Alkalmazandóvá vált az adatkormányzási rendelet (Data Governance Act, DGA), amely az európai adatgazdaság előmozdítására tett intézkedések egyik fontos szabályozási eleme. A rendeletet még 2022. nyarán fogadták el és a 15 hónapos felkészülési időt követően szeptember 24-én megkezdődött a rendelet alkalmazásának "éles üzeme".
Mire vonatkozik az adatkormányzási rendelet?
A DGA az alábbi négy területre vonatkozóan határoz meg szabályokat:
- közszférabeli szervezetek birtokában lévő adatok bizonyos kategóriáinak az Unión belüli további felhasználására vonatkozó feltételek;
- az adatközvetítő szolgáltatások nyújtására vonatkozó bejelentési és felügyeleti keret;
- azon szervezetek önkéntes nyilvántartásba vételére vonatkozó keret, amelyek altruisztikus célokra rendelkezésre bocsátott adatokat gyűjtenek és kezelnek; és
- az Európai Adatinnovációs Testület létrehozására szolgáló keret.
(A rendelet főbb rendelkezéseiről ebben a korábbi posztban írtam.)
Mit jelent a rendelet alkalmazandóvá válása a gyakorlatban?
A DGA alkalmazandóvá vált ugyan, de még számos részletkérdés vár tisztázásra, illetve a tagállamok oldalán is számos olyan feladat van, amelyek még nem kerültek teljes körűen teljesítésre (lásd pl. a hatóságok kijelölésére, illetve egyes nyilvántartások felállítására vonatkozó kötelezettségeket).
A közszférabeli szervezetek birtokában lévő adatok bizonyos kategóriáinak az Unión belüli további felhasználása egyrészt könnyebbé válhat azáltal, hogy nagyobb átláthatóságot és egységesebb feltételrendszert biztosít a rendelet hatálya alá tartozó közszférabeli adatok lehetséges felhasználása tekintetében, másrészt a létrejövő egyablakos információs pontoknak köszönhetően az is áttekinthetőbb válik, hogy egyáltalán milyen adatkörök további felhasználására kerülhet sor. A tagállami szintű információs pontok mellett egy uniós szintű regiszter is elérhető lesz, amely EU szinten ad képet az elérhető adatkörök vonatkozásában.
Egy példa a közszférabeli adatok további felhasználására: FinData, amely a finn szociális szférában és egészségügyben kezelt adatok tekintetében ad engedélyt a másodlagos felhasználásra.
Az adatközvetítő szolgáltatások tekintetében az Európai Bizottság közzétette az adatközvetítő szolgáltatások által használandó logókra vonatkozó végrehajtási rendeletét, továbbá elérhetővé vált az ilyen szolgáltatást nyújtó szervezetek nyilvántartása, amelyben - miután feltöltésre kerül adatokkal - tagállami bontásban kereshetők lesznek a szervezetek.
Adatközvetítő szolgáltatásnak minősül az olyan szolgáltatás, amelynek célja kereskedelmi kapcsolatok létrehozása – technikai, jogi vagy egyéb eszközök révén – egyrészről meghatározatlan számú érintett és adatbirtokos, másrészről az adatfelhasználók közötti adatmegosztás – többek között az érintettek személyes adatokkal kapcsolatos jogainak gyakorlása – céljából.
Nem tartoznak e fogalommeghatározás körébe legalább a következők:
- az olyan szolgáltatások, amelyek abból a célból szereznek be adatokat az adatbirtokosoktól és összesítik, gazdagítják vagy alakítják át az adatokat, hogy jelentősen növeljék azok értékét, és az így létrejött adatok felhasználását engedélyezzék az adatfelhasználóknak, anélkül, hogy az adatbirtokosok és az adatfelhasználók között kereskedelmi kapcsolatot hoznának létre;
- az olyan szolgáltatások, amelyek fő célja a szerzői jog által védett tartalom közvetítése;
- az olyan szolgáltatások, amelyeket kizárólag egyetlen adatbirtokos vesz igénybe az említett adatbirtokos birtokában lévő adatok felhasználásának lehetővé tétele érdekében, vagy amelyeket egy zárt csoporthoz tartozó több jogi személy vesz igénybe, ideértve a szolgáltatói vagy ügyfélkapcsolatokat, illetve a szerződéssel létrehozott együttműködéseket, különösen azokat, amelyek fő célja a dolgok internetéhez csatlakoztatott tárgyak és eszközök funkcióinak biztosítása;
- a közszférabeli szervezetek által kínált olyan adatmegosztási szolgáltatások, amelyeknek nem célja kereskedelmi kapcsolatok létrehozása.
(Részletesebben lásd ebben a posztban.)
A DGA alkalmazása kapcsán azon adatközvetítő szolgáltatást nyújtó szervezetek, amelyek már a rendelet hatálybalépésekor, azaz 2022. június 23-án is adatközvetítő szolgáltatást nyújtottak, a DGA III. fejezetben meghatározott kötelezettségeknek 2025. szeptember 24-ig kell eleget tenniük (azaz további 1 évnyi felkészülési idő áll a rendelkezésükre).
Az Európai Bizottság által említett példák az ilyen jellegá szolgáltatásokra a Telekom Data Intelligence HUB, illetve a Dawex által nyújtott szolgáltatások.
Az adataltruista szervezetek tekintetében szintén elérhetővá vált az alkalmazandó logó és ezen szervezetek is kereshetők lesznek - a tagállami bontás szerinti - nyilvántartásban.
Az adataltruizmus olyan önkéntes adatmegosztás, amely az érintetteknek a rájuk vonatkozó személyes adatok kezeléséhez való hozzájárulásán, vagy az adatbirtokosoknak a nem személyes adataik felhasználására vonatkozó engedélyén alapul anélkül, hogy ezért olyan díjat számítanának fel vagy kapnának, amely meghaladja az adataiknak adott esetben a nemzeti jogban előírt közérdekű célokra (mint például az egészségügy, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, a hivatalos statisztikák fejlesztésének, előállításának és közzétételének megkönnyítése, a közszolgáltatások nyújtásának javítása, a közpolitikai döntéshozatal vagy a közérdeket szolgáló tudományos kutatás céljára) való rendelkezésre bocsátása esetén felmerült költségeik ellentételezését.
Az Európai Adatinnovációs Testület működéséről sem találhatunk még érdemi információkat. Ugyanakkor egy júliusi sajtóközleményből láthatjuk, hogy az Európai Adatvédelmi Testületet a német BfDi képviseli majd az Európai Adatinnovációs Testület munkájában.
A tagállamoknak is van/volt teendőjük a DGA alkalmazására való felkészülés kapcsán. Egyrészt ki kellett (volna) jelölniük illetékes hatóságo(ka)t a rendelet alapján (lásd a DGA 13., 23. és 26. cikkeit).
Minden tagállam kijelöl egy vagy több olyan illetékes hatóságot az adatközvetítő szolgáltatásokra vonatkozó bejelentési eljárással kapcsolatos feladatok végrehajtására, és 2023. szeptember 24-ig értesíti a Bizottságot ezen illetékes hatóságok kilétéről. Minden tagállam arról is értesíti a Bizottságot, ha az említett illetékes hatóságok kiléte a későbbiekben változik. (DGA 13. cikk (1) bekezdés)
Minden tagállam kijelöl egy vagy több olyan illetékes hatóságot, amely felelős az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásáért. [...] Minden tagállam 2023. szeptember 24-ig értesíti a Bizottságot az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságai kilétéről. Minden tagállam arról is értesíti a Bizottságot, ha az említett illetékes hatóságok kiléte a későbbiekben változik. (DGA 23. cikk (1)-(2) bekezdések)
Másrészt a tagállamoknak meg kell alkotniuk a rendelet megsértésének szankcionálására vonatkozó szabályokat is.
A tagállamok megállapítják a nem személyes adatok harmadik országokba történő továbbítására vonatkozó, az 5. cikk (14) bekezdése és a 31. cikk szerinti kötelezettségeknek, az adatközvetítő szolgáltatók 11. cikk szerinti bejelentési kötelezettségének, az adatközvetítő szolgáltatások nyújtására vonatkozó, 12. cikk szerinti feltételeknek, valamint az elismert adataltruista szervezetként történő nyilvántartásba vételre vonatkozó, a 18., a 20., a 21. és a 22. cikk szerinti feltételeknek a megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok a szankciókra vonatkozó szabályaikban figyelembe veszik az Európai Adatinnovációs Testület ajánlásait. A tagállamok e szabályokról és intézkedésekről 2023. szeptember 24-ig tájékoztatják a Bizottságot, és haladéktalanul tájékoztatják a Bizottságot az e szabályokat és intézkedéseket érintő minden későbbi módosításról. (DGA 34. cikk)
A DGA magyarországi alkalmazásáról és a tagállami kötelezettségek teljesítéséről egyelőre kevés kézzelfogható információt találhatunk. A NAIH által véleményezett jogszabálytervezetek listája és a kapcsolódó NAIH észrevételek alapján úgy tűnik, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság kerülhet kijelölésre illetékes hatóságként (a DGA alapján a tagállamoknak az adatközvetítő szolgáltatásokért felelős illetékes hatóságo(ka)t és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságo(ka)t hoznak létre, vagy a már meglévő hatóságokat jelölnek ki ezekre a feladatokra, lásd fentebb). A jogszabály elfogadása azonban még nem történt meg.