A Belga Adatvédelmi Hatóság május 20-án - az Európai Adatvédelmi Testület előzetes véleményére figyelemmel - jóváhagyta az első pán-európai szektorspecifikus magatartási kódexet (EU Cloud) a felhőszolgáltatást nyújt szolgáltatókat érintően. (A döntés elérhető angol nyelven itt, a kódex végrehajtásának monitorozására vonatkozó akkreditációs döntés pedig itt.)
A Belga Adatvédelmi Hatóság által jóváhagyott magatartási kódexet hamarosan követheti a CNIL (Francia Adatvédelmi Hatóság) által elfogadott - szintén a felhőszolgáltatásokra vonatkozó - kódex (CISPE), mellyel kapcsolatban szintén véleményt bocsátott ki a Testület.
Mindkét kódex olyan eseteket fed le, amelyek tekintetében a felhőszolgáltatók adatfeldolgozóként járnak el a GDPR 28. cikkével összhangban. Fontos kiemelni ugyanakkor, hogy a két magatartási kódex a nemzetközi adattovábbítások megalapozásaként nem alkalmazható, mivel nem a GDPR 46. cikk (2) bekezdés e) pontja szerinti kódexek (lásd a Testület véleményeinek preambulumát, mindkét esetben a (7) pont tartalmazza, hogy a véleményezett kódexeket nem szánták nemzetközi adattovábbítások alapjául).
Az alábbiakban a magatartási kódexekkel kapcsolatos legfontosabb tudnivalókat foglalom össze, illetve kitérek arra, hogy miért fontos lépés a mostani jóváhagyás a GDPR önszabályozási mechanizmusainak működése kapcsán.
1. Mi az a magatartási kódex? Mire jó?
A GDPR több olyan mechanizmust (magatartási kódexek és tanúsítás) is bevezetett, amelyek segítségével a Rendeletnek való megfelelés elősegíthető, illetve a megfelelés igazolása is megkönnyíthető lehet. A GDPR alkalmazandóvá válását követő közel három évben azonban ezek eszközök nem váltak még igazán élő, működő, szélesebb körben elterjedt megoldásokká, sokkal inkább csak elméleti lehetőségként léteztek (bár több kezdeményezés is folyamatban volt az elmúlt időszakban, így idő kérdése volt, hogy ezek elkezdjenek beérni).
A magatartási kódexek célja, hogy olyan önszabályozó mechanizmusok alakuljanak ki, amelyek a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és középvállalkozások sajátos igényeinek figyelembevételével segítik a Rendelet helyes alkalmazását (GDPR 40. cikk). Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az illetékes felügyeleti hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően benyújtja a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e a GDPR-ral, illetve - amennyiben adattovábbítás alapjául is szolgál a kódex - arról, hogy megfelelő garanciákat nyújt-e.
A magatartási kódexnek való megfelelés ellenőrzését egy megfelelő kompetenciákkal rendelkező szerv végezheti, amelyet az illetékes felügyeleti hatóság erre a célra akkreditál (lásd az EU Cloud esetében a Belga Adatvédelmi Hatóság akkreditációra vonatkozó döntését).
Az adatvédelmi megfelelőség előmozdításán túlmenően, a magatartási kódexek az EU-n kívüli adattovábbítást megalapozó eszközök is lehetnek (lásd GDPR 46. cikk (2) bekezdés e) pont, illetve 40. cikk (3) bekezdés). Ugyanakkor fontos kiemelni, hogy a most jóváhagyott kódex ilyen célt nem szolgál.
2. Miért fontos ez a jóváhagyás?
Az EU Cloud kódex jóváhagyása - és a vélhetően ezt rövidesen követő CISPE - nagy lépés lehet abba az irányba, hogy a magatartási kódexek élő intézménnyé váljanak az adatvédelmi megfelelés előmozdítása érdekében, több tagállamot is érintő esetekben az adott szektorban alkalmazható egységes adatkezelési megközelítések kialakítása mellett. Ez pedig nem öncél, hanem komoly mozgatórugó lehet, hogy az egyes szektorokon belül iránymutatást adjon a GDPR szabályainak adott szektoron belüli alkalmazhatóságának módjáról. Ahogy a Testület a kódexekre vonatkozó 1/2019. sz. iránymutatásában rögzíti:
A kódexek lehetőséget kínálnak olyan szabályozás kialakítására, amely elősegíti az általános adatvédelmi rendelet helyes, a gyakorlatban megvalósítható, átlátható és lehetőség szerint költséghatékony alkalmazását, szem előtt tartva az adott ágazat és/vagy adatkezelési tevékenységei jellegzetességeit. Így olyan kódexek készíthetők az adatkezelők és adatfeldolgozók számára, amelyek figyelembe veszik az egyes ágazatokban végzett adatkezelés sajátos jellemzőit, valamint a mikro-, kis- és középvállalkozások sajátos igényeit. A kódex különösen fontos és előnyös eszköz lehet a kkv-k és a mikrovállalkozások számára, mivel olyan mechanizmust biztosít, amely lehetővé teszi számukra az adatvédelmi szabályok költséghatékonyabb betartását. (Iránymutatás, 11. pont)
A kódexek (és a tanúsítási mechanizmusok is) segíthetnek abban, hogy a szolgáltatásokat igénybe vevők könnyebben tájékozódhassanak arról, miszerint a szolgáltató milyen módon felel meg az adatvédelmi rendelkezéseknek és csökkentheti az adatkezelők terheit az adatfeldolgozóik kiválasztása és auditálása kapcsán (a felhőszolgáltatásokra vonatkozó kódexek tipikusan ilyenek lehetnek, hiszen kifejezetten az adatfeldolgozói tevékenységre vonatkoznak, az EU Cloud ráadásul lefedi a SaaS, az IaaS és a PaaS jellegű szolgáltatásokat is). Nem véletlen, hogy a Microsoft azonnal jelezte, miszerint az Azure felhőszolgáltatás kapcsán csatlakozott az EU Cloud-hoz és - szigorú ellenőrzési procedúra megállapításai alapján - megfelel az abban foglaltaknak.
A két, felhőszolgáltatásokra vonatkozó kódex célba (EU Cloud), illetve célegyenesbe (CISPE) érése utat mutathat más szektorok számára is és több hasonló, pán-európai vagy más néven transznacionális kódex születhessen meg olyan szektorokban, amelyek - a felhőszolgáltatásokhoz hasonlóan - határokon átnyúló szolgáltatásokat nyújtanak és hasonló adatkezelési sajátosságokat mutatnak. Előbb-utóbb pedig vélhetően megérkeznek az EU-n kívüli adattovábbítások megalapozására is alkalmas kódexek, hiszen a Schrems II. ítéletet követően a harmadik országokba történő adattovábbítások kérdését kiemelt figyelem övezi, így a - vélhetően - rövid időn belül megjelenő új általános adatvédelmi kikötések (SCC) mellett is jelentős szerepet kaphatnak.
