GDPR

Adatvédelem mindenkinek / Data protection for everyone

Jönnek az adatszövetkezetek?

2022. június 27. 11:30 - poklaszlo

Megjelent az európai adatkormányzásról szóló rendelet

A 2020-ban közzétett európai adatstratégia alapján megindult uniós jogalkotási folyamat eredményeként május végén kihirdetésre került az európai adatkormányzásról szóló 2022/868. sz. rendelet (Data Governance Act, DGA). Az alábbiakban röviden bemutatom a DGA legfontosabb rendelkezéseit és illeszkedését az uniós adatjog rendszerébe.    

Az adatokat (is) érintő uniós szabályozási kezdeményezések 

Az elmúlt időszakban felgyorsultak az események az EU-ban, ami az adatokat érintő szabályozást illeti. 2016-ban megjelent a GDPR, majd 2018. május 25-től alkalmazandóvá is vált. Szintén elfogadásra került 2018-ban a nem személyes adatok szabad áramlására vonatkozó rendelet. 2019-ben kihirdetésre került a nyílt hozzáférésű adatokra vonatkozó irányelvi szabályozás is (igaz ennek tagállami átültetése akadozni látszik). A 2020-ban megjelent adatstratégia és a mesterséges intelligenciáról szóló Fehér Könyv pedig újabb jogalkotási hullámot indított el, amely az adatkormányzási rendelet megjelenésével az első hatályba lépő jogszabályt már "ki is termelte".  

Mit szabályoz a DGA?

Az adatkormányzásra vonatkozó rendelet az alábbi területekre fókuszál: 

  • a közszférabeli szervezetek birtokában lévő adatok bizonyos kategóriáinak az Unión belüli további felhasználására vonatkozó feltételek;
  • az adatközvetítő szolgáltatások nyújtására vonatkozó bejelentési és felügyeleti keret; 
  • azon szervezetek önkéntes nyilvántartásba vételére vonatkozó keret, amelyek altruisztikus célokra rendelkezésre bocsátott adatokat gyűjtenek és kezelnek; és
  • az Európai Adatinnovációs Testület létrehozására szolgáló keret.

A DGA személyes adatokra és nem személyes adatokra is vonatkozik. Adatnak minősülnek az aktusok, tények vagy információk bármilyen digitális megjelenítése, vagy az említett aktusok, tények és információk összeállításai, többek között hang-, kép- vagy audiovizuális felvétel formájában is. Ezen belül személyes adat a GDPR szerinti személyes adat, míg nem személyes adat minden a személyes adatoktól eltérő adat. (A DGA a nem személyes adatok vonatkozásában több olyan rendelkezést is tartalmaz, amely a GDPR alapján ismerősnek tűnhet, pl. az adattovábbításokkal kapcsolatban.)

A közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználása 

A DGA célja, hogy keretet teremtsen a közszférabeli szervezetek birtokában lévő olyan adatok további felhasználására, amelyek valamilyen szempontból védett kategóriába esnek, pl. kereskedelmi adatokra vonatkozó titoktartás, statisztikai adatvédelem, harmadik felek szellemitulajdon-jogainak védelme vagy személyes adatok védelme.

A DGA alapján további felhasználásnak minősül a közszférabeli szervezetek birtokában lévő adatok természetes vagy jogi személyek általi felhasználása olyan kereskedelmi vagy nem kereskedelmi célokra, amelyek kívül esnek azon a közfeladat ellátása keretén belüli eredeti célon, amelyre az adatokat előállították, a közszférabeli szervezetek közötti, kizárólag közfeladataik ellátása keretében történő adatcsere kivételével. (Közszférabeli szervezetnek kell tekinteni a rendelet értelmében a következőket: az állam, a regionális vagy helyi önkormányzatok, a közjogi intézmények, vagy az olyan társulások, amelyeket egy vagy több ilyen hatóság, illetve közjogi intézmény hozott létre.)

A közszférabeli szervezetek birtokában lévő, a fentiek szerint védett adatkategóriák tekintetében - a DGA alapján - tiltottak az adatok további felhasználására vonatkozó olyan megállapodások vagy egyéb gyakorlatok, amelyek kizárólagos jogokat biztosítanak, vagy amelyeknek célja vagy következménye ilyen kizárólagos jogok megadása az adatok további felhasználásra való rendelkezésre állásának korlátozása az említett megállapodásokban nem részes vagy az egyéb gyakorlatokban részt nem vevő szervezetek számára.

A fenti tilalom alól kivételt képez, hogy a további felhasználására vonatkozó kizárólagos jog a szükséges mértékben megadható közérdekű szolgáltatás nyújtásához, illetve termék szolgáltatásához, amennyiben az másképp nem lenne lehetséges. Ilyen esetben a kizárólagos jogot az alkalmazandó uniós vagy nemzeti joggal összhangban álló igazgatási aktus vagy szerződéses megállapodás útján, az átláthatóság, az egyenlő bánásmód és a megkülönböztetés tilalma elvének megfelelően kell megadni. Az adatok további felhasználására vonatkozó kizárólagos jog időtartama nem haladhatja meg a 12 hónapot. Szerződéskötés esetén a szerződés időtartamának a kizárólagos jog időtartamával azonosnak kell lennie. A kizárólagos jog odaítélésének – beleértve annak indokolását, hogy miért szükséges az említett jog biztosítása – átláthatónak és online nyilvánosan elérhetőnek kell lennie, a közbeszerzésre vonatkozó releváns uniós jognak megfelelő formában.

A kizárólagossági tilalom hatálya alá tartozó olyan megállapodásokat vagy egyéb gyakorlatokat, amelyek nem felelnek meg a kivételekre vonatkozó feltételeknek, és amelyeket 2022. június 23. előtt kötöttek, az alkalmazandó szerződés lejártával, de minden esetben 2024. december 24-ig meg kell szüntetni.

A DGA és közadatok újrahasznosítására vonatkozó szabályozás egymáshoz való viszonya

A DGA kiegészíti majd a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló 2019/1024 irányelv biztosította lehetőségeket. A DGA alapján olyan keret kerül kialakításra, amely lehetővé teheti a közszféra kezelésében lévő olyan adatkategóriák esetében is a további felhasználást, amelyek vonatkozásában harmadik felek jogait is érinti ez a felhasználás (pl. adatvédelemhez vagy szellemi alkotások védelméhez fűződő jogok). A felhasználható adatok köre tehát jelentősen bővülhet. 

A közszférabeli szervezetek birtokában lévő védett adatok további felhasználásának feltételei, díjak 

A DGA a további felhasználás feltételeinek általános szabályait is rendezi. Az érintett közszférabeli szervezeteknek  nyilvánosan hozzáférhetővé kell tenniük a további felhasználás engedélyezésének és a további felhasználás egyablakos információs ponton keresztül történő kérelmezésére vonatkozó eljárásnak a feltételeit.  

A további felhasználás feltételeinek

  • megkülönböztetéstől menteseknek,
  • átláthatóknak,
  • arányosaknak és
  • objektíven indokoltnak

kell lenniük az adatkategóriák és a további felhasználás célja, valamint azon adatok jellege tekintetében, amelyek további felhasználása megengedett. Az említett feltételek nem használhatók fel a verseny korlátozására.

Tekintettel arra, hogy a DGA alapján valamilyen szempontból védett adatokról van szó, így a közszférabeli szervezeteknek biztosítaniuk kell az adatok védett jellegének megóvását. Ennek megfelelően különböző követelményeket írhatnak elő (így különösen az adatok anonimizálása személyes adatok esetében; adatok módosítása, összesítése vagy az adatfelfedés elleni védelmet szolgáló bármely más módszerrel kezeljék bizalmas üzleti információk – többek között üzleti titkok vagy szellemitulajdon-jogok által védett tartalmak – esetében; az adatokhoz való hozzáférés és azok további felhasználása távoli eléréssel a közszférabeli szervezet által biztosított vagy ellenőrzött biztonságos adatkezelési környezetben történjen; az adatokhoz való hozzáférésre és azok további felhasználásra azon a fizikai létesítményen belül kerüljön sor, amelyben magas szintű biztonsági előírásoknak megfelelően a biztonságos adatkezelési környezet található, feltéve hogy a távoli hozzáférés nem engedélyezhető harmadik felek jogainak és érdekeinek veszélyeztetése nélkül).

Amennyiben a nemzeti jog nem ír elő konkrét biztosítékokat az adatok további felhasználásával kapcsolatban alkalmazandó titoktartási kötelezettségekre vonatkozóan, a közszférabeli szervezetnek ahhoz a feltételhez kell kötnie az adatok további felhasználását, hogy a továbbfelhasználó

  • betartja az azt előíró titoktartási kötelezettséget, hogy tilos a harmadik felek jogait és érdekeit sértő minden olyan információ közzététele, amelyhez a továbbfelhasználó az alkalmazott biztosítékok ellenére hozzájuthatott;
  • számára tilos azon érintettek újbóli azonosítása, akikre az adatok vonatkoznak, és a továbbfelhasználóknak technikai és működési intézkedéseket kell hozniuk az anonim jelleg megszüntetésének megelőzése, valamint a közszférabeli szervezet minden olyan adatvédelmi incidensről való értesítése érdekében, amely a szóban forgó érintettek újbóli azonosításához vezet;
  • késedelem nélkül – adott esetben a közszférabeli szervezet segítségével – tájékoztatja a jogi személyeket, amelyek jogait és érdekeit érintheti a nem személyes adatok jogosulatlan további felhasználása.  

A további felhasználás feltételei között szerepelnek a nem személyes adatok harmadik országokba történő továbbításával kapcsolatos követelmények is.  

A további felhasználással kapcsolatban felszámítható díjaknak

  • átláthatóknak,
  • megkülönböztetésmenteseknek,
  • arányosaknak és
  • objektíven indokoltnak kell lenniük, 

és nem korlátozhatják a versenyt. 

A díjazás kialakítása során a közszférabeli szervezeteknek intézkedéseket kell hozniuk a nem kereskedelmi célú (például tudományos kutatási célú), valamint kkv-k és induló innovatív vállalkozások általi további felhasználására való ösztönzésre, az állami támogatási szabályokkal összhangban. Ez jelenthet kedvezményes díjszabást vagy akár az adatok ingyenes rendelkezésre bocsátását is. A díjazásnak egyebekben költségalapúnak kell lennie (a rendelet a figyelembe vehető költségelemeket is felsorolja). 

A tagállamoknak biztosítaniuk kell a feladatok ellátásához a szükséges erőforrásokat a közszférabeli szervezetek számára, ki kell jelölniük az illetékes szerve(ke)t, amely(ek) segítik a közszférabeli szervezeteket a DGA alapján fennálló kötelezettségek teljesítésében, továbbá egyablakos információs pontokat kell létrehozniuk, amely a további felhasználásra vonatkozó tájékozódást és ügyintézést elősegíti. A Bizottság pedig európai egyablakos hozzáférési pontot hoz létre. 

Adatközvetítő szolgáltatások

Adatközvetítő szolgáltatásnak minősül az olyan szolgáltatás, amelynek célja kereskedelmi kapcsolatok létrehozása – technikai, jogi vagy egyéb eszközök révén – egyrészről meghatározatlan számú érintett és adatbirtokos, másrészről az adatfelhasználók közötti adatmegosztás – többek között az érintettek személyes adatokkal kapcsolatos jogainak gyakorlása – céljából. Nem tartoznak e fogalommeghatározás körébe legalább a következők:

  1. az olyan szolgáltatások, amelyek abból a célból szereznek be adatokat az adatbirtokosoktól és összesítik, gazdagítják vagy alakítják át az adatokat, hogy jelentősen növeljék azok értékét, és az így létrejött adatok felhasználását engedélyezzék az adatfelhasználóknak, anélkül, hogy az adatbirtokosok és az adatfelhasználók között kereskedelmi kapcsolatot hoznának létre;
  2. az olyan szolgáltatások, amelyek fő célja a szerzői jog által védett tartalom közvetítése;
  3. az olyan szolgáltatások, amelyeket kizárólag egyetlen adatbirtokos vesz igénybe az említett adatbirtokos birtokában lévő adatok felhasználásának lehetővé tétele érdekében, vagy amelyeket egy zárt csoporthoz tartozó több jogi személy vesz igénybe, ideértve a szolgáltatói vagy ügyfélkapcsolatokat, illetve a szerződéssel létrehozott együttműködéseket, különösen azokat, amelyek fő célja a dolgok internetéhez csatlakoztatott tárgyak és eszközök funkcióinak biztosítása;
  4. a közszférabeli szervezetek által kínált olyan adatmegosztási szolgáltatások, amelyeknek nem célja kereskedelmi kapcsolatok létrehozása. 

A fentiek értelmezéséhez kapcsolódóan lényegesek az alábbi fogalommeghatározások is: 

  • Az adatbirtokos olyan jogi személy – ideértve a közszférabeli szervezeteket és a nemzetközi szervezeteket – vagy a szóban forgó konkrét adatok tekintetében nem érintett olyan természetes személy, amely vagy aki az alkalmazandó uniós vagy nemzeti joggal összhangban jogosult hozzáférést adni bizonyos személyes adatokhoz vagy nem személyes adatokhoz, vagy jogosult azokat megosztani. 
  • Az adatfelhasználó az a természetes vagy jogi személy, aki vagy amely jogszerű hozzáféréssel rendelkezik bizonyos személyes vagy nem személyes adatokhoz, és többek között a GDPR értelmében a személyes adatok vonatkozásában jogosult ezeket az adatokat kereskedelmi vagy nem kereskedelmi célokra felhasználni.
  • Az adatmegosztás valamely érintett vagy adatbirtokos általi adatszolgáltatás egy adatfelhasználó számára az érintett adatok közös vagy egyéni felhasználása céljából, önkéntes megállapodások vagy az uniós vagy nemzeti jog alapján, közvetlenül vagy közvetítőn keresztül, például – kedvezményes díjért vagy díjmentesen – nyílt felhasználási vagy kereskedelmi engedélyek alapján. 

Az alábbi adatközvetítő szolgáltatások bejelentési kötelezettség alá tartoznak, valamint a DGA-ban meghatározott feltételeknek meg kell felelniük:

  • közvetítő szolgáltatások adatbirtokosok és potenciális adatfelhasználók között, (ezek a szolgáltatások magukban foglalhatják a két- vagy többoldalú adatcserét, vagy olyan platformok vagy adatbázisok létrehozását, amelyek lehetővé teszik az adatok cseréjét vagy közös felhasználását, valamint az adatbirtokosok adatfelhasználókkal való összekapcsolását szolgáló egyéb egyedi infrastruktúra létrehozását);
  • közvetítő szolgáltatások a potenciális adatfelhasználók és azon érintettek között, akik személyes adataikat rendelkezésre kívánják bocsátani, illetve azon természetes személyek között, akik nem személyes adatokat kívánnak rendelkezésre bocsátani;
  • adatszövetkezetek szolgáltatásai.

Az adatszövetkezetek szolgáltatásai olyan adatközvetítő szolgáltatások, amelyeket érintettekből, egyszemélyes vállalkozásokból vagy kkv-kból álló olyan szervezeti struktúra kínál, amelynek az említettek a tagjai, és amelynek fő céljai, hogy támogassa a tagjait bizonyos adatokra vonatkozó jogaik gyakorlásában (például arra vonatkozóan, hogy megalapozott döntéseket hozzanak az adatkezeléshez való hozzájárulásuk előtt, hogy eszmecserét folytassanak arról, hogy a tagjainak az adataikhoz fűződő érdekeit az adatkezelés milyen céljai és feltételei szolgálják a legjobban, és hogy a tagjai nevében megtárgyalja az adatkezelésre vonatkozó feltételeket, mielőtt a tagok engedélyt adnának a nem személyes adatok kezeléséhez vagy hozzájárulásukat adnák személyes adataik kezeléséhez). 

A DGA részletes feltételeket állapít meg az adatközvetítői szolgáltatásokkal kapcsolatban (lásd 12. cikk) és a bejelentési eljárás részleteit is rendezi (11. cikk). Az Unióban nem letelepedett szolgáltatónak jogi képviselőt kell kijelölni az EU-n belül egy olyan tagállamban, ahol a szolgáltatásait nyújtja. 

A tagállamok illetékes hatóságot vagy hatóságokat jelölnek ki az adatközvetítői szolgáltatásokkal kapcsolatban, amelyek ellenőrzik a szolgáltatók DGA-nak megfelelő működését. 

Adataltruizmus 

A DGA vonatkozásában az adataltruizmus olyan önkéntes adatmegosztás, amely az érintetteknek a rájuk vonatkozó személyes adatok kezeléséhez való hozzájárulásán, vagy az adatbirtokosoknak a nem személyes adataik felhasználására vonatkozó engedélyén alapul anélkül, hogy ezért olyan díjat számítanának fel vagy kapnának, amely meghaladja az adataiknak adott esetben a nemzeti jogban előírt közérdekű célokra (mint például az egészségügy, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, a hivatalos statisztikák fejlesztésének, előállításának és közzétételének megkönnyítése, a közszolgáltatások nyújtásának javítása, a közpolitikai döntéshozatal vagy a közérdeket szolgáló tudományos kutatás céljára) való rendelkezésre bocsátása esetén felmerült költségeik ellentételezését. 

Az adataltruista szervezetek működésére, nyilvántartásba vételére vonatkozóan a rendelet megállapítja az alapvető szabályokat. A tagállamok pedig  szervezeti és/vagy technikai intézkedésekkel rendelkezhetnek az adataltruizmus megkönnyítésére. E célból a tagállamok nemzeti politikákat határozhatnak meg, amelyek többek között segíthetik az érintetteket abban, hogy a rájuk vonatkozó, közszférabeli szervezetek birtokában lévő személyes adatokat adataltruista megfontolásból önkéntesen rendelkezésre bocsássák, valamint meghatározhatják, hogy milyen információkat kell az érintettek rendelkezésére bocsátani adataik közérdekű további felhasználását illetően.

Az elismert adataltruista szervezeteknek átláthatóan kell működniük és ehhez - a DGA által meghatározott tartalommal - nyilvántartást kell vezetniük és évente tevékenységi jelentést kell készíteniük.

Az érintettek és az adatbirtokosok adataikhoz fűződő jogainak és érdekeinek védelme érdekében további követelményeket is meghatároz a rendelet, így - többek között -

  • az elismert adataltruista szervezetek által biztosítandó tájékoztatásra vonatkozóan,
  • az adatok eredeti céltól eltérő célra történő felhasználásának tilalmával kapcsolatban,
  • az elismert adataltruista szervezetnek eszközöket kell biztosítania az érintettek hozzájárulásának vagy az adatbirtokosok által rendelkezésre bocsátott adatok kezelésére vonatkozó engedélyeknek beszerzéséhez, illetve ezek visszavonásához, 
  • megfelelő intézkedésekkel kell biztosítani a  nem személyes adatok tárolásának és kezelésének megfelelő szintű biztonságát,
  • elismert adataltruista szervezetnek indokolatlan késedelem nélkül tájékoztatnia kell az adatbirtokosokat az általa megosztott nem személyes adatokhoz való bármely jogosulatlan hozzáférésről, valamint az ilyen adatok bármely jogosulatlan továbbításáról vagy felhasználásáról.

A tagállamok illetékes hatóságot vagy hatóságokat jelölnek ki az elismert adataltruista szervezetekkel kapcsolatban, amelyek ellenőrzik ezen szervezetek megfelelő működését. 

Az Európai Adatinnovációs Testület

A DGA alapján a  Bizottság szakértői csoport formájában Európai Adatinnovációs Testületet hoz létre, amelyben

  • az összes tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságainak képviselői és
  • az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságainak képviselői,
  • az Európai Adatvédelmi Testületnek a képviselői,
  • az európai adatvédelmi biztos,
  • az ENISA képviselői és a
  • Bizottság képviselői,
  • az uniós kkv-követ vagy a kkv-követek hálózata által kinevezett képviselő, valamint
  • meghatározott ágazatokban működő érintett szervek képviselői és
  • a különleges szakértelemmel rendelkező szervek képviselői

vesznek részt. Az egyéni szakértők kinevezésekor a Bizottság törekszik arra, hogy a szakértői csoport tagjai körében megvalósuljon a nemek közötti és a földrajzi egyensúly. 

Az Európai Adatinnovációs Testületnek legalább a következő három alcsoportból kell állnia:

  • az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok képviselőiből álló alcsoport
  • a szabványosításra, a hordozhatóságra és az interoperabilitásra vonatkozó, műszaki jellegű megbeszéléseket folytató alcsoport, valamint
  • az érdekelt felek bevonását biztosító alcsoport, amelyben az ipar, a kutatás, az akadémiai körök, a civil társadalom, a szabványügyi szervezetek és a releváns közös európai adatterek releváns képviselői, valamint azon egyéb érdekelt felek és harmadik felek képviselői vesznek részt. 

Szankciók

A tagállamok megállapítják a DGA-ban meghatározott egyes kötelezettségek megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok a szankciókra vonatkozó szabályaikban figyelembe veszik az Európai Adatinnovációs Testület ajánlásait. 

Következő lépések 

A rendeletet 2023. szeptember 24-től kell alkalmazni. A tagállamok a hatóságok kijelölésére, a szankciók meghatározására, stb. vonatkozó kötelezettségeknek 2023. szeptember 24-ig kell eleget tenniük és tájékoztatniuk a Bizottságot. A DGA alkalmazására történő felkészülésre tehát nagyjából 15 hónap áll rendelkezésre.  

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7717867113

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása