Many data exporters are struggling to transfer data to the United States in a GDPR-compliant manner after the European Court of Justice annulled the adequacy decision for the United States in July 2020 with its Schrems II ruling. Data transfer to the US is a sensitive issue, as personal data may be transferred to or accessed from the US in connection with many technology services that are widely used also in the EU. Accordingly, the United States is not only one third country under the GDPR to which data transfers can only take place in accordance with the conditions set out in the GDPR, but it has paramount importance, taking into account the extent of economic relations and the widespread use of technological solutions associated with data transfer (e.g. cloud services).

With respect to the above, the adoption of a new adequacy decision has been highly awaited on the basis of the March 2022 EU-US Data Transfer Framework Agreement, which could significantly make data transfers to the US easier.

Three years after the Schrems II judgment, this moment has come: the European Commission has published the new adequacy decisions regarding the US!

Nagy figyelemmel kísért ügyben (C-252/21.) hozott ítéletet az Európai Bíróság július 4-én, amikor a Meta Platforms és a német versenyhatóság, a Bundeskartellamt között folyamatban lévő peres eljárásban, a düsseldorfi bíróság által feltett kérdésekben adott iránymutatást. A feltett kérdések és így az ítélet is számos, a konkrét ügyön is jóval túlmutató jelentőséggel bírnak. Az ítélet többek között érinti a nemzeti versenyhatóságok eljárását, miszerint erőfölénnyel való visszaélés vizsgálata során, a GDPR-nak való megfelelés megsértését is megállapíthatják. Ezen túlmenően a döntés az adatkezelés GDPR szerint alkalmazható jogalapjainak alkalmazhatóságát szintén alaposan vizsgálja az online hirdetések kontextusában, különös tekintettel a szerződés teljesítéséhez szükséges adatkezelésre és a jogos érdek alkalmazhatóságára, illetve a hozzájárulásra. Továbbá a különleges adatok kezelésének egyes kérdései ugyancsak terítékre kerülnek. 

Az alábbiakban az ítélet főbb megállapításait és egyes lehetséges hatásait foglalom össze röviden. 

Izgalmas kérdést boncolgat a NAIH közelmúltban közzétett állásfoglalása: milyen módon alkalmazandók az ügyvédi titokra vonatkozó szabályok a hozzáférési igény teljesíthetőségével kapcsolatban? 

1. Tényállás

Az ügy szálai egy volt házastársak közötti pereskedséhez vezetnek el, amelynek kapcsán a panaszos hozzáférési jogát kívánta gyakorolni a volt házastársa (ellenérdekű fél) képviseletét ellátó ügyvéd által folytatott adatkezelés tekintetében. A panaszos megkeresése arra irányult, hogy az ügyvéd kezeli-e a panaszos személyes adatait, kifejezetten megjelölve a peres eljárásban benyújtott hangfelvételeket, emaileket és videófelvételeket. A megkeresésben a panaszos tájékoztatást kért az adatkezelés céljáról, a kezelt adatok típusáról, az adatok esetleges továbbításáról, az adatkezelés időtartamáról és az adatok forrásáról, továbbá kérte a személyes adatok másolatát a GDPR 15. cikk (3) bekezdése alapján.

Az ügyvéd a hozzáférési jog gyakorlásával kapcsolatos megkeresésre adott válaszában az érdemi válaszadást - ügyvédi titokra hivatkozással - megtagadta, figyelemmel arra, hogy az ügyvéd a hozzáférési joggal érintett adatok kezelése során az ügyvédi tevékenységről szóló 2017. évi. LXXVIIII. törvény (Üttv.) 27. § (1) bekezdés a) pontja szerinti megbízás keretében, az Üttv. 34. §-a szerint a megbízója jogi képviselőjeként járt el. Ugyanakkor az ügyvéd a megtagadás indokaként a GDPR 12. cikk (5) bekezdése vagy a GDPR 15. cikk (4) szerinti kivételek egyikére sem hivatkozott.

Az elmúlt években az uniós jogalkotás az adatvédelem, adat- és kiberbiztonság, adatmegosztás és mesterséges intelligencia terén nagyon komoly sebességre kapcsolt. Sorra születnek meg az újabb és újabb rendeletek, irányelvek, illetve jelennek meg a jogalkotási javaslatok, amelyek - végighaladva az uniós jogalkotás útvesztőin - jelentős mértékben alakulnak is időközben. Az érintett szereplőknek pedig igen csak igyekezniük kell, ha lépést akarnak tartani a követelményekkel és megfelelően felkészülni a jogalkalmazásra. Persze nem mindegyik szabályozás alkalmazandó minden társaságra, szervezetre, de szinte mindenki találhat őt érintő, rá vonatkozó rendelkezést, aminek meg kell felelnie, amelynek alkalmazására fel kell készülnie. 

In recent years, EU legislation in the areas of data protection, data security and cybersecurity, data sharing and artificial intelligence has stepped up a gear. More and more regulations, directives and legislative proposals are appearing one after another. Entities subject to (at least some of) such legislation will have to make a lot of effort if they want to keep up with the requirements and properly prepare for the application of the laws applicable to them. Of course, not all regulations apply to all companies and organizations, but almost each entitty can find some new or upcoming provisions that affect them and that they must comply with and prepare for their application. 

A magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS 2) magyar jogba történő átültetése példás gyorsasággal történt meg. Az átületetésre 2024. október 18-ig kaptak időt a tagállamok, de Magyarországon már elfogadásra és kihirdetésre is került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.), amely eleget tett az uniós kötelezettségnek. A hatálybalépés több lépcsőben történik meg 2024. október 18-ig. (A NIS 2 irányelvről itt írtam, míg az átültetsre vonatkozó törvényjavaslatról itt.)

Egyre közelebb kerül a mesterséges intelligenciára (MI) vonatkozó uniós szabályozás elfogadása. Május közepén az Európai Parlament két bizottsága (IMCO, LIBE) elfogadta a rendelettervezet új, "kompromisszumos szövegjavaslatát" (a módosításokat az eredeti bizottsági javaslathoz képest mutató, jobban áttekinthető verzió elérhető itt).  

Az Európai Parlament "kompromisszumos szövegjavaslat" elfogadásáról döntő plenáris üléséhez közeledve az alábbiakban röviden bemutatom a Parlament előtt lévő tervezet néhány lényegi, az eredeti bizottsági javaslathoz képest újdonságot, jelentősebb változást hozó elemét. 

In mid-May, a new version of the draft AI Act was published in the form of a compromise text adopted by the European Parliament's committees (IMCO, LIBE). The European Parliament's plenary will vote on the draft in mid-June, after which negotiations with the Council may start on the AI Act.

The compromise text that is to be discussed by the European Parliament contains a number of novelties compared to the original proposal of the Commission (and also compared to the text of the Council´s general approach). In this post, I will briefly discuss one of the new elements introduced in the compromise text, the so-called fundamental rights impact assessment (FRIA) for high-risk AI systems.

A mesterséges intelligenciával kapcsolatos hírek igencsak megszaporodtak az elmúlt időszakban, különösen miután az OpenAI által fejlesztett nagy nyelvi modellen (LLM) alapuló chat alkalmazás, a ChatGPT tavaly novemberben széles körben elérhetővé vált. A ChatGPT megjelenése áttörést hozott abból a szempontból, hogy milliók számára vált elérhetővé és könnyen átélhetővé mire képes (illetve mire lehet majd még a továbbiakban képes) az MI. A ChatGPT elsöprő sikere látványossá tette a hiányosságokat is, több adatvédelmi hatósági eljárás is indult például, amelyek közül az olaszországi kapta a legnagyobb figyelmet, amely a szolgáltatás átmeneti olaszországi felfüggesztésével is járt. (Nem a ChatGPT-t érintő olasz eljárás volt ugyanakkor az első MI-vel összefüggő adatkezelés, amely adatvédelmi hatósági vizsgálat tárgyát képezte.)

"Time flies so fast", is what we often say when we arrive at an anniversary and look back. As 5 years have already passed since the GDPR became applicable on May 25, 2018, it´s worth asking some questions regarding the experiences of GDPR application, also with regard to the fact that data protection is a relatively new field of law (we celebrated the 50th anniversary of the adoption of the first national data protection law earlier this May) and 5 years can be a particularly long time in this field, especially when we also take the speed of technological developments affecting privacy also into account.