Brüsszel, július 11. – július 9-én és 10-én tartotta tizenkettedik plenáris ülését az Európai Gazdasági Térség adatvédelmi hatóságaiból és az európai adatvédelmi biztosból álló Európai Adatvédelmi Testület. A plenáris ülésen számos témát vitattak meg.
Iránymutatás a videokamerás megfigyelésről
A Testület elfogadta a videokamerás megfigyelésről szóló iránymutatást, amely tisztázza, hogy az általános adatvédelmi rendelet hogyan alkalmazandó a videoeszközök használata során a személyes adatok kezelésére, és melynek célja, hogy e tekintetben biztosítsa az általános adatvédelmi rendelet következetes alkalmazását. Az iránymutatás kiterjed mind a hagyományos videók eszközökre, mind az intelligens videoeszközökre. Az utóbbi esetében az iránymutatások az adatok különleges kategóriáinak kezelésére vonatkozó szabályokra összpontosítanak. Ezen túlmenően az iránymutatások kiterjednek többek között az adatkezelés jogszerűségére, a háztartási kivétel alkalmazhatóságára és a felvételek harmadik fél számára hozzáférhetővé tételére. Az iránymutatást nyilvános konzultációra fogják bocsátani.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös válasza a LIBE Bizottságnak az USA CLOUD-törvényének hatásairól
Az Európai Adatvédelmi Testület elfogadta az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös válaszát az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága (LIBE) jogi értékelés iránti kérelmére az USA CLOUD törvény hatásairól az EU jogi adatvédelmi keretrendszerére és a büntetőügyekben folytatott igazságügyi együttműködés céljából az elektronikus bizonyítékokhoz való határokon átnyúló hozzáférésről szóló európai-amerikai megállapodás megkötésére vonatkozó megbízásra. A CLOUD-törvény lehetővé teszi az egyesült államokbeli bűnüldöző hatóságok számára, hogy az adatok tárolásának helyétől függetlenül megköveteljék az adatok szolgáltatását az egyesült államokbeli szolgáltatóktól.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos hangsúlyozza, hogy az EU és az Egyesült Államok közötti, az elektronikus bizonyítékokhoz való határokon átnyúló hozzáférésről szóló átfogó megállapodás, amely szigorú eljárási és tartalmi biztosítékokat tartalmaz az alapvető jogok tekintetében, tűnik a legmegfelelőbb eszköznek ahhoz, hogy biztosítsák az Európai uniós érintettek megfelelő szintű védelmét és a vállalkozások számára a jogbiztonságot.
A GDPR 64. cikke szerinti vélemény a dán felügyeleti hatóság által benyújtott adatfeldolgozókra vonatkozó GDPR 28.8. cikk szerinti általános szerződési feltételekről
Az Európai Adatvédelmi Testület elfogadta a dán felügyeleti hatóság által a Testülethez benyújtott, az adatfeldolgozók által végzett adatkezelésre vonatkozó általános szerződési feltételek (SCCs) tervezetére vonatkozó véleményét. Az első, ebben a témában készülő vélemény célja a GDPR 28. cikke következetes alkalmazásának biztosítása az adatfeldolgozók vonatkozásában. A véleményében a Testület számos ajánlást tett, amelyeket figyelembe kell venni annak érdekében, hogy a dán felügyeleti hatóság SCCs tervezete általános szerződési feltételeknek minősüljön. Valamennyi ajánlás foganatosítása esetén a dán felügyeleti hatóság ezt a megállapodástervezetet az általános adatvédelmi rendelet 28. cikk (8) bekezdése szerinti általános szerződési feltételekként használhatja.
A GDPR 64. cikke szerinti vélemény az osztrák hatóság által benyújtott, a magatartási kódexeknek való megfelelést ellenőrző szervezetekre vonatkozó akkreditációs kritériumokról
Azt követően, hogy az osztrák hatóság benyújtotta a magatartási kódexeknek való megfelelést ellenőrző szervezetekre vonatkozó akkreditációs kritériumokról szóló határozattervezetét, a Testület elfogadott véleményét. A testület egyetértett abban, hogy a nem állami hatóságokra és szervekre vonatkozó valamennyi kódexnek rendelkeznie kell az általános adatvédelmi rendelettel összhangban akkreditált ellenőrző szervezetekkel.
A GDPR 64. cikke szerinti vélemény a felügyelő hatóság illetékességéről a tevékenységi központtal vagy egyetlen tevékenységi hellyel kapcsolatos körülmények megváltozása esetén
A Testület véleményt fogadott el a felügyeleti hatóság illetékességéről a tevékenységi központtal vagy egyetlen tevékenységi hellyel kapcsolatos körülmények megváltozása esetén. Ez akkor fordulhat elő, ha a tevékenységi központotot az EGT-n belül áthelyezik, a tevékenységi központot egy harmadik országból az EGT területére helyezik át, vagy ha az EGT-ben már nem található tevékenységi központ illetve egyetlen tevékenységi hely. Ilyen körülmények között a Testületnek az a véleménye, hogy a fő felügyeleti hatóság illetékessége átszállhat egy másik felügyeleti hatóságra. Ebben az esetben a 60. cikkben meghatározott együttműködési eljárást kell alkalmazni, és az új fő felügyeleti hatóságnak együtt kell működniük a korábbi fő felügyeleti hatósággal és a többi érintett felügyeleti hatósággal a konszenzus elérése érdekében. A váltásra addig kerülhet sor, amíg az illetékes felügyeleti hatóság nem hoz végleges határozatot.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös véleménye az eHDSI tárgyában
A Testület elfogadta a betegadatok elektronikus egészségügyi szolgáltatási infrastruktúra (eHDSI) keretében történő kezelésének személyes adatvédelmi vonatkozásairól szóló, az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös véleményét. Ez az Európai Adatvédelmi Testület és az európai adatvédelmi biztos első közös véleménye, amelyet az Európai Bizottságnak az uniós intézmények és szervek általi adatkezelésre vonatkozó 2018/1725 rendelet 42. cikk (2) bekezdés szerinti kérésére válaszul fogadtak el. Véleményükben az Európai Adatvédelmi Testület és az európai adatvédelmi biztos kifejtik, hogy ebben a speciális esetben és a betegadatok eHDSI-n belüli konkrét kezelése tekintetében semmi sem indokolja, hogy az Európai Bizottság eHDSI-n belüli adatkezelői szerepéről alkotott értékelésétől eltérjenek. A közös vélemény hangsúlyozza továbbá, hogy biztosítani kell, hogy a Bizottság ezen adatkezelési művelet tekintetében a vonatkozó adatvédelmi jogszabályokban meghatározott valamennyi adatkezelői feladatát egyértelműen meghatározza a vonatkozó végrehajtási törvény.
Ciprus adatvédelmi hatásvizsgálati listája
Az Európai Adatvédelmi Testület véleményt fogadott el a Ciprus által a Testület elé terjesztett adatvédelmi hatásvizsgálati listáról. Az adatvédelmi hatásvizsgálati listák az általános adatvédelmi rendelet EGT-n belüli következetes alkalmazásának fontos eszközét képezik. Az adatvédelmi hatásvizsgálat célja, hogy elősegítse az egyének jogait és szabadságait érintő adatvédelmi kockázatok azonosítását és enyhítését.
A GDPR 64. cikk szerinti vélemény a francia, spanyol és cseh 35.5. cikk szerinti listáról (adatvédelmi hatásvizsgálat alóli mentesség)
Az Európai Adatvédelmi Testület véleményt fogadott el a francia, spanyol és cseh felügyeleti hatóságok által a Testülethez benyújtott 35.5. cikk szerinti listákról.
Ajánlás az európai adatvédelmi biztos listájáról az 2018/1725 rendelet 39.4. cikke alapján (hatásvizsgálati jegyzék)
A Testület ajánlást fogadott el az európai adatvédelmi biztos által a Testület elé terjesztett 39.4. cikk szerinti jegyzékről. Az európai adatvédelmi biztosnak e listák elfogadása előtt konzultálnia kell az Európai Adatvédelmi Testülettel, amennyiben ezek „ olyan adatkezelő adatkezelési műveleteire vonatkoznak, amely adatkezelő egy vagy több, az uniós intézményektől és szervektől eltérő adatkezelővel közösen jár el ” (az (EU) 2018/1725 rendelet 39. cikk (6) bekezdés).A GDPR adatvédelmi hatásvizsgálati listákhoz hasonlóan az európai adatvédelmi biztos listája tájékoztatja az adatkezelőket az adatvédelmi hatásvizsgálatot igénylő adatkezelési tevékenységekről.
Megjegyzés a szerkesztőknek:
Felhívjuk a figyelmet arra, hogy az EDPB plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok az ellenőrzések után az Európai Adatvédelmi Testület honlapján lesznek elérhetők.