The European Commission and the United States announced in a joint statement earlier this year that an agreement  on the principles of a new Trans-Atlantic Data Privacy Framework had been reached. After this announcement, everyone has been waiting for the publication of the Executive Order to be issued by the President of the US, on the basis of which the necessary adequacy review could be commenced by the European Commission. After several months of waiting, President Joe Biden signed the Executive Order on October 7, which, in response to the most important concerns regarding data transfers to the US, puts some limits on United States signals intelligence activities and provides additional data protection safeguards.

Amióta az Európai Bizottság és az Egyesült Államok tavasszal bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, mindenki azt várta, hogy megjelenjen az az elnöki rendelet (Executive Order), amely alapján aztán elindulhat az USA tekintetében a szükséges megfelelőségi felülvizsgálat. Hosszas várakozások után, Joe Biden elnök október 7-én aláírta az elnöki rendeletet, amely az USA-ba történő adattovábbításokkal kapcsolatos legfontosabb aggályokra reagálva, korlátokat állapít meg a titkosszolgálati adatgyűjtés kapcsán, illetve plusz adatvédelmi garanciákat biztosít. 

Az Európai Bizottság két új irányelv elfogadására tett javaslatot: egyrészt a hibás termékekért való felelősségre (termékfelelősség) vonatkozó, eredetileg 1985-ben elfogadott irányelv (85/374/EEC) felülvizsgálatát, másrészt a mesterséges intelligencia alkalmazásával összefüggésben felmerülő szerződésen kívüli károkozás szabályainak harmonizálását javasolja a Bizottság. 

Az Európai Adatvédelmi Testület közzétett egy áttekintést az Európai Gazdasági Térségben működő adatvédelmi hatóságok rendelkezésére álló emberi- és pénzügyi erőforrásokról. A hatóságok válaszaiból továbbra is az tűnik ki, hogy - mind pénzügyi-, mind emberi erőforrásaikat tekintve - a hatóságok nem elégedettek a számukra biztosított forrásokkal. Érdekes módon - a tavalyi jelentéshez hasonlósan - a magyar adatvédelmi hatóság azon kevés hatóság között volt, amelyek úgy foglaltak állást, hogy a rendelkezésre álló erőforrások jelenleg megfelelőek a feladataik ellátáshoz.)   

A 2020-ban közzétett európai adatstratégia alapján megindult uniós jogalkotási folyamat eredményeként május végén kihirdetésre került az európai adatkormányzásról szóló 2022/868. sz. rendelet (Data Governance Act, DGA). Az alábbiakban röviden bemutatom a DGA legfontosabb rendelkezéseit és illeszkedését az uniós adatjog rendszerébe.    

Az adatokat (is) érintő uniós szabályozási kezdeményezések 

Az elmúlt időszakban felgyorsultak az események az EU-ban, ami az adatokat érintő szabályozást illeti. 2016-ban megjelent a GDPR, majd 2018. május 25-től alkalmazandóvá is vált. Szintén elfogadásra került 2018-ban a nem személyes adatok szabad áramlására vonatkozó rendelet. 2019-ben kihirdetésre került a nyílt hozzáférésű adatokra vonatkozó irányelvi szabályozás is (igaz ennek tagállami átültetése akadozni látszik). A 2020-ban megjelent adatstratégia és a mesterséges intelligenciáról szóló Fehér Könyv pedig újabb jogalkotási hullámot indított el, amely az adatkormányzási rendelet megjelenésével az első hatályba lépő jogszabályt már "ki is termelte".  

Az elmúlt hét is több fontos és érdekes adatvédelmi hírt hozott, élen a transzatlanti adattovábbításokat érintő fejleményekkel:  

Az Európai Bizottság és az Egyesült Államok bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, amely a Schrems II. ítélettel hatályon kívül helyezett Privacy Shield helyébe léphet. Természetesen a részletek kidolgozása még hátravan, így számos nyitott kérdés merül fel. Az alábbiakban összefoglalom az elvi megállapodás főbb elemeit, a várható további lépéseket és az első reakciókat a tervezett új keretrendszerrel kapcsolatban.

Rendhagyó módon az elmúlt két hét néhány kiemelt adatvédelmi témáját gyűjtöttem össze az alábbiakban: 

• 17 millió eurós adatvédelmi bírság a Metának: Az ír adatvédelmi hatóság (DPC) 17 millió euró összegű bírságot szabott ki a Metára (Facebook) a Facebook szolgáltatásait érintő, 2018-as adatvédelmi incidensekkel összefüggésben. A DPC a GDPR 5. cikk (2) bekezdésének (elszámoltathatóság elve) és a 24. cikk (1) bekezdésének (az adatkezelő feladatai) a megsértését állapított meg, mivel a Meta nem gondoskodott olyan megfelelő technikai és szervezési intézkedések kialakításáról, amelyekre tekintettel igazolni tudta volna, hogy olyan biztonsági intézkedéseket alkalmaz, amelyek a gyakorlatban alkalmasak az EU-ban illetőséggel rendelkező felhasználók adatainak védelmére a 2018-ban bekövetkezett adatvédelmi incidensekre tekintettel. Az ügyben a GDPR 60. cikke szerinti együttműködési eljárás keretében működtek közre a tagállamok felügyeleti hatóságai. 

A dán adatvédelmi hatóság (Datatilsynet) iránymutatást tett közzé, amely a felhőszolgáltatások igénybevételének adatvédelmi kérdéseit tekinti át, beleértve az adattovábbítással kapcsolatos kérdéseket is (külön érintve az Egyesült Államokba irányuló adattovábbításokat). Az iránymutatás egyrészt megszólítja azon adatkezelőket, amelyek felhőszolgáltatást vesznek igénybe, másrészt a felhőszolgáltatást nyújtókat is, a szolgáltatásaik adatvédelmi megfelelőségének biztosítása kapcsán. Az iránymutatás áttekintése ugyanakkor olyanok számára is hasznos lehet, akik felhőszolgáltatást nem vesznek igénybe, mivel - amint ezt maga az iránymutatás rögzíti - számos adatvédelmi követelmény általánosságban az IT szolgáltatások igénybevételére vonatkoztatható, nemcsak a felhőszolgáltatások kapcsán alkalmazandók. 

A felhőszolgáltatások kapcsán három témakört emel ki az iránymutatás, amelyek - bár egyéb IT szolgáltatások kapcsán is jelen vannak - a felhőszolgáltatások alkalmazása esetén kiemelt figyelmet érdemelnek. Ezek az alábbiak: 

• adatfeldolgozók és al-adatfeldolgozók igénybevétele, 
• adatbiztonsági kérdések, és
• nemzetközi adattovábbítások. 

Térfigyelő kamerákkal kapcsolatos adatkezelésekre vonatkozó NAIH határozat, cookie bannereket érintő akció, német hatósági iránymutatás a közvetlen üzletszerzési tevékenység kapcsán a hét adatvédelmi hírei között:  

• NAIH határozat a siófoki közterületi térfigyelő rendszerben üzemeltetett arcfelismerő kamerákkal kapcsolatos eljárásban: Emlékezetes, hogy a tavaly nyáron a Siófokon bevezetésre kerülő arcfelismerésre is képes kamerarendszer elindítása komoly sajtófigyelmet kapott. (Erről a témáról itt írtam korábban.) Az adatkezelése - tekintettel arra, hogy bűnüldözési célokat szolgál - az Infotv. hatálya alá esik. A NAIH több jogsértést is megállapított, ugyanakkor alacsony, mindössze 500.000 Ft összegű bírságot állapított meg, figyelemmel arra is, hogy inkább adminisztratív jellegű jogsértéseket tárt fel a Hatóság. A megállapított jogsértések az alábbiak voltak: közös adatkezeléssel kapcsolatos szabályok megsértése, naplózással kapcsolatos követelmények megsértése (ez speciális, az Infotv.-ben szereplő kötelezettség), adatbiztonsági intézkedések megsértése, adatfeldolgozóval kapcsolatos rendelkezések megsértse. Fontos, hogy a Hatóság megállapítása alapján az arcfelismerő rendszert lényegében még nem alkalmazták. ("A Hatóság jelen eljárása során – az ügyfelek nyilatkozata és a helyszíni szemlén a kamerarendszerből a szemle időpontjában kinyert csekély mennyiségű adat alapján – arra a megállapításra jutott, hogy az arcfelismerésre képes mesterséges intelligencia alkalmazására eddig nem került sor ügyfelek részéről.") Ez a körülmény is hozzájárulhatott, hogy az ügy jóval csekélyebb súlyú mulasztások megállapításához vezetett csak.