Európai Gazdasági és Szociális Bizottság
TEN/699
Iránymutatás a nem személyes adatok szabad áramlásáról
VÉLEMÉNY
„Közlekedés, energia, infrastruktúra és információs társadalom” szekció
A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak – Iránymutatás a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló rendeletről
[COM(2019) 250 final]
Előadó: Laure BATUT
|
Felkérés:
|
Európai Bizottság, 2019. 07. 22.
|
|
Jogalap:
|
az Európai Unió működéséről szóló szerződés 304. cikke
|
|
|
|
|
Illetékes szekció:
|
„Közlekedés, energia, infrastruktúra és információs társadalom” szekció
|
|
Elfogadás a szekcióülésen:
|
2019. 09. 11.
|
|
Elfogadás a plenáris ülésen:
|
DD/MM/YYYY
|
|
Plenáris ülés száma:
|
xx.
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
xx/xx/xx
|
1.Ajánlások
1.1Az EGSZB javasolja, hogy az Európai Bizottság:
·a bizonytalanságok eloszlatása és a bizalom növelése érdekében egyszerűen és egyértelműen adja meg a nem személyes adat meghatározásának kritériumait és a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló rendelet (a továbbiakban: a nem személyes adatok szabad áramlásáról szóló rendelet) hatályát,
·tájékoztassa a gazdasági szereplőket az adatokról szóló európai jogszabályszövegek közötti átfedésekről,
·a szabad áramlás előmozdítása mellett biztosítsa, hogy a személyes adatokat fokozatosan ne kezdjék el nem személyes adatoknak tekinteni, és hogy az általános adatvédelmi rendelet a teljes hatályát megőrizze, továbbá álljon készen arra, hogy a két rendeletet középtávon egyesítse az adatok fokozottabb védelme, nem pedig azok nagyobb mértékű áruba bocsátása érdekében,
·vegye figyelembe a platformokon átívelő hordozás eshetőségét,
·a felhőalapú számítástechnika esetében alakítson ki páneurópai szolgáltatási szövetségeket,
·sürgősen nyújtson segítséget az európai szereplőknek ahhoz, hogy olyan algoritmusokat használjanak, amelyek képesek nagy mennyiségű nem személyes adat kezelésére az egységes adatpiacon; ösztönözze a tagállamokat arra, hogy minden szinten (iskola, egyetem, munka) fokozzák a számítástechnikai technológiák (IT) és a mesterséges intelligencia (AI) területével kapcsolatos, egész életen át tartó tanulást,
·a gazdasági szereplőket ösztönözze a felelősségvállalás, az erkölcs és a szolidaritás szellemének kialakítására, és ne hagyja, hogy az önszabályozás és a jogviták „békés” rendezése a jogszabályszövegek eltérő értelmezését eredményezze,
·ne mulassza el igénybe venni a szabályozási eszközt,
·tájékoztassa a vállalkozásokat arról, hogy a magatartási kódexeken és a jogviták békés rendezésén kívül ideiglenes intézkedés meghozatala érdekében az európai igazságszolgáltatáshoz is fordulhatnak,
·irányozza elő a szankciók harmonizációját,
·dolgozzon ki ütemtervet annak ellenőrzésére, hogy a vállalkozások jogbiztonsága valóban biztosított-e az adataiknak a nem személyes adatok szabad áramlásáról szóló rendelet szerinti szabad felhasználása keretében,
·mérje fel az aktuális helyzetet a 27 tagállamban, és a működésük hatodik hónapjától kezdve értékelje a kapcsolattartó pontok tevékenységét,
·messzemenően teljesítse tájékoztatási, kommunikációs és figyelmeztető feladatait,
·szólítsa fel a tagállamokat arra, hogy kommunikáljanak a gazdasági szereplőkkel a „közbiztonsági” kritériumaikról,
·szólítsa fel a tagállamokat, hogy a nem továbbítható adatokat több, szétszórtan elhelyezkedő létesítményben tárolják,
·kellő időben vizsgálja felül a versenypolitikát annak ellenőrzése céljából, hogy jelenlegi formájában megfelelő-e az adatok szabad áramlásához.
2.Bevezetés
2.1Az EGSZB tudomásul veszi az Európai Bizottság azon szándékát, hogy iránymutatást adjon a nem személyes adatok továbbítása által érintett vállalkozásoknak mindaddig, amíg az érdekelt felek 2020 folyamán meg nem állapodnak magatartási kódexekről. A vegyes, azaz egyszerre személyes és nem személyes jellegű adatok gyakorisága elbizonytalaníthatja a vállalkozásokat, hogy milyen intézkedéseket kell hozniuk azok védelmében. Érdemes emlékeztetni a hatályos szabályok fő alapelveire, mielőtt rátérnénk azon kérdések elemzésére, amelyekhez az EGSZB megjegyzéseket kíván fűzni.
2.2Az Európai Bizottság megjegyezte, hogy az uniós felhőszolgáltatások közötti versenyképesség hiánya, és ebből következően az oligopóliumok uralta környezetben az adatmobilitás hiánya kedvezőtlenül hatott az adatpiacra. A nem személyes adatok szabad áramlásáról szóló rendelet azt kéri a tagállamoktól, hogy a növekedés ösztönzése és a vállalkozások innovációs kapacitásainak felszabadítása érdekében csökkentsék minimálisra az adatlokalizációs követelményeiket, valamint az ezzel kapcsolatos jogszabályok széttagoltságát.
2.3A nem személyes adatok szabad áramlásáról szóló rendelet elfogadásával, amely az általános adatvédelmi rendeletet egészíti ki, ez az „ötödik” olyan, valamennyi adatra vonatkozó „szabad mozgás”, amely bekerült a XXI. századi európai jogszabályokba (sic: Anna-Maria Corazza Bildt, európai parlamenti képviselő, előadó). Lehetővé kell tenni, hogy ezt az immateriális árut, már ha annak lehet nevezni, a tulajdonosai oda továbbíthassák és ott kezeljék, ahová és ahol azt szeretnék, az Európai Unión belüli keletkezésük és/vagy felhasználásuk országától eltérő országokban lévő szolgáltatóknál-tárhelyszolgáltatóknál (a nem személyes adatok szabad áramlásáról szóló rendelet 1. cikke). Ezzel könnyebb lesz az áru tulajdonosainak helyzete és jobb lesz a versenyképességük.
A nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló rendelet
2.4Az (EU) 2018/1807 rendelet a mesterséges intelligencia, a felhőalapú számítástechnika és a nagy adathalmazok elemzésének fejlesztése érdekében elősegíti a nem személyes adatok Európai Unióban való szabad áramlását. A rendelet (6. cikke) előírja, hogy az Európai Bizottság irányítja, ösztönzi és elősegíti az önszabályozáson alapuló uniós szintű magatartási kódexeknek az ezen nem személyes adatokkal dolgozó szereplők általi kidolgozását.
2.5A vizsgált szövegnek, amely a mikrovállalkozások és a kkv-k szakembereinek szól, elő kell segítenie, hogy ezek a szakemberek az iránymutatások segítségével megértsék az említett rendelet és az általános adatvédelmi rendelet közötti kölcsönhatásokat. Állításait illusztrálandó az Európai Bizottság számos helyzetre példákat is hoz.
2.6A készülő magatartási kódexeknek a 2019 novembere és 2020 májusa közötti időszakra kell elkészülniük ((30) és (31) preambulumbekezdés és a 6. cikk (1) bekezdése). Kidolgozásukkor minden fél véleményét figyelembe kell venni. Két nyilvános konzultációra került sor, és két, szakemberekből álló munkacsoport nyújt segítséget az Európai Bizottságnak: az egyik a felhőszolgáltatásokkal kapcsolatos kiberbiztonság tanúsításával (CSPCERT), a másik pedig az adatok hordozásával és a szolgáltatóváltással foglalkozik (SWIPO). Munkájuk az infrastruktúra-szolgáltatást és a szoftverszolgáltatást fedi le. Az Európai Bizottság 2020 májusában javasolja majd, hogy az ágazatot ösztönözzék szerződési mintafeltételek kidolgozására, 2022-ben pedig beszámol az Európai Parlamentnek, a Tanácsnak és az EGSZB-nek a rendelet alkalmazásáról, különös tekintettel az „összetett” vagy vegyes adathalmazok használatára.
3.Általános megjegyzések
3.1Az Európai Bizottság feladata: az általános adatvédelmi rendelet és a nem személyes adatok szabad áramlásáról szóló rendelet összehangolása
3.1.1Az egymást kiegészítő két rendelet összehangolása érdekében az Európai Bizottság az alábbiakat határozza meg: 1. az adatlokalizációs követelmények alkalmazása ezentúl tilos lesz; 2. az adatoknak továbbra is elérhetőnek kell lenniük az illetékes hatóságok számára; 3. az adatok mobillá válnak, ezért „hordozás” tárgyát képezhetik. Az általános adatvédelmi rendelet „hordozhatóság”-ot említ. A nem személyes adatok szabad áramlásáról szóló rendelet „hordozás”-ról beszél. A felhasználók a létrehozás helyén kívüli országba továbbíthatják adataikat, majd azokat a szolgáltatóváltás után (túl sok) korlátozás nélkül visszaszerezhetik az adatok tárolása, kezelése vagy elemzése céljából. A „hordozhatóságtól” eltérően, amely egy jogot jelent az érintett személyek számára, a „hordozás” magatartási kódexek szerint, tehát önszabályozási eljárás keretében történik.
3.1.2Ez fontos különbséget jelent a két rendelet között, mert az egyik a kemény jogon, a másik nem kötelező erejű eszközökön (soft law) alapul, amelyek köztudottan sokkal kevesebb garanciát nyújtanak. Az adatok többsége azonban az Európai Bizottság véleménye szerint is egyszerre bír egymáshoz elválaszthatatlanul kapcsolódó személyes és nem személyes jelleggel, minek következtében az adatállományok „vegyes” adatállományok lesznek.
3.1.3Az EGSZB üdvözli ezt a segítségnyújtást, és nem vonja kétségbe a választott példákat. Nem áll szándékában egyéb példákat felhozni. Megjegyzi azonban, hogy az Európai Bizottság által a szereplők figyelmébe ajánlott iránymutatások mindössze helyzeteket bemutató példákkal szemléltetik a kontextust. Az Európai Bizottság figyelmeztetése céljából az EGSZB ki szeretné emelni azokat a kritikus területeket, amelyek véleménye szerint az iránymutatások és a jövőbeli magatartási kódexek ellenére problémát okozhatnak a felhasználóknak.
3.2Az elvek felidézése
3.2.1Az adatok szabad áramlásának elve
A nem személyes adatok szabad áramlásának akadályai nem annyira földrajzi értelemben vett akadályok, inkább funkcionálisak és/vagy azzal függenek össze, hogy a vállalkozások milyen eszközökkel rendelkeznek a számítástechnikai technológiák használatához.
A nem személyes adatok szabad áramlásáról szóló rendelet megtiltja az adatlokalizációs követelmények alkalmazását egy adott területen (4. cikk). A rendelet felszólítja a tagállamokat, hogy a végrehajtásának időpontjától (2021. május) számított huszonnégy hónapon belül minden ellentétes értelmű rendelkezést helyezzenek hatályon kívül.
A rendelet megállapítja a közbiztonsággal kapcsolatos kivételeket. A tagállamoknak részletes információkat kell online közzétenniük a nemzeti szintű lokalizációs követelményeikről. Az Európai Bizottság észrevételeket fogalmazhat meg és összeköti a tagállamok által rendelkezésre bocsátott weboldalakat.
3.2.2A szabad áramlás alóli kivételek
·A tagállami hatóságok hozzáférhetnek a továbbított adatokhoz: a nem személyes adatok szabad áramlásáról szóló rendelet olyan eljárást vezet be, amely bármely állam felügyeleti hatósága számára lehetővé teszi, hogy megszerezze a valamely másik államban kezelt adatokat. A rendelet meghatározza a hatóságok közötti együttműködés módját (5. és 7. cikk). Az EGSZB azonban nagyon tart attól, hogy lokalizáció hiányában a (számviteli, pénzügyi, szerződéses stb.) adatok kicsúszhatnak a tagállami hatóságok ellenőrzése alól. Emlékezteti az Európai Bizottságot, hogy szükség esetén ne mulassza el igénybe venni a szabályozási eszközt.
·A kérelmet az egyes tagállamok egyedüli kapcsolattartó pontja kezeli a nemzeti felügyeleti hatósággal, amely megadhatja az adatokat, amennyiben úgy ítéli meg, hogy a kérelem elfogadható. A nem személyes adatok szabad áramlásáról szóló rendelet szellemével összhangban a kapcsolattartó pontoknak segítséget kell nyújtaniuk a gazdasági szereplőknek ahhoz, hogy a verseny megőrzése mellett az egész Unióban tájékozottan dönthessenek adattovábbításaikról és szolgáltatóikról.
Az EGSZB úgy véli, hogy az iránymutatások önmagukban nem képesek eloszlatni az ezen elv érvényesítésével kapcsolatos számtalan bizonytalanságot. A tagállamok indokolásai, az üzemeltetők jóhiszeműsége vagy a kapcsolattartó pontok megfelelő működése nehezen értékelhető. Minden ezzel kapcsolatos értékelés nehézségekbe fog ütközni.
·Az adatlokalizáció közvetlen vagy közvetett módon történő megkövetelésének tilalma, az indokolt „közbiztonsági” esetek kivételével. Az EGSZB úgy véli, hogy a rendeletben hivatkozott „közbiztonság” fogalma pontatlan, és tudni szeretné, hogy az meddig terjed. A nem személyes adatok szabad áramlásáról szóló rendelet a következőképpen határozza meg az adatlokalizációs követelményeket: „bármely olyan, tagállami törvényben, rendeletben vagy közigazgatási rendelkezésben meghatározott kötelezettség, tilalom, feltétel, korlátozás vagy más követelmény”, mely olyan közigazgatási gyakorlatból ered, amely arra kötelezné a szereplőket, hogy egy adott területen belül tartsák az adatokat az EU-ban. Az Európai Unió Bírósága (EUB) (és a nem személyes adatok szabad áramlásáról szóló rendelet (19) preambulumbekezdése) szerint a közbiztonság magában foglalja „a tagállam belső és külső biztonságát”, és „valamely alapvető társadalmi érdeket érintő, [...] tényleges és kellően súlyos fenyegetés” fennállását feltételezi. Ez a fogalommeghatározás a genetikai, biometrikus és egészségügyi adatokat is magában foglalja. A tagállam válaszlépésének arányosnak kell lennie.
3.2.3Az EGSZB úgy véli, hogy mind a szabad mozgás, mind az adatlokalizáció esetében:
-a figyelembe vett kritériumok többféleképpen értelmezhetők,
-ezeket eseti alapon csak a bíró tudja tisztázni, ami alááshatja a kereskedelemhez szükséges bizalmat, különösen az érzékeny adatok esetében; a magatartási kódexek alapján kialakuló jogviták következtében a helyzet még tovább bonyolódhat,
-az igazságszolgáltatás sokkal lassabban működik, mint a digitális szféra és az adatáramlás.
Az EGSZB úgy véli, hogy a bizonytalanságok és a helyzet bonyolultsága visszatartó hatásúak a mikrovállalkozások és kkv-k számára. Javasolja, hogy az Európai Bizottság tájékoztassa a vállalkozásokat arról, hogy ideiglenes intézkedés meghozatala érdekében az európai igazságszolgáltatáshoz fordulhatnak, hogy jogvitáikról rövid időn belül döntés szülessen.
3.2.4Az EGSZB sajnálja, hogy az iránymutatások semmit nem tartalmaznak a jogvitákról, sem arról, hogy milyen módokon ellenőrizhető az, hogy a tagállamok hogyan tartják be a közbiztonsági kritériumokat, és adott esetben hogyan szankcionálhatók. Az EGSZB attól tart, hogy a közlemény magyarázó része nem elegendő ahhoz, hogy a mikrovállalkozások és kkv-k gazdasági szereplői eligazodjanak a szövegek jogi útvesztőjében, és a bizonytalanságok nem teszik lehetővé az ágazat fejlődéséhez szükséges bizalom és jogbiztonság érzésének kialakulását.
3.2.5Az EGSZB nagyra értékeli, hogy a bizottsági közlemény felülről építkező megközelítéssel nagyon sok információt ad a két rendelet nyomán kialakult helyzetről. A mikrovállalkozásoknak és a kkv-knak nagyon nagy szükségük van erre. Az EGSZB azt szeretné, hogy a nemzeti kapcsolattartó pontok tevékenységét és az Európai Bizottság weboldalának e szereplők általi látogatottságát a működésük hatodik hónapjától értékeljék, hogy a javításokat mihamarabb elvégezhessék abban az esetben, ha a tájékoztatást vagy a kommunikációt az érintettek elégtelennek tartanák.
4.Részletes megjegyzések
4.1Az adatokról
4.1.1A nem személyes adatok magukban foglalják az összes olyan digitális adatot, amely nem tartozik az általános adatvédelmi rendeletben meghatározott személyes adatok körébe
. Ilyenek lehetnek például a kereskedelmi adatok, a precíziós gazdálkodással kapcsolatos adatok, a gépek karbantartási követelményeire vonatkozó adatok és a meteorológiai adatok stb.
4.1.2A közszolgáltatások, például a kórházak, a szociális ellátórendszer vagy az adóhatóságok által gyűjtött adatok a betegek vagy az adófizetők személyes adatainak közvetlen közelében lehetnek. Az ezeket felhasználó vállalkozásoknak biztosítaniuk kell, hogy az adatok ne tegyék lehetővé a személyek azonosítását, illetve hogy az anonimizálásukat követően ne lehessen feloldani a névtelenséget. Egy mikrovállalkozás vagy egy kkv számára ez túl sok időt és pénzt igénylő eljárásokat jelenthet. Mivel a két rendelet (az általános adatvédelmi rendelet és a nem személyes adatok szabad áramlásáról szóló rendelet) együttesen biztosítja valamennyi adat szabad áramlását az EU-ban, amennyiben azok „elválaszthatatlanul összekapcsolódnak”, az általános adatvédelmi rendeletben biztosított jogi védelmet valamennyi vegyes adathalmazra alkalmazni kell (az (EU) 2018/1807 rendelet (8) preambulumbekezdése és 2. cikkének (2) bekezdése). A nem személyes adatok szabad áramlásának első, a közbiztonsághoz kapcsolódó korlátozását tehát egy, az adatok természetéhez kapcsolódó korlátozás egészíti ki. Ez az európai bizottsági közlemény központi kérdése, amely többször is említi, hogy a személyes adatok és a nem személyes adatok közel állnak egymáshoz: „Az adatállományok többségét a vegyes adatállományok képviselik” (közlemény, 2.2. pont); „elválaszthatatlanul kapcsolódhatnak egymáshoz” (2.2. pont); „a két rendelet egyike sem kötelezi a vállalkozásokat az adatállományok elkülönítésére” (2.2. pont).
4.1.3A vállalkozás feladata annak eldöntése, hogy az általa kezelt nem személyes adatok „elválaszthatatlanul” kapcsolódnak-e a személyes adatokhoz, és ha igen, az adatok védelmét neki kell biztosítania. A vállalkozás számára nem egyszerű feladat az „out management” előkészítése. A vegyes adathalmazok általános fogalommeghatározása lehetetlennek tűnik, és a két rendelet átfedése valószínűleg további átfedéseket fog előidézni az adatjogra vonatkozó más jogszabályszövegekkel, például a szellemitulajdon-jogra vonatkozó szövegekkel: a nem személyes adat áramolhat, de ha azt egy műben használják fel, már nem ugyanazok a szabályok vonatkoznak rá. Az EGSZB szerint a különböző jogszabályszövegek közötti illeszkedések kérdése nagyon kényes kérdés lesz. Az ítélkezési gyakorlat szerint az elválaszthatatlanság kérdését „észszerű” kritérium alapján kell vizsgálni. Az EGSZB megállapítja, hogy a vizsgált közlemény nyilvánvalóan nem tudja áttekinteni az összes lehetséges esetet, hogy ezzel is segítse a gazdasági szereplőket, így a kialakult helyzet inkább a nagyvállalatoknak kedvez. Az EGSZB javasolja, hogy az Európai Bizottság biztosítsa, hogy a gyakorlatban a személyes adatokat fokozatosan ne kezdjék el nem személyes adatoknak tekinteni, és hogy az általános adatvédelmi rendelet a teljes hatályát megőrizze, továbbá álljon készen arra, hogy a két rendeletet középtávon egyesítse az adatok fokozottabb védelme, nem pedig azok nagyobb mértékű áruba bocsátása érdekében.
4.2Az adathordozhatóságról, -átvitelről, -feldolgozásról és -tárolásról
A hordozhatóságot az általános adatvédelmi rendelet szerint szabályozás útján (20. cikk), a nem személyes adatok szabad áramlásáról szóló rendelet szerint pedig önszabályozás útján kell szabályozni. Az EGSZB sajnálja, hogy mindez jelentős jogbizonytalansághoz vezethet, ami veszélyeztetheti a mikrovállalkozásokat és a kkv-kat, mivel számos jogvitára ad lehetőséget. Az EGSZB úgy véli, hogy amennyiben a nem személyes adatok – ugyan immaterális, de szabad forgalomban lévő – áruk, akkor importálhatók és exportálhatók. A jelenlegi helyzetben érdekes lenne megvitatni az adatok tulajdonjogának kérdését. Az igazi érték azonban sokkal inkább az adatok nagy mennyiségében, mint magában az adatban rejlik. Az EGSZB ez alapján azt gondolja, hogy a versenypolitika talán nem megfelelő az ilyen típusú piachoz. Az EGSZB kíváncsi arra, hogy a kialakult helyzet hogyan fogja növelni a mikrovállalkozások és a kkv-k termelékenységét. Az Európai Bizottság közleménye nem ad választ erre a kérdésre.
4.3A szolgáltatókról
4.3.1Az EU-nak nincs nagyobb üzemeltetője és „európai” felhője, amit az EGSZB már régóta helytelenít. A mindig is áhított méretgazdaságosság a nagyon nagy amerikai informatikai vállalatok és egyes kínai vállalatok sajátja. Ezért van az, hogy még a tagállamok nagy közigazgatási szervei is kísértést éreznek arra, hogy megbízzanak bennük és rájuk bízzák adataik kezelését (Franciaország esete).
4.3.2Az EGSZB úgy véli, hogy az európaiaknak partner-ökoszisztémák létrehozására, valamint platformokon átívelő adattovábbítások kialakítására lenne szükségük. E közleményen túl az Európai Bizottság az erőforrások ilyen irányú fejlesztésében is segítséget nyújthatna a mikrovállalkozásoknak és a kkv-knak, ahogy ezt az általános gazdasági és nem gazdasági érdekű szolgáltatások területén (lekérhető szolgáltatás, FaaS) az általános érdekű szolgáltatások esetében tette a „páneurópai felhőalapú számítástechnikai szolgáltatások szövetségére” irányuló 2018-as tervében, és ahogy ezt a digitális innovációs központok hálózatával tervezi („A network of Digital Innovation Hubs”, web/Bizottság/DIHs/2019. január).
4.4Az adatbiztonságról
4.4.1Az Unión belül a nemzeti gazdasági szereplők ellenőrzik továbbítandó adataik fajtáját és azokat biztonságossá teszik. A lokalizációs kötelezettség a nemzeti jogban ellenőrizhető biztonsági szabályoknak felelt meg. A számítástechnikai biztonsági szabályokat az általános adatvédelmi rendelet és a nem személyes adatok szabad áramlásáról szóló rendelet ellenére nem egységesítették a különböző uniós országok között. Az EGSZB úgy véli, hogy a nemzeti kapcsolattartó pontoknak több nyelven érdemi tájékoztatást kellene adniuk a mikrovállalkozások és a kkv-k, valamint a magán és állami szolgálatok számára erről a kérdésről.
Az EGSZB a külső dimenzióval kapcsolatban úgy véli, hogy nem biztos, hogy az Unión kívüli vállalatok képesek betartani a magatartási kódexeket és visszaszolgáltatni az adatokat az adatok tulajdonosa által kért újabb továbbítások után. Attól tart, hogy hosszú távon nehéz lesz kibogozni a felelősségi köröket.
Az EGSZB azt ajánlja, hogy az Európai Bizottság nyújtson segítséget az európai szereplőknek ahhoz, hogy mihamarabb olyan algoritmusokat használjanak, amelyek képesek nagy mennyiségű nem személyes adat kezelésére az egységes adatpiacon.
4.4.2A szerverek fizikai helyének és biztonságának kérdése továbbra is az államok közötti kereskedelmi és diplomáciai tárgyalások területe marad. Ez egy kiemelten fontos kérdés. A nagy informatikai vállalatokkal és azok referenciaállamaival szemben, valamint annak ellenére, hogy az adatkezelés a tagállamok és az EU megosztott hatáskörébe tartozik, meglenne a kockázata annak, ha a tagállamok külön-külön állnának ki tárgyalni.
4.4.3Az EGSZB azt javasolja, hogy az Európai Bizottság pontosítsa közleményét a nem személyes adatok tárolásával, az alkalmazott módszerekkel, a fizikai helyszínekkel, valamint a tervezett vagy engedélyezett időtartammal és a feldolgozás utáni használattal kapcsolatban a szolgáltatókra rótt kötelezettségek tekintetében, mivel ezek az elemek meghatározzák a biztonságukat és a globális verseny összefüggésében fontosak lehetnek az európai vállalkozások számára.
4.5A magatartási kódexekről
4.5.12019 májusától a nem személyes adatok szabad áramlásáról szóló rendelettel érintett gazdasági szereplőknek (elsősorban a felhőszolgáltatások felhasználóinak és szolgáltatóinak) 12 hónapon belül ki kell dolgozniuk magatartási kódexüket. Az Európai Bizottság szerint ennek során figyelembe kell venni a bevált gyakorlatokat, a tanúsítási rendszerekkel kapcsolatos megközelítéseket és a kommunikációs ütemterveket. A SWIPO és a CSPCERT munkacsoport a szakértelmével járul hozzá ehhez.
4.5.2Az Európai Bizottság arra hivatkozik, ami az általános adatvédelmi rendelet esetében történt (a közlemény 23. oldala). Mivel ennek keretét az európai adatvédelmi biztos véleménye adja, segítségként a nem személyes adatok szabad áramlásáról szóló rendelet esetében is fel lehetne használni. Az egyes ágazatok képviselőiből álló egyesületek saját magatartási kódexet dolgozhatnak ki. A szerzőknek bizonyítaniuk kell az illetékes hatóságoknak (CompSA), hogy – nemzeti vagy transznacionális – kódextervezetük megfelel az ágazat sajátos igényeinek, megkönnyíti a rendelet alkalmazását és hatékony mechanizmusokat határoz meg a kódex tiszteletben tartásának ellenőrzésére.
4.5.3A fontosabb infrastruktúra-szolgáltatók (IaaS) és szoftverszolgáltatók (SaaS) még az általános adatvédelmi rendelet hatálybalépése előtt kidolgozták saját magatartási kódexüket, hogy e szolgáltatások végrehajtási szabályait meghatározzák, és ezzel feloldják a szakemberek által megjelölt bizonytalanságokat; ebbe bevonták a kkv-kat, mert úgy vélték, hogy közülük sokak esetében az öntanúsítás ajánlatosabb, mint az igen nagy költségekkel járó tanúsítás.
4.5.4Az EGSZB egyetért azzal, hogy a nem személyes adatok szabad áramlásáról szóló rendelet esetében az ágazatonkénti megközelítést alkalmazzák, ha a mindenkire érvényes, egységes formula nem tűnik megfelelőnek. Az általános adatvédelmi rendelet nem teljes körű listát tartalmaz a kódexekben lefedendő pontokról (40. cikk (2) bekezdés), különösen az eljárások tisztességes és átlátható jellegével, az adattovábbítás biztonságával és a vitás ügyek rendezésével kapcsolatban. A gazdasági szereplőket a saját érdekükben és azért, hogy növeljék a fogyasztóknak az európai megközelítés iránti bizalmát, arra kell ösztönözni, hogy ebből merítsenek ihletet, és a felelősségvállalás, az erkölcs és a szolidaritás szellemét alakítsák ki, különösen olyan iránymutatásokkal, amelyek a mesterséges intelligenciát is figyelembe veszik. Az EGSZB ezt a pontot szeretné hangsúlyozni: javasolja az Európai Bizottságnak, hogy ne hagyja, hogy az önszabályozás és a jogviták „békés” rendezése a jogszabályszövegek eltérő értelmezését eredményezze. Ezzel szemben mindent meg kellene tenni az értelmezés egységesítése érdekében, hogy később mindenkire alkalmazandó szabályok szülessenek, és ezt az Európai Bizottság tájékoztatási és kommunikációs ütemterveiben kellene bejelenteni.
5.Az értékelésről
Az Európai Bizottság rendszeresen értékelést készít a szabad áramlás hatásáról, a rendelet alkalmazásáról, a korlátozó intézkedések tagállamok általi hatályon kívül helyezéséről és a magatartási kódexek hatékonyságáról. Az EGSZB úgy véli, hogy a civil társadalom képviselőit is meg kellene hívni, hogy ezzel kapcsolatban kifejtsék véleményüket. Ahhoz, hogy az egész társadalom biztonságban érezze magát és ennek következtében bizalmat tápláljon ezen új digitális gyakorlatok iránt, az Uniónak és a tagállamoknak egyaránt fel kell oldaniuk az alkalmazandó joggal, az adatok bizalmas jellegével, megőrzésével és veszteség nélküli visszanyerésével, valamint a kivitelezhetőséggel és a gazdasági szereplők jóhiszeműségével kapcsolatos garanciákkal, továbbá a pénzügyi garanciákkal kapcsolatos bizonytalanságokat. Az egyszerre személyes és nem személyes jellegű adatok elválaszthatatlansága aggodalomra ad okot, és figyelembe véve, hogy ezek mekkora arányt képviselnek az összes adaton belül, az EGSZB-ben felvetődik a kérdés, hogy valóban az önszabályozás volt-e az egyedüli járható út. Javasolja, hogy középtávon minden adatra és minden adatmozgásra az általános adatvédelmi rendelet szabályai vonatkozzanak, a „valódi” nem személyes adatokra vonatkozó kivételekkel.
Kelt Brüsszelben, 2019. szeptember 11-én.
Pierre Jean COULONa „Közlekedés, energia, infrastruktúra és információs társadalom” szekció elnöke
_____________