Az EU-n kívülre irányuló adattovábbítások kérdése az elmúlt években, különösen a Schrems II. ítéletnek köszönhetően nagy hangsúlyt kapott és számos esetben okoz fejtörést az adatkezelőknek. Az elmúlt hetekben több fontos információ is napvilágot látott a téma kapcsán: megjelent az Európai Adatvédelmi Testület végleges iránymutatása a GDPR területi hatálya és az adattovábbítási rendelkezések vonatkozásában, a Testület elfogadta az USA-ra vonatkozó megfelelőségi határozat tervezetét elemző véleményét és a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) is elfogadott január végén egy állásfoglalást, amely az EU-n belül történő adatfeldolgozó általi adatkezelések esetében a harmadik országok hatóságainak esetleges hozzáférési igényeit érinti.

2019-ben került elfogadásra a 2019/1937. sz. irányelv az uniós jog megsértését bejelentő személyek védelméről, amelyet a tagállamoknak 2021. december 17-ig kellett (volna) átültetniük a nemzeti jogukba. Az átültetés nem haladt zökkenőmentesen, és a fenti határidőig mindössze 8 tagállam tett eleget a kötelezettségének, több tagállam pedig még a mai napig késedelemben van. Éppen ezért az Európai Bizottság 8 tagállammal szemben kötelezettségszegési eljárási is indított február közepén (az érintett nyolc tagállam: Csehország, Észtország, Lengyelország, Luxemburg, Magyarország, Németország, Olaszország és Spanyolország).

Magyarország  a késlekedő tagállamok között is kilógott a sorból, mivel - egészen február 28-ig - még a törvényjavaslat sem került előterjesztésre. Ez a helyzet változott most meg, mivel február 28-án benyújtásra került az Országgyűléshez "A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról" szóló törvényjavaslat (T/3089.). (Frissítés 2023.06.06.: 2023. május 25-én a Magyar Közlönyben kihírdetésre került az elfogadott törvény (2023.XXV. törvény). A végleges törvényszöveg néhány ponton eltérést tartalmaz az eredeti javaslathoz képest. Az elfogadott törvényszöveg alapján készült összefoglalóm itt érhető el.)  

2020. júliusa, az Európai Bíróság Schrems II. ügyben hozott ítélete óta az EU-n kívülre irányuló adattovábbítások témája az adatvédelmi közbeszéd egyik közpotni eleme lett. Gazdasági és politikai jelentősége miatt ezen belül is az USA-ba irányuló adattovábbítások témája kiemelt helyet foglal el a diskurzusban. A korábban már két alkalommal „elkaszált” megfelelőségi hattározata után, az Európai Bizottság - az EU és az USA közötti elvi adattovábbítási keretrendszer és az USA elnökének vonatkozó rendelete (Executive Order) alapján - tavaly év végén közzétette az újabb, USA-ra vonatkozó megfelelőségi határozatának tervezetét és elindította a határozat elfogadásához vezető folyamatot. Ennek a folyamatnak a részeként az Európai Adatvédelmi Testület február végén elfogadta és elérhetővé tette a megfelelőségi határozat tervezetére vonatkozó véleményét.

A Meta a közelmúltban bejelentette, hogy a Facebook és az Instagram alkalmazásaiban olyan előfizetős szolgáltatást tesztel, amely - több, egyéb szolgáltatás (pl. nagyobb elérés biztosítása) mellett - a felhasználók személyének ellenőrzését (így az adott felhasználó személyével történő visszaélés megelőzését), illetve a szolgáltatás igénybevételének nagyobb biztonságát teszi lehetővé (ennek keretében pl. a Meta a személyazonossággal való visszaélés ellen proaktív fiókfigyelést biztosít az előfizetőknek), továbbá akár közvetlen ügyfélszolgálati hozzáférést is biztosíthat. Korábban hasonló előfizetési modell mellett tette le a voksát a Twitter is. 

A konkrét megoldásról csak korlátozottan állnak rendelkezésre információk (illetve a Meta esetében egyelőre tesztüzemről van szó, amely Ausztráliában és Új-Zélandon indul, később azonban valószínűleg más országokban is elérhetővé válik), de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy a biztonsági funkciók biztosítása kapcsán milyen mozgásterük lehet a szolgáltatóknak, monetizálhatók lehetnek-e bizonyos mértékig a szolgáltatás igénybevételének biztonságosságával kapcsolatos intézkedések. Másképpen megfogalmazva: a jogszabály alapján a szolgáltatókat (adatkezelőket) terhelő kötelezettség, miszerint megfelelő technikai és szervezési intézkedések meghozatalával kell biztosítaniuk a kezelt adatok védelmét, megengedi-e, hogy - az egyébként ingyenesen igénybe vehető szolgáltatás kapcsán - az adatok biztonságát szolgáló egyes intézkedéseket csak egy szűkebb, a nagyobb biztonságot is magában foglaló szolgáltatásért külön fizető kör számára tegyék elérhetővé. Még egyet csavarva a kérdésen, úgy is fogalmazhatunk, hogy vajon a szolgáltató egy esetleges adatokat érintő visszaélés esetén mentesülhet-e a felelősség alól arra hivatkozva, hogy az érintett nem vette igénybe az egyébként rendelkezésre álló, de fizetős extra szolgáltatásokat, amelyekkel egyébként megelőzhető lett volna a visszaélés?

A beépített- és alapértelmezett adatvédelem elveit ugyan nem a GDPR hívta életre, hanem a "privacy by design" és "privacy by default" megközelítést Ontario állam egykori adatvédelmi biztosának (Information and Privacy Commissioner), Ann Cavoukiannak köszönhetjük, aki 2009-ben tette közzé a beépített adatvédelemmel ("privacy by design") kapcsolatos koncepcióját, ugyanakkor az vitathatatlan, hogy ezen elvárások GDPR-ban való rögzítése sokat tett az elvek köztudatba emeléséért.

A beépített- és alapértelmezett adatvédelem elveinek gyakorlati alkalmazása azonban még mindig kihívást jelenthet az adatkezelőknek és adatfeldolgozóknak (bár az Európai Adatvédelmi Testület részletes és gyakorlati példákat is tartalmazó iránymutatásban foglalkozott a témával, illetve a Testület - éppen a közelmúltban véglegesített - "sötét mintázatokkal" kapcsolatos iránymutatása szintén szoros kapcsolatban áll a beépített- és alapértelmezett adatvédelem elveinek alkalmazásával).   

Az adatkezelők és adatfeldolgozók viszont most újabb segítséget kaptak, különösen, ha a szoftverfejlesztés kapcsán felmerülő adatvédelmi kérdésekben keresnek gyakorlati segítséget: a Katalán Adatvédelmi Hatóság (APDCat) ugyanis 2023. februárjában tette közzé az elsősorban fejlesztőket megcélzó, témába vágó iránymutatását (ráadásul angol nyelven).  

Az Európai Adatvédelmi Testület elfogadta a 2021/05. sz. iránymutatásának a végleges változatát (az iránymutatás tervezetéről itt írtam korábban), amelyben az első verzióhoz képest több releváns korrekciót is végrehajtott a Testület. Ami nem változott, hogy az iránymutatás meghatározza a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás kritériumait (ez egy fontos kiindulópont, hiszen a GDPR-ban a nemzetközi adattovábbítások fogalmának meghatozásával nem találkozunk).

Az Európai Adatvédelmi Testület közzétette a 2023/2024-es időszakra vonatkozó munkatervét. A munkaterv hasznos információkat tartalmaz a Testület által kiemelten kezelt témákról és az elkövetkezendő évek várható jogalkalmazási irányairól. 

A Testület 4 nagyobb pillér (témakör) körül csoportosítja a munkatervében meghatározott feladatokat: 

1. Az egységes jogalkalmazás előmozdítása és a megfelelés elősegítése
2. A nemzeti felügyeleti hatóságok hatékony jogalkalmazási tevékenységének és a hatóságok közötti együttműködésnek a támogatása
3. Az új technológiákkal kapcsolatos alapjogi megközelítés
4. Globális dimenzió 

Kísérleti jelleggel, szűk körben elindította a Google az adatvédelmi "homokozóját" (Privacy Sandbox) Androidon. A tesztelés célja, hogy - a Google számára kulcsfontosságú - online hirdetési piacon, az elmúlt időszak "viharaira" is reagálva, olyan megoldásokat dolgozzanak ki és teszteljenek, amelyek révén az érintettek magánszféráját jobban tiszteletben tartva lehet a hirdetéseket eljuttatni a célközönséghez. (További infók a Privacy sandbox-ról elérhetők az Android fejlesztői oldalán.)

A francia adatvédelmi hatóság (CNIL) nagyon praktikus útmutatót adott közre január végén, amelyben a toborzási folyamat során történő adatkezelés kérdéseivel foglalkozik. (Az útmutató francia nyelven elérhető itt.) A CNIL korábban is foglalkozott a HR-t érintő adatkezelési kérdésekkel, legutóbb 2020-ban adott ki átfogó útmutatót a témában. (A 2020-as iránymutatás elérhető itt francia nyelven, egy angol nyelvű rövid ismertetés pedig itt.)

A toborzási adatkezelési kérdéseket áttekintő útmutató az alábbi főbb témákkal foglalkozik: 

Január 28-a - 2007 óta - az adatvédelem napja. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. (Egyébként az Egyezmény 1985. október 1-én lépett hatályba, miután kellő számú állam ratifikálta az egyezményt. Mára 55 állam csatlakozott az Egyezményhez)

A cél, amely életre hívta az adatvédelem nemzetközi napját, a figyelemfelhívás volt az adatvédelmi tudatosság növelése érdekében. Bár az elmúlt évek sokaknak a GDPR bűvkörében teltek és számos más, adatokat érintő európai és Európán kívüli jogalkotás is a figyelem középpontjába került, de az adatok feletti tudatos rendelkezés az érintettek részéről, illetve az adatok tudatos kezelése az adatkezelők és mindazon szereplők részéről, amelyek részt vesznek az adatkezelési folyamatban továbbra sem veszít a jelentőségéből.