Mi várható az új GDPR végrehajtási rendelet kapcsán?
Az Európai Bizottság 2023. július 4-én új rendeletet terjesztett elő az uniós tagállami adatvédelmi hatóságok közötti, az általános adatvédelmi rendelet (GDPR) határokon átnyúló ügyekben történő végrehajtása során folytatott együttműködés egységesítésére és egyszerűsítésére vonatkozó eljárási szabályokról (GDPR eljárási rendelet). A GDPR decentralizált végrehajtási modellt alkalmaz, ami azt jelenti, hogy az uniós tagállamok nemzeti adatvédelmi hatóságai rendelkeznek hatáskörrel a GDPR saját területen történő végrehajtására. A GDPR azonban a határokon átnyúló elemeket tartalmazó ügyekben megköveteli, hogy az összes érintett adatvédelmi hatóság együttműködjön egymással a GDPR „egyablakos ügyintézési rendszerének” megfelelően az együttműködési és következetességi mechanizmusok révén. Bár ezek a mechanizmusok meghatározzák az együttműködés kulcsfontosságú elveit, és megteremtik az alapját a GDPR következetes alkalmazásának az Európai Unió területén, az EU Bizottság úgy ítélte meg, hogy további intézkedésekre van szükség a GDPR határokon átnyúló végrehajtási intézkedéseinek hatékonysága és harmonizációja érdekében.
Különböző uniós intézmények, tisztviselők és nemzeti adatvédelmi hatóságok többször is hangsúlyozták a GDPR végrehajtásának fontosságát, amelyet „az EU digitális egységes piac sarokkövének és a technológiához való emberközpontú hozzáállást biztosító jogalkotás alapvető fontosságú elemének” tartanak. Azt is megállapították, hogy a GDPR végrehajtásával kapcsolatos ügyeket gyakran jellemzik a határokon átnyúló elemek. Az adatok ugyanis a digitális gazdaság és olyan kulcsfontosságú új technológiák, mint a mesterséges intelligencia, éltető elemei, amelyeket nem korlátoznak területi vagy joghatósági határok. A GDPR nemrégiben ünnepelte 5. évfordulóját – és a következő 5 évre egyre több határokon átnyúló jogérvényesítés és együttműködés várható. A javaslat a GDPR centralizáltabb végrehajtási modellje felé való elmozdulást jelezheti, amelyben az Európai Adatvédelmi Testület (EDPB) és az EU Bizottsága jelentősebb szerepet játszik.
Az alábbiakban a javasolt GDPR végrahajtási rendelet legfontosabb megállapításait ismertetjük:
- Miért indokolt az új GDPR eljárási rendelet létrehozása? A GDPR-t az uniós tagállamok nemzeti szinten hajtják végre, ezért minden tagállam saját eljárási és közigazgatási szabályokat alkalmaz a GDPR végrehajtására irányuló bármely eljárásra. Ez eljárási eltérésekhez vezet, és végső soron akadályozza az adatvédelmi hatóságok közötti hatékony és következetes együttműködést és a GDPR alkalmazását az EU egész területén. Például a felek meghallgatáshoz való joga, az iratbetekintés és más eljárási jogok eltérhetnek az egyes uniós tagállamokban – ahogyan például az is, hogy egy magánszemély hogyan nyújthat be panaszt a helyi adatvédelmi hatóságnál. Az EU eredetileg azért döntött a decentralizált végrehajtási modell mellett, hogy biztosítsa az egyének számára a „közelség elvét”, azaz lehetőséget biztosítson számukra, hogy a helyi adatvédelmi hatósághoz fordulhassanak a saját nyelvükön. A GDPR végrehajtási rendelete nem ezt az elvet kívánja felszámolni, hanem bizonyos eljárási szabályokat kíván harmonizálni, amelyek az egyének és vállalkozások javát fogják szolgálni.
- Kikre vonatkozna ez? A GDPR új eljárási rendelete azokra az uniós tagállamokra vonatkozna, amelyek felelősek annak biztosításáért, hogy az adatvédelmi hatóságaik megfeleljenek a rendeletben meghatározott eljárási szabályoknak, és helyi végrehajtási eljárásaikat összehangolják azokkal. A javasolt GDPR eljárási rendelet nem írna elő szabályozási kötelezettségeket sem i. az egyénekre, sem ii. a GDPR hatálya alá tartozó adatkezelőkre vagy adatfeldolgozókra.
- Milyen esetben lesz alkalmazható az új GDPR végrehajtási rendelet? A rendelet csak a határokon átnyúló adatkezeléssel kapcsolatos végrehajtási ügyekben lesz alkalmazandó, ami azt jelenti, hogy az adatkezelés i. egy uniós adatkezelő vagy adatfeldolgozó egynél több uniós tagállamban lévő telephelyének tevékenységeivel összefüggésben történik; vagy ii. ténylegesen vagy valószínűsíthetően lényegesen érinti az egynél több uniós tagállamban lévő magánszemélyeket (pl. ha az adatkezelés kárt, veszteséget vagy hátrányt okozhat az egyéneknek).
- Melyek a legfontosabb követelmények? A javasolt GDPR végrehajtási rendelet eljárási szabályokat állapít meg i. az egyének által a személyes adatok feldolgozásával kapcsolatban benyújtott panaszok kezelésére; és ii. az adatvédelmi hatóságok által a GDPR határokon átnyúló végrehajtása során végzett (panaszalapú vagy hivatalból, azaz az adatvédelmi hatóság saját kezdeményezésére végzett) vizsgálatok lefolytatására. A rendelet többek között előírná i. az érvényes egyéni panaszban feltüntetendő információkat; ii. a panasz kivizsgálásakor figyelembe veendő legfontosabb körülményeket; iii. a panaszt benyújtó személy eljárási jogait; iv. a panaszt követő békés rendezés eljárási szabályait és a panasz lefordítása körüli szabályokat; (v) a vezető adatvédelmi hatóság és más érintett adatvédelmi hatóságok közötti együttműködésre és az információmegosztási kötelezettségekre vonatkozó eljárási szabályokat; és iv) az adatvédelmi hatósági vizsgálatban érintett adatkezelők és adatfeldolgozók eljárási szabályait – ideértve az iratbetekintési jogot, a meghallgatáshoz való jogot és az adatvédelmi hatóság előzetes megállapításaira válaszul történő írásbeli beadványok benyújtásának jogát, valamint az adatvédelmi hatóság által a GDPR vizsgálat keretében megszerzett dokumentumok bizalmas kezelésére vonatkozó szabályokat.
- Melyek a javasolt szankciók? A GDPR eljárási rendelete nem ír elő kötelezettségeket a magánszemélyek számára, és mint ilyen, nem rendelkezik szankciós mechanizmusról sem.
- Hogyan kapcsolódik a rendelet a GDPR-hoz és más uniós jogszabályokhoz? Az új GDPR eljárási rendelet hatálya eltérő, és nem célja, hogy hatással legyen a GDPR-ra vagy más uniós jogszabályokra. A GDPR jelentős követelményeket támaszt a személyes adatokat feldolgozó adatkezelőkkel és adatfeldolgozókkal szemben. A GDPR eljárási rendelet a GDPR végrehajtásához uniós szintű adminisztratív és eljárási követelményeket írna elő. A GDPR eljárási rendelet nem kívánja befolyásolni a „egyablakos ügyintézést” (ahol egy vezető adatvédelmi hatóság irányítja a végrehajtást a nagyobb következetesség érdekében) vagy más, a GDPR alapján létező együttműködési és következetességi mechanizmusokat.
- Mit jelent a GDPR végrehajtási rendelet elfogadása a gyakorlatban az EU-ban működő vállalkozások számára? A GDPR eljárási rendelete nem írna elő szabályozási kötelezettségeket azokra a vállalkozásokra, amelyek ellen az uniós adatvédelmi hatóság vizsgálatot folytat a GDPR feltételezett megsértése miatt. A rendelet célja inkább az, hogy több jogot biztosítson a vállalkozásoknak (és magánszemélyeknek) a hozzájuk kapcsolódó végrehajtási eljárás vagy vizsgálat során. Ebből a szempontból a javaslat üdvözlendő fejlemény a vállalkozásoknak és a magánszemélyeknek egyaránt, akik számára előnyös lesz a hatékonyabb végrehajtási modell és a jogbiztonság.
- Alkalmazható lesz a rendelet az Egyesült Királyságban? A GDPR eljárási rendelete uniós rendelet, és a Brexit óta az uniós jog közvetlenül már nem alkalmazandó az Egyesült Királyságban. Jelenleg úgy tűnik, hogy az Egyesült Királyságban nem tervezik hasonló típusú jogszabály elfogadását. Továbbá az Egyesült Királyság adatvédelmi jogszabályát – az uniós GDPR-ral ellentétben – nem alkalmazzák több, eltérő nemzeti közigazgatási és eljárásjogi rendszerrel rendelkező joghatósági területen – így kevésbé van szükség harmonizációra.
Mi várható a továbbiakban?
Az új GDPR végrehajtási rendelet nem érkezik váratlanul. A közelmúltban az EU-ban megélénkültek a GDPR-hoz kapcsolódó végrehajtási intézkedések, valamint magánjogi pereskedés, melynek során nagyobb jelentőséget kapott az EU legfelsőbb bírósága (az EU Bírósága vagy „EUB”) által tisztázott és értelmezett kulcsfogalmak és elvek tiszteletben tartása. Ez fokozza a határokon átnyúló végrehajtás következetességének szükségességét. A GDPR eljárási rendeletére az EU Bizottsága nemrég tett javaslatot, és jelenleg az Európai Parlament illetékes bizottságai vizsgálják azt. Érdekes lesz megfigyelni, hogyan változik a szabályozás szövegezése a jogalkotási felülvizsgálati folyamat során.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
Cikkünk az alábbi forrás alapján készült: https://www.lexology.com/library/detail.aspx?g=96965550-bd7f-4c96-8995-0581e238833e