Brüsszel, október 9. Legutóbbi plenáris ülésén az Európai Adatvédelmi Testület véleményt fogadott el az adatfeldolgozó(k)ra és a további adatfeldolgozó(k)ra való támaszkodásból eredő bizonyos kötelezettségekről, a jogos érdekről szóló iránymutatásokról, az általános adatvédelmi rendelet végrehajtására vonatkozó további eljárási szabályok megállapításáról szóló nyilatkozatról és az Európai Adatvédelmi Testület 2024–2025-ös munkaprogramjáról.
Először is, az Európai Adatvédelmi Testület a dán adatvédelmi hatóság által a Testülethez intézett, az általános adatvédelmi rendelet 64. cikkének (2) bekezdése szerinti kérelmet követően véleményt fogadott el az adatfeldolgozó(k)ra és a további adatfeldolgozó(k)ra való támaszkodásból eredő bizonyos kötelezettségekről. Az általános adatvédelmi rendelet 64. cikkének (2) bekezdése úgy rendelkezik, hogy bármely adatvédelmi hatóság felkérheti a Testületet, hogy adjon ki véleményt egynél több tagállamban általánosan alkalmazandó vagy joghatással bíró kérdésekről.
A vélemény olyan helyzetekről szól, amikor az adatkezelők egy vagy több adatfeldolgozóra és további adatfeldolgozóra támaszkodnak. Konkrétan nyolc kérdéssel foglalkozik az adatfeldolgozókat és további adatfeldolgozókat igénybe vevő adatkezelők egyes feladatainak értelmezésével, valamint az adatkezelő és az adatfeldolgozó közötti szerződések szövegével kapcsolatban, amelyek különösen az általános adatvédelmi rendelet 28. cikkéből erednek.
A vélemény kifejti, hogy az adatkezelőknek mindenkor rendelkezésre kell állniuk az összes adatfeldolgozó, további adatfeldolgozó stb. személyazonosságára (azaz nevére, címére, kapcsolattartó személyére) vonatkozó információknak, hogy a lehető legjobban teljesíthessék az általános adatvédelmi rendelet 28. cikke szerinti kötelezettségeiket. Emellett az adatkezelő azon kötelezettségét, hogy ellenőrizze, hogy a (további) adatfeldolgozók „elegendő garanciát” nyújtanak-e, az érintettek jogaira és szabadságaira jelentett kockázattól függetlenül alkalmazni kell, bár az ilyen ellenőrzés terjedelme változhat, különösen az adatkezeléssel kapcsolatos kockázatok alapján.
A vélemény azt is kimondja, hogy bár az eredeti adatfeldolgozónak biztosítania kell, hogy megfelelő garanciák mellett további adatfeldolgozókat javasoljon, az adott további adatfeldolgozó igénybevételére vonatkozó végső döntés és felelősség továbbra is az adatkezelőt terheli.
Az Európai Adatvédelmi Testület úgy véli, hogy az általános adatvédelmi rendelet értelmében az adatkezelő nem köteles szisztematikusan kérni a további feldolgozásra vonatkozó szerződéseket annak ellenőrzésére, hogy az adatvédelmi kötelezettségeket továbbították-e az adatkezelési láncon keresztül. Az adatkezelőnek értékelnie kell, hogy az ilyen szerződések másolatának bekérése vagy felülvizsgálata szükséges-e ahhoz, hogy bizonyítani tudja az általános adatvédelmi rendeletnek való megfelelést.
Ezen túlmenően, amennyiben a személyes adatoknak az Európai Gazdasági Térségen kívülre történő továbbítására két (további) adatfeldolgozó között kerül sor, az adatfeldolgozónak mint adatátadónak el kell készítenie a vonatkozó dokumentációt, például az alkalmazott adattovábbítási indokra, az adattovábbítási hatásvizsgálatra és a lehetséges kiegészítő intézkedésekre vonatkozóan. Mivel azonban az adatkezelőre továbbra is vonatkoznak az általános adatvédelmi rendelet „elegendő garanciákról” szóló 28. cikkének (1) bekezdéséből eredő kötelezettségek, a 44. cikk szerinti kötelezettségek mellett annak biztosítása érdekében, hogy a személyes adatok továbbítása ne veszélyeztesse a védelem szintjét, értékelnie kell ezt a dokumentációt, és képesnek kell lennie arra, hogy bemutassa azt az illetékes adatvédelmi hatóságnak.
Ezt követően a Testület elfogadta a személyes adatok jogos érdeken alapuló kezeléséről szóló iránymutatást.
Az adatkezelőknek jogalapra van szükségük a személyes adatok jogszerű kezeléséhez. A jogos érdek a hat lehetséges jogalap egyike.
Ez az iránymutatás az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjában meghatározott azon kritériumokat elemzi, amelyeket az adatkezelőknek teljesíteniük kell ahhoz, hogy jogos érdek alapján jogszerűen kezeljék a személyes adatokat. Figyelembe veszi továbbá az Európai Bíróság e kérdésben a közelmúltban hozott ítéletét (C-621/22. sz. ügy, 2024. október 4.).
Ahhoz, hogy jogos érdekre hivatkozhasson, az adatkezelőnek három kumulatív feltételt kell teljesítenie:
- jogos érdek érvényesítése az adatkezelő vagy egy harmadik fél részéről;
- a személyes adatok feldolgozásának szükségessége a jogos érdek érvényesítése céljából;
- Az egyének érdekei vagy alapvető szabadságai és jogai nem élveznek elsőbbséget az adatkezelő vagy harmadik fél jogos érdekeivel (érdekegyensúlyozási gyakorlat) szemben.
Először is csak a jogszerű, világosan és pontosan megfogalmazott, valós és fennálló érdekek tekinthetők jogszerűnek. Ilyen jogos érdek állhat fenn például olyan helyzetben, amikor az egyén ügyfél, vagy az adatkezelő szolgálatában áll.
Másodszor, ha észszerű, ugyanolyan hatékony, de kevésbé beavatkozó jellegű alternatívák állnak rendelkezésre az elérni kívánt érdekek megvalósítására, az adatkezelés nem tekinthető szükségesnek. Az adatkezelés szükségességét az adattakarékosság elve alapján is meg kell vizsgálni.
Harmadszor, az adatkezelőnek biztosítania kell, hogy jogos érdeke ne élvezzen elsőbbséget az egyén érdekeivel, alapvető szabadságjogaival szemben. E mérlegelés során az adatkezelőnek figyelembe kell vennie az egyének érdekeit, az adatkezelés hatását és észszerű elvárásaikat, valamint olyan további biztosítékok meglétét, amelyek korlátozhatják az egyénre gyakorolt hatást.
Ezen túlmenően ez az iránymutatás kifejti, hogy ezt az értékelést hogyan kell elvégezni a gyakorlatban, többek között számos olyan sajátos összefüggésben, mint a csalás megelőzése, a közvetlen üzletszerzés és az információbiztonság. A dokumentum ismerteti továbbá e jogalap és az érintettek általános adatvédelmi rendelet szerinti számos joga közötti kapcsolatot.
Az iránymutatásokról 2024. november 20-ig nyilvános konzultációra kerül sor.
Ezt követően a Testület nyilatkozatot fogadott el azt követően, hogy az Európai Parlament és a Tanács módosította az általános adatvédelmi rendelet végrehajtására vonatkozó további eljárási szabályok megállapításáról szóló rendeletre irányuló európai bizottsági javaslatot.
A nyilatkozat általánosságban üdvözli az Európai Parlament és a Tanács által bevezetett módosításokat, és konkrét elemek további kezelését ajánlja annak érdekében, hogy az új rendelet elérje a hatóságok közötti együttműködés észszerűsítésére és az általános adatvédelmi rendelet végrehajtásának javítására irányuló célkitűzéseket.
A nyilatkozat gyakorlati ajánlásokat fogalmaz meg, amelyek felhasználhatók a soron következő háromoldalú egyeztetések keretében. Az Európai Adatvédelmi Testület ismételten hangsúlyozza, hogy a békés vitarendezéshez jogalapra és harmonizált eljárásra van szükség, és ajánlásokat fogalmaz meg annak biztosítása érdekében, hogy a legfontosabb kérdések összefoglalásáról a lehető leghatékonyabb módon szülessen konszenzus. A Testület üdvözli továbbá a további határidők beillesztését, ugyanakkor emlékeztet arra, hogy azoknak reálisnak kell lenniük, és sürgeti a társjogalkotókat, hogy a vitarendezési eljárásból töröljék a releváns és megalapozott kifogásokkal és az „indokolással” kapcsolatos rendelkezéseket.
Bár a nyilatkozat üdvözli a nagyobb átláthatóság elérésére irányuló célkitűzést, az Európai Parlament által javasolt közös ügyirat bevezetése összetett változtatásokat tenne szükségessé az európai és nemzeti szinten használt dokumentumkezelési és kommunikációs rendszerekben. Gondosan értékelni kell a végrehajtás technikai megoldásait, és tovább kell pontosítani a hozzáférés biztosításának módozatait.
Az Európai Adatvédelmi Testület üdvözli a Tanács módosítását, amely lehetővé teszi a vezető adatvédelmi hatóság számára, hogy egyszerű és egyértelmű esetekben kimaradjon az úgynevezett megerősített együttműködésből, de hangsúlyozza, hogy tovább kell pontosítani e kívülmaradás hatályát.
Anu Talus, az Európai Adatvédelmi Testület elnöke így nyilatkozott: „A rendelettervezet jelentősen egyszerűsítheti az általános adatvédelmi rendelet végrehajtását azáltal, hogy növeli az ügykezelés hatékonyságát. Uniós szinten nagyobb harmonizációra van szükség az általános adatvédelmi rendelet együttműködési és egységességi mechanizmusai teljes hatékonyságának maximalizálása érdekében.”
Legutóbbi plenáris ülésén a Testület elfogadta a 2024–2025-ös időszakra vonatkozó munkaprogramját. Ez az első az Európai Adatvédelmi Testület 2024–2027-es időszakra vonatkozó, 2024 áprilisában elfogadott stratégiáját végrehajtó két munkaprogram közül. Az Európai Adatvédelmi Testület stratégiájában meghatározott prioritásokon alapul, és figyelembe veszi az érdekelt felek számára legfontosabbként azonosított igényeket is.
Végezetül az Európai Adatvédelmi Testület tagjai megállapodtak abban, hogy az Európai Adatvédelmi Testület eljárási szabályzatának 8. cikkével összhangban megfigyelői státuszt biztosítanak a Koszovói Információs és Adatvédelmi Ügynökségnek (Koszovói Adatvédelmi Hatóság).
Az itt közzétett sajtóközlemény automatikusan angolról lett lefordítva. Az Európai Adatvédelmi Testület nem garantálja a fordítás pontosságát. Amennyiben kétség merül fel, kérjük, olvassa el az angol nyelvű hivatalos szöveget.