Brüsszel, június 16. – Az Európai Adatvédelmi Testület iránymutatást fogadott el a tanúsításról mint az adattovábbítás eszközéről. Az általános adatvédelmi rendelet 46. cikke (2) bekezdésének f) pontja jóváhagyott tanúsítási mechanizmusokat vezet be a személyes adatok megfelelőségi megállapodás hiányában harmadik országokba történő továbbítására szolgáló új eszközként. Ezen iránymutatás fő célja, hogy további felvilágosítást adjon az említett adattovábbítási eszköz gyakorlati alkalmazásáról.
Ventsislav Karadjov, az Európai Adatvédelmi Testület alelnöke így nyilatkozott: „Ez az iránymutatás áttörő jelentőségű, mivel ez jelenti a legelső gyakorlati iránymutatást az adattovábbítás eszközeként történő tanúsítás – mint az általános adatvédelmi rendelet által bevezetett új adattovábbítási eszköz – tekintetében. Az iránymutatás segítséget nyújt arra vonatkozóan, hogy miként lehet ezt az eszközt a gyakorlatban alkalmazni, és az hogyan segítheti elő a magas szintű adatvédelem fenntartását a személyes adatoknak az Európai Gazdasági Térségből harmadik országokba történő továbbításakor.”
Az iránymutatás négy részből áll, amelyek mindegyike az adattovábbítás eszközéül szolgáló tanúsítás egy-egy konkrét elemére összpontosít, például a céljára, hatályára, a különböző érintett szereplőkre; a tanúsító szervezetek akkreditációs követelményeire vonatkozó útmutatás végrehajtására; az adattovábbítás megfelelő biztosítékai meglétének bizonyítására szolgáló pontosan meghatározott tanúsítási szempontokra; valamint a végrehajtandó kötelező erejű és kikényszeríthető kötelezettségvállalásokra. Az iránymutatás kiegészíti a tanúsításról szóló 1/2018. sz. iránymutatást, amely általánosabb útmutatást nyújt a tanúsítással kapcsolatban. Az iránymutatás szeptember végéig lesz nyilvános konzultáció tárgya.
Az Európai Adatvédelmi Testület az általános adatvédelmi rendelet 65. cikke alapján vitarendezési döntést fogadott el. A kötelező erejű döntés célja, hogy orvosolja a francia felügyeleti hatóság mint fő felügyeleti hatóság által a turizmus-vendéglátás ágazatra szakosodott, franciaországi székhelyű Accor SA vonatkozásában kibocsátott döntéstervezet egyes elemeivel kapcsolatos konszenzus hiányát, valamint az egyik érintett felügyeleti hatóság által a tervezettel szemben megfogalmazott kifogásokat.
A fő felügyeleti hatóság egy panaszon alapuló vizsgálatot követően bocsátotta ki a döntéstervezetet az Accor SA-val szemben, amelynek tárgya a marketingüzenetek postai úton történő fogadása elleni tiltakozáshoz való jog figyelmen kívül hagyása és/vagy a hozzáférési jog gyakorlása során felmerült nehézségek. 2021. április 30-án a fő felügyeleti hatóság az általános adatvédelmi rendelet 60. cikkének (3) bekezdésével összhangban megosztotta a döntéstervezetet az érintett felügyeleti hatóságokkal. Az egyik érintett felügyeleti hatóság az általános adatvédelmi rendelet 60. cikkének (4) bekezdése alapján kifogást emelt többek között a bírság összegével kapcsolatban.
A felügyeleti hatóságok nem tudtak konszenzusra jutni az egyik kifogással kapcsolatban, amelyet aztán a fő felügyeleti hatóság az általános adatvédelmi rendelet 65. cikke (1) bekezdésének a) pontja szerinti megállapítás céljából az Európai Adatvédelmi Testület elé utalt, ezzel megindítva a vitarendezési eljárást.
Az Európai Adatvédelmi Testület meghozta kötelező erejű döntését. A döntés a kifogás azon érdemi részére vonatkozik, amelyről megállapítást nyert, hogy az általános adatvédelmi rendelet 4. cikkének 24. pontjában foglalt követelményekkel összhangban „releváns és megalapozott”.
Az Európai Adatvédelmi Testület eljárási szabályzata 11. cikkének (6) bekezdése értelmében haladéktalanul sor kerül a döntés lefordítására. Ezt követően az érintett felügyeleti hatóságok hivatalos értesítést kapnak. A fő felügyeleti hatóság az Európai Adatvédelmi Testület döntése alapján indokolatlan késedelem nélkül, de legkésőbb az Európai Adatvédelmi Testület döntésének közlésétől számított egy hónapon belül elfogadja az adatkezelőnek címzett végleges határozatát. Azt követően, hogy a fő felügyeleti hatóság értesítette az adatkezelőt nemzeti határozatáról, az Európai Adatvédelmi Testület indokolatlan késedelem nélkül közzéteszi döntését a honlapján.
Megjegyzés a szerkesztőknek:
„Az iránymutatás – a szükséges jogi, nyelvi és formázási ellenőrzések lezárultát követően – elérhetővé válik az Európai Adatvédelmi Testület honlapján. A 65. cikk szerinti kötelező erejű döntés azt követően kerül közzétételre, hogy a fő felügyeleti hatóság értesítette az adatkezelőt a végső határozatáról. A 65. cikk szerinti eljárással kapcsolatban további információkat talál a Gyakran feltett kérdések oldalán.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.