Az Európai Bizottság és az Egyesült Államok bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, amely a Schrems II. ítélettel hatályon kívül helyezett Privacy Shield helyébe léphet. Természetesen a részletek kidolgozása még hátravan, így számos nyitott kérdés merül fel. Az alábbiakban összefoglalom az elvi megállapodás főbb elemeit, a várható további lépéseket és az első reakciókat a tervezett új keretrendszerrel kapcsolatban.

Rendhagyó módon az elmúlt két hét néhány kiemelt adatvédelmi témáját gyűjtöttem össze az alábbiakban: 

• 17 millió eurós adatvédelmi bírság a Metának: Az ír adatvédelmi hatóság (DPC) 17 millió euró összegű bírságot szabott ki a Metára (Facebook) a Facebook szolgáltatásait érintő, 2018-as adatvédelmi incidensekkel összefüggésben. A DPC a GDPR 5. cikk (2) bekezdésének (elszámoltathatóság elve) és a 24. cikk (1) bekezdésének (az adatkezelő feladatai) a megsértését állapított meg, mivel a Meta nem gondoskodott olyan megfelelő technikai és szervezési intézkedések kialakításáról, amelyekre tekintettel igazolni tudta volna, hogy olyan biztonsági intézkedéseket alkalmaz, amelyek a gyakorlatban alkalmasak az EU-ban illetőséggel rendelkező felhasználók adatainak védelmére a 2018-ban bekövetkezett adatvédelmi incidensekre tekintettel. Az ügyben a GDPR 60. cikke szerinti együttműködési eljárás keretében működtek közre a tagállamok felügyeleti hatóságai. 

A dán adatvédelmi hatóság (Datatilsynet) iránymutatást tett közzé, amely a felhőszolgáltatások igénybevételének adatvédelmi kérdéseit tekinti át, beleértve az adattovábbítással kapcsolatos kérdéseket is (külön érintve az Egyesült Államokba irányuló adattovábbításokat). Az iránymutatás egyrészt megszólítja azon adatkezelőket, amelyek felhőszolgáltatást vesznek igénybe, másrészt a felhőszolgáltatást nyújtókat is, a szolgáltatásaik adatvédelmi megfelelőségének biztosítása kapcsán. Az iránymutatás áttekintése ugyanakkor olyanok számára is hasznos lehet, akik felhőszolgáltatást nem vesznek igénybe, mivel - amint ezt maga az iránymutatás rögzíti - számos adatvédelmi követelmény általánosságban az IT szolgáltatások igénybevételére vonatkoztatható, nemcsak a felhőszolgáltatások kapcsán alkalmazandók. 

A felhőszolgáltatások kapcsán három témakört emel ki az iránymutatás, amelyek - bár egyéb IT szolgáltatások kapcsán is jelen vannak - a felhőszolgáltatások alkalmazása esetén kiemelt figyelmet érdemelnek. Ezek az alábbiak: 

• adatfeldolgozók és al-adatfeldolgozók igénybevétele, 
• adatbiztonsági kérdések, és
• nemzetközi adattovábbítások. 

Térfigyelő kamerákkal kapcsolatos adatkezelésekre vonatkozó NAIH határozat, cookie bannereket érintő akció, német hatósági iránymutatás a közvetlen üzletszerzési tevékenység kapcsán a hét adatvédelmi hírei között:  

• NAIH határozat a siófoki közterületi térfigyelő rendszerben üzemeltetett arcfelismerő kamerákkal kapcsolatos eljárásban: Emlékezetes, hogy a tavaly nyáron a Siófokon bevezetésre kerülő arcfelismerésre is képes kamerarendszer elindítása komoly sajtófigyelmet kapott. (Erről a témáról itt írtam korábban.) Az adatkezelése - tekintettel arra, hogy bűnüldözési célokat szolgál - az Infotv. hatálya alá esik. A NAIH több jogsértést is megállapított, ugyanakkor alacsony, mindössze 500.000 Ft összegű bírságot állapított meg, figyelemmel arra is, hogy inkább adminisztratív jellegű jogsértéseket tárt fel a Hatóság. A megállapított jogsértések az alábbiak voltak: közös adatkezeléssel kapcsolatos szabályok megsértése, naplózással kapcsolatos követelmények megsértése (ez speciális, az Infotv.-ben szereplő kötelezettség), adatbiztonsági intézkedések megsértése, adatfeldolgozóval kapcsolatos rendelkezések megsértse. Fontos, hogy a Hatóság megállapítása alapján az arcfelismerő rendszert lényegében még nem alkalmazták. ("A Hatóság jelen eljárása során – az ügyfelek nyilatkozata és a helyszíni szemlén a kamerarendszerből a szemle időpontjában kinyert csekély mennyiségű adat alapján – arra a megállapításra jutott, hogy az arcfelismerésre képes mesterséges intelligencia alkalmazására eddig nem került sor ügyfelek részéről.") Ez a körülmény is hozzájárulhatott, hogy az ügy jóval csekélyebb súlyú mulasztások megállapításához vezetett csak. 

An important step in the development of EU data law is the publication of the first draft of the Data Act, which took place on 23 February. The proposal is based on the EU's data strategy of 2020. The proposal seeks to create harmonised rules that promote access to data, the sharing of data assets within a regulated framework, and the ability to switch between certain data processing services (especially cloud services). Accordingly, the proposal goes beyond data protection and has other legal aspects, especially competition law, copyright. 

Az elmúlt héten is számos történés zajlott az adatok világában. Megjelent az EU adatmegosztási rendeletének tervezete, a francia adatvédelmi hatóság fehér könyve a fizetési megoldások adatvédelmi vonatkozásairól és felmerült annak a lehetősége, hogy a Facebook (Meta) esetében az ír adatvédelmi hatóság felfüggesztheti az USA-ba történő adattovábbításokat. 

• Megjelent a Data Act (adatmegosztási törvény) tervezete: Az Európai Unió 2020. februárjában közzétett adatstratégiája több, az adatok uniós kezelését, megosztását, az adatokra épülő digitális gazdaság működtetését alapvetően érintő szabályozási kezdeményezést helyezett kilátásba. Időközben már megjelent, sőt egészen előrehaladott állapotban van a Data Governance Act (adatkormányzási törvény) tervezete. A héten a szabályozási csomag újabb kiemelten fontos elemére vonatkozó tervezet látott napvilágot. Ez a Data Act, amely az adatok megosztásának és hozzáférhetőségének rendszerét kívánja megteremteni.   

Felhőszolgáltatásokat érintő koordinált európai hatósági vizsgálatok, az adatvagyon online kiskereskedelemben történő felhasználását érintő piacelemzés, kereset a Facebook ellen Texasban és még néhány érdekesség a heti adatvédelmi hírekben: 

• Koordinált vizsgálat indult a közszférában alkalmazott felhőszolgáltatásokat érintően: Az első, az Európai Adatvédelmi Testület által koordinált vizsgálatban 22 adatvédelmi hatóság (az EGT-ből, valamint az európai adatvédelmi biztos) vesz részt a vizsgálatban. A vizsgálat apropója a felhőszolgáltatások rohamos terjedése és ezzel párhuzamosan a felhőszolgáltatások kapcsán is felmerülő kérdések, amelyek elsősorban az adatok nemzetközi továbbításához és az adatbiztonsághoz kapcsolódnak. A vizsgálat keretében több, mint 80 közszférába tartozó szerv, illetve intézmény (köztük uniós intézmények) felhőszolgáltatások igénybevételére vonatkozó gyakorlatát vizsgálják majd. A vizsgálat alapján készülő jelentést várhatóan még 2022. év vége előtt közzéteszi a Testület. 

Az elmúlt napokban, hetekben a Google Analytics használatát érintő döntések, ezáltal ismét az EU-n kívülre irányuló adattovábbítások kérdése került a középpontba. Az e heti adatvédelmi hírek között is megjelenik ez a téma és néhány egyéb érdekesség is:  

• A francia adatvédelmi hatóság Google Analyticsre vonatkozó döntése: A CNIL döntésével már két tagállami hatóság is hozott elmarasztaló, a Google Analytics használata kapcsán a honlap üzemeltetőknek (és nyilván a Google-nek is) feladatot jelentő döntést. A szaporodó döntések mellett egyre nagyobb kihívás lesz a kapcsolódó adattovábbítások megfelelő rendezése. A sor pedig fojtatódhat a közeljövőben. 
• Az Európai Bizottság friss tanulmánya és vizualizációs eszköze az adatok áramlásáról (The European Data Flow Monitoring): A tanulmánynak és a kapcsolódó térképeknek, vizualizációnak köszönhetően láthatók az EU-n (+EGT) belüli adatmozgásokat érintő trendek, illetve 2030-ig terjedő előrejelzést is tartalmaz a dokumentum (és a vizualizációs is). Természetesen a felhő használat és ennek a szerepe az adatok áramlásában nagyon központi eleme ennek a tanulmánynak is. Nem meglepő módon a nagyvállalati szektorban (250+ munkavállaló) sokkal elterjedtebbek a felhő alapú megoldások. (Maga a teljes tanulmány  közvetlenül innen érhető el.)

• A belga adatvédelmi hatóság online hirdetési piacot érintő döntése: A belga adatvédelmi hatóság az Interactive Advertising Bureau Europe (IAB Europe) által kialakított transzparencia és hozzájárulási keretrendszer (Transparency & Consent Framework; TCF) kapcsán állapította meg, hogy ez nem áll teljesen összhangban a GDPR követelményeivel és 250 ezer eurós bírságot szabott ki az IAB-ra, továbbá kötelezte, hogy a TCF-et hozza összhangba a GDPR elvárásaival. A keretrendszerrel kapcsolatos adatvédelmi hiányosságok hatása azért lehet jelentős, mert a valós idejű licit rendszerek (Real Time Bidding) működését érintheti (a TCF-en alapuló OpenRTB protokollt széles körben használják). A hatóság többféle jogsértést is megállapított, így többek között, az adatkezelés jogalapját, az átláthatóságot és felhasználói tájékoztatást, beépített- és alapértelmezett adatvédelem elveit érintően. (A döntés ellen helye van jogorvoslatnak.)