Május 28-adikától alkalmazandó a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló Rendelet, melynek célja, hogy a GDPR-t kiegészítve biztosítsa a nem személyes adatok Unión belüli teljes körű szabad áramlását is, megteremtve ezáltal a közös európai adatteret. A Bizottság minap kiadott iránymutatása pedig kifejezetten nevesíti a Rendelet felhőszolgáltatások igénybevételére gyakorolt stimuláló hatását – deklarált és elsődleges célja az akadályozó jogszabályok eltörlése a tagállamokban.

Nem személyes adat az, amely semmilyen formában nem hozható összefüggésbe azonosított, vagy azonosítható természetes személlyel, pl. a nagy adathalmazok (big data) elemzéséhez használt összesített és anonimizált adatkészletek, ipari gépek karbantartási igényeire vonatkozó adatok, szélturbinákra telepített szenzorok által generált időjárási adatok stb.

A Rendeletnek elsősorban a tagállamok a címzettjei, a Rendelet ugyanis a tagállamok számára tiltja az adatok áramlását akadályozó adatlokalizációs követelmények alkalmazását. Ilyen lehet bármely olyan kötelezettség, tilalom, feltétel, korlátozás, vagy bármely más követelmény amely előírja, hogy az adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adatkezelés bármely más tagállamban történjen.

Az ilyen rendelkezéseket a tagállamok elsősorban adatbiztonsági okokból alkalmazzák azért, hogy megőrizzék az adatok bizalmasságát, sértetlenségét és rendelkezésre állását. Természetesen az is szempont, hogy az adatokhoz más államok bűnüldöző szervei és egyéb hatóságai ne férjenek hozzá, joghatóságuk ne terjedjen ki az ilyen adatokra. Végül a protekcionizmus is indokolhatja az ilyen intézkedéseket, a külföldi szolgáltatóknak ugyanis az ilyen rendelkezéseket alkalmazó államok esetén az adattárolási kapacitásukat az adott államba kell telepíteniük, ha ott szolgáltatásokat akarnak nyújtani (amely a nagy felhőszolgáltatók, pl. Amazon, Google vagy Microsoft esetén nyilvánvalóan életszerűtlen sok tagállam, így köztük Magyarország tekintetében is). Mindez – a Bizottság szerint – számos negatív hatással jár, csorbítja a versenyt, akadályozza az új technológiák, így a mesterséges intelligencia, dolgok internete, autonóm rendszerek stb. terjedését, a fogyasztók, vállalkozások és elsősorban a közjogi intézmények választási szabadságát az adatközpontú szolgáltatást nyújtó szolgáltatók tekintetében.

Az ilyen tagállami követelményeket tehát a Rendelet szerint 2021. május 30-ig el kell törölni, kivéve ha ezek közbiztonsági okokból indokoltak és arányosak. Az Európai Bizottság a Rendelethez végzett hatásvizsgálatában több mint 60 ilyen adatlokalizációs követelményt azonosított a különböző tagállamokban.

Magyarország tekintetében – a Bizottság hatástanulmányában is említett – tipikus adatlokalizációs követelményeket tartalmazó jogszabály az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.). Az Ibtv. hatálya rendkívül tág, kiterjed többek között a központi államigazgatási szervekre, bíróságokra, ügyészségekre, kormányhivatalokra, önkormányzatokra, a Magyar Nemzeti Bankra stb., valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozóira, tehát a kormányzat és a kormányzati adatkezelés jelentős részét felöleli. Az Ibtv. előírása szerint ezen szervek által kezelt adatok kizárólag Magyarország területén üzemeltetett és tárolt elektronikus információs rendszerekben kezelhetőek.

Az Ibtv. ugyan biztosítja annak elvi lehetőségét, hogy az adatok hatósági engedéllyel az EGT-államok területén belül üzemeltetett elektronikus információs rendszerekben is kezelhetőek legyenek, azonban mivel az illetékes hatóság kizárólag az ügyféllel közli erre vonatkozó határozatát, ennek gyakorlati megvalósulása nem ismert. A fent említett okokból azonban vélhetőleg nem sok ilyen engedély kerül kiadásra. A nemzeti létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem (kritikus infrastruktúra) Magyarországon kívüli üzemeltetésére pedig nem is adható ilyen engedély.

A Rendelet eredményeképpen tehát Magyarországnak 2021. május 30-ig kell közölnie, ha ezeket a rendelkezéseket hatályban kívánja tartani, ennek indokolásával együtt. (Kérdés persze, hogy a fent részletezett hatósági engedélyezési rendszer hogyan viszonyul a Rendelet szabályaihoz, de az Ibtv. szabályai vélhetőleg még így is adatlokalizációs követelménynek minősülnek.) Mint említettük közbiztonsági okokból az ilyen típusú rendelkezések bár hatályban maradhatnak, azonban a Bizottság a közlés kézhezvételétől számított 6 hónapon belül megvizsgálja ezeket a rendelkezéseket és észrevételeket fogalmazhat meg, amelyben javasolhatja az intézkedés módosítását, vagy hatályon kívül helyezését. Fontos továbbá hangsúlyozni, hogy az Európai Unión kívüli országok tekintetében nincs akadálya adatlokalizációs követelmények előírásának, tehát az adatok Európai Unión kívüli tárolása tilalmazható. Természetesen annak sincs akadálya, hogy a közigazgatási szervek és közjogi intézmények saját maguk nyújtsák a szolgáltatásokat vagy visszaszervezzék azokat, tehát a Rendelet nem kötelezi a tagállamokat arra, hogy külső feleket bízzanak meg a szolgáltatások nyújtásával. Sok tagállamban működik pl. kormányzati felhő, vagy a kormányzat által működtetett központi IT szolgáltató. Magyarországon ilyennek tekinthető a NISZ, amely teljes körű infokommunikációs szolgáltatásokat nyújt az állami és kormányzati szervek számára.

Természetesen ahhoz, hogy a tagállamok az ilyen adatlokalizációs követelményeket megszüntessék ösztönözni kell őket, ezért a Rendelet előírja, hogy a tagállamok illetékes hatóságai hozzáférést kérhetnek az adatokhoz nemzeti joguknak megfelelően és azzal az indokkal a hozzáférést nem lehet megtagadni, hogy az adatkezelés egy másik tagállamban történik. Ha pedig a hatóság nem kap hozzáférést az adatokhoz és nincs konkrét együttműködési megállapodás a tagállamok között az adatcseréről, úgy a hatóságok a Rendeletben szabályozott eljárási rend szerint segítséget kérhetnek egymástól. Kérdés, hogy a Rendelet ebben a tekintetben nyújt-e többletjogosítványokat a hatóságok részére az adatokhoz történő hozzáférés tekintetében. Például magyar bűnüldöző hatóságok ezentúl könnyebben kérhetnek-e külföldön tárolt adatokat, illetve az érintett természetes személyek és jogi személyek akiktől az adatokat kérik, valamint a hatóságok hivatkozhatnak-e az adattárolás helye szerinti külföldi jogszabályokra, ha az adatok kiadását ezen jogszabályok alapján kívánják megtagadni. Ezeket a kérdéseket várhatóan majd csak a gyakorlat fogja tudni megválaszolni.