A nem személyes adatok szabad áramlása az EU-ban
2019. május 28-tól alkalmazandó a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló Rendelet – De mit is jelent ez nekünk? Ezt a kérdéskört fejti ki Kozma Zoltán, a DLA Piper Hungary ügyvédje.
Nem személyes adat az, amely semmilyen formában nem hozható összefüggésbe azonosított, vagy azonosítható természetes személlyel, pl. a nagy adathalmazok (big data) elemzéséhez használt összesített és anonimizált adatkészletek, ipari gépek karbantartási igényeire vonatkozó adatok, szélturbinákra telepített szenzorok által generált időjárási adatok stb. A Rendelet célja tehát, hogy a GDPR személyes adatok szabad áramlásáról szóló rendelkezését kiegészítve biztosítsa az ilyen nem személyes adatok Unión belüli teljes körű szabad áramlását is, megteremtve ezáltal a közös európai adatteret. A Bizottság minap kiadott iránymutatása pedig kifejezetten nevesíti a Rendelet felhőszolgáltatások igénybevételére gyakorolt stimuláló hatását, tehát deklarált és elsődleges cél a felhőszolgáltatásokat akadályozó jogszabályok eltörlése a tagállamokban.
Ennek megfelelően hangsúlyozni kell, hogy a Rendeletnek elsősorban a tagállamok a címzettjei, a Rendelet ugyanis a tagállamok számára tiltja az adatok áramlását akadályozó adatlokalizációs követelmények alkalmazását. Ilyen lehet bármely olyan kötelezettség, tilalom, feltétel, korlátozás, vagy bármely más követelmény amely előírja, hogy az adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adatkezelés bármely más tagállamban történjen.
Az ilyen rendelkezéseket a tagállamok elsősorban adatbiztonsági okokból alkalmazzák azért, hogy megőrizzék az adatok bizalmasságát, sértetlenségét és rendelkezésre állását. Természetesen az is szempont, hogy az adatokhoz más államok bűnüldöző szervei és egyéb hatóságai ne férjenek hozzá, joghatóságuk ne terjedjen ki az ilyen adatokra. Végül a protekcionizmus is indokolhatja az ilyen intézkedéseket, a külföldi szolgáltatóknak ugyanis az ilyen rendelkezéseket alkalmazó államok esetén az adattárolási kapacitásukat az adott államba kell telepíteniük, ha ott szolgáltatásokat akarnak nyújtani (amely a nagy felhőszolgáltatók, pl. Amazon, Google vagy Microsoft esetén nyilvánvalóan életszerűtlen sok tagállam, így köztük Magyarország tekintetében is). Mindez – a Bizottság szerint – számos negatív hatással jár, csorbítja a versenyt, akadályozza az új technológiák, így a mesterséges intelligencia, dolgok internete, autonóm rendszerek stb. terjedését, a fogyasztók, vállalkozások és elsősorban a közjogi intézmények választási szabadságát az adatközpontú szolgáltatást nyújtó szolgáltatók tekintetében.
Az ilyen tagállami követelményeket tehát a Rendelet szerint 2021. május 30-ig el kell törölni, kivéve ha ezek közbiztonsági okokból indokoltak és arányosak. Az Európai Bizottság a Rendelethez végzett hatásvizsgálatában több mint 60 ilyen adatlokalizációs követelményt azonosított a különböző tagállamokban.
Magyarország tekintetében – a Bizottság hatástanulmányában is említett – tipikus adatlokalizációs követelményeket tartalmazó jogszabály az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.). Az Ibtv. hatálya rendkívül tág, kiterjed többek között a központi államigazgatási szervekre, bíróságokra, ügyészségekre, kormányhivatalokra, önkormányzatokra, a Magyar Nemzeti Bankra stb., valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozóira, tehát a kormányzat és a kormányzati adatkezelés jelentős részét felöleli. Az Ibtv. előírása szerint ezen szervek által kezelt adatok kizárólag Magyarország területén üzemeltetett és tárolt elektronikus információs rendszerekben kezelhetőek.
Az Ibtv. ugyan biztosítja annak elvi lehetőségét, hogy az adatok hatósági engedéllyel az EGT-államok területén belül üzemeltetett elektronikus információs rendszerekben is kezelhetőek legyenek, azonban mivel az illetékes hatóság kizárólag az ügyféllel közli erre vonatkozó határozatát, ennek gyakorlati megvalósulása nem ismert. A fent említett okokból azonban vélhetőleg nem sok ilyen engedély kerül kiadásra. A nemzeti létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem (kritikus infrastruktúra) Magyarországon kívüli üzemeltetésére pedig nem is adható ilyen engedély.
A Rendelet eredményeképpen tehát Magyarországnak 2021. május 30-ig kell közölnie, ha ezeket a rendelkezéseket hatályban kívánja tartani, ennek indokolásával együtt. (Kérdés persze, hogy a fent részletezett hatósági engedélyezési rendszer hogyan viszonyul a Rendelet szabályaihoz, de az Ibtv. szabályai vélhetőleg még így is adatlokalizációs követelménynek minősülnek.) Mint említettük közbiztonsági okokból az ilyen típusú rendelkezések bár hatályban maradhatnak, azonban a Bizottság a közlés kézhezvételétől számított 6 hónapon belül megvizsgálja ezeket a rendelkezéseket és észrevételeket fogalmazhat meg, amelyben javasolhatja az intézkedés módosítását, vagy hatályon kívül helyezését. Fontos továbbá hangsúlyozni, hogy az Európai Unión kívüli országok tekintetében nincs akadálya adatlokalizációs követelmények előírásának, tehát az adatok Európai Unión kívüli tárolása tilalmazható. Természetesen annak sincs akadálya, hogy a közigazgatási szervek és közjogi intézmények saját maguk nyújtsák a szolgáltatásokat vagy visszaszervezzék azokat, tehát a Rendelet nem kötelezi a tagállamokat arra, hogy külső feleket bízzanak meg a szolgáltatások nyújtásával. Sok tagállamban működik pl. kormányzati felhő, vagy a kormányzat által működtetett központi IT szolgáltató. Magyarországon ilyennek tekinthető a NISZ, amely teljes körű infokommunikációs szolgáltatásokat nyújt az állami és kormányzati szervek számára.
Természetesen ahhoz, hogy a tagállamok az ilyen adatlokalizációs követelményeket megszüntessék ösztönözni kell őket, ezért a Rendelet előírja, hogy a tagállamok illetékes hatóságai hozzáférést kérhetnek az adatokhoz nemzeti joguknak megfelelően és azzal az indokkal a hozzáférést nem lehet megtagadni, hogy az adatkezelés egy másik tagállamban történik. Ha pedig a hatóság nem kap hozzáférést az adatokhoz és nincs konkrét együttműködési megállapodás a tagállamok között az adatcseréről, úgy a hatóságok a Rendeletben szabályozott eljárási rend szerint segítséget kérhetnek egymástól. Kérdés, hogy a Rendelet ebben a tekintetben nyújt-e többletjogosítványokat a hatóságok részére az adatokhoz történő hozzáférés tekintetében. Például magyar bűnüldöző hatóságok ezentúl könnyebben kérhetnek-e külföldön tárolt adatokat, illetve az érintett természetes személyek és jogi személyek akiktől az adatokat kérik, valamint a hatóságok hivatkozhatnak-e az adattárolás helye szerinti külföldi jogszabályokra, ha az adatok kiadását ezen jogszabályok alapján kívánják megtagadni. Ezeket a kérdéseket várhatóan majd csak a gyakorlat fogja tudni megválaszolni.
Kapcsolódó cikkek
- IAB Europe: Május 25-ig bárki véleményt fűzhet a TCF 2.0-hoz
- A kiberbiztonsági kérdéseket nem lehet szőnyeg alá söpörni
- Új Commvault HyperScale célgépeivel a Fujitsu még több lehetőséget kínál a biztonsági mentés terén
- Lejárt a mémek kora? Az új európai szerzői jogi reform és a vitatott rendelkezései
- Jelentős változások jönnek a biztonsági kamerákra vonatkozó szabályokban
- Megjelent az in nuce DPO készlet
- Ne csak a kibertámadásoktól védjük adatainkat!
- Legális puska az előírások teljesítéséhez
- A GDPR csak a kezdet volt – folytatódik a digitális világ akadálymentesítése
- GDPR tapasztalatok a régióban
Trend ROVAT TOVÁBBI HÍREI
EY: csak átmeneti a megtorpanás az elektromos autók piacán
Lassulás tapasztalható idén a tisztán elektromos, hibrid és plug-in járművek (EV) iránti globális kereslet növekedésében – derül ki az EY 28 ország 19 000 fogyasztójának megkérdezésével készült nemzetközi felméréséből. Az elektromobilitás előretörése miatt a megtorpanás várhatóan csak ideiglenes és a gyártók hamarosan újra növelhetik a kapacitásokat – emeli ki Szűcs Tamás, az EY autóipari iparági csoportjának vezető partnere.
Miért dugulnak be sorra a csomagautomata szolgáltatók? Ez az adat rámutat az okokra
Egyre népszerűbbek a csomagautomaták: idén már a webshopok közel háromnegyede kínálja ezt az átvételi módot, ami 12 százalékos növekedést jelent az előző évhez képest. Az egyre növekvő kereslet az egyik fő oka lehet a szolgáltatók kapacitásproblémáinak – állapította meg a Nagy Webáruház Felmérés.
A digitális technológiák jelentik a jövő oktatásának alapját
Okostanterem, szupergyors Wi-Fi és innovatív tárolási megoldások – többek között ezek a technológiai fejlesztések alakíthatják az egyetemi oktatás és -kutatás jövőjét. Az Óbudai Egyetem és a Huawei Technologies „Digitális fokozatváltás a felsőoktatásban” című közös rendezvényén a digitális oktatás legújabb trendjeit és a Huawei legfejlettebb megoldásait mutatták be, amelyek hatékonyabbá és interaktívabbá tehetik a tanulási környezetet. Az Óbudai Egyetemen már telepítési fázisban lévő Wi-Fi 7 hálózati technológia például négyszer gyorsabb adatátvitelt kínál, míg a mesterséges intelligencia és a felhőalapú megoldások a személyre szabott oktatást és nemzetközi kutatási együttműködéseket támogatják.