GDPR

Adatvédelem mindenkinek / Data protection for everyone

Új EU-s rendelet a GDPR határokon átnyúló ügyekben való alkalmazásáról

2025. december 22. 12:00 - poklaszlo

December 12-én megjelent az EU hivatalos lapjában a GDPR végrehajtására vonatkozó további eljárási szabályok megállapításáról szóló rendelet (2025/2518) .

A rendelet célja, hogy a határokon átnyúló ügyekben részletes eljárási szabályokkal gyorsítsa és egységesítse a GDPR végrehajtását, különös tekintettel a felügyeleti hatóságok együttműködésére, a panaszkezelésre, a vitarendezésre és az eljárási garanciákra. A szabályozás kifejezetten a GDPR 60., 65. és 66. cikk szerinti együttműködési, egységességi és sürgősségi mechanizmus működését finomítsa, átlátható határidőkkel és egységes eszköztárral.  A rendelet 2025. november 26-án került elfogadásra, és 2027. április 2-tól alkalmazandó, átmeneti szabályokkal a folyamatban lévő és a később indítandó ügyekre. 

1. Mik azok a határokon átnyúló ügyek és mit tartalmaznak a GDPR rendelkezései, amelyekhez az új rendelet kapcsolódik?

  • A GDPR alapján a „személyes adatok határokon átnyúló adatkezelése": (a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy (b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket. (Lásd 4. cikk 23. pont). 
  • A GDPR 60. cikke a a határokon átnyúló ügyekben a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti együttműködés főbb szabályait rendezi. A fő felügyeleti hatóság meghatározása - a GDPR 56. cikke alapján - az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerint történik. Az „érintett felügyeleti hatóság” pedig az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: (a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; (b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy (c) panaszt nyújtottak be az említett felügyeleti hatósághoz. (Lásd GDPR 4. cikk 22. pont.) 
  • A GDPR 65. cikke az Európai Adatvédelmi Testület vitarendezési eljárására vonatkozik, míg a 66. cikke írja le a sürgősségi eljárás szabályait
2. Az új rendelet főbb rendelkezései 
  • A rendelet tárgyi hatálya a határokon átnyúló adatkezelést érintő panaszok és hivatalból indított vizsgálatok eljárási rendjére terjed ki. A rendelet alkalmazása során a GDPR fogalmai alkalmazandók, külön fogalomként bevezetve a „vizsgálat alá vont felet” (az az adatkezelő vagy adatfeldolgozó, amelyet a GDPR-nak a személyes adatok határokon átnyúló adatkezelésével kapcsolatos állítólagos megsértése miatt vizsgálat alá vontak).  
Átfogó elvek rögzítik az együttműködés kereteit: 
  • a felügyeleti hatóságok a rendelet hatálya alá tartozó eljárásokat gyors és eredményes módon folytatják le, lojális és hatékony módon együttműködnek egymással, többek között, amennyiben szükséges, támogatás nyújtása és egymás megkereséseinek haladéktalan megválaszolása révén,
  • a felügyeleti hatóságok a nemzeti eljárásjoggal összhangban egyesíthetnek vagy elkülöníthetnek eljárásokat, amennyiben ezek egyesítése vagy elkülönítése nem sérti a vizsgálat alá vont felek vagy a panaszos jogait,
  • a panaszosnak lehetősége van kizárólag azzal a felügyeleti hatósággal kommunikálni, amelyhez panaszát - a GDPR 77. cikke alapján - benyújtotta,
  • a panaszkezelésnek minden esetben döntéshez kell vezetnie, amely ellen a GDPR 78. cikke értelmében vett hatékony bírósági jogorvoslatnak van helye,
  • az eljárás hatékonysága érdekében a felügyeleti hatóságok korlátozhatják a vizsgálat alá vont fél és a panaszos beadványainak hosszát, figyelembe véve az ügy összetettségét és a már benyújtott dokumentumokat.

2.1 Panaszok benyújtása és korai szakaszban történő rendezés

  • Panaszok: az elfogadhatóság minimális adatigénye kifejezetten rögzítésre került a rendeletben; hiányos panasz esetén 2 héten belüli elutasítási kötelezettség és a hiányok közlése. A fogadó hatóság előzetes minősítést végez (határokon átnyúló jelleg, fő felügyeleti hatóság meghatározása), és az elfogadható panaszt legfeljebb 6 héten belül továbbítja a fő felügyeleti hatóságnak; az elfogadhatósági megállapítás köti a fő felügyeleti hatóságot. A fő felügyeleti hatóság 6 héten belül megerősíti illetékességét vagy vitarendezési eljárás céljából az ügyet az Európai Adatvédelmi Testülethez utalja. 

  • Korai szakaszban történő rendezés: a rendelet bevezet egy „korai szakaszban történő rendezés” eljárást, amelyben, ha bizonyítottan megszüntették a jogsértést, a panasz okafogyottá válik. A panaszos 4 héten belül kifogást emelhet a döntéssel szemben. Az ügy egyszerűsített döntéstervezettel zárható. A korai rendezés nem korlátozza a fő felügyeleti hatóság további korrekciós hatásköreit rendszerszintű vagy ismétlődő jogsértések esetén.

2.2 GDPR 60. cikke szerinti együttműködés 

  • Egyszerű együttműködési eljárás: ha nincs megalapozott kétség a vizsgálat terjedelmét illetően, és a kérdések hasonló ügyek alapján megoldhatók, a fő felügyeleti hatóság egyszerűsített utat választhat; ilyenkor több részletes együttműködési lépés nem alkalmazandó, és 12 hónapos döntéstervezet-határidő került meghatározásra. Bármely érintett hatóság 2 héten belül kifogásolhatja az egyszerű eljárást, amely esetben a teljes együttműködési rend alkalmazandó. 

  • Információcsere és konszenzus: részletezi a „legfontosabb kérdések összefoglalója” dokumentum tartalmát, határidőit és a rá adott észrevételezési lehetőségeket; a hatóságoknak folyamatosan biztosítaniuk kell a releváns információk cseréjét, általában az elérhetővé válástól számított 1 héten belül. Külön eszközökkel (kölcsönös segítség, közös műveletek) kell a konszenzust előmozdítani; ha a vizsgálat terjedelme körül nincs konszenzus, vélelmezett feltételekkel sürgősségi testületi döntést kell kérni. 

  • Határidők: általános szabály szerint a fő felügyeleti hatóság 15 hónapon belül döntéstervezetet nyújt be (kivételesen egyszer, legfeljebb 12 hónappal hosszabbítható a határidő), az egyszerű eljárásban 12 hónap (adott nemzeti eljárási kötelezettség esetén +2 hónap) a döntéstervezet benyújtására nyitva álló határidő. A határidő-túllépés önmagában nem teszi jogszerűtlenné a lépést vagy a döntést, ugyanakkor a bírósági jogorvoslatnál értékelendő, hogy a határidőket betartották-e. 

  • Panasz elutasítása és a felek jogai: ha a fő felügyeleti hatóság a panaszt (részben) elutasítaná, a panaszos előzetes tájékoztatást és észrevételezési lehetőséget kap a panaszt eredetileg fogadó hatóság közvetítésével; a jogerős elutasító döntésnél kötelező a jogorvoslati tájékoztatás. Ha új elemek merülnek fel a módosított tervezetben, a panaszos ismét véleményezhet. 

  • Meghallgatáshoz való jog és ügyiratba betekintés: a vizsgálat alá vont felek előzetes megállapításokat kapnak teljes tény- és jogi értékeléssel, bírságelemek előzetes listázásával; 3–6 hét áll rendelkezésre a válaszadásra; biztosított a közigazgatási ügyiratba betekintés észrevételezés céljából. A panaszos az előzetes megállapítások nem bizalmas változatát kapja meg és írásban észrevételezheti (3–6 hét). 

  • Releváns és megalapozott kifogás (GDPR 4. cikk 24. pont*): a rendelet meghatározza a releváns és megalapozott kifogással szembeni követelményeket. (*"a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét")

  • Bizalmasság és hozzáférés: a közigazgatási ügyirat nem tartalmazhat belső hatósági kommunikációt; kizárt a betekintés a hatóságközi levelezésbe és a bizalmas információkba; az üzleti titkok és egyéb bizalmas információk azonosítására és kitakarására részletes szabályok vonatkoznak.  Külön „együttműködési ügyirat” készül a hatóságok közötti információcseréhez közös elektronikus eszközön, külső felek közvetlen hozzáférése nélkül. 

2.3. Vitarendezés és sürgősségi eljárás (GDPR 65. és 66. cikkek) 

  • Vitarendezés az Európai Adatvédelmi Testület előtt: részletes irat- és határidő-szabályok a 65. cikk (1) bekezdés a) pontja szerinti vitarendezési eljárásra szerinti vitarendezési ügyek Testület elé terjesztésére és a vizsgálat alá vont fél és a panaszos Testület előtti meghallgatására.

  • Részletszabályok kerülnek meghatározásra a GDPR 65. cikk (1) bekezdés b) és c) pontja szerinti vitarendezési eljárások kapcsán. 

  • Sürgősségi eljárások a Testület előtt: a GDPR 66. cikk szerinti sürgősségi eljárásokkal kapcsolatos határidők és tartalmi követelmények megállapítása.   

2.4 A személyes adatok határokon átnyúló adatkezelését érintő ügyekre vonatkozó végrehajtási statisztikák

A rendelet meghatározza, hogy a GDPR 71. cikke alapján elkészítendő éves jelentés részeként a Testület statisztikákat készít a GDPR végrehajtásáról a határokon átnyúló végrehatjtásra vonatkozó rendelet hatálya alá tartozó esetekben, különösen a következőkről:

  1. a panasz alapján indult és a hivatalból indított ügyek száma;
  2. a panasz alapján indult és a hivatalból indított, lezárt ügyek száma;
  3. az érintett felügyeleti hatóságok által a GDPR 61. cikkének (1) bekezdése alapján kért vizsgálatok száma;
  4. a benyújtott panaszok száma;
  5. a teljesen vagy részlegesen elutasított vagy visszautasított panaszok száma;
  6. a panasz alapján indult és a hivatalból indított ügyek lezárásának átlagos időtartama;
  7. a GDPR 83. és 84. cikke alapján kivetett közigazgatási bírságok száma és összege.

2.5 A rendelet alkalmazása

  • A GDPR 60. cikk szerinti együttműködésről és eljárási jogokról szóló fejezetek a 2027. április 2. után hivatalból indított vizsgálatokra, valamint azon panasz alapján indult vizsgálatokra kell alkalmazni, amelyekben a panaszt 2027. április 2. után nyújtották be.

  • A vitarendezés és sürgősségi eljárás fejezetei a 2027. április 2. után a Testület elé vitt ügyekre alkalmazandók. 

3. A Rendelet várható hatása 

A rendelet a jogalkotói szándékok szerint a határokon átnyúló ügyek intézésének kiszámíthatóbbá, gyorsabbá és átláthatóbbá válását célozza, miközben megőrzi a nemzeti eljárásjogi autonómiát ott. A részletes határidők és eljárási lépések célja, hogy csökkentsék a „szűk keresztmetszeteket”, különösen a döntéstervezetek benyújtásában és az információcserében. A „korai rendezés” beépítése pedig lehetőséget ad az egyszerűbb panaszok gyors lezárására a panaszos bevonásával, ami ügytehercsökkentést hozhat, ugyanakkor nem akadályozza a rendszerszintű jogsértések kezelését. Ezen túlmenően a meghallgatáshoz való jog, az ügyiratba betekintés és a bizalmas információk védelmének részletes keretei arra irányulnak, hogy erősítik az eljárások tisztességességét és jogbiztonságát, miközben a hatóságok közötti belső kommunikáció védett marad. 

Természetesen a rendelettel kapcsolatban számos kritikai észrevétel is megfogalmazódott, így például a - Max Schrems vezette - noyb nevű civil szervezet erősen bírálta a javaslatot. A kritikájuk leginkább arra irányul, hogy áltláthatóság és egyszerűsítés helyett egy még komplexebb és nehezen átlátható eljárási rezsim alakul ki.  

Szólj hozzá!
Címkék: jogalkalmazás portfolioblogger EU Európai Unió HU GDPR Európai Adatvédelmi Testület hatósági együttműködés határon átnyúló adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4619014903

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása