GDPR

Adatvédelem mindenkinek / Data protection for everyone

A nem személyes adatok szabad áramlása az Európai Unión belül

2019. május 13. 09:30 - poklaszlo

Tavaly novemberben fogadták el az EU 2018/1807 Rendeletét a nem személyes adatok Európai Unióban való szabad áramlásának keretéről, amelyet a kihirdetéstől számított hat hónap elteltével, 2019. május 29-től kell alkalmazni valamennyi tagállamban. 

A 2018/1807. Rendelet minden olyan adatra vonatkozik, amely nem tartozik a GDPR személyes adat fogalma körébe, azaz minden olyan adat, ami nem személyes adat. 

A rendelet megalkotása az alábbi felismerésen alapul (lásd a Preambulum (1) bekezdését):

A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is. 

Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását - a rendelet szerint - az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja:

  • a tagállamok hatóságai által előírt adatlokalizációs követelmények és
  • a vevőfogvatartási gyakorlatok a magánszférában.

A rendelet hatálya kiterjed a személyes adatoktól eltérő elektronikus adatok Unióban végzett olyan kezelésére, amikor az adatkezelési tevékenységet:

  • szolgáltatásként nyújtják az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy
  • az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.

A 2018/1807. Rendelet - tekintettel a preambulumban is megfogalmazott célkitűzésekkel - tárgya és célja, hogy biztosítsa a személyes adatoktól eltérő adatok Unión belüli szabad áramlását azáltal, hogy meghatározza

  • az adatlokalizációs követelményekkel,
  • az adatok illetékes hatóságok számára való rendelkezésre állásával, valamint
  • a foglalkozásszerű felhasználók általi adathordozással kapcsolatos szabályokat.

Adatlokalizációs követelmény alatt bármely olyan, tagállami törvényben, rendeletben vagy közigazgatási rendelkezésben meghatározott vagy a tagállamok és közjogi intézmények általános és következetes közigazgatási gyakorlataiból (beleértve többek között a 2014/24/EU irányelv sérelme nélkül a közbeszerzés területét is) eredő kötelezettség, tilalom, feltétel, korlátozás vagy más követelmény, amely előírja, hogy az adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adatkezelés bármely másik tagállamban történjen.

A 2018/1807. Rendelet értelmében illetékes hatóság egy tagállam azon hatósága vagy a nemzeti jog értelmében közfunkció ellátására vagy közhatalmi jogosítvány gyakorlására feljogosított bármely egyéb szerv, amely az uniós vagy a nemzeti jognak megfelelően hivatali kötelezettségei teljesítése érdekében jogosult hozzáférést szerezni egy természetes vagy egy jogi személy által kezelt adatokhoz;

A 2018/1807. Rendelet meghatározza még a szolgáltató (adatkezelési szolgáltatásokat nyújtó természetes vagy jogi személy), a felhasználó (adatkezelési szolgáltatásokat használó vagy igénylő természetes vagy jogi személy, ideértve a közigazgatási szerveket és a közjogi intézményeket is) és a foglalkozásszerű felhasználó (olyan természetes vagy jogi személy – ideértve a közigazgatási szerveket és a közjogi intézményeket is –, aki vagy amely kereskedelmi, üzleti, kézműipari, szakmai tevékenységéhez vagy feladatához kapcsolódóan használ vagy igényel adatkezelési szolgáltatást) fogalmát is. A 2018/1807. Rendeletben szereplő adatkezelés fogalma megegyezik a GDPR adatkezelés fogalmával. 

1. Adatok szabad áramlása

Főszabály szerint az adatlokalizációs követelmények alkalmazása tilos, kivéve, ha azok közbiztonsági okokból indokoltak, és összhangban állnak az arányosság elvével.

A tagállamok - amennyiben új adatlokalizációs követelményt vezetnének be vagy egy meglévő adatlokalizációs követelményt módosítanának - azt a Bizottsággal még jogiaktus-tervezet szakaszban (azaz még olyan előkészítési szakaszban, amikor még lehetséges érdemi módosításokat tenni) közlik.

A tagállamok 2021. május 30-ig biztosítják minden olyan meglévő adatlokalizációs követelmény hatályon kívül helyezését, amely nem felel meg a fenti előírásoknak (azaz, ha azok nem indokoltak közbiztonsági okokból, és nem állnak összhangban az arányosság elvével). Amennyiben egy tagállam úgy véli, hogy valamely meglévő intézkedésben foglalt adatlokalizációs követelmény megfelel a fenti követelménynek és ezért hatályban maradhat, ezt az intézkedést közli a Bizottsággal, a követelmény hatályban tartásának indokolásával együtt, a Bizottság pedig hat hónapon belül megvizsgálja, hogy az adott intézkedés valóban megfelel-e a fenti követelményeknek, és adott esetben észrevételeket fogalmaz meg az érintett tagállam számára, amelyekben szükség esetén többek között javasolja az intézkedés módosítását vagy hatályon kívül helyezését.

Az átláthatóság jegyében, a tagállamok bármely (általános jellegű törvényben, rendeletben vagy közigazgatási rendelkezésben) előírt és a területükön alkalmazandó adatlokalizációs követelményről részletes, online elérhető információkat tesznek közzé egy nemzeti egységes online információs ponton, és ezeket az információkat rendszeresen naprakésszé teszik, vagy az ilyen lokalizálási követelményekről naprakész információkat bocsátanak rendelkezésre egy másik uniós jogi aktus alapján létrehozott központi információs pont számára.

2. Adatok rendelkezésre állása az illetékes hatóságok számára

Az illetékes hatóságoktól nem tagadható meg a hozzáférés az adatokhoz, hogy az adatkezelés egy másik tagállamban történik.

A különböző tagállamok hatóságai együttműködnek az adatcsere, illetve a hatóságok adatokhoz való megfelelő hozzáférése érdekében. A tagállamok az uniós és a nemzeti joggal összhangban hatékony, arányos és visszatartó erejű szankciókat alkalmazhatnak az adatszolgáltatási kötelezettség elmulasztásának esetére.

A hatóságok közötti együttműködés érdekében minden tagállam kijelöl egy egységes kapcsolattartó pontot, amely a rendelet alkalmazásával összefüggésben biztosítja a kapcsolattartást a többi tagállam egységes kapcsolattartó pontjaival és a Bizottsággal. Amennyiben az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy hozzáférést kapjon bizonyos adatokhoz, megfelelően indokolt kérelmet nyújt be az utóbbi tagállam kijelölt egységes kapcsolattartó pontjához. E kérelem írásban tartalmazza, hogy milyen indokok és jogalap alapján kíván hozzáférni az adatokhoz.

Az egységes kapcsolattartó pont azonosítja a tagállama megfelelő illetékes hatóságát és a beérkezett kérelmet továbbítja ehhez az illetékes hatósághoz. Az így megkeresett megfelelő illetékes hatóság indokolatlan késedelem nélkül és a megkeresés sürgősségével arányos határidőn belül választ ad, amelyben közli a kért adatokat, vagy tájékoztatja a megkereső illetékes hatóságot arról, hogy úgy ítéli meg, hogy a segítségnyújtás e rendelet szerinti kérelmezésének feltételei nem teljesültek. A kért és nyújtott segítségnyújtás keretében cserélt bármely információ csak abban az ügyben használható fel, amellyel kapcsolatban kérték.

3. Adathordozás

A GDPR egyik újdonsága volt az ún. adathordozhatósághoz való jog bevezetése, amely alapján az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: a) az adatkezelés hozzájáruláson vagy szerződésen alapul, és b) az adatkezelés automatizált módon történik. (Lásd a GDPR 20. cikkét.)

Hasonlóan a GDPR-hoz, e rendelet vonatkozásában is erősen támogatott az önszabályozáson alapuló uniós szintű magatartási kódexek kidolgozása annak érdekében, hogy hozzájáruljon egy olyan versenyképes adatgazdaság megteremtéséhez, amely az átláthatóság és az interoperabilitás elvén alapul, valamint megfelelően figyelembe veszi azokat a nyílt szabványokat, amelyek többek között a következő szempontokra vonatkoznak:

  • bevált gyakorlatok a szolgáltatóváltás megkönnyítésére és az adatok strukturált, általánosan használt és géppel olvasható formátumban történő hordozására, beleértve a nyílt szabványú formátumokat, ahol ezt az adatokat megkapó szolgáltató megköveteli vagy kéri;
  • minimális tájékoztatási követelmények annak biztosítása érdekében, hogy az adatkezelésről szóló szerződések megkötése előtt a foglalkozásszerű felhasználók kellően részletes, egyértelmű és átlátható információt kapjanak az alkalmazandó folyamatokról, műszaki követelményekről, időkeretekről és díjakról arra az esetre, ha egy foglalkozásszerű felhasználó az adatait az egyik szolgáltatótól egy másikhoz kívánja átvinni vagy saját informatikai rendszerébe szeretné visszavinni;
  • a szakmai felhasználóknak szánt adatkezelési termékek és szolgáltatások összehasonlítását megkönnyítő tanúsítási rendszerekkel kapcsolatos megközelítések, figyelembe véve a megállapított nemzeti vagy nemzetközi normákat, megkönnyítve e termékek és szolgáltatások összehasonlíthatóságát. Az ilyen megközelítések közé tartozhat többek között a minőségirányítás, az információbiztonsági irányítás, az üzletmenetfolytonosság-menedzsment és a környezetgazdálkodás;
  • kommunikációs ütemtervek, amelyek multidiszciplináris megközelítést alkalmaznak annak érdekében, hogy felhívják az érintett érdekelt felek figyelmét a magatartási kódexekre. 

A Bizottság ösztönzi a szolgáltatókat arra, hogy 2019. november 29-ig fejezzék be a magatartási kódexek kidolgozását, és 2020. május 29-ig ténylegesen hajtsák végre azokat.

A nem személyes adatokra vonatkozóan kialakításra kerülő magatartási kódexek, tanúsítási mechanizmusok, szabványok és interoperábilis platformok, stb. jelentős hatást gyakorolhatnak a személyes adatok kezelése tekintetében is és ösztönzőleg hathatnak a GDPR biztosította adathordozhatóság, tanúsítási lehetőségek, valamint magatartási kódexek működésére is.  

4. A nem személyes adatok szabad áramlására vonatkozó rendelet és a GDPR egymáshoz való viszonya

A Bizottság 2019. május 29-ig tájékoztató iránymutatást tesz közzé a 2018/1807. Rendelet és a GDPR kölcsönhatásáról, különösen a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek tekintetében. Frissítés (2019.05.31.): A Bizottság közzétette az iránymutatást (itt elérhető). 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3114730431

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása