Nemzetközi adattovábbítás és digitális szolgáltatások az EDPB célkeresztjében
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az EDPB plenáris ülésén a nemzetközi adattovábbításra vonatkozó ajánlást fogadott el, illetve véleményezte a Bizottság adatkezelési törvénnyel, a digitális szolgáltatásokról szóló törvénnyel és a digitális piacokról szóló törvénnyel, valamint az MI-rendelettel kapcsolatos javaslatait.
Az Európai Adatvédelmi Testület plenáris ülésén ajánlásokat fogadott el a GDPR 3. cikke és V. fejezete közötti kölcsönhatásról.
A GDPR területi hatálya (3. cikk) és az V. fejezetben a nemzetközi adattovábbításra vonatkozó rendelkezések közötti kölcsönhatás tisztázásával az iránymutatás célja, hogy segítse az adatkezelőket és adatfeldolgozókat az EU-ban annak meghatározásában, hogy az általuk folytatott adatkezelési művelet nemzetközi adattovábbításnak minősül-e, valamint biztosítják a nemzetközi transzferek fogalmának közös értelmezését.
Az Útmutató három kumulatív kritériumot határoz meg, amelyek alapján egy adatkezelést adattovábbításnak minősítenek:
- az adatexportőr (adatkezelő vagy adatfeldolgozó) az adott adatkezelés tekintetében a GDPR hatálya alá tartozik;
- az adatátadó a személyes adatokat az adatátvevő (másik adatkezelő, közös adatkezelő vagy adatfeldolgozó) számára továbbítja vagy hozzáférhetővé teszi és;
- az adatátvevő harmadik országban van, vagy nemzetközi szervezet.
Az adatkezelés átadásnak minősül, függetlenül attól, hogy a harmadik országban letelepedett importőr már a GDPR hatálya alá tartozik-e a GDPR 3. cikke alapján.
Az Európai Adatvédelmi Testület (a továbbiakban: EDPB) azonban úgy véli, hogy közvetlenül az EU-ban élő érintettektől, saját kezdeményezésükre történő adatgyűjtés nem minősül adattovábbításnak.
Andrea Jelinek, az EDPB elnöke hozzátette: „Ezek az iránymutatások a „nemzetközi adattovábbítás” fogalmának következetes értelmezését biztosítják, és egyértelművé teszik, hogy ha az adatimportőrre a GDPR vonatkozik, a GDPR V. fejezete szerinti kötelezettségek az EU-ból a másikba államba történő adattovábbításkor a fogadó félre és az általa teljesített bármely további adattovábbításra is vonatkoznak”.
Az Útmutatóhoz január végéig, nyilvános konzultáció keretében, bárki hozzászólhat.
Az EDPB nyilatkozatot fogadott el az Európai Bizottság digitális szolgáltatási csomagjáról és adatstratégiájáról.
A nyilatkozatban az EDPB három alapvető aggályt fogalmazott meg az eddig előterjesztett bizottsági javaslatokkal kapcsolatban (az adatkezelési törvénnyel (DGA), a digitális szolgáltatásokról szóló törvénnyel (DSA) és a digitális piacokról szóló törvénnyel (DMA), valamint az MI-rendelettel (AIR) kapcsolatban). Az EDPB szerint:
- Az egyének alapvető jogai és szabadságai nem részesülnek megfelelő védelemben;
- Nem megfelelő az adatkezelés felügyelete;
- Az inkonzisztenciák kockázata is fennáll.
Az EDPB és az európai adatvédelmi biztos közös véleményt adott ki a DGA-ról és az AIR-ről, az európai adatvédelmi biztos pedig az európai adatstratégiáról, a DMA-ról és a DSA-ról is véleményt nyilvánított.
Nyilatkozatában az EDPB megismétli felhívását a mesterséges intelligencia bármely felhasználásának betiltására az emberi tulajdonságok nyilvánosan hozzáférhető helyeken való automatikus felismerésére, és sürgeti a társjogalkotót, hogy fontolja meg a célzott reklámozás tilalmához vezető fokozatos megszüntetést, nyomon követést, miközben a gyermekek profilozását is meg kell tiltani.
Az EDPB továbbá kiemeli a párhuzamos felügyeleti struktúrák kockázatait, és nyomatékosan ajánlja, hogy minden javaslat határozzon meg a konkrét jogalapot az egyes javaslatok szerinti illetékes felügyeleti hatóságok és az adatvédelmi hatóságok közötti hatékony együttműködéshez és információcseréhez.
Ezen túlmenően az európai adatvédelmi testület felhívta a Bizottságot és a társjogalkotót annak biztosítására, hogy a javaslatok egyértelműen rögzítsék, hogy nem érintik vagy nem sértik a meglévő adatvédelmi szabályok alkalmazását, és biztosítsák, hogy ezek a szabályok legyenek irányadók a személyes adatok kezelése során, a készülő adattörvény-javaslat keretében is.
Végül az EDPB a belga és a hesseni (DE) felügyeleti hatóság két képviselőjét jelölte ki, hogy vegyenek részt az EU–USA terrorizmusfinanszírozási felderítési programról (TFTP) szóló megállapodás 6., közös felülvizsgálatában.
(edpb.europa.eu)