A 2020-ban közzétett európai adatstratégia alapján megindult uniós jogalkotási folyamat eredményeként május végén kihirdetésre került az európai adatkormányzásról szóló 2022/868. sz. rendelet (Data Governance Act, DGA). Az alábbiakban röviden bemutatom a DGA legfontosabb rendelkezéseit és illeszkedését az uniós adatjog rendszerébe.    

Az adatokat (is) érintő uniós szabályozási kezdeményezések 

Az elmúlt időszakban felgyorsultak az események az EU-ban, ami az adatokat érintő szabályozást illeti. 2016-ban megjelent a GDPR, majd 2018. május 25-től alkalmazandóvá is vált. Szintén elfogadásra került 2018-ban a nem személyes adatok szabad áramlására vonatkozó rendelet. 2019-ben kihirdetésre került a nyílt hozzáférésű adatokra vonatkozó irányelvi szabályozás is (igaz ennek tagállami átültetése akadozni látszik). A 2020-ban megjelent adatstratégia és a mesterséges intelligenciáról szóló Fehér Könyv pedig újabb jogalkotási hullámot indított el, amely az adatkormányzási rendelet megjelenésével az első hatályba lépő jogszabályt már "ki is termelte".  

Az elmúlt hét is több fontos és érdekes adatvédelmi hírt hozott, élen a transzatlanti adattovábbításokat érintő fejleményekkel:  

Az Európai Bizottság és az Egyesült Államok bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, amely a Schrems II. ítélettel hatályon kívül helyezett Privacy Shield helyébe léphet. Természetesen a részletek kidolgozása még hátravan, így számos nyitott kérdés merül fel. Az alábbiakban összefoglalom az elvi megállapodás főbb elemeit, a várható további lépéseket és az első reakciókat a tervezett új keretrendszerrel kapcsolatban.

Rendhagyó módon az elmúlt két hét néhány kiemelt adatvédelmi témáját gyűjtöttem össze az alábbiakban: 

• 17 millió eurós adatvédelmi bírság a Metának: Az ír adatvédelmi hatóság (DPC) 17 millió euró összegű bírságot szabott ki a Metára (Facebook) a Facebook szolgáltatásait érintő, 2018-as adatvédelmi incidensekkel összefüggésben. A DPC a GDPR 5. cikk (2) bekezdésének (elszámoltathatóság elve) és a 24. cikk (1) bekezdésének (az adatkezelő feladatai) a megsértését állapított meg, mivel a Meta nem gondoskodott olyan megfelelő technikai és szervezési intézkedések kialakításáról, amelyekre tekintettel igazolni tudta volna, hogy olyan biztonsági intézkedéseket alkalmaz, amelyek a gyakorlatban alkalmasak az EU-ban illetőséggel rendelkező felhasználók adatainak védelmére a 2018-ban bekövetkezett adatvédelmi incidensekre tekintettel. Az ügyben a GDPR 60. cikke szerinti együttműködési eljárás keretében működtek közre a tagállamok felügyeleti hatóságai. 

A dán adatvédelmi hatóság (Datatilsynet) iránymutatást tett közzé, amely a felhőszolgáltatások igénybevételének adatvédelmi kérdéseit tekinti át, beleértve az adattovábbítással kapcsolatos kérdéseket is (külön érintve az Egyesült Államokba irányuló adattovábbításokat). Az iránymutatás egyrészt megszólítja azon adatkezelőket, amelyek felhőszolgáltatást vesznek igénybe, másrészt a felhőszolgáltatást nyújtókat is, a szolgáltatásaik adatvédelmi megfelelőségének biztosítása kapcsán. Az iránymutatás áttekintése ugyanakkor olyanok számára is hasznos lehet, akik felhőszolgáltatást nem vesznek igénybe, mivel - amint ezt maga az iránymutatás rögzíti - számos adatvédelmi követelmény általánosságban az IT szolgáltatások igénybevételére vonatkoztatható, nemcsak a felhőszolgáltatások kapcsán alkalmazandók. 

A felhőszolgáltatások kapcsán három témakört emel ki az iránymutatás, amelyek - bár egyéb IT szolgáltatások kapcsán is jelen vannak - a felhőszolgáltatások alkalmazása esetén kiemelt figyelmet érdemelnek. Ezek az alábbiak: 

• adatfeldolgozók és al-adatfeldolgozók igénybevétele, 
• adatbiztonsági kérdések, és
• nemzetközi adattovábbítások. 

Térfigyelő kamerákkal kapcsolatos adatkezelésekre vonatkozó NAIH határozat, cookie bannereket érintő akció, német hatósági iránymutatás a közvetlen üzletszerzési tevékenység kapcsán a hét adatvédelmi hírei között:  

• NAIH határozat a siófoki közterületi térfigyelő rendszerben üzemeltetett arcfelismerő kamerákkal kapcsolatos eljárásban: Emlékezetes, hogy a tavaly nyáron a Siófokon bevezetésre kerülő arcfelismerésre is képes kamerarendszer elindítása komoly sajtófigyelmet kapott. (Erről a témáról itt írtam korábban.) Az adatkezelése - tekintettel arra, hogy bűnüldözési célokat szolgál - az Infotv. hatálya alá esik. A NAIH több jogsértést is megállapított, ugyanakkor alacsony, mindössze 500.000 Ft összegű bírságot állapított meg, figyelemmel arra is, hogy inkább adminisztratív jellegű jogsértéseket tárt fel a Hatóság. A megállapított jogsértések az alábbiak voltak: közös adatkezeléssel kapcsolatos szabályok megsértése, naplózással kapcsolatos követelmények megsértése (ez speciális, az Infotv.-ben szereplő kötelezettség), adatbiztonsági intézkedések megsértése, adatfeldolgozóval kapcsolatos rendelkezések megsértse. Fontos, hogy a Hatóság megállapítása alapján az arcfelismerő rendszert lényegében még nem alkalmazták. ("A Hatóság jelen eljárása során – az ügyfelek nyilatkozata és a helyszíni szemlén a kamerarendszerből a szemle időpontjában kinyert csekély mennyiségű adat alapján – arra a megállapításra jutott, hogy az arcfelismerésre képes mesterséges intelligencia alkalmazására eddig nem került sor ügyfelek részéről.") Ez a körülmény is hozzájárulhatott, hogy az ügy jóval csekélyebb súlyú mulasztások megállapításához vezetett csak. 

An important step in the development of EU data law is the publication of the first draft of the Data Act, which took place on 23 February. The proposal is based on the EU's data strategy of 2020. The proposal seeks to create harmonised rules that promote access to data, the sharing of data assets within a regulated framework, and the ability to switch between certain data processing services (especially cloud services). Accordingly, the proposal goes beyond data protection and has other legal aspects, especially competition law, copyright. 

Az elmúlt héten is számos történés zajlott az adatok világában. Megjelent az EU adatmegosztási rendeletének tervezete, a francia adatvédelmi hatóság fehér könyve a fizetési megoldások adatvédelmi vonatkozásairól és felmerült annak a lehetősége, hogy a Facebook (Meta) esetében az ír adatvédelmi hatóság felfüggesztheti az USA-ba történő adattovábbításokat. 

• Megjelent a Data Act (adatmegosztási törvény) tervezete: Az Európai Unió 2020. februárjában közzétett adatstratégiája több, az adatok uniós kezelését, megosztását, az adatokra épülő digitális gazdaság működtetését alapvetően érintő szabályozási kezdeményezést helyezett kilátásba. Időközben már megjelent, sőt egészen előrehaladott állapotban van a Data Governance Act (adatkormányzási törvény) tervezete. A héten a szabályozási csomag újabb kiemelten fontos elemére vonatkozó tervezet látott napvilágot. Ez a Data Act, amely az adatok megosztásának és hozzáférhetőségének rendszerét kívánja megteremteni.   

Felhőszolgáltatásokat érintő koordinált európai hatósági vizsgálatok, az adatvagyon online kiskereskedelemben történő felhasználását érintő piacelemzés, kereset a Facebook ellen Texasban és még néhány érdekesség a heti adatvédelmi hírekben: 

• Koordinált vizsgálat indult a közszférában alkalmazott felhőszolgáltatásokat érintően: Az első, az Európai Adatvédelmi Testület által koordinált vizsgálatban 22 adatvédelmi hatóság (az EGT-ből, valamint az európai adatvédelmi biztos) vesz részt a vizsgálatban. A vizsgálat apropója a felhőszolgáltatások rohamos terjedése és ezzel párhuzamosan a felhőszolgáltatások kapcsán is felmerülő kérdések, amelyek elsősorban az adatok nemzetközi továbbításához és az adatbiztonsághoz kapcsolódnak. A vizsgálat keretében több, mint 80 közszférába tartozó szerv, illetve intézmény (köztük uniós intézmények) felhőszolgáltatások igénybevételére vonatkozó gyakorlatát vizsgálják majd. A vizsgálat alapján készülő jelentést várhatóan még 2022. év vége előtt közzéteszi a Testület.