- Részletek
- Kategória: Hírek
Felügyeleti hatóságok összehangolt intézkedése („Coordinated Enforcement Framework” CEF)
Az Európai Adatvédelmi Testület 2025-ben a törléshez („elfeledtetéshez”) való joggal kapcsolatos gyakorlat közös vizsgálatáról döntött.
A felügyeleti hatóságok különböző köz- és magánszférabeli adatkezelőivel vették fel a kapcsolatot és egy közösen kidolgozott, egységes (de a nemzeti sajátosságokra tekintettel módosítható) kérdőív kitöltésére kérték fel a megkeresett adatkezelőket. A válaszok beérkezését követően – az erre létrehozott sablon segítségével – elkészültek a nemzeti jelentések, ezek alapján az EDPB Titkársága összeállította a nyilvános közös jelentést, amely az EDPB 2026. február 10-i plenáris ülésén elfogadásra került (a nemzeti jelentések mellékletként lettek csatolva)[1].
A Hatóság az összehangolt intézkedés során a Magyarország területén tevékenységet folytató bankok GDPR szerinti törlési jog végrehajtásával kapcsolatos gyakorlatát kívánta felmérni, és ebből a célból 13 adatkezelőt keresett meg. Statisztikai szempontból jelentős, hogy a bankokhoz beérkező kérelmek mennyiségét jelentős mértékben meghatározta azok mérete. Jellemzően a kisebb méretű bankokhoz jóval kevesebb törlési kérelem érkezett, és ez az eljárásrendjüket is jelentősen meghatározta. Ettől függetlenül elmondható, hogy arányosan mindegyik megkeresett adatkezelőhöz nagy mennyiségű törlési kérelem érkezett, és ezek teljesítése jelentős terhet okozott számukra. Ezen nehézségek a válaszok alapján leginkább arra vezethetők vissza, hogy a személyes adatokat gyakran különböző célokra, különböző jogalapokra hivatkozva és különböző megőrzési időkkel kezelik.
Általánosságban megfigyelhető, hogy az adatkezelők – ahol lehetséges – a törlést fizikai módon végzik el, azt adatbázis szinten végrehajtják. Ez, a Hatóság szerint követendő gyakorlat is komoly kihívást jelentett a válaszadóknak, hiszen az adatstruktúrák gyakran évtizedes múltra tekintenek vissza és nem a „privacy by design” elv követésével lettek kialakítva. Ennek következtében a teljes törlés az adatbázis belső hivatkozásait is megszüntetné, amely inkonzisztenciához vezetne. Ilyen esetben megfelelő megoldás lehet az anonimizálás, amelynek alkalmazásáról szintén számos bank számolt be a kérdőív kitöltése során. További nehézséget jelent, hogy egyes adatfeldolgozók többletdíjat számítanak fel a személyes adatok érintettjeihez intézett kérelmekre adott válaszadásban való együttműködésért.
Az összehangolt intézkedés során gyűjtött válaszok alapján a Hatóság javaslatokat fogalmazott meg egy, a törlési joghoz kapcsolódó iránymutatás kiadásával kapcsolatban, mely figyelembe veszi a fenti tapasztalatokat.
A CEF felméréséből kiindulva, de attól függetlenül, a Hatóság a hazai adatkezelői jogalkalmazás további két ágazatának gyakorlatát, helyzetét, tendenciáit is áttekintette kérdőíves felmérés formájában.
A felmérés első fókuszcsoportját az online médiatartalom szolgáltatás képezte, ezen belül 10 szolgáltató adatkezelési tevékenységének a törléssel, illetve az elfeledtetéshez való joggal kapcsolatos gyakorlata lett a vizsgálat tárgya: https://naih.hu/adatvedelmi-jelentesek/file/1307:jelentes-az-online-mediatartalom-szolgaltatok-torleshez-valo-joggal-kapcsolatos-adatkezelesi-gyakorlatarol
Az online médiatartalom-szolgáltatás mellett a Hatóság másik vizsgálata a 2024. június 9-i európai parlamenti választáson listát állított 14 párt adatkezelési tevékenységének a törléssel, illetve az elfeledtetéshez való joggal kapcsolatos gyakorlatát mérte fel:https://naih.hu/adatvedelmi-jelentesek/file/1308:jelentes-politikai-partok-torleshez-valo-joggal-kapcsolatos-adatkezelesi-gyakorlatarol
[1] https://www.edpb.europa.eu/news/news/2025/cef-2025-launch-coordinated-enforcement-right-erasure_en
- Részletek
- Kategória: Hírek
Az Európai Adatvédelmi Testület (EDPB) 2026–2027-es munkaprogramot fogadott el, amely a 2024–2027-es stratégia második végrehajtási ciklusát jelenti. A dokumentum kijelöli az uniós adatvédelem következő két évének prioritásait, különös tekintettel a jogalkalmazás harmonizációjára, a végrehajtás megerősítésére és a digitális szabályozási környezetben való összehangolt fellépésre.
Az EDPB a következő időszakban továbbra is gyakorlati, közérthető iránymutatások kiadására törekszik. 2026–2027-ben többek között iránymutatás készül az anonimizálásról, az álnevesítésről, a jogos érdekről, a gyermekek adatainak kezeléséről, a „consent or pay”modellekről, valamint a tudományos kutatás céljából végzett adatkezelésről. Emellett frissítik az adatvédelmi tisztviselőkre (DPO)vonatkozó iránymutatást, és további ajánlások készülnek például az e-kereskedelmi fiókregisztrációk jogalapjáról.
A vállalkozások – különösen a kis- és középvállalkozások – támogatása érdekében az EDPB uniós szintű mintadokumentumokat dolgoz ki, többek között adatvédelmi incidens-bejelentéshez, adatvédelmi hatásvizsgálathoz (DPIA), jogos érdek teszthez, adatkezelési nyilvántartáshoz ésadatkezelési tájékoztatókhoz.
A Testület emellett véleményeket ad ki tanúsítási rendszerekről, magatartási kódexekről és akkreditációs követelményekről, valamint tovább erősíti a párbeszédet az érintett ágazatokkal.
A végrehajtás terén a Testület célja az egységes jogalkalmazási kultúra megerősítése. Ennek részeként frissíti a GDPR 60. cikk alkalmazására vonatkozó iránymutatásokat, útmutatót készít a panaszok korai rendezéséről, valamint iránymutatást ad a kölcsönös segítségnyújtásról (GDPR 61. cikk) és a sürgősségi eljárásról (GDPR 66. cikk). 2026-ban összehangolt végrehajtási akció indul az átláthatósági és tájékoztatási kötelezettségek (GDPR 12–14. cikk) vizsgálatára.
A munkaprogram kiemelten foglalkozik a több jogterületet érintő kérdésekkel is. Az EDPB közös iránymutatásokat tervez az MI-rendelet (AI Act), a digitális piacokról szóló rendelet (DMA), valamint a digitális szolgáltatásokról szóló rendelet (DSA) és a GDPR kapcsolatáról.
Külön figyelmet kap a generatív mesterséges intelligencia adatgyűjtési gyakorlata (adat scraping), a blokklánc-technológiák és a diagnosztikai/telemetriai adatkezelés.
Nemzetközi szinten a Testület folytatja a harmadik országokkal való együttműködést, az adattovábbítási mechanizmusok – például megfelelőségi határozatok, kötelező erejű vállalati szabályok (BCR), általános szerződési kikötések – értékelését és fejlesztését, valamint az adatvédelmi végrehajtás terén történő globális párbeszéd erősítését.
Az EDPB munkaprogramja a következő linkről érhető el (angol nyelven):
https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-work-programme-2026-2027_en
- Részletek
- Kategória: Hírek
Az Európai Adatvédelmi Testület (EDPB) 2020 októberében hozta létre a Koordinált Végrehajtási Keretrendszert (Coordinated Enforcement Framework – CEF) azzal a céllal, hogy erősítse és összehangolja a felügyeleti hatóságok közötti együttműködést és jogérvényesítést az EGT területén. A korábbi CEF-akciók a közszféra felhőszolgáltatás-használatát, az adatvédelmi tisztviselők (DPO-k) kijelölését és helyzetét, valamint a hozzáférési jog érvényesülését vizsgálták. A negyedik koordinált akció középpontjába az érintetti jogok közül a törléshez való jog (right to erasure) került, amely az egyik leggyakrabban gyakorolt jog, és amely számos panaszt, illetve hatósági döntést eredményezett az EGT-ben.
2025 folyamán 32 felügyeleti hatóság indított összehangolt vizsgálatot annak feltárására, hogy az adatkezelők miként hajtják végre a törléshez való jogot a gyakorlatban. A vizsgálatok különböző méretű és ágazatú szervezetekre terjedtek ki. Az akció nem minden esetben jelentett formális jogérvényesítési eljárást: egyes országokban tényfeltáró vizsgálatként zajlott, máshol annak eldöntésére szolgált, szükséges-e hivatalos eljárás indítása, illetve több esetben már folyamatban lévő vizsgálatok részeként vagy azok folytatásaként került sor rá. A hatóságok közösen kidolgozott kérdőívet alkalmaztak az adatkezelők megkeresésére; összesen 764 adatkezelő válaszolt.
Az elkészült jelentés a részt vevő hatóságok megállapításait összesíti, és hét visszatérő problémát azonosít. A tapasztalatok részben megerősítették a 2024-es, a hozzáférési jogot vizsgáló koordinált akció
megállapításait: számos szervezetnél hiányoznak a megfelelő belső eljárások az érintetti kérelmek kezelésére, illetve nem biztosítanak elegendő tájékoztatást az érintettek számára. Emellett külön problémaként merült fel, hogy egyes adatkezelők a tényleges törlés helyett nem hatékony anonimizálási technikákat alkalmaznak. A hatóságok következetlen gyakorlatokat tapasztaltak az adatmegőrzési időtartamok meghatározásában, valamint nehézségeket a biztonsági mentésekben
(backupokban) tárolt adatok törlésével kapcsolatban.
Mivel a törléshez való jog nem abszolút jog, több adatkezelő számára kihívást jelent a jog gyakorlására vonatkozó feltételek helyes értelmezése és alkalmazása, különösen az érintetti jog és más jogok, illetve jogos érdekek közötti mérlegelés során.
Összességében a vizsgálatban részt vevő adatkezelők megfelelési szintjét „átlagosnak” értékelték, amely olyan tényezőktől is függött, mint a szervezet mérete, az érkezett törlési kérelmek száma vagy az adott ágazat sajátosságai. Ugyanakkor a jelentés több bevált gyakorlatot is azonosít.
Az összefoglaló, valamint az egyes tagállamokra bontott jelentések a következő linkről érhetőek el (angol nyelven):
https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementation-right-erasure_en
- Részletek
- Kategória: Hírek
Az Európai Adatvédelmi Testület (EDPB) és az európai adatvédelmi biztos (EDPS) 2026. február 11-én közös véleményt fogadott el a Digitális Omnibus rendelettervezetről, amely az uniós digitális szabályozási keret egyszerűsítését, az adminisztratív terhek csökkentését és az európai szervezetek versenyképességének erősítését célozza. A két intézmény elsősorban a GDPR, az EUDPR, az ePrivacy irányelv és az ún. Data Acquis módosításait vizsgálta abból a szempontból, hogy azok valódi egyszerűsítést hoznak-e, növelik-e a jogbiztonságot, és nem csökkentik-e az alapvető jogok védelmi szintjét.
Az EDPB és az EDPS komoly aggályokat fogalmaztak meg a személyes adatok fogalmának tervezett módosításával kapcsolatban, álláspontjuk szerint a javaslat túlmutat a technikai pontosításon, nincs összhangban az Európai Unió Bíróságának ítélkezési gyakorlatával, és indokolatlanul szűkítené a személyes adat fogalmát. Kifogásolták azt is, hogy a Bizottság végrehajtási aktusban határozhatná meg, mi nem minősül többé személyes adatnak pszeudonimizálás után. Ugyanakkor az EDPB és az EDPS több elemet kifejezetten üdvözölt: támogatják az adatvédelmi incidensek bejelentési kötelezettségéhez kapcsolódó kockázati küszöb emelését és a határidő meghosszabbítását, mivel ez csökkenti az adminisztratív terheket anélkül, hogy gyengítené az egyének védelmét. Pozitívnak tartják a közös sablonok bevezetését, a biometrikus azonosításhoz kapcsolódó új kivételszbályt, valamint a „tudományos kutatás” fogalmának harmonizációját.
Az MI-rendszerek kapcsán nem tartják szükségesnek a jogos érdek külön nevesítését a GDPR-ban, ugyanakkor támogatják a különleges adatok járulékos kezelésére vonatkozó kivétel bevezetését, megfelelő garanciák mellett. A joggal való visszaélés és az átláthatósági kötelezettségek terén egyszerűsítést támogatnak, de további pontosításokat kérnek a jogbiztonság érdekében.
Az ePrivacy irányelv módosításai közül különösen támogatják az adatkezelési hozzájárulás nyilatkozat megfelelő súlyának megőrzésével és a cookie-bannerekkel kapcsolatos javaslatokat, üdvözlik az adatvédelmi hatóságok felügyeleti szerepének megerősítését, ugyanakkor rámutatnak a személyes és nem személyes adatokra vonatkozó párhuzamos szabályozási rezsimek okozta nehézségekre.
A Data Acquis módosításai kapcsán támogatják a szabályok egyszerűsítését, hangsúlyozzák, hogy a közszféra nem kötelezhető újrahasznosítási hozzáférés biztosítására, és közérdekű vészhelyzetben is csak pszeudonimizált személyes adatok oszthatók meg, ha az anonimizált adatok nem elegendők. Fontosnak tartják a megfelelő garanciák fenntartását, a végrehajtási szabályok és az intézményi szerepek további tisztázását.
Összességében az EDPB és az EDPS támogatja az egyszerűsítést és a versenyképesség erősítését, de hangsúlyozza: mindez nem járhat az alapvető jogok és az adatvédelem szintjének csökkenésével.
A teljes közlemény angol nyelven a következő linkről érhető el:
https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
