Az Egyesült Királyság megfelelőségi határozattervezetei: Az Európai Adatvédelmi Testület véleményeket fogad el

Brüsszel, október 20. – Legutóbbi plenáris ülésén az Európai Adatvédelmi Testület két véleményt fogadott el az Egyesült Királyság megfelelőségi határozatai érvényességének az általános adatvédelmi rendelet (GDPR) és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv (LED) szerinti, 2031 decemberéig történő meghosszabbításáról szólóeurópai bizottsági határozattervezetekről.*

Az Európai Adatvédelmi Testületnek a Bizottság által az általános adatvédelmi rendelet 70. cikke (1) bekezdésének s) pontja és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv 51. cikke (1) bekezdésének g) pontja szerint kért véleményei foglalkoznak az Egyesült Királyság két megfelelőségi határozatának javasolt hatéves meghosszabbításával, amelyek 2025 decemberében járnak le.

Az Egyesült Királyság megfelelőségi határozatai érvényességének meghosszabbítása lehetővé teszi az Európában székhellyel rendelkező szervezetek és illetékes hatóságok számára, hogy további garanciák végrehajtása nélkül továbbra is adatokat továbbítsanak az Egyesült Királyságban székhellyel rendelkező szervezetek és hatóságok számára.**

„AzEurópai Adatvédelmi Testület üdvözli, hogy az Egyesült Királyság jogi keretének közelmúltbeli változásai ellenére folytatódik az összhang az Egyesült Királyság és Európa adatvédelmi kerete között. 

Felszólítom az Európai Bizottságot, hogy foglalkozzon a Testület által kiemelt pontokkal, és a határozatok elfogadását követően biztosítsa a hatékony nyomon követést. Ez növelni fogja az Egyesült Királyság megfelelőségének megbízhatóságát, és nagyobb jogbiztonságot fog biztosítani az Európából az Egyesült Királyságba személyes adatokat továbbító szervezetek és illetékes hatóságok számára.”

az Európai Adatvédelmi Testület elnöke, Anu Talus

Az általános adatvédelmi rendeletről szóló véleményről

A Testület szerint az Egyesült Királyság adatvédelmi keretében bevezetett változtatások többsége a jogszabályoknak való megfelelés tisztázására és megkönnyítésére irányul. 

A határozattervezet egyes vonatkozásait tovább lehetne pontosítani. 

Az Európai Adatvédelmi Testület felkéri az Európai Bizottságot, hogy folytassa a megtartott uniós jogról (visszavonásról és reformról) szóló 2023. évi törvény, más néven a REUL-törvény módosításainak elemzését és nyomon követését, különös tekintettel az uniós jog elsőbbsége elvének eltörlésére és az uniós jog elvei közvetlen alkalmazásának megszüntetésére.

Az Európai Adatvédelmi Testület megjegyzi, hogy a miniszter új hatásköröket kapott az új adatvédelmi keret módosításainak bevezetésére olyan másodlagos rendeletek révén, amelyek kevesebb parlamenti ellenőrzést igényelnek. Ez a helyzet a nemzetközi adattovábbítások, az automatizált döntéshozatal és az információügyi biztos hivatalának (ICO) irányítása esetében. Az Európai Adatvédelmi Testület felkéri a Bizottságot, hogy kezelje az eltérések lehetséges kockázatait azáltal, hogy a végleges megfelelőségi határozatban kiemeli azokat a területeket, amelyeket gondosan nyomon kíván követni.

Az Európai Adatvédelmi Testület arra is ösztönzi a Bizottságot, hogy részletesebben dolgozza ki értékelését, és kövesse nyomon az Egyesült Királyságból harmadik országokba történő adattovábbításra vonatkozó szabályokat. A 2025. évi Data (Use and Access) Act által bevezetett új megfelelőségi teszt előírja, hogy a harmadik ország védelmi szintje ne legyen lényegesen alacsonyabb, mint az Egyesült Királyság keretrendszere által az érintettek számára biztosított szint, de ez a teszt nem utal a kormányzati hozzáférés kockázatára, az egyének jogorvoslatának meglétére és a független felügyeleti hatóság szükségességére.

A Bizottságnak továbbá tovább kell értékelnie és nyomon kell követnie, hogy az Egyesült Királyság kormánya állítólag hogyan használja a vállalatokat a titkosítás megkerülésére kötelező műszaki alkalmassági értesítéseket, mivel ez rendszerszintű sebezhetőségeket teremtene, és kockázatot jelentene az elektronikus hírközlés integritására és bizalmas jellegére nézve.

Végezetül az Európai Adatvédelmi Testület felhívja a Bizottságot, hogy folytassa az ICO szerkezetében bekövetkezett változások értékelését és nyomon követését, valamint korrekciós hatásköreinek gyakorlását. Ezzel összefüggésben az Európai Adatvédelmi Testület pozitívan értékeli az ICO átláthatósági politikáját, valamint a végrehajtási tevékenységeire vonatkozó statisztikai és elemzési adatok rendelkezésre állását.

Az új megfelelőségi határozatok kiegészítik a 2021. évi határozatokat, amelyek továbbra is alkalmazandók lesznek a 2025. évi határozattervezetekben nem szereplő területekre. Az Európai Adatvédelmi Testület a 2021. évi véleményeire (14/2021. és 15/2021.)épül. Különösen igaz ma is az általános adatvédelmi rendelet kerete és az Egyesült Királyság kulcsfontosságú rendelkezésekre vonatkozó jogi kerete közötti, 2021-ben kiemelt szoros összhang (beleértve például az átláthatóságot, az érintettek jogait és a különleges adatkategóriákat).

A LED-véleményről

Az Európai Adatvédelmi Testület üdvözli az európai és az egyesült királyságbeli adatvédelmi keret folyamatos összehangolását, és arra ösztönzi a Bizottságot, hogy egészítse ki a nemzetbiztonsági mentességekkel kapcsolatos szempontokra vonatkozó értékelését.

Az ilyen mentességek eltekinthetnek a legtöbb adatvédelmi elvtől és a bűnüldöző hatóságokra vonatkozó egyes nemzetközi adattovábbítási szabályoktól, és korlátozhatják az ICO végrehajtási és ellenőrzési hatásköreit is.

Az Európai Adatvédelmi Testület felkéri a Bizottságot, hogy az általános adatvédelmi rendeletről szóló véleményben foglaltakhoz hasonlóan elemezze az Egyesült Királyságnak a személyes adatok harmadik országokba történő továbbítására vonatkozó szabályait, különösen az új megfelelőségi tesztet. 

A Testület rámutat továbbá az automatizált döntéshozatal megengedőbb megközelítésére és az e kérdésben a miniszterre ruházott új hatáskörökre. Emlékeztet az érdemi emberi felülvizsgálat fontosságára, és sürgeti a Bizottságot, hogy tisztázza és kövesse nyomon az egyének emberi beavatkozáshoz való joga alóli lehetséges mentességeket.

Végezetül az Európai Adatvédelmi Testület elismeri, hogy a bűnüldöző hatóságok felügyeleti rendszere és a jogorvoslati mechanizmusok nagyrészt változatlanok, és megismétli, hogy a Bizottságnak szorosan nyomon kell követnie az Egyesült Királyság adatvédelmi keretében az egyénekre vonatkozó korrekciós hatáskörök és jogorvoslatok alkalmazását.

Megjegyzés a szerkesztőknek:

* 2025. július 22-én az Európai Bizottság két módosító végrehajtási határozattervezetet adott ki a személyes adatok Egyesült Királyság általi megfelelő védelméről az általános adatvédelmi rendelet 45. cikkének (3) bekezdése és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv 36. cikkének (3) bekezdése alapján. E határozattervezetek célja a 2021. június 28-án elfogadott korábbi megfelelőségi határozatok érvényességének meghosszabbítása. 
2025 májusában a Bizottság határozatot fogadott el az Egyesült Királyság megfelelőségi határozata érvényességének további hat hónappal, 2025 júniusától decemberéig történő meghosszabbításáról. Az Európai Adatvédelmi Testület 2025 májusában véleményt fogadott el erről a meghosszabbításról. 

** A megfelelőségi határozat az uniós adatvédelmi jogszabályok kulcsfontosságú mechanizmusa, amely lehetővé teszi az Európai Bizottság számára annak megállapítását, hogy egy harmadik ország vagy egy nemzetközi szervezet megfelelő szintű adatvédelmet biztosít-e. Az Európai Bizottság hatáskörrel rendelkezik arra, hogy az (EU) 2016/679 rendelet 45. cikke alapján meghatározza, hogy egy EU-n kívüli ország megfelelő szintű adatvédelmet biztosít-e.

A megfelelőségi határozat elfogadása a következőket foglalja magában: a) az Európai Bizottság javaslata; 2) az Európai Adatvédelmi Testület véleménye; 3) az uniós országok képviselőinek jóváhagyása; 4) a határozat Európai Bizottság általi elfogadása.