GDPR

Adatvédelem mindenkinek / Data protection for everyone

Megjelent az adatmegosztási rendelet tervezete

2022. március 01. 11:00 - poklaszlo

Az EU adatjogának fejlődése kapcsán jelentős lépés az ún. adatmegosztási rendelet (Data Act) első tervezetének közzététele, amelyre február 23-án került sor. A tervezet megjelenésére 2020. februárja, az Európai adatstratéga megjelenése óta lehetett számítani. A tervezet - a hogy a címe is mutatja - olyan szabályozás kialakítására törekszik, amely előmozdítja az adatokhoz történő hozzáférést, az adatvagyon szabályozott keretek között történő megosztását, továbbá egyes adatkezeléssel járó szolgáltatások (így különösen felhőszolgáltatások) közötti váltás lehetőségét. Ennek megfelelően a tervezet túlmutat az adatvédelem körén és egyéb jogi (különösen versenyjogi, titokvédelmi, szerzői jogi) aspektusai is vannak.(A Bizottság közleménye, háttéranyagok és a tervezet szövege elérhető itt.)

1. Mi a szabályozás célja, mire terjed ki? 

A Rendelet célja, hogy harmonizált szabályokat alkosson a termékek vagy kapcsolódó szolgáltatások használata során keletkezett adatok

  • felhasználók (user; azaz a termékek és kapcsolódó szolgáltatások igénybe vevői) részére, 
  • az adatbirtokosok (data holder) által az adatok átvevője (data recipient) részére, illetve
  • az adatbirtokosok által - különleges szükség esetén - a közfeladatot ellátó szervek (beleértve uniós intézmények) részére  

történő hozzáférhetővé tétele kapcsán. 

A Rendelet alkalmazandó: 

  • a termékek gyártóira és kapcsolódó szolgáltatások nyújtóira, akik ezeket forgalomba hozzák az EU-n belül, valamint ezen termékek és kapcsolódó szolgáltatások felhasználóira (user);
  • adatbirtokosokra (data holder) amelyek hozzáférhetővé teszik az adatokat az EU-ban;
  • az adatok átvevőire (data recipient), amelyek hozzáférnek az adatokhoz;
  • azon közfeladatot ellátó szervekre (beleértve uniós intézményeket is), amelyek különleges szükség esetén, a közérdekű feladataik ellátása érdekében hozzáférnek az adatokhoz és természetesen az adatbirtokosokra, amelyek ezen adatokat rendelkezésre tudják bocsátani;
  • adatkezelési szolgáltatásokat nyújtó szolgáltatókra (providers of data processing services), amelyek ezen szolgáltatásokat az EU-n belül nyújtják. 

A Rendeletet a GDPR-ral és az e-Privacy irányelvvel (2002/58/EC irányelv), illetve ha elfogadásra kerül, akkor az ePrivacy rendelettel összhangban kell majd alkalmazni. 

2. A tervezet néhány alapfogalma

  • Fontos kiemelni, hogy a Rendelet személyes és nem személyes adatokra is vonatkozik. Általánosságban digitális adatokra alkalmazandó. 
  • A felhasználó (user), amely alatt valamely terméket vagy szolgáltatást igénybe vevő (tulajdonos, bérlő, kölcsönző) természetes vagy jogi személyt érti a Rendelet. 
  • Az adatbirtokos (data holder): az a jogi vagy természetes személye, amely vagy aki jogosult vagy köteles, illetve képes valamely adatot hozzáférhetővé tenni.
  • Az adatok átvevője (data recipient): a felhasználótól elkülönült személy, amely vagy aki részére az adatot hozzáférhetővé teszik (szintén természetes vagy jogi személy is lehet).
  • Az adatkezelés (processing) fogalma a GDPR-hoz hasonlóan nagyon széles kört ölel fel és lényegében bármilyen elektronikus formában kezelt adatokon végzett művelet ebbe a körbe sorolható, függetlenül attól, hogy ez automatizáltan történik-e.  
  • Az adatkezelési szolgáltatás (data processing service): olyan digitális szolgáltatás, amely nem minősül online tartalomszolgáltatásnak és amelyet egy fogyasztó részére nyújtanak, lehetővé téve az igény szerinti (on-demand) adminisztrációt és széles körű távoli hozzáférést biztosít skálázható és rugalmas megosztható számítási erőforrások köréhez, amelyeket központosított, elosztott vagy nagy mértékben elosztott módon nyújtanak.   

A Rendelet vélhetően jelentős hatással lehet az összekapcsolt termékek (pl. IoT termékek) gyártóira és EU-ban forgalomba hozóira, illetve kapcsolódó szolgáltatást nyújtókra, továbbá ezen termékek és szolgáltatások felhasználóira (üzleti felhasználók és fogyasztók is).

Az adatkezelési (data processing) szolgáltatást nyújtókat, beleértve különösen a felhőszolgáltatókat érintően a szolgáltatások közötti váltás megkönnyítése kiemelt célja a Rendeletnek.

3. A szabályozással érintett főbb területek    

  • B2C és B2B adatmegosztás: A termékeket és a kapcsolódó szolgáltatásokat úgy kell tervezni, hogy a használat során keletkező adatokat alapbeállítás szerint könnyen, biztonságosan és – ahol ez releváns – közvetlenül hozzáférhető módon elérhetővé lehessen tenni a felhasználóknak (user). Ehhez transzparencia (tájékoztatási) követelményeket is rögzít a rendelet. A tervezet kitér azon esetekre is, amikor személyes adatok megosztására kerülne sor és a felhasználó (user) nem maga az adatvédelmi jogi értelemben vett érintett. Rendezi a Data Act a harmadik felekkel történő adatmegosztás lehetőségét, amely a felhasználó kérésére történhet. Ebből a Digital Markets Act alapján kapuőrnek (gatekeeper) minősülő alapvető platform szolgáltatást nyújtókat kizárja.
  • Adatbirtokosok adatmegosztással kapcsolatos kötelezettségei: A korlátozó, illetve diszkriminatív megállapodások elkerülése érdekében határoz meg követelményeket a Data Act, illetve az adatok hozzáférhetővé tétele érdekében fizetendő ellenszolgáltatás meghatározásának szempontjait is rendezi. Ehhez kapcsolódóan vitarendezési szabályokat is rögzít.
  • Vállalkozások közötti tisztességtelen feltételek: A Data Act meghatározza, hogy mely esetekben minősülnek tisztességtelennek a vállalkozások közötti adatmegosztásra vonatkozó egyoldalú szerződési feltételek, ha a szerződő fél, amellyel szemben alkalmazzák a kérdéses feltételeket mikrovállalkozás vagy KKV.
  • B2G adatmegosztás: A különleges körülmények között (mint pl. egy egészségügy veszélyhelyzet) az adatok kormányzati szervek (uniós intézmények) részére történő hozzáférhetővé tételére is kötelezettséget hoz létre a Rendelet. Az adatokat rendelkezésre bocsátása ingyenesen történik a veszélyhelyzet elhárításával összefüggésben. (Bizonyos esetekben, pl. veszélyhelyzet megelőzése pedig költségalapú elszámolásra van lehetőség.)
  • Adatkezelési szolgáltatások közötti váltás megkönnyítése: A tervezet tartalmaz olyan szabályokat, amelyek a „lock-in” helyzetek elkerülését célozzák. Ez pl. felhőszolgáltatások esetében lehet alkalmazható, de más adatkezelési szolgáltatások kapcsán is felmerülhet ezen rendelkezések alkalmazhatósága. A tervezet meghatároz interoperabilitásra vonatkozó szabályokat is.
  • Nem személyes adatok nemzetközi továbbítása: A tervezet kitér a nem személyes adatok tekintetében a nemzetközi (EU-n) kívüli adattovábbításra szabályozására is. Ezek a szabályok kevésbé kidolgozottak és részletesek, mint a GDPR, illetve az egyéb személyes adatokra vonatkozó uniós szabályozás esetében, de jelzik az adatszuverenitás iránti uniós igényt, amely az elmúlt években egyre erősebben jelenik meg a szabályozásban és a jogalkalmazásban is.      

Az interoperabilitásra vonatkozó részben az adatmegosztás során esetlegese alkalmazásra kerülő ún. "okos szerződések" (smart contracts) kapcsán is meghatároz a Rendelet alapvető követelményeket. 

A Rendelet alkalmazása körében a tagállamoknak ki kell jelölniük egy vagy több hatóságot, amely eljár a Rendeletben foglaltak végrehajtása kapcsán. (Az adatkezelési szolgáltatások közötti váltásra vonatkozó szabályok végrehajtása tekintetében kijelölésre kerülő nemzeti hatóságnak jártassággal kell rendelkeznie az elektronikus hírközlési szolgáltatások területén is.) Természetesen a személyes adatok védelme kapcsán hatáskörrel rendelkező hatóságok (így Magyarországon a NAIH) a Rendelet személyes adatokat érintő vonatkozásai tekintetében eljárhatnak. A bírságokra vonatkozóan a nemzeti jogok rendelkeznek majd, természetesen nem érintve pl. a GDPR-ban szabályozott bírságszabályokat. A Bizottság modellszerződéseket is publikálhat majd, amelyek az adatmegosztási együttműködések során lesznek alkalmazhatók.

4. További lépések

A Bizottság által közzétett tervezetet a következőkben az uniós társintézmények, azaz a Parlament és a Tanács is megvizsgálják és kialakítják az álláspontjukat, majd megkezdődhet a trilógus a felek között. Várakozások szerint 2023 folyamán fogadhatják majd el a végleges szöveget és ezt követően - a Rendelet kihirdetését követően 12 hónappal - előreláthatólag 2024. közepén válhat alkalmazandóvá.

5. Főbb kapcsolódási pontok más EU-s szabályozási kezdeményezésekkel

A Data Act sok szálon kapcsolódik az EU egyéb adatokra vonatkozó szabályozási kezdeményezéséhez (egy jó áttekintés az ezen a területen folyamatban lévő jogalkotásról elérhető itt). Főbb kapcsolódási pontok:  

  • GDPR, ePrivacy irányelv (különösen végberendezésekre vonatkozó szabályok) – majd ePrivacy Rendelet, ha elfogadásra kerül
  • Nem személyes adatok szabad áramlására vonatkozó rendelet
  • Adatkormányzási rendelet (Data Governance Act) (tervezet, folyamatban)
  • Digitális piacokra vonatkozó rendelet (Digital Markets Act) (tervezet, folyamatban)
Szólj hozzá!
Címkék: jogalkotás portfolioblogger Európai Unió HU digitális gazdaság digitális szolgáltatások nem személyes adatok szabad áramlása adatjog adatmegosztás okos szerződések

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7317767338

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása