Európai Adatvédelmi Testület

Európai Adatvédelmi Testület – Harminchetedik plenáris ülés: Az adatkezelő-feldolgozókra vonatkozó iránymutatás, a közösségi média felhasználóinak megcélzásáról szóló iránymutatás, az EUB Schrems II. ügyben hozott ítéletét követően benyújtott panaszokkal

Friday, 4 September, 2020

Brüsszel, szeptember 3. –  A Testület elfogadta az általános adatvédelmi rendeletben szereplő adatkezelő és adatfeldolgozó fogalmáról, és a közösségi média felhasználóinak megcélzásáról szóló iránymutatásokat. Emellett az Európai Adatvédelmi Testület létrehozott egy, az EUB Schrems II. ügyben hozott ítéletét követő panaszokkal foglalkozó munkacsoportot, valamint az adatátadók és -átvevők számára előírható kiegészítő intézkedésekkel foglalkozó munkacsoportot az EUB Schrems II. ügyben hozott ítéletének fényében az adattovábbításra vonatkozóan.

A Testület elfogadta az adatkezelő és az adatfeldolgozó általános adatvédelmi rendeletben szereplő fogalmáról szóló iránymutatást. Az általános adatvédelmi rendelet hatályba lépése óta kérdések merültek fel arra vonatkozóan, hogy az általános adatvédelmi rendelet milyen mértékben változtatta meg ezeket a fogalmakat, különös tekintettel a közös adatkezelés fogalmára (az általános adatvédelmi rendelet 26. cikke szerint és az EUB több ítéletét követően), valamint az általános adatvédelmi rendelet IV. fejezetében az adatfeldolgozókra vonatkozóan meghatározott kötelezettségekre (különösen az általános adatvédelmi rendelet 28. cikke).

2019 márciusában az Európai Adatvédelmi Testület és annak titkársága az érdekelt felek számára szervezett egy rendezvényt, amely során egyértelművé vált, hogy gyakorlatiasabb iránymutatásra van szükség, és egyúttal lehetőséget biztosított a Testület számára, hogy jobban megértse az e téren felmerülő szükségleteket és aggodalmakat. Az új iránymutatás két fő részből áll: a különféle fogalmak magyarázata; a másik rész részletes iránymutatást tartalmaz e fogalmaknak az adatkezelőkre, adatfeldolgozókra és közös adatkezelőkre gyakorolt fő következményeiről. Az iránymutatás tartalmaz egy folyamatábrát, amely további gyakorlati útmutatást nyújt. Az iránymutatást nyilvános konzultációra bocsátják.

Az Európai Adatvédelmi Testület elfogadta a közösségi média felhasználóinak megcélzásáról szóló iránymutatást. Az iránymutatás célja, hogy gyakorlati iránymutatást nyújtson az érdekelt feleknek, és különféle példákat tartalmaz a különböző helyzetekre, hogy az érdekelt felek gyorsan azonosíthassák azt a „forgatókönyvet”, amely a legközelebb áll az általuk alkalmazni kívánt megcélzási gyakorlathoz. Az iránymutatás fő célja a közösségimédia-szolgáltató és a megcélzott egyén szerepének és felelősségének tisztázása. E célból az iránymutatás többek között meghatározza az egyének szabadságát fenyegető lehetséges kockázatokat, a főbb szereplőket és szerepüket, a kulcsfontosságú adatvédelmi követelmények – mint például a jogszerűség és az átláthatóság, valamint az adatvédelmi hatásvizsgálat – alkalmazását, valamint a közösségimédia-szolgáltatók és a megcélzott egyének közötti megállapodások kulcsfontosságú elemeit. Ezen túlmenően az iránymutatás a különféle célzási mechanizmusokra, a speciális adatkategóriák feldolgozására, valamint a közös adatkezelők megfelelő rendelkezések alkalmazására irányuló, az adatvédelmi rendelet 26.cikke alapján meghatározott kötelezettségére is koncentrál. A plenáris ülés nyilvános konzultációra bocsátja az iránymutatást.

A Testület munkacsoportot hozott létre az EUB Schrems II. ügyben hozott ítéletét követően benyújtott panaszok kivizsgálására. Összesen 101 azonos panaszt nyújtottak be az EGT adatvédelmi hatóságainál az EGT tagállamokban működő számos adatkezelő ellen a Google / Facebook szolgáltatások alkalmazásait illetően, amely személyes adatok továbbítását is magukban foglalták. Konkrétan az NOYB nem kormányzati szervezet által képviselt panaszosok azt állítják, hogy a Google/Facebook az EU-USA adatvédelmi pajzsra vagy az általános szerződési feltételekre támaszkodva személyes adatokat továbbít az Egyesült Államoknak, és hogy az EUB C-311/18. sz. ügyben nemrégiben hozott ítélete szerint az adatkezelő nem képes biztosítani a panaszosok személyes adatainak megfelelő védelmét. A munkacsoport elemzi a kérdést, és biztosítja a Testület tagjai közötti szoros együttműködést.

Az EUB Schrems II. ügyben hozott ítéletének nyomon követésének részeként és a július 23-án elfogadott GYIK mellett a Testület munkacsoportot hozott létre. A munkacsoport ajánlásokat dolgoz ki, amelyek segítik az adatkezelőket és az adatfeldolgozókat abban, hogy megfelelő kiegészítő intézkedéseket határozzanak meg és hajtsanak végre az adatok harmadik országokba történő továbbítása során a megfelelő védelem biztosítása érdekében.

Andrea Jelinek, az EDPB elnöke: „Az Európai Adatvédelmi Testület tisztában van azzal, hogy a Schrems II. ügyben hozott ítélet fontos felelősséget ró az adatkezelőkre. A röviddel az ítéletet követően megfogalmazott nyilatkozaton és GYIK-en kívül ajánlásokat fogunk kidolgozni az adatkezelők és -feldolgozók támogatására azon kötelezettségük tekintetében, hogy megfelelő jogi, technikai és szervezeti jellegű kiegészítő intézkedéseket határozzanak meg és hajtsanak végre annak érdekében, hogy személyes adatok harmadik országokba történő továbbításakor megfeleljenek a lényegi azonosság alapelvének. Az ítélet következményei azonban széles körűek, és a harmadik országokba irányuló adattovábbítás körülményei nagyon eltérőek. Ezek alapján nem létezik egyetlen, minden helyzetre alkalmazható gyors megoldás. Valamennyi szervezetnek értékelnie kell saját adatfeldolgozási műveleteit és adattovábbításait, és meg kell hoznia a megfelelő intézkedéseket.”

Megjegyzések a szerkesztőknek:
Felhívjuk a figyelmet arra, hogy az Európai Adatvédelmi Testület plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok az ellenőrzések után az Európai Adatvédelmi Testület honlapján lesznek elérhetőek.

EDPB_Press Release_2020_14