Egységes európai adatvédelem - Folyamatban az új EU-s adatvédelmi rendelet véglegesítése

2013.07. 9. Jogi Fórum / CMS Cameron McKenna LLP/ Domokos N. Márton

Folyamatban az új, egységes európai adatvédelmi rendelet véglegesítése: az Európai Parlament Ipar, Kutatás és Energiaügyi Bizottsága (ITRE Bizottság) is véleményezte az Európai Bizottság által 2012. január 25-én közzétett, és 2013. január 10-én az Európai Parlament (Jan Philipp Albrecht állampolgári jogok, bel- és igazságügyi rapportőr) által észrevételezett jogszabály-tervezetet. A Bizottság sajtóközleményben üdvözölte az ITRE véleményét.

Fontos kiemelni, hogy az ITRE Bizottság támogatta a rendelettervezetnek a legfontosabb, a jelenleg hatályos adatvédelmi irányelv megközelítésén túlmutató alapvetéseit:

  • Az adatvédelem új szabályozási formája a különböző nemzeti jogszabályokat harmonizáló, de végső soron nem egységesen átültetett irányelv helyett a tagállamokban automatikusan, közvetlenül alkalmazható, hatékonyabban kikényszeríthető rendelet lesz.
  • Egy adatkezelő tevékenységével kapcsolatban alapvetően egy EU ország adatvédelmi hatósága lesz illetékes („one-stop-shop”).
  • A rendelet szupranacionális jellege és a Bizottság szerepének erősítése érdekében a tagállami adatvédelmi hatóságok, az (újonnan megalapításra kerülő) Európai Adatvédelmi Testület és a Bizottság között megvalósul egy úgynevezett „egységességi mechanizmus” („consistency mechanism”). Ennek keretében a tagállami adatvédelmi hatóságok előzetesen értesítik az Európai Adatvédelmi Testületet és a Bizottságot, ha a rendeletben felsorolt, a személyes adatok EU-n belüli szabad áramlására lényeges hatással járó intézkedést kívánnak elfogadni. Ilyen például kötelező erejű vállalati szabályok elfogadása, harmadik országba való adattovábbításhoz szükséges egységes adatvédelmi feltételek engedélyezése, vagy határon átnyúló szolgáltatásnyújtás / felhasználói viselkedés monitoringgal kapcsolatos intézkedések. A tervezett intézkedést az egységességi mechanizmus során az Európai Adatvédelmi Testület és a Bizottság egyaránt véleményezheti. Ezen túlmenően a Bizottság – ha az érintett tagállami adatvédelmi hatóság nem kívánja követni a Bizottság véleményét, vagy ha a Bizottság „komolyan kételkedik abban, hogy az intézkedés a rendelet helyes alkalmazását szolgálja, vagy más módon vezet következetlen alkalmazáshoz” – kötelezheti az érintett hatóságot, hogy a tervezett intézkedést maximum 12 hónapra függessze fel. A felfüggesztés célja, hogy (i) az érintett tagállami adatvédelmi hatóság és az Európai Adatvédelmi Testület az ellentmondó álláspontjukat összehangolják; vagy (ii) a Bizottság a rendelet felhatalmazása alapján a kérdésben végrehajtási aktust fogadjon el.
  • Enyhébb szabályok vonatkoznak a sokszor kisebb jelentőségű, alacsony kockázatú, rutinszerű adatkezeléseket végző kis- és középvállalkozásokra. Ilyen például a 250 főnél kevesebb főt foglalkoztató, személyes adatokat csak a főtevékenységét kiegészítő tevékenységként kezelő vállalkozások vagy szervezetek mentesítése a rendelet által bevezetni kívánt kiterjedt adatkezelési dokumentációs kötelezettség alól, vagy a 250 alkalmazottnál kevesebbet foglalkoztató vállalkozások mentesítése az adatvédelmi felelős kötelező kinevezése alól.

Fontos azonban megemlíteni, hogy az ITRE Bizottság nem támogatja a rendelettervezetnek azt a megoldását, miszerint a tagállami adatvédelmi hatóságok a rendeletben felsorolt esetekben mérlegelés nélkül kötelesek pénzbírságot kiszabni, amely vállalkozások esetén akár az éves világméretű forgalom 2%-a is lehet. Ezekben az esetekben az ITRE Bizottság meghagyná az illetékes nemzeti hatóságok mérlegelési jogkörét a bírság kiszabása tekintetében.

2013 folyamán nagy valószínűséggel további változások várhatók a rendelettervezet szövegében. Figyelembe véve az új jogszabály által érintett iparágakat és személyeket (adatkezelők, hatóságok, adatgazdák), jelenleg az adatvédelmi rendelet a leginkább lobbizott EU-s jogszabály – ideértve különösen az USA-ban működő, az EU területére szolgáltatást nyújtó (tehát a rendelet hatálya alá tartozó) adatkezelők javaslatait is. Az amerikai lobbi márpedig nem várt módon erős: a LobbyPlag.eu például nemrég összehasonlította a lobbisták által a rendelettervezethez benyújtott kiegészítéseket a rendeletet eddig véleményező európai parlamenti bizottságok előterjesztéseivel, és megállapította, hogy több benyújtott módosítás szövege megegyezik az USA-beli érdekeltek (pl. Amazon, EBay) által javasolt változtatásokkal. A rendelettervezettel kapcsolatos amerikai észrevételek hátterét, a gazdasági mozgatórugókat és a LobbyPlag.eu észrevételeit részletesen elemzi a Wired cikke - egyelőre nem kell azonban a szalagcímekben jól hangzó „transzatlanti adatvédelmi háborút” vizionálni. A Bizottság elképzelése szerint a rendelettervezet területi hatálya nem csak az EU területére korlátozódna, hanem kötelezné a nem az EU-ban letelepedett adatkezelőket is – tipikusan ilyenek a közösségi oldalak vagy az e-kereskedelemmel foglalkozó szolgáltatók – az EU-s szabályoknak való megfelelésre. Ésszerű tehát, hogy a jogszabály elfogadása során az EU-n kívüli érintettek is érvényesíteni szeretnék érdekeiket, és akár még az is előfordulhat, hogy az inkább elméleti alapokon nyugvó EU-s szabályozás innovatív módon profitálhat a gyakorlatiasabb megközelítésű, és az adatgazdák érdekét néha még hatékonyabban védő amerikai megközelítésből. Az „amerikai kapcsolatról” ugyanakkor árnyalja a képet a PRISM lehallhatási botrány, amelyben az Európai Parlament is vizsgálódik, és a Google adatkezelési tájékoztatási gyakorlatával kapcsolatban nemrég indított spanyol és francia adatvédelmi hatósági eljárás sem kedvez a tengerentúli lobbinak.

Az ITRE Bizottság véleményét követően a rendelettervezetet véleményezte a Foglalkoztatás és Szociális Ügyek Bizottsága és a Jogi Ügyek Bizottsága (JURI), majd benyújtásra kerül az Állampolgári Jogok, Bel- és Igazságügy Bizottsága (LIBE) részére, amely egységesíti a rendelettervezettel kapcsolatban érkezett módosítási javaslatokat, és május végén közzéteszi saját jelentését. Erre eredetileg április végén került volna sor, a nagy mennyiségű - 3.133! - módosítási javaslat feldolgozása, valamint a PRISM ügy kivizsgálása (és az ügyben felvetett kérdések megoldása, például a nemzetközi adattovábbítások tekintetében) miatt azonban a végszavazás hónapok óta húzódik. Sajtóhírek szerint egyes diplomaták figyelemfelhívó jelleggel sátrat is állítottak a munkacsoport ülésén… A jogalkotási folyamat felgyorsulása mindazonáltal ősszel várható - érdemes tehát figyelemmel kísérni a fejleményeket.

Domokos N. Márton, a CMS Cameron McKenna LLP budapesti irodájának munkatársa

Kapcsolódó tanulmány:

Dr. Domokos N. Márton: Az EU új adatvédelmi szabályozása – avagy „keep bangin' on the wall of Fortress Europe”

  • kapcsolódó anyagok
ADATVÉDELEM
EURÓPAI UNIÓ JOGA
EURÓPAI PARLAMENT