EURÓPAI BIZOTTSÁG

Brüsszel, 2018.1.24.

COM(2018) 43 final

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

FMT:BoldErősebb védelem, új lehetőségek – a Bizottság iránymutatása az általános adatvédelmi rendelet 2018. május 25-től történő közvetlen alkalmazásáról/FMT

A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak

Erősebb védelem, új lehetőségek – a Bizottság iránymutatása az általános adatvédelmi rendelet 2018. május 25-től történő közvetlen alkalmazásáról

Bevezetés

Az EU 2016. április 6-án megállapodott adatvédelmi keretének nagyszabású reformjáról, elfogadva a húszéves 95/46/EK irányelv 1 (a továbbiakban: adatvédelmi irányelv) és a rendőrségi irányelv 2 helyébe lépő általános adatvédelmi rendeletet 3  tartalmazó adatvédelmi reformcsomagot. Az új uniós szintű adatvédelmi eszköz, az általános adatvédelmi rendelet két évvel az elfogadása és hatálybalépése után, 2018. május 25-én közvetlenül alkalmazandóvá válik 4 .

Az új rendelet megerősíti a személyes adatok védelméhez való, személyhez fűződő jogot, tükrözve ezzel az adatvédelem európai uniós alapjogi jellegét 5 .

A rendelet a tagállamok jogrendszerében közvetlenül alkalmazandó egységes szabályokat biztosítva garantálja a személyes adatok szabad áramlását az uniós tagállamok között, és megerősíti a fogyasztók bizalmát és biztonságát, ami a digitális tartalmak valóban egységes piacának két elengedhetetlen eleme. A rendelet tehát új lehetőségeket nyit meg a vállalkozások és a vállalatok, különösen a kisebb vállalatok előtt, és ennek érdekében a nemzetközi adattovábbításokra vonatkozó szabályokat is egyértelműsíti.

Noha az új adatvédelmi keret a hatályos jogszabályokra épül, széles körű hatást fog kifejteni, és bizonyos kérdésekben jelentős alkalmazkodást tesz szükségessé. Ezért a rendelet 2 éves – 2018. május 25-ig tartó – átmeneti időszakot írt elő, hogy időt adjon a tagállamoknak és az érdekelteknek az új jogi keretre való teljes felkészülésre.

Az elmúlt két év során az összes érdekelt fél – a nemzeti közigazgatási szervektől és nemzeti adatvédelmi hatóságoktól az adatkezelőkig és adatfeldolgozókig – számos tevékenységet végzett annak érdekében, hogy mindenki kellőképpen tisztában legyen az új adatvédelmi keret által előidézett változások jelentőségével és nagyságrendjével, továbbá hogy minden szereplő készen álljon annak alkalmazására. A Bizottság úgy véli, hogy a május 25-i határidő közeledtével meg kell vonnia e munka mérlegét, és fel kell térképeznie azokat a további lépéseket, amelyek hasznosak lehetnek az új keret sikeres alkalmazásához szükséges összes tényező szavatolásához 6 .

E közlemény:

·összefoglalja az új uniós adatvédelmi jogszabály által létrehozott fő innovációkat és lehetőségeket;

·felméri az uniós szinten eddig elvégzett előkészítő munka eredményeit;

·felvázolja, milyen tennivalók állnak az Európai Bizottság, a nemzeti adatvédelmi hatóságok és a tagállami közigazgatási szervek előtt az előkészületek sikeres lezárásáig;

·ismerteti azokat az intézkedéseket, amelyeket a Bizottság a következő hónapokban szándékozik meghozni.

Ezenfelül a Bizottság e közlemény elfogadásával egyidejűleg online eszköztárat hoz létre, hogy segítséget nyújtson az érdekelteknek a rendelet alkalmazására való felkészüléshez, valamint a képviseleti irodák támogatásával tájékoztatási kampányt indít minden tagállamban.

1.AZ ÚJ UNIÓS ADATVÉDELMI KERET – ERŐTELJESEBB VÉDELEM és ÚJ LEHETŐSÉGEK

A rendelet az adatvédelmi irányelv megközelítésének nyomdokain halad, azonban pontosítja és korszerűsíti az adatvédelmi szabályokat az EU 20 éves adatvédelmi joganyaga és a vonatkozó ítélkezési gyakorlat alapján; továbbá számos új elemet vezet be, amelyek megerősítik a személyhez fűződő jogok védelmét és új lehetőségeket teremtenek a vállalatoknak és a vállalkozásoknak, mindenekelőtt az alábbiakat:

·A szabályok egységes alkalmazását eredményező, az EU digitális egységes piacát támogató harmonizált jogi keret. Tehát egységes szabályok vonatkoznak a polgárokra és a vállalkozásokra, ami orvosolja majd azt a jelenlegi helyzetet, hogy az uniós tagállamok eltérően hajtják végre az irányelvet. A minden tagállamban egységes és következetes alkalmazás szavatolása érdekében egyablakos ügyintézést vezetnek be;

·Egyenlő versenyfeltételek az uniós piacon működő valamennyi vállalat számára. A rendelet arra kötelezi az EU-n kívül letelepedett vállalkozásokat, hogy az Unión belül letelepedett vállalkozásokra vonatkozóakkal megegyező szabályokat alkalmazzanak, amennyiben az Unión belül személyes adatokkal összefüggő árukat és szolgáltatásokat nyújtanak vagy figyelemmel kísérik az egyének viselkedését. Az EU-n kívülről működő és az egységes piacon tevékenykedő vállalkozásoknak bizonyos körülmények között képviselőt kell kinevezniük az EU-n belül, hogy a polgárok és a hatóságok a külföldi székhelyű vállalkozás helyett vagy mellett ahhoz fordulhassanak;

·A beépített és az alapértelmezett adatvédelem elve, amely ösztönzőket teremt ahhoz, hogy kezdettől fogva innovatív megoldásokkal kezeljék az adatvédelmi kérdéseket;

·A személyhez fűződő jogok megerősítése: A rendelet új átláthatósági követelményeket vezet be; megerősített tájékoztatási, hozzáférési, és törlési jogok (a személyes adatok tárolásának megszüntetéséhez való jog); a hallgatást vagy tétlenséget többé nem tekintik érvényes hozzájárulásnak, mivel a hozzájárulás kinyilvánításához a megerősítést félreérthetetlenül kifejező cselekedet szükséges; a gyermekek online védelme;

·Az egyének nagyobb ellenőrzése a személyes adatok felett. A rendelet új adathordozhatósági jogot hoz létre, lehetővé téve a polgároknak, hogy visszakérjék az adott vállalkozástól vagy szervezettől azokat a személyes adatokat, amelyeket hozzájárulás vagy szerződés alapján adtak meg ennek a vállalkozásnak vagy szervezetnek, lehetővé teszi továbbá, hogy – amennyiben ez műszakilag megvalósítható – közvetlenül egy másik vállalkozásnak vagy szervezetnek továbbítsák ezeket a személyes adatokat. E jog a személyes adatok EU-n belüli szabad áramlását is elősegíti, és megakadályozza a személyes adatok fogva tartását (vagyis a vevőfogvatartást), valamint ösztönzi a vállalkozások közötti versenyt, ugyanis lehetővé teszi a személyes adatok közvetlen továbbítását az egyik vállalkozástól vagy szervezettől egy másikhoz. A polgárok szolgáltatók közötti váltásának megkönnyítése ösztönözni fogja új szolgáltatások kifejlesztését a digitális egységes piaci stratégia keretében;

·Határozottabb védelem az adatsértésekkel szemben. A rendelet átfogó szabályokat állapít meg a személyes adatok megsértése tekintetében. Világosan meghatározza az „adatvédelmi incidens” fogalmát és bevezeti azt a kötelezettséget, hogy legkésőbb 72 órán belül bejelentést kell tenni a felügyeleti hatóságnak, ha az adatsértés valószínűleg kockázatot jelent a személyhez fűződő jogokra és szabadságokra nézve. Bizonyos körülmények esetén kötelezővé teszi annak a személynek a tájékoztatását, akinek adatait az adatsértés érinti. Ez jelentős mértékben erősíti a védelmet az EU-n belüli jelenlegi helyzethez képest, amikor csupán az elektronikus hírközlési szolgáltatók, az alapvető szolgáltatások üzemeltetői és a digitális szolgáltatók kötelesek bejelenteni az elektronikus hírközlési adatvédelmi irányelv 7 és kiberbiztonsági irányelv 8 szerinti adatsértéseket;

·A rendelet miden adatvédelmi hatóságot feljogosít arra, hogy bírságot szabjon ki az adatkezelőkre és adatfeldolgozókra. Jelenleg nem mindegyikük rendelkezik e jogkörrel. Ezáltal javulhat a szabályok végrehajtása. A bírságok elérhetik a 20 millió EUR-t, vagy vállalatok esetén a világszintű éves árbevétel 4 %-át;

·A felelősségre vonatkozó egyértelmű szabályok (az elszámoltathatóság elve) nagyobb rugalmasságot nyújtanak a személyes adatokat kezelő adatkezelőknek és adatfeldolgozóknak. A rendelet eltávolodik a bejelentési rendszertől, és áttér az elszámoltathatóság elvére, amely kockázattól függő, rugalmas kötelezettségek révén érvényesül (pl. az adatvédelmi tisztviselő alkalmazása vagy az adatvédelmi hatásvizsgálatok végzésére vonatkozó kötelezettség). Annak elősegítése érdekében, hogy az adatkezelés megkezdése előtt értékeljék a kockázatokat, új eszközként bevezeti az adatvédelmi hatásvizsgálatot. Ez utóbbira minden olyan esetben szükség van, amikor az adatkezelés valószínűleg nagy kockázatot jelent az egyének jogaira és szabadságaira. A rendelet három ilyen esetet említ kifejezetten: amikor egy vállalkozás módszeres és kiterjedt értékelést véget az egyének személyes jellemzőiről (ideértve a profilalkotást is), amikor nagy számban kezel különleges adatokat vagy amikor módszeresen figyel meg nyilvános helyeket. A nemzeti adatvédelmi hatóságoknak nyilvánosságra kell hozniuk az adatvédelmi hatásvizsgálatot igénylő esetek jegyzékeit 9 ;

·Annak pontosítása, hogy milyen kötelezettségek terhelik az adatfeldolgozókat és mire terjed ki a az adatkezelők felelőssége az adatfeldolgozók kiválasztásakor;

·Korszerű irányítási rendszer, amely szavatolja a szabályok következetes és határozott érvényesítését. Ez kiterjed az adatvédelmi hatóságok harmonizált jogkörére, beleértve a bírságolást, valamint az e hatóságok közötti hálózati együttműködésre szolgáló mechanizmusokat;

·A személyes adatoknak a rendelet által garantált védelme az EU-n kívülre is elkíséri az adatokat, magas szintű védelmet szavatolva számukra 10 . Jóllehet a rendelet az 1995. évi irányelvhez képest lényegében nem változtatott a nemzetközi adattovábbításokra vonatkozó szabályok struktúráján, a reform pontosítja és egyszerűsíti az új továbbítási eszközök használatát és bevezetését. Ami a megfelelőségi határozatokat illeti, a rendelet meghatározza azon tényezők pontos és részletes jegyzékét, amelyeket a Bizottságnak figyelembe kell vennie annak értékelésekor, hogy egy külföldi rendszer megfelelően védi-e a személyes adatokat. A rendelet emellett hivatalossá teszi és bővíti az alternatív továbbítási eszközök számát, ilyenek például az általános szerződési feltételek és a kötelező erejű vállalati szabályok.

Az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó felülvizsgált rendelet 11 , valamint az adatvédelemről és az elektronikus kommunikációkról szóló rendelet (a továbbiakban: elektronikus hírközlési adatvédelmi rendelet) 12 , amelyek jelenleg egyeztetés alatt állnak, elfogadásukat követően biztosítani fogják, hogy az EU erőteljes és átfogó adatvédelmi szabályozással rendelkezzen 13 .

2.Az uniós szinten mostanáig elvégzett előkészítő munka

A rendelet sikeres alkalmazásához szükség van az adatvédelemben érintett összes fél; a tagállamok és azok közigazgatási szervei, a nemzeti adatvédelmi hatóságok, a vállalkozások, a személyes adatokat kezelő szervezetek, valamint az egyének és a Bizottság együttműködésére.

2.1. Az Európai Bizottság fellépései

A Bizottság röviddel a rendelet 2016 közepi hatálybalépését követően felvette a kapcsolatot a tagállami hatóságokkal, az adatvédelmi hatóságokkal és az érdekelt felekkel, hogy előkészítse a rendelet alkalmazását, valamint támogatást és tanácsadást biztosítson.

a) A tagállamoknak és hatóságaiknak nyújtott támogatás

A Bizottság szorosan együttműködik a tagállamokkal, hogy a lehető legmagasabb szintű következetesség szavatolása érdekében támogassa munkájukat az átmeneti időszak folyamán. Ezért a Bizottság szakértői csoportot hozott létre, hogy az figyelemmel kísérje a rendelet előkészítésére irányuló erőfeszítését. A csoport, amely már 13 alkalommal ülésezett, olyan fórum, ahol a tagállamok megoszthatják tapasztalataikat és szakismeretüket 14 . A Bizottság kétoldalú párbeszédet is folytatott a tagállami hatóságokkal, hogy megvitassák a nemzeti szinten felmerülő kérdéseket.

b) Az egyes adatvédelmi hatóságoknak nyújtott támogatás, és az Európai Adatvédelmi Testület létrehozása

A Bizottság aktívan támogatja a 29. cikk szerinti munkacsoport munkáját annak érdekében is, hogy szavatolja az Európai Adatvédelmi Testületté való átalakulás zavartalanságát 15 .

c) Nemzetközi hatás

A rendeletnek köszönhetően az EU még inkább képes lesz tevékenyen érvényre juttatni adatvédelemmel kapcsolatos értékeit, valamint a jogrendszerek globális konvergenciájának ösztönzésével megkönnyíti a határon átnyúló adatáramlásokat 16 . Az uniós adatvédelmi szabályokat nemzetközi szinten egyre inkább a világ legmagasabb szintű adatvédelmi normái között tartják számon. Az Európa Tanács 108. Egyezménye, amely az egyetlen jogilag kötelező eszköz a személyes adatok védelme terén, szintén korszerűsítés alatt áll. A Bizottság azért dolgozik, hogy az Egyezmény az uniós adatvédelmi szabályokban rögzített elveket tükrözze, és így elősegítse egységes, magas szintű adatvédelmi normák bevezetését. A Bizottság tevékenyen előmozdítja az Egyezmény korszerűsített szövegének gyors elfogadását abból a célból, hogy az EU annak részes felévé váljon 17 . A Bizottság arra ösztönzi a harmadik országokat, hogy erősítsék meg az Európa Tanács 108. Egyezményét és annak kiegészítő jegyzőkönyvét.

Ezenfelül az EU közvetlen szomszédságában, valamint Ázsiában, Latin-Amerikában és Afrikában is több harmadik ország és Unión kívüli regionális szervezet fogad el új adatvédelmi jogszabályokat, vagy teszi naprakésszé hatályos rendelkezéseit annak érdekében, hogy kiaknázza a digitális világgazdaság kínálta lehetőségeket, és eleget tegyen a fokozott adatbiztonság és a magánélet nagyobb fokú védelme iránt egyre növekvő igényeknek. Bár az egyes országok eltérnek az alkalmazott megközelítés és jogalkotási fejlettségük szintje tekintetében, a jelek arra mutatnak, hogy a rendelet egyre nagyobb mértékben szolgál referenciapontként és az elképzelések forrásaként 18 .

Ennek keretében a Bizottság – 2017. januári közleményének megfelelően 19 – folytatja nemzetközi kapcsolatépítését azáltal, hogy aktívan tárgyal a legfontosabb kelet- és délkelet-ázsiai és latin-amerikai kereskedelmi partnerekkel, különösen Japánnal és Dél-Koreával, hogy feltérképezze megfelelőségi határozatok elfogadásának lehetőségét 20 .

A Bizottság mindenekelőtt együttműködik Japánnal, hogy a Juncker elnök és Abe miniszterelnök 2017. július 6-i együttes nyilatkozatában 21 bejelentetteknek megfelelően 2018 elejéig elérjék a megfelelő szintű védelem mindkét fél általi egyidejű megállapítását. A Bizottság Dél-Koreával is tárgyalásokat kezdett egy esetleges megfelelőségi határozat érdekében. A megfelelőségi határozat elfogadása biztosítaná a szabad adatáramlást, miközben garantálná a személyes adatok maga szintű védelmét az EU-ból ezekbe az országokba történő továbbításkor.

A Bizottság ugyanakkor együttműködik az érdekeltekkel az általános adatvédelmi rendelet nemzetközi adattovábbításra szolgáló eszköztárában rejlő lehetőségek teljes körű kiaknázása érdekében, azáltal hogy konkrét iparágak és/vagy üzemeltetők sajátos igényeihez igazított alternatív adattovábbítási mechanizmusokat dolgoz ki 22 .

d) Az érdekeltek bevonása

A Bizottság számos eseményt szervezett, hogy megszólítsa az érdekelt feleket 23 . A Bizottság 2018 első negyedévében a fogyasztóknak szóló új munkaértekezletet tervez. A témával foglalkozó ágazati megbeszélésekre is sor került olyan területeken mint a kutatás és a pénzügyi szolgáltatások.

A Bizottság emellett létrehozott egy, a rendelettel foglalkozó, több érdekelt felet tömörítő csoportot, amely a civil társadalom és a vállalkozások képviselőiből, tudományos dolgozókból és gyakorlati szakemberekből áll. Ez a csoport különösen azzal kapcsolatban ad tanácsot a Bizottságnak, miként érhető el, hogy az érdekeltek megfelelően ismerjék a rendeletet 24 .

Végezetül az Európai Bizottság „Horizont 2020” kutatási és innovációs keretprogramja 25 útján finanszírozott olyan intézkedéseket, amelyek a rendelet hozzájárulásra vonatkozó szabályainak hatékony alkalmazását elősegítő eszközök kidolgozására, valamint a magánélet védelmét garantáló adatelemzési módszerek – pl. a többszereplős számítástechnika és homomorfikus titkosítás – vizsgálatára irányultak.

2.2. A 29. cikk szerinti munkacsoport/Európai Adatvédelmi Testület fellépései

A 29. cikk szerinti munkacsoport, amely az összes nemzeti adatvédelmi hatóságot és az európai adatvédelmi biztost tömöríti, kulcsszerepet játszik a rendelet alkalmazásának előkészítésében azáltal, hogy iránymutatásokat bocsát ki a vállalatok és egyéb érdekeltek számára. A nemzeti adatvédelmi hatóságok vannak a legmegfelelőbb helyzetben ahhoz, hogy a rendeletet érvényesítő és az érdekeltekkel közvetlen kapcsolatban álló hatóságként kiegészítő jogbiztonságot nyújtsanak a rendelet értelmezése tekintetében.

A 29. cikk szerinti munkacsoport iránymutatásai/munkadokumentumai a rendelet alkalmazásának megkezdése céljából 26 .
Az adathordozhatósághoz való jog	Elfogadva 2017. április 4–5-én
Adatvédelmi tisztviselők
A vezető felügyeleti hatóság kijelölése
Adatvédelmi hatásvizsgálat	Elfogadva 2017. október 3-4-én
Közigazgatási bírságok	Elfogadva 2017. október 3-4-én
Profilalkotás	A munka folyamatban van
Adatvédelmi incidens	A munka folyamatban van
Hozzájárulás	A munka folyamatban van
Átláthatóság	A munka folyamatban van
Tanúsítás és akkreditálás	A munka folyamatban van
Megfelelőségi referencia	A munka folyamatban van
Az adatkezelőkre vonatkozó kötelező erejű vállalati szabályok	A munka folyamatban van
Az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályok	A munka folyamatban van

A 29. cikk szerinti munkacsoport azon dolgozik, hogy naprakésszé tegye meglévő véleményeit, beleértve a harmadik országokba történő adattovábbításra szolgáló eszközökről szóló véleményt.

Mivel az üzemeltetők számára alapvetően fontos, hogy koherens és egységes iránymutatások álljanak rendelkezésükre, a jelenlegi nemzeti szintű iránymutatásokat hatályon kívül kell helyezni vagy összhangba kell hozni a 29. cikk szerinti munkacsoport/Európai Adatvédelmi Testület által azonos tárgykörben elfogadott iránymutatásokkal.

A Bizottság nagy jelentőséget tulajdonít annak, hogy véglegesítésük előtt nyilvános konzultációt folytassanak ezekről az iránymutatásokról. Lényeges, hogy az érdekeltek a lehető legpontosabban és legkonkrétabban megfogalmazott állásfoglalásokkal segítsék az eljárást, mivel ez elősegíti a bevált módszerek azonosítását, és felhívja a 29. cikk szerinti munkacsoport figyelmét az iparági és ágazati jellemzőkre. A szóban forgó iránymutatásokért továbbra is a 29. cikk szerinti munkacsoport és a jövőbeni Európai Adatvédelmi Testület viseli a végső felelősséget, és az adatvédelmi hatóságok hozzájuk fognak fordulni a rendelet érvényesítéskor.

Helyénvaló lehetővé tenni az iránymutatások módosítását a fejlemények és gyakorlatok alapján. Ezért lényeges, hogy az adatvédelmi hatóságok előmozdítsák a párbeszéd kultúráját minden érdekelt, így a vállalkozások körében is.

Fontos emlékeztetni arra, hogy amennyiben a rendelet értelmezésével és alkalmazásával kapcsolatos kérdések merülnek fel, a nemzeti és uniós szintű bíróságok feladata, hogy biztosítsák a rendelet végleges értelmezését.

3.A sikeres felkészülés fennmaradó lépései

3.1. A tagállamoknak véglegesíteniük kell a nemzeti szintű jogi keret struktúráját

A rendelet közvetlen alkalmazandó minden tagállamban 27 . Ez azt jelenti, hogy a nemzeti intézkedésektől függetlenül lép hatályba és alkalmazandó: a polgárok, a vállalkozások, a közigazgatási szervek és a személyes adatokat kezelő egyéb szervezetek általában közvetlenül hivatkozhatnak a rendelet rendelkezéseire. Mindazonáltal a rendelet értelmében a tagállamoknak meg kell tenniük a szükséges lépéseket ahhoz, hogy kiigazítsák joganyagukat a hatályos jogszabályok hatályon kívül helyezése és módosítása révén, valamint létrehozzák a nemzeti adatvédelmi hatóságokat 28 , kiválasszák az akkreditációs testületet 29 , és szabályokat állapítsanak meg a véleménynyilvánítás szabadságának az adatvédelemmel való összeegyeztetésére 30 .

Ezenfelül a rendelet lehetőséget ad a tagállamoknak arra, hogy az alábbi konkrét területeken tovább pontosítsák az adatvédelmi szabályok alkalmazását: állami szektor 31 , a foglalkoztatás és szociális biztonság 32 , megelőző vagy munkahelyi egészségvédelem 33 , közegészségügy, közérdekű archiválás célja, tudományos és történelmi kutatási cél vagy statisztikai cél 34 , nemzeti azonosító szám 35 , hivatalos dokumentumokhoz való nyilvános hozzáférés 36 és titoktartási kötelezettségek 37 . Emellett a genetikai adatok, a biometrikus adatok és az egészségügyi adatok esetében a rendelet felhatalmazza a tagállamokat, hogy további feltételeket – köztük korlátozásokat – tartsanak hatályban vagy vezessenek be 38 .

A tagállamok ezzel kapcsolatos intézkedéseit az alábbi két tényező határozza meg:

1.a Charta 8. cikke, vagyis bármely nemzeti pontosításnak meg kell felelnie a Charta 8. cikkébe (és Charta 8. cikkére épülő rendeletbe) foglalt követelményeknek, továbbá

2.az EUMSZ 16. cikkének (2) bekezdése, amely szerint a nemzeti jogszabályok nem befolyásolhatják a személyes adatoknak az EU-n belüli szabad áramlását.

A rendelet lehetőséget teremt a jogi környezet egyszerűsítésére, hogy csökkentsék a nemzeti szabályok mennyiségét és az üzemeltetők számára egyértelműbbé tegyék a jogi helyzetet.

Nemzeti jogszabályaik kiigazításakor a tagállamoknak szem előtt kell tartaniuk, hogy a szerződésekbe ütköznek az olyan tagállami intézkedések, amelyek akadályt gördítenek a rendelet közvetlen alkalmazása elé, és amelyek következében veszélybe kerül az egyidejű és egységes alkalmazás az EU egész területén belül 39 .

Ugyancsak tilos megismételni a rendelet szövegét a nemzeti jogban (pl. ismétlődő fogalommeghatározások és személyhez fűződő jogok), kivéve ha az ilyen ismétlés feltétlenül szükséges a koherencia biztosításához, valamint ahhoz, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek 40 . Csupán kivételes és indokolt esetben fordulhat elő, hogy a nemzeti pontosító jogszabály szó szerint megismétli a rendelet szövegét, és arra sem használható fel, hogy további feltételeket vagy értelmezéseket fűzzenek a rendelet szövegéhez.

A rendelet értelmezése az európai bíróságok (a nemzeti bíróságok és végső soron a Bíróság) feladata, nem pedig a tagállami jogalkotóké. A nemzeti jogalkotó ezért nem másolhatja a rendelet szövegét, ha az ítélkezési gyakorlatban szereplő kritériumok alapján erre nincs szükség, és nem is értelmezheti vagy egészítheti ki további feltételekkel a rendelet alapján közvetlenül alkalmazandó szabályokat. Ha ezt tennék, az üzemeltetők Unió-szerte ismét széttagoltsággal találkoznának, és nem tudnák, hogy milyen szabályokat kell betartaniuk.

Ebben a szakaszban csupán két tagállam fogadta már el a vonatkozó nemzeti jogszabályokat 41 ; a fennmaradó tagállamok a jogalkotási eljárás különböző szakaszában tartanak 42 , és ütemtervekkel rendelkeznek arra, hogy 2018. május 25-ig elfogadják a jogszabályokat. Fontos, hogy elegendő időt biztosítsanak az üzemeltetőknek arra, hogy miden olyan rendelkezésre felkészüljenek, amelynek meg kell felelniük.

Ha a tagállamok nem, vagy késedelmesen hozzák meg a rendeletben előírt, szükséges intézkedéseket vagy a rendelettel ellentétesen alkalmazzák a rendeletben előírt pontosítási rendelkezéseket, a Bizottság élni fog a rendelkezésére álló eszközökkel, beleértve kötelezettségszegési eljárás alkalmazását.

3.2. Az adatvédelmi hatóságoknak gondoskodniuk kell arról, hogy az új, független Európai Adatvédelmi Testület teljes mértékben működőképessé váljon

Lényeges, hogy a rendelet által létrehozott új szerv, a 29. cikk szerinti munkacsoport örökébe lépő Európai Adatvédelmi Testület 43 2018. május 25-re teljes mértékben működőképes legyen.

Az Európai Adatvédelmi Testület titkárságát a szinergiák és a hatékonyság erősítése érdekében az európai adatvédelmi biztos, azaz az uniós intézmények és szervek felügyeletéért felelős adatvédelmi hatóság fogja biztosítani. Az elmúlt hónapokban az európai adatvédelmi biztos megkezdte az ehhez szükséges előkészületeket.

Az Európai Adatvédelmi Testület központi szerepet fog betölteni az európai adatvédelemben. Elősegíti majd az adatvédelmi jog következetes alkalmazását, és szilárd alapot nyújt az adatvédelmi hatóságok – köztük az európai adatvédelmi biztos – közötti együttműködéshez. Az Európai Adatvédelmi Testület nem csak arra nézve bocsát ki majd iránymutatásokat, hogy miként kell értelmezni a rendelet alapvető fogalmait, hanem arra is felkérést fog kapni, hogy jogilag kötelező határozatokat adjon ki a határokon átnyúló adatkezeléssel kapcsolatos jogviták ügyében. Ez szavatolja majd az uniós szabályok egységes alkalmazását, és megakadályozza, hogy ugyanazt az ügyet eltérően kezeljék a különböző tagállamokban.

Ezért az Európai Adatvédelmi Testület zavartalan és hatékony működése a feltétele az egész rendszer megfelelő működésének. Minden korábbinál szükségesebb, hogy az Európai Adatvédelmi Testület közös adatvédelmi kultúrát alakítson ki a nemzeti adatvédelmi hatóságok között a rendelet szabályai következetes értelmezésének szavatolása érdekében. A rendelet előmozdítja az együttműködést az adatvédelmi hatóságok között azáltal, hogy eszközöket biztosít számukra az eredményes és hatékony együttműködéshez: a hatóságok különösen közös műveleteket végezhetnek, egyetértési határozatokat fogadhatnak el, valamint vélemények és jogilag kötelező határozatok segítségével rendezhetik a rendelet értelmezésével kapcsolatban a Testületen belül esetleg felmerülő nézetkülönbségeket. A Bizottság arra ösztönzi az adatvédelmi hatóságokat, hogy pozitívan közelítsenek ezekhez a változtatásokhoz és módosítsák működésüket, finanszírozásukat és munkakultúrájukat, hogy meg tudjanak felelni ezeknek az új jogoknak és kötelezettségeknek.

3.3. A tagállamoknak biztosítaniuk kell a szükséges pénzügyi és emberi erőforrásokat a nemzeti adatvédelmi hatóságok számára

Ahhoz, hogy biztosítható legyen a természetes személyek védelme személyes adataik EU-n belüli kezelése tekintetében, elengedhetetlen hogy minden tagállamban független felügyeleti hatóság jöjjön létre 44 . A felügyeleti hatóságok csak akkor tudják hatékonyan megóvni a személyhez fűződő jogokat és szabadságokat, ha teljesen függetlenül járnak el. Ha nem biztosítják függetlenségüket és jogköreik hatékony gyakorlását, az széles körű negatív hatást gyakorol az adatvédelmi jogszabályok érvényesítésére 45 .

A rendelet kodifikálja az adatvédelmi hatóságok teljesen független eljárásra vonatkozó követelményt 46 . Megerősíti a nemzeti adatvédelmi hatóságok függetlenségét, és egységes hatáskört biztosít számukra az egész Unióban, hogy megfelelő eszközökkel rendelkezzenek a panaszok kezeléséhez, a hatékony vizsgálatok lefolytatásához, jogilag kötelező határozatok meghozatalához, valamint hatékony és visszatartó erejű szankciók alkalmazásához. Hatáskört biztosít továbbá számukra ahhoz, hogy legfeljebb 20 millió EUR összegű, vagy vállalkozások esetében – ha az magasabb – a megelőző pénzügyi évben elért globális árbevétel legfeljebb 4 %-át elérő összegű közigazgatási bírságot szabjanak ki az adatkezelőkre vagy adatfeldolgozókra.

Az adatvédelmi hatóságok a nagyközönség, a vállalkozások és a közigazgatási szervek természetes partnerei és elsődleges kapcsolattartási pontjai a rendelettel kapcsolatos kérdések tekintetében. Az adatvédelmi hatóságok szerepe kiterjed az adatkezelők és adatfeldolgozók kötelezettségeikről való tájékoztatására, valamint az adatkezeléssel kapcsolatos kockázatok, biztosítékok és jogok ismeretének és megértésének erősítésére a lakosság körében. Ez azonban nem jelenti azt, hogy az adatkezelők és az adatfeldolgozók olyan fajta testre szabott, egyéniesített jogi tanácsadást várhatnának az adatvédelmi hatóságoktól, amilyet csak ügyvéd vagy adatvédelmi tisztviselő nyújthat.

A nemzeti adatvédelmi hatóságok ennélfogva központi szerepet töltenek be, bár a különböző tagállamokban számukra elkülönített emberi és pénzügyi erőforrások közötti viszonylagos aránytalanság gátolhatja hatékonyságukat, végső soron pedig a rendeletben előírt teljes függetlenségüket. Emellett kedvezőtlenül érintheti az adatvédelmi hatósági hatáskörök, például a vizsgálati hatáskör gyakorlásának lehetséges módját is. Arra ösztönözzük a tagállamokat, hogy tegyenek eleget jogi kötelezettségüknek, és biztosítsák nemzeti adatvédelmi hatóságuk számára a feladatainak hatékony ellátásához és hatáskörének gyakorlásához szükséges emberi, műszaki és pénzügyi erőforrásokat, helyiségeket és infrastruktúrát 47 .

3.4. A vállalkozásoknak, a közigazgatási szerveknek és a személyes adatokat kezelő egyéb szervezeteknek készen kell állniuk az új szabályok alkalmazására.

A rendelet nem változtatja meg lényegesen az adatvédelemi joganyag 1995-ben rögzített alapvető fogalmait és elveit. Vagyis az adatkezelők és adatfeldolgozók túlnyomó többségének – amennyiben már megfelelnek a hatályos uniós adatvédelmi jogszabályoknak – nem kell jelentősen módosítania adatkezelési műveletein ahhoz, hogy megfeleljen a rendeletnek.

A rendelet azokra az üzemeltetőkre gyakorolja a legnagyobb hatást, akiknek az alaptevékenysége különleges adatokkal kapcsolatos adatkezelés és/vagy foglalkozás. Érinti továbbá azokat is, akik rendszeresen és szisztematikusan nagyszámú egyént követnek nyomon. Ezeknek az üzemeltetőknek minden valószínűség szerint adatvédelmi tisztviselőt kell kinevezniük, adatvédelmi hatásvizsgálatot kell végezniük, és be kell jelenteniük az adatvédelmi incidenseket, ha a személyhez fűződő jogokat és szabadságokat érintő kockázat áll fenn. Ezzel szemben azok az üzemeltetők – különösen a kkv-k – amelyek alaptevékenységük részeként nem folytatnak magas kockázatú adatkezelést, általában nem tartoznak majd a rendelet szóban forgó különleges kötelezettségeinek hatálya alá.

Fontos, hogy az adatkezelők és adatfeldolgozók alaposan áttekintsék adatpolitikai ciklusukat, hogy egyértelműen meghatározzák, milyen adatokat, milyen célból és mely jogalapon birtokolnak (pl. számítástechnikai felhő; pénzügyi szektorbeli üzemeltetők). Meg kell vizsgálniuk továbbá a meglévő szerződéseket, különösen az adatkezelők és az adatfeldolgozók közötti szerződéseket, a nemzetközi adattovábbítások módszereit és az általános irányítást (azt, hogy milyen informatikai és szervezési intézkedéseket kell hozni), beleértve adatvédelmi tisztviselő kinevezését. E folyamat alapvető eleme annak szavatolása, hogy a legfelső szintű vezetés részt vegyen az ilyen felülvizsgálatokban és hozzájáruljon azokhoz, továbbá rendszeres tájékoztatást kapjon a vállalkozás adatvédelmi politikájának változásairól, és kikérjék a véleményét azokról.

E célból egyes üzemeltetőknek (belső vagy külső) megfelelőségi ellenőrzőlistákat kell igénybe venniük, tanácsot kell kérniük tanácsadó cégektől és ügyvédi irodáktól, valamint olyan termékeket kell keresniük, amelyek eleget tehetnek a beépített és alapértelmezett adatvédelem követelményeinek. Minden ágazatban olyan szabályozást kell kidolgozni, amelyek megfelel a terület sajátos jellegének és alkalmazkodik annak üzleti modelljéhez.

A rendeletben előírt új eszközök, pl. a magatartási kódexek és a tanúsítási mechanizmusok, előnyösek lehetnek az adatokat kezelő vállalkozások és egyéb szervezetek számára is a megfelelés igazolásának elemeként. Ezek alulról építkező megközelítést képviselnek, amely az üzleti világból, szövetségektől vagy az adatkezelők és adatfeldolgozók kategóriáit képviselő egyéb szervezetektől indul ki és tükrözi a bevált gyakorlatokat, az adott ágazatban bekövetkezett fontos fejlesztéseket, vagy tájékoztatást nyújthat az egyes termékek és szolgáltatások által előírt adatvédelmi szinttel kapcsolatosan. A rendelet egyszerűsített szabályokat állapít meg az ilyen mechanizmusokra nézve, amellett, hogy szem előtt tartja a piaci realitásokat (pl. tanúsító szerv vagy adatvédelmi hatóság általi tanúsítás).

Bár a nagyvállalatok aktívan készülnek az új szabályok alkalmazására, ugyanakkor sok kkv továbbra sincs még teljesen tisztában a jövőbeni adatvédelmi szabályokkal.

Röviden szólva, az üzemeltetőknek fel kell készülniük és alkalmazkodniuk kell az új szabályokhoz, valamint úgy kell tekinteniük, hogy a rendelet:

·lehetőséget nyújt arra, hogy rendet teremtsenek a szervezeten belül abban a tekintetben, hogy milyen személyes adatokat és milyen módon kezelnek;

·kötelezővé teszi magánélet- és adatvédelmi szempontoknak megfelelő termékek kifejlesztését, továbbá átláthatóságra és bizalomra épülő új kapcsolatok kiépítését az ügyfeleikkel; valamint

·lehetőséget nyújt arra, hogy az elszámolási kötelezettség és proaktív megfelelés révén új alapokra helyezzék az adatvédelmi hatóságokhoz fűződő kapcsolataikat.

3.5. Az érdekeltek, különösen a polgárok, valamint a kis- és középvállalkozások tájékoztatása

A rendelet sikere attól függ, hogy minden érintett megfelelően tisztában van-e az szabályokkal (a vállalkozói közösség és az adatokat kezelő egyéb szervezetek, az állami szektor és a polgárok). Nemzeti szinten elsősorban az adatvédelmi hatóságok feladata a tájékozottság erősítése, valamint az, hogy elsődleges kapcsolattartó pontként járjanak el az adatkezelőkkel, adatfeldolgozókkal és magánszemélyekkel szemben. Az adatvédelmi szabályokat a tagállam területén érvényesítő adatvédelmi hatóságok a legalkalmasabbak arra is, hogy elmagyarázzák a rendelet által bevezetett változtatásokat a vállalatoknak és a magánszektornak, és megismertessék a polgárokat a jogaikkal.

Az adatvédelmi hatóságok megkezdték az érdekeltek tájékoztatását az adott nemzeti megközelítésnek megfelelően. Egyes hatóságok – regionális és helyi szinten is – szemináriumokat tartottak a közigazgatási szervek részvételével, valamint munkaértekezletet szerveztek a különböző üzleti ágazatokban, hogy fokozzák a rendelet fő rendelkezéseivel kapcsolatos tudatosságot. Mások speciális képzési programokat indítottak az adatvédelmi tisztviselőknek. A legtöbb hatóság különféle formátumú tájékoztatókat tesz közzé a weboldalán (ellenőrzőlisták, videók, stb.)

A polgárok azonban még nem ismerik elég széles körben az új adatvédelmi szabályokkal bevezetésre kerül változtatásokat és megerősített jogokat. Helyénvaló folytatni és intenzívebbé tenni az adatvédelmi hatóságok által elindított képzési és tájékoztatási kezdeményezéseket, különös hangsúlyt fektetve a kkv-kra. Továbbá a tagállamok ágazati közigazgatási szervei támogathatják az adatvédelmi hatóságok tevékenységét, és az azoktól kapott tájékoztatók alapján saját kampányt folytathatnak a különböző érdekeltek körében.

4.Következő lépések

Az elkövetkező hónapokban a Bizottság továbbra is aktívan támogatni fogja az összes szereplőt a rendelet alkalmazására való felkészülésben.

a) Együttműködés a tagállamokkal

A Bizottság folytatja az együttműködést a tagállamokkal a 2018. májusig tartó időszakban. 2018. májustól figyelemmel fogja kísérni, hogy a tagállamok miként alkalmazzák az új szabályokat és szükség esetén meghozza a megfelelő intézkedéseket.

b) Új online iránymutatás az összes uniós nyelven, valamint tájékoztató tevékenység

A Bizottság gyakorlati útmutatást 48 bocsát rendelkezésre, hogy segítse a vállalkozásokat, különösen a kkv-kat, a közigazgatási szerveket és a lakosságot az új adatvédelmi szabályok betartásában és kihasználásában.

Az útmutatást az összes uniós nyelven elérthető gyakorlatias online eszköz formájában biztosítjuk. A Bizottság rendszeresen frissíti majd az online eszközt, amely a tervek szerint az alábbi három fő célközönségnek készül: a polgároknak, a vállalkozásoknak (különösen a kkv-knak) és egyéb szervezeteknek, valamint a közigazgatási szerveknek. Az érdekeltektől kapott visszajelzések alapján kiválasztott kérdésekből és válaszokból áll, amelyeket gyakorlati példák és a különböző információforrásokra (pl. a rendelet cikkei; a 29. cikk szerinti munkacsoport/Európai Adatvédelmi Testület iránymutatásai; és nemzeti szinten kidolgozott tájékoztató anyagok) mutató linkek kísérnek.

A Bizottság rendszeresen frissíti az eszközt úgy, hogy a beérkezett visszajelzések alapján és a végrehajtás során felmerülő új problémák fényében új kérdésekkel egészíti ki azt és naprakésszé teszi a válaszokat.

Az útmutatót a tagállamokban folytatott, a vállalkozásoknak és a lakosságnak szóló tájékoztatási kampányok és információ-terjesztő tevékenységek útján fogják népszerűsíteni.

Mivel a rendelet előírja a személyhez fűződő jogok megerősítését, a Bizottság tájékoztató tevékenységet is végez, és részt vesz a tagállamokban megrendezésre kerülő eseményeken, hogy tájékoztatást nyújtson a polgároknak a rendelet előnyeiről és hatásáról.

c) A nemzeti kampányok és tájékoztatás pénzügyi támogatása

A Bizottság támogatja a nemzeti szintű tájékoztatási és megfelelési tevékenységeket olyan támogatások odaítélésével, amelyek arra használhatók fel, hogy képzéseket nyújtsanak az adatvédelmi hatóságokon és a közigazgatási szerveken belül, valamint a jogi szakemberek és az adatvédelmi tisztviselők 49 számára, hogy megismertessék őket a rendelettel.

Mintegy 1,7 millió EUR-t fognak elkülöníteni az uniós tagállamok több mint felét lefedő hat kedvezményezett számára. A finanszírozás a helyi közigazgatási szervekre irányul, beleértve a helyi közigazgatási szervek, közigazgatási szervek adatvédelmi tisztviselőit, és a magánszektorból származó adatvédelmi tisztviselőket, bírókat és ügyvédeket. A vissza nem térítendő támogatásokat az adatvédelmi hatóságoknak, az adatvédelmi tisztviselőknek és más szakembereknek szóló képzési anyagok kidolgozására, valamint oktatóképzési programokra fogják fordítani.

A Bizottság emellett kifejezetten az adatvédelmi hatóságoknak szóló pályázati felhívást tett közzé, amely 2 millió EUR-t elérő teljes költségvetéssel rendelkezik és támogatást nyújt számukra az érdekeltek tájékoztatásához 50 . Az a cél, hogy 80 %-os társfinanszírozást biztosítsunk az adatvédelmi hatóságok 2018–2019-ben meghozandó azon intézkedéseihez, amelyek a vállalkozások, különösen a kkv-k figyelmének felkeltésére és azok kérdéseinek megválaszolására irányulnak. Ez a finanszírozás a lakosság tájékoztatására is felhasználható.

d) Annak értékelése, hogy szükség van-e a Bizottságnak adott felhatalmazások alkalmazására

A rendelet 51 lehetővé teszi a Bizottság számára, hogy végrehajtási vagy felhatalmazáson alapuló jogi aktusokat bocsásson ki az új szabályok végrehajtásának elősegítésére. A Bizottság kizárólag akkor fog élni ezekkel a jogkörökkel, ha a hozzáadott értékük egyértelműen igazolható, és minden esetben az érdekeltekkel folytatott konzultáció során kapott visszajelzések alapján teszi ezt. A Bizottság mindenekelőtt megvizsgálja a tanúsítás kérdését egy külső szakértőktől megrendelt tanulmány, valamint a 2017. végén létrehozott, a rendelettel foglalkozó, több érdekelt felet tömörítő csoport e kérdésre vonatkozó észrevételei és tanácsai alapján. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) kiberbiztonság területén végzett munkája szintén releváns ebben a tekintetben.

e) A rendelet beépítése az EGT–megállapodásba

A Bizottság továbbra is együttműködik az Európai Gazdasági Térség három EFTA–államával (Izland, Liechtenstein és Norvégia) a rendeletnek az EGT–megállapodásba való beépítése céljából 52 . A személyes adatok kizárólag azután áramolhatnak szabadon az EU és az EGT-országok között, hasonlóan az uniós tagállamok közötti adatáramláshoz, hogy hatályba lép a rendeletnek az EGT–megállapodásba való beépítése.

f) Az Egyesült Királyság kilépése az EU-ból

Az EU és az Egyesült Királyság közötti, az Európai Unióról szóló szerződés 50. cikke alapján a kilépésről rendelkező megállapodásról szóló tárgyalások során a Bizottság azt a célt kívánja elérni, hogy a személyes adatok védelmére vonatkozó azon uniós jogi rendelkezéseket, amelyeket a kilépés időpontját megelőző napon alkalmazni kellett, a kilépést követően is alkalmazzák a kilépés időpontja előtt az Egyesült Királyságban kezelt személyes adatokra 53 . Például helyénvaló, hogy a kilépés időpontjában alkalmazandó uniós jog releváns rendelkezései alapján az érintett egyéneket továbbra is megillesse a tájékoztatáshoz való jog, a betekintési jog, a helyesbítéshez, a törléshez, az adatkezelés korlátozásához, és az adathordozhatósághoz való jog, valamint az adatkezelés kifogásolásához való jog, és az a jog, hogy ne terjedjen ki rájuk a kizárólag automatizált adatkezelésen alapuló döntés hatálya. A fent említett személyes adatok nem tárolhatók tovább annál, mint amennyi idő a személyes adatok kezelésének céljaihoz szükséges.

Az Egyesült Királyságban a kilépés időpontjáig – figyelemmel a kilépésről rendelkező esetleges megállapodásba foglalható bármely átmeneti intézkedésre – alkalmazni kell a rendeletnek a személyes adatok harmadik országba való továbbítására vonatkozó szabályait 54 .

g) A 2019. májusi helyzetfelmérés

2018. május 25. után a Bizottság szoros figyelemmel kíséri az új szabályok alkalmazását és készen áll arra, hogy intézkedéseket hozzon, ha komoly problémák merülnek fel. A rendelet alkalmazásának kezdete után egy évvel (2019) a Bizottság rendezvényt szervez annak áttekintése céljából, hogy milyen tapasztalatokat szereztek a különböző érdekelt felek a rendelet végrehajtása során. Az itt kapott információkat a Bizottság felhasználja a 2020 májusáig a rendelet értékeléséről és felülvizsgálatáról készítendő jelentésben is. Ez a jelentés különösen a nemzetközi adattovábbításokra, valamint az adatvédelmi hatóságok munkáját érintő, együttműködésre és következetességre vonatkozó rendelkezésekre fog összpontosítani.

Következtetés

Május 25-től új, egységes adatvédelmi szabályokat fognak alkalmazni az egész Unióban. Az új keret komoly előnyöket biztosít majd az egyéneknek, a vállalatoknak, a közigazgatási szerveknek és más szervezeteknek egyaránt. Továbbá lehetőséget nyújt arra, hogy az EU globális vezető szerepet vállaljon a személyes adatok védelme terén. A reform azonban csak akkor lehet sikeres, ha valamennyi érintett pozitívan közelít a kötelezettségeihez és a jogaihoz.

A rendelet 2016. májusi elfogadása óta a Bizottság aktív párbeszédet folytat az összes érintett szereplővel – a kormányokkal, nemzeti közigazgatási szervekkel, vállalkozásokkal és a civil társadalommal – az új szabályok alkalmazása érdekében. Jelentős mennyiségű munkát szenteltek a széles körű tudatosság és a hiánytalan felkészülés biztosításának, azonban még mindig van teendő. A tagállamokban és a különféle szereplők körében eltérő ütemben haladnak az előkészületek. Ezenfelül az új szabályok előnyeinek és lehetőségeinek ismerete nem egyenlő mértékben oszlik meg. Különösen a kkv-k tudatosságának fokozására és megfelelési törekvéseinek segítésére van szükség.

A Bizottság ezért arra szólítja fel az érintett szereplőket, hogy növeljék folyamatban lévő munka intenzitását, amely arra irányul, hogy az egész Unióban következetesen alkalmazzák és értelmezzék az új szabályokat, valamint hogy a vállalkozások és a polgárok figyelmét egyaránt felhívják azokra. A Bizottság finanszírozással és adminisztratív támogatással segíti ezeket az erőfeszítéseket, valamint konkrétan online iránymutatási eszköztár elindításával segíti elő az általános tudatosság fokozását.

Az adatok rendkívül értékessé válnak napjainak gazdaságában, és lényegesek a polgárok mindennapi élete szempontjából is. Az új szabályok egyedülálló lehetőséget kínálnak a vállalkozásoknak és a lakosságnak. A vállalkozások – különösen a kisebb vállalkozások – előnyhöz juthatnak az innovációbarát, egységes szabályozás által, és rendezhetik a személyes adatok helyzetét a szervezeten belül, hogy visszaállítsák a polgárok bizalmát, és versenyelőnyként használják azt az egész Unióban. A személyes adatok erőteljesebb védelme hasznos lehet a polgárok számára, akik jobban ellenőrizhetik, hogy a vállalkozások miként kezelik az adatokat.

A gyorsan fejlődő digitális gazdasággal jellemezhető modern világban az Európai Uniónak, az uniós polgároknak és vállalkozásoknak minden eszközzel rendelkezniük kell ahhoz, hogy kihasználhassák az adatközpontú gazdaság előnyeit és megérthessék annak következményeit. Az új rendelet biztosítja a megfelelő eszközöket ahhoz, hogy Európa megfeleljen a 21. század követelményeinek.

A Bizottság a következő intézkedéseket hajtja végre: A tagállamok vonatkozásában ·A Bizottság továbbra is együttműködik a tagállamokkal, hogy előmozdítsa a következetességet és korlátozza a rendelet alkalmazásának széttagoltságát, szem előtt tartva a tagállamokat az új jogszabály alapján megillető pontosítási lehetőséget; ·2018. május után a Bizottság szoros figyelemmel kíséri majd a rendelet tagállami alkalmazását és szükség esetén meghozza a megfelelő intézkedéseket, akár kötelezettségszegési eljárásokat is indít; Az adatvédelmi hatóságok vonatkozásában ·2018. májusig a Bizottság támogatja az adatvédelmi hatóságok munkáját a 29. cikk szerinti munkacsoport keretében és a jövőbeni Európai Adatvédelmi Testületté való átalakulás során; 2018. május után továbbra is támogatja az Európai Adatvédelmi Testület munkáját; ·2018–2019-ben a Bizottság (legfeljebb 2 millió EUR összköltségvetéssel) társfinanszírozza majd az adatvédelmi hatóságok által nemzeti szinten végzett tájékoztatási intézkedéseket (a 2018 közepétől végrehajtandó projekteket); Az érdekeltek vonatkozásában ·A Bizottság gyakorlatias online iránymutatási eszközt hoz létre, amely a polgároknak, a vállalkozásoknak és a közigazgatási szerveknek szóló kérdéseket és válaszokat tartalmaz. A Bizottság tervei szerint a 2018. májusig tartó időszakban és azt követően a vállalkozásoknak és a lakosságnak szóló tájékoztatási kampányokkal népszerűsíti ezt az iránymutatást a célközönség körében. ·A Bizottság 2018-ban és azt követően továbbra is aktív párbeszédet folytat az érdekeltekkel, különösen a rendelet végrehajtásával és az új szabályok ismeretének szintjével foglalkozó, több érdekelt felet tömörítő csoport keretében. Az összes szereplő vonatkozásában ·2018–2019-ben a Bizottság megvizsgálja, hogy élnie kell-e a felhatalmazáson alapuló vagy végrehajtási jogi aktusok elfogadására vonatkozó hatáskörével; ·2019. májusban a Bizottság felméri a rendelet végrehajtásának állapotát, és 2020-ban jelentést tesz az új szabályok alkalmazásáról.

(1) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23.).

(2) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4.).

(3) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(4) A rendelet 2016. május 24. óta van hatályban, és 2018. május 25-től alkalmazandó.

(5) Az Európai Unió Alapjogi Chartájának 8. cikke és az EUMSZ 16. cikke.

(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_hu.pdf .

(7) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.). Az általános adatvédelmi rendelet 95. cikke szerint az általános adatvédelmi rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a 2002/58/EK irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak. Ez azt jelenti például, hogy az elektronikus hírközlési adatvédelmi irányelv hatálya alá tartozó jogalanyok ezen irányelv alapján kötelesek bejelenteni az adatvédelmi incidenseket, amennyiben az incidens olyan szolgáltatást érint, amely az elektronikus hírközlési adatvédelmi irányelv tárgyi hatálya alá tartozik. Az általános adatvédelmi rendelet nem ró rájuk további kötelezettségeket ebben a tekintetben.

(8) Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1. o.). A kiberbiztonsági irányelv hatálya alá tartozó jogalanyoknak be kell jelenteniük azokat az incidenseket, amelyek jelentős vagy lényeges hatást gyakorolnak egyes szolgáltatásaik nyújtására. Az incidensek kiberbiztonsági irányelv szerinti bejelentése nem érinti a rendelet szerinti incidensek bejelentését.

(9) A rendelet 35. cikke.

(10) A Bizottság közleménye – A személyes adatok cseréje és védelme a globalizált világban, COM(2017)7 final.

(11) Javaslat: Az Európai Parlament és a Tanács rendelete az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és a 1247/2002/EK határozat hatályon kívül helyezéséről, COM(2017) 8 final.

(12) Javaslat: az Európai Parlament és a Tanács rendelete az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv hatályon kívül helyezéséről (elektronikus hírközlési adatvédelmi rendelet), COM(2017) 10 final.

(13) Az elektronikus hírközlési adatvédelmi rendelet elfogadásáig és hatálybalépéséig az 2002/58/EK irányelv alkalmazandó a rendelethez kapcsolódó különös jogszabályként.

(14) Az ülések, ütemtervek, és a megbeszélések összefoglalásának teljes listája, valamint a különböző tagállamok jogszabályaival kapcsolatos helyzet összefoglalása megtalálható a következő internetcímen: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(15) A Bizottság például lehetővé teszi majd, hogy az Európai Adatvédelmi Testület a belső piaci információs rendszert (IMI) használja a tagjai közötti kommunikációra.

(16) Vitaanyag a globalizáció előnyünkre fordításáról COM(2017)240.

(17) Az Európa Tanács 1981. január 28-i egyezménye az egyének védelméről a személyes adatok gépi felhasználása során (ETS 108), és a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló 2001-es kiegészítő jegyzőkönyve (ETS 181). Mostanáig 51 ország (többek között Uruguay, Mauritius, Szenegál és Tunézia) erősítette meg az Egyezményt, amely az Európa Tanácsban tagsággal nem rendelkező entitások számára is nyitott.

(18) Lásd pl. a latin-amerikai államok adatvédelmi normáit, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf

(19) COM(2017)7.

(20) COM(2017)7 ua., 10-11. o.

(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017)7 ua., 10-11. o.

(23)

Két iparági munkaértekezlet 2016. júliusban és 2017. áprilisban, két vállalkozói kerekasztal-megbeszélés 2016. decemberben és 2017. májusban, az egészségügyi adatokról szóló munkaértekezlet 2017. októberben, valamint a kkv-k képviselőivel tartott munkaértekezlet 2017. novemberben.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections

(26) Az összes elfogadott iránymutatás elérhető a következő internetcímen: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Az EUMSZ 288. cikke.

(28) A rendelet 54. cikkének (1) bekezdése.

(29) A rendelet 43. cikkének (1) bekezdése két lehetséges, egymást nem kizáró módszert kínál a tagállamoknak a tanúsító szervek akkreditálására; az egyik a nemzeti adatvédelmi jogszabálynak megfelelően létrehozott nemzeti adatvédelmi felügyeleti hatóság általi, a másik pedig az akkreditálás és piacfelügyelet előírásáról szóló 765/2008/EK rendelet alapján létrehozott nemzeti akkreditáló testület általi akkreditálás. Célszerű, hogy a (765/2008/EK rendelet alapján elismert) Európai Akkreditálási Együttműködés, amely a nemzeti akkreditáló testületeket tömöríti, valamint az általános adatvédelmi rendelet szerinti felügyeleti hatóságok szorosan együttműködjenek ebben a kérdésben.

(30) A rendelet 85. cikkének (1) bekezdése.

(31) A rendelet 6. cikkének (2) bekezdése.

(32)  A rendelet 88. cikke és 9. cikke (2) bekezdésének b) pontja. A szociális jogok európai pillére szintén kimondja, hogy „A munkavállalóknak joguk van személyes adataik védelméhez a munkaviszony keretében”. (2017/C 428/09., HL C 428., 2017.12.13., 10. o.).

(33)  A rendelet 9. cikke (2) bekezdésének h) és i) pontja.

(34) A rendelet 9. cikke (2) bekezdésének j) pontja.

(35) A rendelet 87. cikke.

(36) A rendelet 86. cikke.

(37) A rendelet 90. cikke.

(38) A rendelet 9. cikkének (4) bekezdése.

(39) A 94/77. sz., Fratelli Zerbone Snc kontra Amministrazione delle finanze dello Stato ügyben hozott ítélet ( ECLI:EU:C:1978:17.) 101. pontja.

(40) A rendelet (8) preambulumbekezdése.

(41) Ausztria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Németország ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) A különböző tagállamok jogalkotási folyamatainak állására vonatkozó áttekintés megtalálható a következő internetcímen: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461

(43) Az Európai Adatvédelmi Testület jogi személyiséggel rendelkező uniós szerv lesz, amely a rendelet következetes alkalmazásáért felel. A Testület az egyes adatvédelmi hatóságok vezetőiből és az európai adatvédelmi biztosból, illetve azok képviselőiből fog állni.

(44) (117) preambulumbekezdés, amit korábban már a 95/46/EK irányelv (62) preambulumbekezdése is kimondott.

(45) A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak – Az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram nyomon követéséről, COM(2007) 87 végleges, 2007. március 7.

(46) A rendelet 52. cikke.

(47) A rendelet 52. cikkének (4) bekezdése.

(48) Az útmutatás hozzájárul az uniós adatvédelmi szabályok jobb megértéséhez, azonban csupán a rendelet szövegének van jogi kötőereje. Következtetésképpen kizárólag a rendelet állapíthat meg az egyénekre vonatkozó jogokat és kötelezettségeket.

(49)  A Jogok és polgárság 2016. program keretében biztosított vissza nem térítendő támogatások: https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50)   http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározására vonatkozó, felhatalmazáson alapuló jogi aktus (a rendelet 12. cikkének (8) bekezdése); A tanúsítási mechanizmus tekintetében figyelembe veendő követelmények meghatározására vonatkozó, felhatalmazáson alapuló jogi aktus (a rendelet 43. cikkének (8) bekezdése); a tanúsítási mechanizmusokra és az adatvédelmi bélyegzőkre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és a bélyegzők, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusok meghatározására szolgáló végrehajtási jogi aktus (a rendelet 43. cikkének (9) bekezdése); az adatkezelők, az adatfeldolgozók és a felügyeleti hatóságok között a kötelező erejű vállalati szabályokkal kapcsolatban folytatott információcsere formátumára és eljárásaira vonatkozó végrehajtási jogi aktus (a rendelet 47. cikkének (3) bekezdése); a felügyeleti hatóságok közötti kölcsönös segítségnyújtásra és elektronikus információcserére vonatkozó formátumot és eljárásokat meghatározó végrehajtási jogi aktus (a rendelet 61. cikkének (9) bekezdése és 67. cikke).

(52) A helyzet állására vonatkozó információk találhatók a következő internetcímen: http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en

(54) Lásd: A Bizottság közleménye az érintetteknek: az Egyesült Királyság kilépése és az adatvédelmi terület uniós szabályai (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).