2024. február 13-én az Európai Adatvédelmi Testület (EDPB) elfogadta az általános adatvédelmi rendelet 4. cikk 16. pont a) alpontja szerinti adatkezelő Unión belüli tevékenységi központ fogalmáról szóló véleményt a francia adatvédelmi hatóság kérelmére. A vélemény tisztázza az adatkezelő fő tevékenységi központjának fogalmát, különösen azokban az esetekben, amikor az adatkezelésre vonatkozó döntéseket az EU-n kívül hozzák meg. A legfontosabb kérdés, hogy az uniós központi ügyvitel helye csak akkor tekinthető tevékenységi központnak, ha az adatkezelő itt  hozza meg az adatkezelés céljaira és eszközeire vonatkozó döntéseket és hatáskörrel rendelkezik a döntések végrehajtására, továbbá az egyablakos mechanizmus is csak hasonló feltételek mellett alkalmazható.

A vélemény a következő linken érhető el:

https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-042024-notion-main-establishment_en

Az Adatvédelem Napja egy nemzetközi ünnepnap, melyet 2007. óta az Európa Tanács kezdeményezésére minden évben január 28-án ünneplünk - 1981-ben ugyanis ezen a napon nyílt meg aláírásra a Tanács 108. számú Adatvédelmi Egyezménye, mely az első adatvédelem területén elfogadott, jogilag kötelező erejű nemzetközi instrumentum. Az ünnepnap elsődleges célja a figyelem felkeltése és a kialakult jó gyakorlatok népszerűsítése.

A XXI. század kihívásai miatt az elmúlt években az adatvédelmi szabályozás fókuszába a digitális tér átfogó megújítása került. 2023-ban jelentős előrelépések történtek az uniós digitális jogszabálycsomag elfogadására, melynek egyik kiemelkedő jelentőségű eleme az ún. adatkormányzási rendelet (DGA).

A DGA célja az adatközpontú innováció, azaz a stratégiai területek, ágazatok (például: egészségügy, környezetvédelem, energiaügy, mezőgazdaság, mobilitás, pénzügyek, gyártás, közigazgatás) és az uniós országok közötti adatmegosztás megkönnyítése annak érdekében, hogy kihasználja az adatokban rejlő lehetőségeket az európai polgárok és vállalkozások javára. 2024. január 1-jétől a NAIH látja el a DGA szerinti „illetékes hatóságra” háruló feladatokat.

A közeljövőt tekintve, 2025 szeptemberétől lesz közvetlenül alkalmazandó az Adatrendelet, mely a DGA „párjaként” elsősorban a magánszféra egymás közötti adatmegosztását szabályozza majd, különösen a közösen generált adatok kapcsán.

Természetesen ezek az új szabályozók a NAIH számára is új kihívásokat és feladatokat jelentenek, azonban a több évtizedes tapasztalatok azt mutatják, hogy adataink magas szintű védelméért – a digitális és az offline világban egyaránt - mindenki erőfeszítésére szükség van. A NAIH erre is szeretné felhívni a figyelmet ezen a napon.

Magánszféránk nagy kincs, érdemes rá vigyáznunk!

Az Európai Adatvédelmi Testület (EDPB) 2024. január 16-i plenáris ülésén elfogadta az adatvédelmi tisztviselők kijelölésére és helyzetére fókuszáló összehangolt intézkedés („Coordinated Enforcement Framework” – CEF) keretei között készített jelentést. Az intézkedésben részt vevő uniós adatvédelmi felügyeleti hatóságok tapasztalatait összesítő dokumentum felsorolja az adatvédelmi tisztviselők előtt álló akadályokat, problémákat és ajánlásokat fogalmaz meg az adatvédelmi tisztviselők szerepének megerősítése érdekében.


2023 folyamán az Európai Gazdasági Térség (EGT) 25 adatvédelmi felügyeleti hatósága (köztük az európai adatvédelmi biztos) összehangolt intézkedést indított az adatvédelmi tisztviselők helyzetének felmérése érdekében. A felügyeleti hatóságok különböző köz- és magánszférabeli adatkezelővel és/vagy közvetlenül azok adatvédelmi tisztviselőivel vették fel a kapcsolatot egy online kérdőív segítségével. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az összehangolt intézkedés során a hazai közszférabeli (közfeladatot ellátó) adatkezelők egy részének adatvédelmi tisztviselői körében végzett felmérést.


A válaszok beérkezését követően a felügyeleti hatóságok elkészítették saját nemzeti jelentéseiket. Ezeket a Titkárság összesítette és összeállította azt a dokumentumot, amely az EDPB január 16-i plenáris ülésén elfogadásra került. Az összegyűjtött adatok (összesen több mint 17.000 kitöltött kérdőív érkezett be) széleskörű betekintést nyújtanak az adatvédelmi tisztviselők profiljába, helyzetébe és munkájába 5 évvel az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válását követően.


A jelentés első része az egyes kérdésekre adott válaszokra vonatkozó statisztikákat tartalmazza, míg a második rész az adatvédelmi tisztviselők és az őket kijelölő szervezetek előtt álló kihívásokat elemzi. Az aggályok és kihívások (például az adatvédelmi tisztviselő kijelölésének hiánya, még ha az kötelező is; az adatvédelmi tisztviselő forrásainak vagy szakértői ismereteinek elégtelensége; az adatvédelmi tisztviselőket nem bízzák meg teljes mértékben az adatvédelmi jogszabályokban előírt feladatokkal; a függetlenség vagy a felső vezetésnek való jelentéstétel hiánya) ellenére az eredmények biztatóak. A megkérdezett adatvédelmi tisztviselők többsége úgy nyilatkozott, hogy rendelkezik a munkájához szükséges készségekkel és ismeretekkel, és rendszeres képzésekben részesül, és hogy a GDPR-ral összhangban világosan meghatározott feladatokkal rendelkezik, és nem kap utasításokat arra vonatkozóan, hogy miként végezze feladatait. Emellett jelezték, hogy a legtöbb esetben konzultálnak velük, és elegendő információt kapnak a feladataik ellátásához, véleményüket figyelembe veszik, és a legtöbbjük úgy véli, hogy rendelkezik a tisztviselői feladatok elvégzéséhez szükséges eszközökkel. Azonban még mindig túl sok adatvédelmi tisztviselő van, aki nincs ilyen helyzetben.


Az azonosított kihívások kezelése érdekében a jelentés felsorol néhány ajánlást az adatkezelők, az adatvédelmi tisztviselők és az adatvédelmi felügyeleti hatóságok számára az adatvédelmi tisztviselők függetlenségének megerősítése és a feladataik ellátásához szükséges erőforrások biztosítása érdekében. A jelentés többek között arra ösztönzi az adatvédelmi felügyeleti hatóságokat, hogy több figyelemfelhívó és tájékoztató, tevékenységet végezzenek, az adatkezelőket pedig arra, hogy biztosítsák, hogy az adatvédelmi tisztviselőknek elegendő lehetőségük, idejük és forrásuk legyen ismereteik frissítésére és a legújabb fejlemények megismerésére.


A megfogalmazott ajánlások közül ki kell emelni az EDPB jogelődjének, a 29. cikk szerinti Adatvédelmi Munkacsoportnak az adatvédelmi tisztviselőkkel kapcsolatos – a GDPR alkalmazandóvá válását követően az EDPB által fenntartott – WP243 számú iránymutatásának felülvizsgálatára irányuló ajánlást.


A jelentéshez két melléklet tartozik: az intézkedés során gyűjtött statisztikák és az intézkedésben részt vevő adatvédelmi felügyeleti hatóságok – beleértve a NAIH-ot is – (angol nyelvű) nemzeti jelentései.


A jelentés és annak mellékletei (angol nyelven) elérhetőek az EDPB weboldalán:
https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en


A jelentés elfogadását követően az EDPB (is) közleményt adott ki:
https://edpb.europa.eu/news/news/2024/edpb-identifies-areas-improvement-promote-role-and-recognition-dpos_en


Korábbi (a kérdőíves felmérés indulásakor kiadott) közlemények:
- NAIH:
https://www.naih.hu/hirek/536-koezlemeny-az-europai-adatvedelmi-testuelet-altal-a-2023-evre-prioritaskent-meghatarozott-az-adatvedelmi-tisztviselok-szerepere-fokuszalo-oesszehangolt-fellepes-tenyleges-megkezdeserol
- EDPB:
https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en


Budapest, 2023. január 23.

Dr. habil. Péterfalvi Attila
elnök
c. egyetemi tanár

 

Az Európai Adatvédelmi Testület honlapján nyilvánosságra hozta a Tilburg University professzora által (külső szakértőként) készített,  az adatbiztonságra és az incidens bejelentésre vonatkozó, a felügyeleti hatóságok döntéseit elemző tanulmányt.

Az angol nyelvű tanulmány az alábbi linken érhető el:

One-Stop-Shop case digest on Security of Processing and Data Breach Notification | European Data Protection Board (europa.eu)