázati felhívás menetrend szerinti légi járatok közszolgáltatási kötelezettség alapján történő üzemeltetésére ( 1 )	12
2015/C 301/07	A Bizottság közleménye a Közösségben a légi járatok működtetésére vonatkozó közös szabályokról szóló 1008/2008/EK európai parlamenti és tanácsi rendelet 17. cikkének (5) bekezdésében meghatározott eljárás alapján – Pályázati felhívás menetrend szerinti légi járatok közszolgáltatási kötelezettség alapján történő üzemeltetésére ( 1 )	13

	V Hirdetmények
	A VERSENYPOLITIKA VÉGREHAJTÁSÁRA VONATKOZÓ ELJÁRÁSOK
	Európai Bizottság
2015/C 301/08	Összefonódás előzetes bejelentése (Ügyszám: M.7697 – Aéroports de Paris/Select Service Partner Group/JV) – Egyszerűsített eljárás alá vont ügy ( 1 )	14
2015/C 301/09	Összefonódás előzetes bejelentése (Ügyszám: M.7595 – TDR Capital/LeasePlan) – Egyszerűsített eljárás alá vont ügy ( 1 )	15
2015/C 301/10	Összefonódás előzetes bejelentése (Ügyszám: M.7705 – Benson Elliot/Walton Street/Starwood/Hotel Portfolio) – Egyszerűsített eljárás alá vont ügy ( 1 )	16
2015/C 301/11	Összefonódás előzetes bejelentése (Ügyszám: M.7743 – Trailstone/E2M) – Egyszerűsített eljárás alá vont ügy ( 1 )	17

	Pénznem	Átváltási árfolyam
USD	USA dollár	1,1268
JPY	Japán yen	136,02
DKK	Dán korona	7,4608
GBP	Angol font	0,73060
SEK	Svéd korona	9,3709
CHF	Svájci frank	1,1031
ISK	Izlandi korona
NOK	Norvég korona	9,2710
BGN	Bulgár leva	1,9558
CZK	Cseh korona	27,074
HUF	Magyar forint	314,74
PLN	Lengyel zloty	4,2080
RON	Román lej	4,4189
TRY	Török líra	3,4302
AUD	Ausztrál dollár	1,5955
CAD	Kanadai dollár	1,4945
HKD	Hongkongi dollár	8,7327
NZD	Új-zélandi dollár	1,7914
SGD	Szingapúri dollár	1,5948
KRW	Dél-Koreai won	1 333,25
ZAR	Dél-Afrikai rand	15,2887
CNY	Kínai renminbi	7,1832
HRK	Horvát kuna	7,5500
IDR	Indonéz rúpia	16 114,26
MYR	Maláj ringgit	4,8642
PHP	Fülöp-szigeteki peso	52,755
RUB	Orosz rubel	76,6060
THB	Thaiföldi baht	40,734
BRL	Brazil real	4,3272
MXN	Mexikói peso	18,8722
INR	Indiai rúpia	74,8967