Európai Adatvédelmi Testület

Európai Adatvédelmi Testület – Harmincnegyedik plenáris ülés: Schrems II, a második pénzforgalmi szolgáltatási irányelv és az általános adatvédelmi rendelet közötti kapcsolat, valamint levél Ďuriš Nicholsonová európai parlamenti képviselőnek a kontaktköve

Monday, 20 July, 2020

Brüsszel, július 20. – 34. plenáris ülésén az Európai Adatvédelmi Testület nyilatkozatot fogadott el az EUB Facebook Ireland kontra Schrems ügyben hozott ítéletéről. A Testület iránymutatásokat fogadott el a második pénzforgalmi szolgáltatási irányelv és az általános adatvédelmi rendelet közötti kapcsolatról, valamint elfogadott egy Ďuriš Nicholsonová európai parlamenti képviselőhöz intézett válaszlevelet a kontaktkövetésről, az alkalmazások interoperabilitásáról és az adatvédelmi hatásvizsgálatokról.

Az Európai Adatvédelmi Testület nyilatkozatot fogadott el az Európai Unió Bírósága által a C-311/18. sz. Data Protection Officer kontra Facebook Ireland és Maximillian Schrems ügyben hozott ítéletről, amelyben a Bíróság érvénytelennek nyilvánította az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot és úgy ítélte meg, hogy a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat érvényes.

Az adatvédelmi pajzs tekintetében az Európai Adatvédelmi Testület rámutat arra, hogy az EU-nak és az USA-nak olyan teljes és hatékony keretet kell kialakítania, amely garantálja, hogy az USA-ban a személyes adatok számára biztosított védelem szintje – az ítélettel összhangban – lényegében egyenértékű legyen az EU-ban biztosított védelemmel. Az Európai Adatvédelmi Testület továbbra is konstruktív szerepet kíván játszani az EGT polgárainak és szervezeteinek javát szolgáló, személyes adatok transzatlanti továbbításának biztosításában, és készen áll arra, hogy segítséget és iránymutatást nyújtson az Európai Bizottságnak abban, hogy az Egyesült Államokkal együtt az európai uniós adatvédelmi jognak teljes mértékben megfelelő új keretrendszert alakítson ki.

Ami az általános szerződési feltételeket illeti, az Európai Adatvédelmi Testület tudomásul veszi, hogy annak eldöntésekor, hogy alkalmazzák-e az általános szerződési feltételeket, elsődlegesen az adatátadó és az adatátvevő felelőssége annak biztosítása, hogy e feltételek olyan védelmi szintet tartsanak fenn, amely lényegében azonos az általános adatvédelmi rendelet által az Európai Unió Alapjogi Chartájának fényében biztosított védelmi szinttel. Az ilyen előzetes értékelés elvégzésekor az adatátadónak (szükség esetén az adatátvevő segítségével) figyelembe kell vennie az általános szerződési feltételek tartalmát, a továbbítás konkrét körülményeit, valamint az adatátvevő országában alkalmazandó jogi szabályozást. A Bíróság hangsúlyozza, hogy az adatátadónak adott esetben fontolóra kell vennie az általános szerződési feltételekben foglaltak mellett kiegészítő intézkedések meghozatalát. Az Európai Adatvédelmi Testület tovább fogja vizsgálni, hogy ezek a kiegészítő intézkedések mit foglalhatnak magukban.

Az Európai Adatvédelmi Testület tudomásul veszi az illetékes felügyeleti hatóságok azon feladatát is, hogy az általános szerződési feltételek alapján felfüggesszék vagy megtiltsák az adatok harmadik országba történő továbbítását, amennyiben az illetékes felügyeleti hatóság véleménye szerint és az adattovábbítás összes körülményét figyelembe véve az adott harmadik országban nem teljesülnek vagy nem teljesíthetők a feltételek, és a továbbított adatok védelme más eszközökkel nem biztosítható, különösen akkor, ha az adatkezelő vagy az adatfeldolgozó maga nem függesztette fel vagy szüntette meg az adattovábbítást.

Az Európai Adatvédelmi Testület emlékeztet arra, hogy iránymutatásokat fogadott el az általános adatvédelmi rendelet 49. cikkéről, és hogy ezeket az eltéréseket eseti alapon kell alkalmazni.

Az Európai Adatvédelmi Testület részletesebben értékelni fogja az ítéletet, és további felvilágosítást és iránymutatást nyújt az érdekelt felek számára a személyes adatoknak az ítélet alapján harmadik országokba történő továbbítására szolgáló eszközök használatáról. Amint azt a Bíróság megállapította, az Európai Adatvédelmi Testület és annak európai felügyeleti hatóságai is készen állnak arra, hogy biztosítsák az EGT-n belüli következetességet.

A teljes nyilatkozat elérhető itt: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Az Európai Adatvédelmi Testület iránymutatásokat fogadott el a második pénzforgalmi szolgáltatási irányelvről. A második pénzforgalmi szolgáltatási irányelv korszerűsíti a pénzforgalmi szolgáltatások piacának jogi keretét. A második pénzforgalmi szolgáltatási irányelv mindenekelőtt az új megbízásos online átutalásoknak és a számlainformációk összesítésének jogi keretét állapítja meg. A felhasználók kérésére az ezeket az új pénzforgalmi szolgáltatásokat nyújtó szolgáltatók hozzáférhetnek fizetési számláikhoz. Az érdekelt felek 2019. februári munkaértekezletét követően az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki az általános adatvédelmi rendeletnek ezen új pénzforgalmi szolgáltatásokra való alkalmazásáról.

Az iránymutatások rámutatnak, hogy a személyes adatok különleges kategóriáinak kezelése e körülmények között általában tilos (az általános adatvédelmi rendelet 9. cikke (1) bekezdésének megfelelően), kivéve, ha ehhez az érintett kifejezett hozzájárulását nem adja (az általános adatvédelmi rendelet 9. cikke (2) bekezdésének a) pontja) vagy ha az adatkezelés jelentős közérdek miatt szükséges (az általános adatvédelmi rendelet 9. cikke (2) bekezdésének g) pontja).

Az iránymutatások kitérnek azokra a feltételekre is, amelyek mellett a számlavezető pénzforgalmi szolgáltatók a fizetési számlára vonatkozó információkhoz hozzáférést adhatnak a megbízásos online átutalási szolgáltatók és a számlainformációkat összesítő szolgáltatók számára, különösen ami a fizetési számlákhoz való granuláris hozzáférést illeti.

Az iránymutatások egyértelművé teszik, hogy sem a második pénzforgalmi szolgáltatási irányelv 66. cikke (3) bekezdésének g) pontja, sem pedig 67. cikke (2) bekezdésének f) pontja nem teszi lehetővé a további adatkezelést, kivéve, ha az érintett az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja szerint ehhez hozzájárulását adta vagy az adatkezelést uniós jog vagy tagállami jog megállapítja. Az iránymutatásokat nyilvános konzultációra bocsátják.

Végül a Testület elfogadott egy levelet, amelyben választ ad Ďuriš Nicholsonová európai parlamenti képviselő kérdéseire a Covid19-vírus elleni küzdelem keretében biztosított adatvédelemről. A levél a kontaktkövető alkalmazások harmonizációjával és interoperabilitásával kapcsolatos kérdésekkel, valamint azzal foglalkozik, hogy szükséges-e adatvédelmi hatásvizsgálat az ilyen jellegű adatkezelés esetében és meddig tarthat az adatkezelés.

EDPB_Press Release_2020_12