ÁLLÁSFOGLALÁSI INDÍTVÁNY az általános adatvédelmi rendelet végrehajtásáról szóló bizottsági értékelő jelentésről – a rendelet alkalmazásának két éve
17.3.2021 - (2020/2717(RSP))
benyújtva az eljárási szabályzat 132. cikkének (2) bekezdése alapján
Juan Fernando López Aguilar
az Állampolgári Jogi, Bel- és Igazságügyi Bizottság nevében
B9-0211/2021
Az Európai Parlament állásfoglalása az általános adatvédelmi rendelet végrehajtásáról szóló bizottsági értékelő jelentésről – a rendelet alkalmazásának két éve
Az Európai Parlament,
– tekintettel az Európai Unió Alapjogi Chartájának 8. cikkére,
– tekintettel az Európai Unió működéséről szóló szerződés 16. cikkére,
– tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv visszavonásáról szóló, 2016. április 27-i (EU) 2016/679 rendeletre (általános adatvédelmi rendelet) (GDPR)[1],
– tekintettel „A polgárok szerepe erősítésének és az EU digitális átállással kapcsolatos megközelítésének pillérét képező adatvédelem – az általános adatvédelmi rendelet alkalmazásának két éve” című, az Európai Parlamentnek és a Tanácsnak címzett, 2020. június 24-i bizottsági közleményről szóló bizottsági nyilatkozatra,
– tekintettel „A polgárok szerepe erősítésének és az EU digitális átállással kapcsolatos megközelítésének pillérét képező adatvédelem – az általános adatvédelmi rendelet (COM(2020)0264) alkalmazásának két éve” című, az Európai Parlamentnek és a Tanácsnak címzett, 2020. június 24-i bizottsági közleményre,
– tekintettel a Bizottság „Adatvédelmi szabályok: a bizalom alapja az Európai Unión belül és kívül – mérleg” című, 2019. július 24-i közleményére(COM(2019)0374),
– tekintettel az Európai Adatvédelmi Testület által az általános adatvédelmi rendelet 97. cikk szerinti értékeléséhez nyújtott, 2020. február 18-án elfogadott hozzájárulásra[2],
– tekintettel az Európai Adatvédelmi Testület „Első áttekintés az általános adatvédelmi rendelet végrehajtásáról és a nemzeti felügyeleti hatóságok szerepeiről és eszközeiről” című, 2019. február 26-i dokumentumára[3],
– tekintettel az Európai Adatvédelmi Testület által az általános adatvédelmi rendelet 70. cikke (1) bekezdésének e) pontja alapján elfogadott iránymutatásokra,
– tekintettel eljárási szabályzata 132. cikkének (2) bekezdésére,
– tekintettel az Állampolgári Jogi, Bel- és Igazságügyi Bizottság állásfoglalási indítványára,
A. mivel az általános adatvédelmi rendeletet 2018. május 25. óta kell alkalmazni; mivel Szlovénia kivételével valamennyi tagállam új jogszabályt fogadott el vagy kiigazította nemzeti adatvédelmi jogszabályait;
B. mivel az Alapjogi Ügynökség (FRA) 2019-es alapjogi felmérése szerint az egyének egyre jobban tudatában vannak az általános adatvédelmi rendelet szerinti jogaiknak; mivel annak ellenére, hogy a szervezetek intézkedéseket hoztak annak érdekében, hogy megkönnyítsék az érintettek számára a jogaik gyakorlását, az egyének továbbra is nehézségekkel szembesülnek e jogok gyakorlása során, különös tekintettel a hozzáférési jogra, a hordozhatóságra és a nagyobb átláthatóságra;
C. mivel az általános adatvédelmi rendelet alkalmazásának kezdete óta a felügyeleti hatóságoknál jelentősen megnőtt a panaszok száma; mivel ez azt mutatja, hogy az érintettek jobban tisztában vannak jogaikkal, és az általános adatvédelmi rendelettel összhangban védeni kívánják személyes adataikat; mivel ez azt is mutatja, hogy továbbra is nagy mennyiségű illegális adatfeldolgozási műveletre kerül sor;
D. mivel sok vállalkozás az általános adatvédelmi rendelet hatálybalépése és alkalmazhatósága közötti átmeneti időszakot az adatok terén egy „tavaszi nagytakarításra” használta fel annak felmérése érdekében, hogy milyen adatkezelés folyik valójában, és melyik az az adatkezelés, amely már nem szükséges vagy nem indokolt;
E. mivel számos adatvédelmi hatóság nem képes megbirkózni a panaszok számával; mivel sok adatvédelmi hatóság létszámhiánnyal és forráshiánnyal küzd, és nem rendelkezik elegendő számú informatikai szakértővel;
F. mivel az általános adatvédelmi rendelet elismeri, hogy a tagállamok jogának össze kell egyeztetnie a véleménynyilvánítás és a tájékozódás – ideértve az újságírói, a tudományos, a művészi, illetve az irodalmi kifejezés – szabadságára vonatkozó szabályokat a személyes adatok védelmére vonatkozó joggal; mivel a 85. cikk értelmében a tagállamok jogszabályainak mentességet kell biztosítaniuk az újságírás vagy a tudományos művészi vagy irodalmi kifejezés céljából végzett adatfeldolgozás tekintetében, amennyiben ez szükségesnek bizonyul a személyes adatok védelméhez való jognak a szólásszabadsággal és a tájékozódás szabadságával való összeegyeztetéséhez;
G. mivel – amint azt az Európai Adatvédelmi Testület is hangsúlyozta – az újságírói források védelme a sajtószabadság sarokköve; mivel az általános adatvédelmi rendeletet nem szabad az újságírókkal szemben és az információkhoz való hozzáférés korlátozása érdekében alkalmazni; mivel a nemzeti hatóságok semmilyen körülmények között nem használhatják fel azt a média szabadságának korlátozására;
Általános észrevételek
1. üdvözli, hogy az általános adatvédelmi rendelet a személyes adatok védelmének globális standardjává és a normák konvergenciájának egyik tényezőjévé vált; üdvözli, hogy az általános adatvédelmi rendelet folytán az adatvédelemről folytatott nemzetközi vitákban az EU játssza a főszerepet, és számos harmadik ország az általános adatvédelmi rendelettel hangolta össze adatvédelmi jogszabályait; rámutat arra, hogy az Európa Tanácsnak a személyes adatok gépi feldolgozása során az egyének védelméről szóló 108. sz. egyezményét („108+ egyezmény”) összhangba hozták az általános adatvédelmi rendelettel, és ezt már 42 ország aláírta; sürgeti a Bizottságot és a tagállamokat, hogy használják ki ezt a lendületet arra, hogy az ENSZ, az OECD, a G8, a G20 szintjén – az általános adatvédelmi rendelet aláásása nélkül – ösztönözzék az európai értékeken és elveken alapuló nemzetközi szabványok létrehozását; hangsúlyozza, hogy az ezen a területen megvalósuló európai erőfölény segítene a kontinensünknek abban, hogy jobban megvédje polgárai jogait, oltalmazza értékeinket és elveinket, előmozdítsa a megbízható digitális innovációt, és a széttagoltság elkerülésével felgyorsítsa a gazdasági növekedést;
2. megállapítja, hogy két évvel az általános adatvédelmi rendelet alkalmazása után elmondható, hogy a rendelet összességében sikeres, és egyetért a Bizottsággal abban, hogy ebben a szakaszban nincs szükség a jogszabály naprakésszé tételére vagy felülvizsgálatára;
3. elismeri, hogy a Bizottság által végzett következő értékelésig továbbra is a végrehajtás javítására és az általános adatvédelmi rendelet érvényesítésének megerősítését célzó intézkedésekre kell összpontosítani;
4. elismeri, hogy a nagy digitális platformokkal, az integrált vállalkozásokkal és más digitális szolgáltatásokkal szemben az általános adatvédelmi rendeletet erőteljesen és hatékonyan kell végrehajtani, különösen az olyan területeken, mint az online hirdetések, a mikrotargetálás, az algoritmusokon alapuló profilalkotás, rangsorolás, a tartalmak terjesztése és kiegészítése;
Az adatfeldolgozás jogalapja
5. hangsúlyozza , hogy az általános adatvédelmi rendelet 6. cikkében meghatározott hat jogalap egyaránt érvényes a személyes adatok kezelésére, és hogy ugyanaz az adatkezelési tevékenység egynél több alapba is tartozhat; sürgeti az adatfelügyeleti hatóságokat annak pontosítására, hogy az adatkezelők csak egy jogalapot használhatnak minden egyes adatfeldolgozási tevékenységek céljának meghatározásához, és hogy az egyes jogalapokra hogyan támaszkodnak feldolgozási műveleteik céljából; aggodalmának ad hangot amiatt, hogy az adatkezelők adatvédelmi politikájukban az általános adatvédelmi rendelet minden jogalapját gyakran további magyarázat nélkül és a szóban forgó konkrét feldolgozási műveletre való hivatkozás nélkül említik meg; úgy véli, hogy ez a gyakorlat akadályozza az érintettek és a felügyeleti hatóságok abbéli képességét, hogy értékeljék e jogalapok megfelelőségét; emlékeztet arra, hogy a személyes adatok speciális kategóriáinak feldolgozása érdekében meg kell határozni a 6. cikk szerinti jogszerű indokokat és a feldolgozás 9. cikk szerinti külön feltételét; emlékezteti az adatkezelőket jogi kötelezettségükre, hogy el kell végezniük az adatvédelmi hatásvizsgálatot, ha az adatok feldolgozása valószínűleg nagy kockázatot jelent a természetes személyek jogai és szabadságai szempontjából;
6. emlékeztet arra, hogy az általános adatvédelmi rendelet alkalmazásának kezdete óta a „hozzájárulás” az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítását jelenti; hangsúlyozza, hogy ez az elektronikus hírközlési adatvédelmi irányelvre is vonatkozik; megjegyzi, hogy az érvényes hozzájárulás végrehajtását továbbra is veszélyezteti a sötét foltok, a széles körű nyomon követés és más etikátlan gyakorlatok alkalmazása; aggodalmát fejezi ki amiatt, hogy az egyénekre gyakran olyan pénzügyi nyomás nehezedik, hogy árengedményekért vagy egyéb kereskedelmi ajánlatokért cserébe hozzájárulásukat adják, vagy arra kényszerülnek, hogy árukapcsolásra vonatkozó rendelkezések révén hozzájárulásuk megadásához kötik egy szolgáltatáshoz való hozzáférésüket, ami sérti az általános adatvédelmi rendelet 7. cikkét; emlékeztet arra, hogy az Európai Adatvédelmi Testület harmonizálta az arra vonatkozó szabályokat, hogy mi minősül érvényes hozzájárulásnak, felváltva a számos nemzeti adatvédelmi hatóság által alkalmazott különböző értelmezéseket és elkerülve a digitális egységes piacon belüli széttöredezettséget; emlékeztet továbbá az Európai Adatvédelmi Testület és a Bizottság iránymutatásaira, amelyek szerint azokban az esetekben, amikor az érintett eredetileg hozzájárulását adta, de a személyes adatokat az érintett hozzájárulásának céljától eltérő célból dolgozzák fel, az eredeti hozzájárulás nem legitimálhatja a további feldolgozást, mivel a hozzájárulásnak tájékozottnak és konkrétnak kell lennie ahhoz, hogy érvényes legyen; tudomásul veszi az Európai Adatvédelmi Testületnek a személyes adatok tudományos kutatás céljából történő kezelésére vonatkozó, hamarosan elkészülő iránymutatásait, amelyek egyértelművé teszik az általános adatvédelmi rendelet (50) preambulumbekezdésének jelentését;
7. aggodalmának ad hangot amiatt, hogy a „jogos érdeket” nagyon gyakran visszaélésszerűen említik a feldolgozás jogalapjaként; rámutat arra, hogy az adatkezelők továbbra is a jogos érdekre támaszkodnak, anélkül hogy elvégeznék az érdekek közötti egyensúly előírt vizsgálatát, amely az alapvető jogok értékelésére is kiterjed; különösen aggasztja, hogy egyes tagállamok nemzeti jogszabályokat fogadnak el a jogos érdeken alapuló feldolgozás feltételeinek meghatározása érdekében, és előírják az adatkezelő és az érintett magánszemélyek érdekeinek egyensúlyát, míg az általános adatvédelmi rendelet minden adatkezelőt arra kötelez, hogy egyénileg végezze el az egyensúly vizsgálatát és éljen ezzel a jogalappal; aggodalmát fejezi ki amiatt, hogy a jogos érdek egyes nemzeti értelmezései nem tartják tiszteletben a (47) preambulumbekezdést, és a jogos érdek alapján ténylegesen megtiltják a feldolgozást; üdvözli, hogy az Európai Adatvédelmi Testület már megkezdte a munkát annak érdekében, hogy a Bizottság jelentésében kiemelt kérdések kezelése érdekében naprakésszé tegye a 29. cikk alapján létrehozott munkacsoport (WP29) véleményét a jogos érdek alkalmazásáról mint a feldolgozás jogalapjáról;
Az érintettek jogai
8. hangsúlyozza, hogy elő kell segíteni az általános adatvédelmi rendelet által biztosított egyéni jogok – például az adathordozhatóság vagy az automatizált adatkezeléssel, többek között a profilalkotással kapcsolatos jogok – gyakorlását; üdvözli az Európai Adatvédelmi Testület iránymutatásait az automatizált döntéshozatalról és az adatok hordozhatóságáról; megjegyzi, hogy számos ágazatban nem hajtották végre teljes mértékben az adathordozhatósághoz való jogot; felhívja az Európai Adatvédelmi Testületet, hogy ösztönözze az online platformokat egyetlen kapcsolattartó pont létrehozására, amely az összes mögöttes digitális platformjukat kiszolgálja, ahonnan a felhasználói kéréseket továbbítani lehet a megfelelő címzetthez; rámutat arra, hogy az adattakarékosság elvével összhangban a névtelenséghez való jog érvényesítése hatékonyan megakadályozza a jogosulatlan nyilvánosságra hozatalt, a személyazonosság-lopást és a személyes adatokkal való visszaélés egyéb formáit;
9. hangsúlyozza, hogy a tájékoztatáshoz való jog betartása megköveteli a vállalatoktól, hogy tömören, átláthatóan, érthetően és könnyen hozzáférhető módon szolgáltassanak információt, és az adatvédelmi közlemények megfogalmazásakor kerüljék a jogászkodó megközelítést; aggodalmának ad hangot amiatt, hogy egyes vállalatok továbbra is megszegik az általános adatvédelmi rendelet 12. cikkének (1) bekezdéséből eredő kötelezettségeiket, és nem nyújtanak be minden, az Európai Adatvédelmi Testület által ajánlott releváns információt, többek között azon szervezetek neveinek felsorolását sem, amelyekkel adatokat osztanak meg; emlékeztet arra, hogy az egyszerű és hozzáférhető információk szolgáltatására vonatkozó kötelezettség különösen szigorú a gyermekek vonatkozásában; aggodalmának ad hangot amiatt, hogy nincsenek megfelelően működő hozzáférési mechanizmusok az érintettek számára; rámutat, hogy a magánszemélyek gyakran nem tudják rákényszeríteni az internetes platformokat, hogy felfedjék magatartási profiljukat; aggodalmának ad hangot amiatt, hogy a vállalatok túlságosan gyakran hagyják figyelmen kívül azt a tényt, hogy a származtatott adatok egyben személyes adatok is, amelyekre érvényes az általános adatvédelmi rendeletben foglalt összes biztosíték;
Kisvállalkozások és szervezetek
10. megjegyzi, hogy egyes érdekelt felek arról számoltak be, hogy az általános adatvédelmi rendelet alkalmazása különösen nagy kihívást jelent főként a kis- és középvállalkozások (kkv-k), az induló innovatív vállalkozások, az egyesületek – köztük iskolák –, a klubok és a társaságok számára; megjegyzi azonban, hogy az általános adatvédelmi rendeletben szereplő számos jog és kötelezettség nem új, hanem már a 95/46/EK irányelv alapján is hatályos volt, de alig érvényesítették; úgy véli, hogy az általános adatvédelmi rendelet és annak érvényesítése nem eredményezheti azt, hogy a megfelelés a kisebb vállalatok számára a nagyvállalatok által nem tapasztalt, nem kívánatos következményekkel jár; úgy véli, hogy a nemzeti hatóságoknak és a Bizottság tájékoztató kampányainak több támogatást, tájékoztatást és képzést kell biztosítaniuk az ismeretek bővítésének, a végrehajtás minőségének, valamint az általános adatvédelmi rendelethez kapcsolódó követelmények és célok megismerésének elősegítése érdekében;
11. hangsúlyozza, hogy a kkv-k, induló innovatív vállalkozások, szervezetek és egyesületek – köztük az iskolák, a klubok és a társaságok – esetében nincsenek eltérések és az általános adatvédelmi rendelet hatálya alá tartoznak; ezért felhívja az Európai Adatvédelmi Testületet, hogy az általános adatvédelmi rendelet értelmezésével kapcsolatos félreértések elkerülése érdekében nyújtson egyértelmű tájékoztatást, és gondoskodjon egy olyan gyakorlati eszközről, amely megkönnyíti az általános adatvédelmi rendelet alacsony kockázatú adatfeldolgozási tevékenységet folytató kkv-k, induló innovatív vállalkozások, szervezetek és egyesületek – köztük az iskolák, a klubok és a társaságok – általi végrehajtását; felszólítja a tagállamokat, hogy bocsássanak elegendő eszközt az adatvédelmi hatóságok rendelkezésére, hogy terjeszteni tudják az ilyen gyakorlati eszközökkel kapcsolatos ismereteket; olyan adatvédelmi szakpolitikai sablonok kidolgozására ösztönzi az Európai Adatvédelmi Testületet, amelyeket a szervezetek segítségként felhasználhatnak az általános adatvédelmi rendeletnek való tényleges gyakorlati megfelelés bizonyításához, anélkül, hogy költséges harmadik fél szolgáltatásaira kellene támaszkodniuk;
Végrehajtás
12. aggodalmának ad hangot amiatt, hogy a nemzeti adatvédelmi hatóságok több mint két évvel az általános adatvédelmi rendelet alkalmazásának megkezdése után egyenetlenül és néha egyáltalán nem érvényesítik az általános adatvédelmi rendeletet, és ezért sajnálatát fejezi ki amiatt, hogy a 95/46/EK irányelv szerinti helyzethez képest nem javult lényegesen a végrehajtási helyzet;
13. megjegyzi, hogy az általános adatvédelmi rendelet alkalmazásának első 18 hónapjában mintegy 275 000 panaszt nyújtottak be, és 785 közigazgatási bírságot szabtak ki különböző jogsértések miatt, rámutat azonban arra, hogy eddig a benyújtott panaszoknak csak nagyon kis részét vizsgálták ki; tudatában van a személyes adatok megsértése által okozott problémáknak, és emlékeztet az Európai Adatvédelmi Testület jelenlegi iránymutatására, amely egyértelművé teszi többek között az értesítés, az érintettek tájékoztatása és a jogorvoslatok ütemezését; megjegyzi, hogy a különböző nemzeti megközelítések harmonizálása érdekében hasznos volna egy európai szabványos formanyomtatvány bevezetése; sajnálja azonban, hogy a bírságok összege tagállamonként jelentősen eltér, és hogy a nagyvállalatokra kiszabott egyes bírságok túl alacsonyak ahhoz, hogy az adatvédelmi jogsértésekkel szemben elrettentő hatást érjenek el; felszólítja az adatvédelmi hatóságokat, hogy erősítsék meg az adatvédelmi jogsértések végrehajtását, a vádeljárás lefolytatását és a szankciók kiszabását, valamint teljes mértékben használják ki az általános adatvédelmi rendeletben a bírságok kiszabására adott lehetőségeket, és vegyék igénybe a biztosított egyéb korrekciós hatásköröket is; hangsúlyozza, hogy a feldolgozás tilalma vagy az általános adatvédelmi rendeletnek nem megfelelő módon megszerzett személyes adatok törlésének kötelezettsége ugyanolyan, ha nem nagyobb elrettentő hatással járhat, mint a bírságok; felszólítja a Bizottságot és az Európai Adatvédelmi Testületet, hogy iránymutatásokon és világos kritériumokon keresztül – a német felügyeleti hatóságok konferenciája által kidolgozottakhoz hasonlóan – harmonizálják a szankciókat a jogbiztonság növelése és annak megakadályozása érdekében, hogy a vállalatok legenyhébb szankciókat kiszabó helyeken telepedjenek le;
14. aggályosnak tartja az ügyek egyes adatvédelmi hatóságok általi kivizsgálásának hosszát és ennek a hatékony végrehajtásra és a polgárok bizalmára gyakorolt kedvezőtlen hatását; sürgeti az adatvédelmi hatóságokat, hogy gyorsítsák fel az ítélethozatalt és éljenek az általános adatvédelmi rendelet értelmében rendelkezésükre álló lehetőségek teljes körével, különösen a haszonszerzési céllal nagyszámú érintettel szemben elkövetett, rendszerszintű és tartós jogsértések esetén;
15. aggodalmát fejezi ki amiatt, hogy az általános adatvédelmi rendeletet alkalmazó összesen 31 államból – azaz az Európai Unió és az Európai Gazdasági Térség valamennyi tagállama és az Egyesült Királyság – 21 tagállam felügyeleti hatóságai egyértelműen kijelentették, hogy nem rendelkeznek elegendő emberi, műszaki és pénzügyi erőforrással, épületekkel és infrastruktúrával feladataik hatékony ellátásához és hatáskörük gyakorlásához; aggodalmának ad hangot amiatt, hogy az EU-ban a felügyeleti hatóságok többségében nincs külön technikai személyzet, ami megnehezíti a vizsgálatokat és a végrehajtást; aggodalommal jegyzi meg, hogy a felügyeleti hatóságok nyomás alatt vannak, tekintve a személyes adatok védelmére és az ehhez szükséges erőforrásaikra vonatkozó felelősségi köreik közötti egyre növekvő eltéréseket; megjegyzi, hogy a digitális szolgáltatások egyre összetettebbé válnak az olyan innovációk fokozott használata miatt, mint a mesterséges intelligencia (súlyosbítva az adatfeldolgozás korlátozott átláthatóságának problémáját, különösen az algoritmusok tanítása esetében); rámutat ezért annak fontosságára, hogy az uniós felügyeleti hatóságok és az Európai Adatvédelmi Testület elegendő pénzügyi, technikai és emberi erőforrással rendelkezzenek ahhoz, hogy gyorsan, de alaposan kezelni tudják az egyre több erőforrást igénylő és összetett ügyet, valamint koordinálják és megkönnyítsék a nemzeti adatvédelmi hatóságok közötti együttműködést, megfelelően nyomon kövessék az általános adatvédelmi rendelet alkalmazását, valamint megvédjék az alapvető jogokat és szabadságokat; aggodalmának ad hangot amiatt, hogy az adatvédelmi hatóságok elégtelen erőforrásaik miatt – különösen ha ezeket az erőforrásokat összehasonlítjuk a nagy technológiai vállalatok bevételeivel – peren kívüli megállapodásokat köthetnek, mivel ez csökkentené a hosszadalmas és nehézkes eljárások költségeit;
16. felhívja a Bizottságot, hogy vizsgálja meg, kötelezhetők-e a nagy multinacionális, technológiai cégek arra, hogy saját maguk fizessék a felügyeletüket egy uniós digitális adó bevezetésén keresztül;
17. aggodalommal jegyzi meg, hogy az adatvédelmi hatóságok nem hajtják végre a szabályokat, a Bizottság pedig nem lép fel az adatvédelmi hatóságok forráshiányának kezelése érdekében, és emiatt az egyes polgárokra hárulnak a jogérvényesítés terhei, hogy az adatvédelmi követeléseket bíróság elé terjesszék; aggodalmát fejezi ki amiatt, hogy a bíróságok néha anélkül rendelik el az egyes felperesek kártalanítását, hogy köteleznék a szervezetet vagy vállalatot a strukturális problémák megoldására; úgy véli, hogy a magánúton történő jogérvényesítés fontos ítélkezési gyakorlatot indíthat el, de nem helyettesíti az adatvédelmi hatóságok általi jogérvényesítést vagy a Bizottság által az erőforráshiány kezelése érdekében hozott intézkedéseket; sajnálja, hogy ezek a tagállamok megsértik az általános adatvédelmi rendelet 52. cikkének (4) bekezdését; ezért felszólítja a tagállamokat, hogy tegyenek eleget az 52. cikk (4) bekezdése szerinti jogi kötelezettségüknek és rendeljenek elegendő forrást az adatvédelmi hatóságaikhoz, hogy munkájukat a lehető legjobb módon végezhessék, és európai szinten biztosítsák az egyenlő versenyfeltételeket az általános adatvédelmi rendelet érvényesítése terén; sajnálja, hogy a Bizottság még nem indított kötelezettségszegési eljárást azon tagállamok ellen, amelyek nem teljesítették az általános adatvédelmi rendelet szerinti kötelezettségeiket, és sürgeti a Bizottságot, hogy ezt haladéktalanul tegye meg; felszólítja a Bizottságot és az Európai Adatvédelmi Testületet, hogy szervezzék meg az általános adatvédelmi rendelet működésének és végrehajtásának értékeléséről szóló 2020. június 24-i bizottsági közlemény nyomon követését;
18. üdvözli, hogy a tagállamok többsége úgy döntött, hogy nem hajtja végre az általános adatvédelmi rendelet 80. cikkének (2) bekezdését; felhívja az összes tagállamot, hogy alkalmazzák a 80. cikk (2) bekezdését, és biztosítsák a panasztételi jogot és bírósághoz fordulás jogát, anélkül hogy az érintett erre megbízást adna; felszólítja a tagállamokat, hogy tisztázzák a panaszosok helyzetét a felügyeleti hatóságokra alkalmazandó nemzeti közigazgatási eljárások során; rámutat arra, hogy ennek tisztáznia kell, hogy a panaszosok az eljárás során nem szorítkozhatnak passzív szerepre, hanem képesnek kell lenniük arra, hogy a különböző szakaszokban beavatkozzanak;
Együttműködés és egységesség
19. hangsúlyozza hogy a gyenge végrehajtás különösen nyilvánvaló a határokon átnyúló panaszok esetében, és sajnálatát fejezi ki amiatt, hogy 14 tagállam adatvédelmi hatóságai nem rendelkeznek megfelelő forrásokkal ahhoz, hogy hozzájáruljanak az együttműködési és egységességi mechanizmusokhoz; felhívja az Európai Adatvédelmi Testületet, hogy fokozza az általános adatvédelmi rendelet 60. és 63. cikkének helyes alkalmazására irányuló erőfeszítéseit, és emlékezteti a felügyeleti hatóságokat, hogy kivételes körülmények között alkalmazhatják az általános adatvédelmi rendelet 66. cikkében foglalt sürgősségi eljárást, különösen az ideiglenes intézkedéseket;
20. hangsúlyozza az egyablakos ügyintézési mechanizmus fontosságát a jogbiztonság megteremtésében és az adminisztratív terhek csökkentésében, a vállalatok és a polgárok számára egyaránt; súlyos aggodalmának ad hangot a mechanizmus működése miatt, különös tekintettel az ír és a luxemburgi adatvédelmi hatóság szerepére; megjegyzi, hogy ezek az adatvédelmi hatóságok számos ügy kezeléséért felelősek, mert sok technológiai vállalat Írországban vagy Luxemburgban jegyezte be uniós székhelyét; különösen aggódik amiatt, hogy az ír adatvédelmi hatóság általában a legtöbb ügyet vitarendezéssel zárja le szankció helyett, és hogy a 2018-ban Írországhoz utalt ügyek még az általános adatvédelmi rendelet 60. cikkének (3) bekezdése szerinti határozattervezet szakaszába sem jutottak el; felszólítja ezeket az adatvédelmi hatóságokat, hogy gyorsítsák fel a fő ügyek folyamatban lévő kivizsgálását annak érdekében, hogy az uniós polgárok azt lássák, hogy az adatvédelem egy érvényesíthető jog az EU-ban; rámutat arra, hogy az „egyablakos ügyintézési mechanizmusnak” a sikere attól függ, hogy mennyi időt és erőfeszítést fordíthatnak az adatvédelmi hatóságok az egyes határokon átnyúló esetek kezelésére és az ezzel kapcsolatos együttműködésre az Európai Adatvédelmi Testületben, és hogy a politikai akarat és az erőforrások hiánya közvetlenül befolyásolja azt, hogy ez a mechanizmus mennyire tud megfelelően működni;
21. rámutat a tagállami iránymutatások és az Európai Adatvédelmi Testület iránymutatásai közötti következetlenségekre; rámutat arra, hogy a nemzeti adatvédelmi hatóságok eltérően értelmezhetik az általános adatvédelmi rendeletet, ami eltérő tagállami alkalmazásokhoz vezethet; megjegyzi, hogy ez a helyzet földrajzi előnyöket és hátrányokat teremt a vállalatok számára; sürgeti a Bizottságot annak értékelésére, hogy a nemzeti közigazgatási eljárások akadályozzák-e az általános adatvédelmi rendelet 60. cikke szerinti együttműködés teljes hatékonyságát és e cikk hatékony végrehajtását; felszólítja az adatvédelmi hatóságokat, hogy az Európai Adatvédelmi Testület segítségével törekedjenek a következetes értelmezésre és iránymutatásra; felszólítja konkrétan az Európai Adatvédelmi Testületet, hogy a 60. cikk szerinti együttműködés alapján hozza létre a határokon átnyúló esetekben a panaszok kezelésére szolgáló közös igazgatási eljárás alapvető elemeit; sürgeti, hogy ezt a vizsgálatok lefolytatására és a határozatok elfogadására irányadó közös ütemtervre vonatkozó útmutatás betartásával tegyék meg; felszólítja az Európai Bizottságot és az Európai Adatvédelmi Testületet, hogy erősítsék meg a következetességi mechanizmust, és tegyék kötelezővé minden általánosan alkalmazandó vagy határokon átnyúló hatású ügyben, hogy elkerüljék az egyes adatvédelmi hatóságok következetlen megközelítéseit és döntéseit, amelyek veszélyeztetik az általános adatvédelmi rendelet egységes értelmezését és alkalmazását; úgy véli, hogy ez a közös értelmezés, alkalmazás és iránymutatás hozzá fog járulni a digitális egységes piac létrehozásához és sikeréhez;
22. felszólítja az Európai Adatvédelmi Testületet, hogy az ülések előtt tegye közzé üléseinek napirendjét, és nyújtson részletesebb összefoglalót az ülésekről a nyilvánosság és a Parlament számára;
Az általános adatvédelmi rendelet végrehajtásának széttöredezettsége
23. sajnálatának ad hangot amiatt, hogy a fakultatív pontosítási rendelkezések (pl. a közérdekből vagy a hatóságok által a tagállami jog és a gyermek beleegyezési korhatára alapján végzett adatkezelés) tagállamok általi alkalmazása hátrányosan érintette a teljes körű adatvédelmi harmonizáció megvalósítását és az eltérő piaci feltételek vállalatok érdekében történő felszámolását Unió-szerte, és aggodalmát fejezi ki amiatt, hogy mindez növelheti az általános adatvédelmi rendeletnek való megfelelés költségeit; felszólítja az Európai Adatvédelmi Testületet, hogy terjesszen elő útmutatást a fakultatív pontosítási rendelkezések tagállamok közötti eltérő végrehajtásának kezeléséről; felszólítja a Bizottságot, hogy használja fel hatáskörét arra, hogy az állampolgárok egyenlő védelme és a piaci torzulások megelőzése érdekében beavatkozhasson azokban a tagállamokban, ahol a nemzeti intézkedések, fellépések és döntések aláássák az általános adatvédelmi rendelet szellemét, célját és szövegét; ebben az összefüggésben kiemeli, hogy a tagállamok eltérő korhatárt fogadtak el a szülői hozzájárulás tekintetében; felhívja ezért a Bizottságot és a tagállamokat, hogy értékeljék e széttöredezettség hatását a gyermekek online tevékenységeire és védelmére; hangsúlyozza, hogy egy tagállam nemzeti joga és az általános adatvédelmi rendelet közötti kollízió esetén az általános adatvédelmi rendelet rendelkezéseit kell alkalmazni;
24. súlyos aggodalmának ad hangot amiatt, hogy egyes tagállamok hatóságai visszaélnek az általános adatvédelmi rendelettel az újságírók és a nem kormányzati szervezetek korlátozása céljából; határozottan egyetért a Bizottsággal abban, hogy az adatvédelmi szabályok nem érinthetik a véleménynyilvánítás szabadságának és az információszabadságnak a gyakorlását, különösen azáltal, hogy elrettentő hatást váltanak ki, vagy úgy értelmezik őket, hogy nyomást gyakorolnak az újságírókra, hogy fedjék fel forrásaikat; azonban csalódottságának ad hangot amiatt, hogy a Bizottság még mindig nem fejezte be a személyes adatok védelméhez való jog, valamint a véleménynyilvánítás szabadsága és az információszabadság közötti egyensúly értékelését az általános adatvédelmi rendelet 85. cikkében foglaltaknak megfelelően; felszólítja a Bizottságot, hogy indokolatlan késedelem nélkül fejezze be a nemzeti jogszabályok értékelését ezzel kapcsolatban, és használja fel az összes rendelkezésére álló eszközt – beleértve a kötelezettségszegési eljárásokat is – annak biztosítása érdekében, hogy a tagállamok betartsák az általános adatvédelmi rendeletet, továbbá hogy csökkentse az adatvédelmi keret esetleges széttöredezettségét;
Beépített adatvédelem
25. felhívja a felügyeleti hatóságokat, hogy értékeljék a beépített és alapértelmezett adatvédelemről szóló 25. cikk végrehajtását, különös tekintettel az adatminimalizálás és a célhoz kötöttség elvei végrehajtásához szükséges technikai és operatív intézkedések biztosítására, valamint hogy határozzák meg az e rendelkezés által az adatkezelési technológiák gyártóira eddig gyakorolt hatást; üdvözli, hogy az Európai Adatvédelmi Testület 2020 októberében elfogadta a 25. cikk szerinti beépített és alapértelmezett adatvédelemről szóló 04/2019. számú iránymutatást, hogy hozzájáruljon a fogalmak jogi egyértelműségéhez; felhívja a felügyeleti hatóságokat, hogy értékeljék a 25. cikk (2) bekezdésében előírtak szerint az alapértelmezett beállítások megfelelő használatát is, beleértve a főbb online szolgáltatókat is; javasolja, hogy az Európai Adatvédelmi Testület fogadjon el iránymutatásokat annak meghatározása érdekében, hogy az ikt-gyártók mely konkrét feltételek mellett és milyen esetekben (esetosztályokban) tekintendők adatkezelőknek a 4. cikk (7) bekezdése alapján, abban az értelemben, hogy meghatározzák az adatkezelés eszközeit; rámutat arra, hogy az adatvédelmi gyakorlatok továbbra is nagymértékben függenek a manuális feladatoktól és az önkényes formátumoktól, és inkompatibilis rendszerek bonyolítják őket; felhívja az Európai Adatvédelmi Testületet, hogy dolgozzon ki az adatvédelmi követelmények gyakorlati megvalósítását segítő iránymutatásokat, többek között az adatvédelmi hatásvizsgálatokra (35. cikk), a beépített és alapértelmezett adatvédelemre (25. cikk), az érintettek tájékoztatására (12–14. cikk), az érintettek jogainak gyakorlására (15–18., 20–21. cikk) és az adatkezelési tevékenységek nyilvántartására (30. cikk) vonatkozóan; felhívja az Európai Adatvédelmi Testületet, biztosítsa, hogy a fenti iránymutatások könnyen alkalmazhatók legyenek, és tegye lehetővé a gépi kommunikációt az érintettek, az adatkezelők és az adatvédelmi hatóságok között (az adatvédelem automatizálása); felszólítja a Bizottságot, hogy az Európai Adatvédelmi Testülettel szorosan együttműködve, a 12. cikk (8) bekezdése szerint dolgozzon ki géppel olvasható ikonokat az érintettek tájékoztatására; arra bátorítja az Európai Adatvédelmi Testületet és a felügyeleti hatóságokat, hogy használják ki a személyes adatok kezelése elleni tiltakozást szolgáló automatizált eszközökről szóló 21. cikk (5) bekezdésében rejlő összes lehetőséget;
Iránymutatások
26. felszólítja az Európai Adatvédelmi Testületet, hogy iránymutatások kidolgozása révén hangolja össze az adatvédelmi követelmények gyakorlati végrehajtását, többek között az érintettek számára nyújtott adatkezelési információkkal (12–14. cikk), az érintettek jogainak gyakorlásával (15–18. és 20–21. cikk) és az elszámoltathatóság elvének végrehajtásával kapcsolatos kockázatok értékelésének szükségességét; felszólítja az Európai Adatvédelmi Testületet, hogy adjon ki iránymutatásokat, amelyek a profilalkotás különböző jogszerű felhasználási eseteit az érintettek jogait és szabadságait érintő kockázatok szerint osztályozzák, továbbá adjon ki ajánlásokat a megfelelő technikai és szervezési intézkedésekre vonatkozóan, és világosan határolja el a jogszerűtlen felhasználás eseteit; felkéri az Európai Adatvédelmi Testületet, hogy vizsgálja felül a 29. cikk szerinti munkacsoport anonimizálási technikákról szóló, 2014. április 10-i 05/2014. sz. véleményét, és állítson össze egyértelmű kritériumokat az anonimizálás elérése érdekében; ösztönzi az Európai Adatvédelmi Testületet, hogy tisztázza az emberierőforrás-gazdálkodás céljából végzett adatkezelést; tudomásul veszi az Európai Adatvédelmi Testület azon következtetését, hogy szükséges az adatkezeléssel kapcsolatos kockázatok általános adatvédelmi rendeletben előírt értékelése, mivel az érintetteket fenyegető kockázatok nem állnak összefüggésben az adatkezelők méretével; kéri azon mechanizmus jobb kihasználását, amelynek keretében a Bizottság tanácsot kérhet az Európai Adatvédelmi Testülettől az általános adatvédelmi rendelet hatálya alá tartozó kérdésekben;
27. megjegyzi, hogy a Covid19-világjárvány rávilágított arra, hogy az adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek pontos iránymutatást kell adnia az általános adatvédelmi rendelet közegészségügyi politikák terén történő megfelelő végrehajtásáról és tiszteletben tartásáról; e tekintetben emlékeztet az egészségügyi adatoknak a Covid19-járvánnyal összefüggésben végzett tudományos kutatás céljából történő kezeléséről szóló 03/2020. számú iránymutatásra, valamint a Covid19-járvánnyal összefüggésben a helymeghatározó adatok és a kontaktkövető eszközök használatáról szóló 04/2020. számú iránymutatásra; felhívja a Bizottságot, hogy a közös európai egészségügyi adattér létrehozásakor biztosítsa az általános adatvédelmi rendeletnek való teljes körű megfelelést;
A személyes adatok nemzetközi áramlása és együttműködés
28. hangsúlyozza annak fontosságát, hogy nemzetközi szinten lehetővé kell tenni a személyes adatok szabad áramlását az általános adatvédelmi rendelet által biztosított védelem szintjének csökkentése nélkül; támogatja a Bizottság azon gyakorlatát, hogy a kereskedelmi megállapodásoktól elkülönítve kezeli az adatvédelmet és a személyes adatok áramlását; úgy véli, hogy az adatvédelem területén folytatott nemzetközi együttműködés és az idevágó szabályoknak az általános adatvédelmi rendelet felé vezető konvergenciája javítani fogja a kölcsönös bizalmat, elősegíti a technológiai és jogi kihívások megértését, és végső soron megkönnyíti a határokon átnyúló adatáramlásokat, amelyek kulcsfontosságúak a nemzetközi kereskedelem szempontjából; elismeri azt a reális problémát, hogy az EU-ban, valamint harmadik országbeli joghatóságokban, nevezetesen az Egyesült Államokban adatfeldolgozó tevékenységet folytató vállalatok egymásnak ellentmondó jogi követelményekkel szembesülnek;
29. hangsúlyozza, hogy a megfelelőségi határozatoknak nem politikai, hanem jogi határozatoknak kell lenniük; ösztönzi az általános adatvédelmi rendeleten és az Európa Tanács 108+ sz. egyezményén alapuló adattovábbítást lehetővé tevő globális jogi keretek előmozdítására irányuló folyamatos erőfeszítéseket; tudomásul veszi továbbá, hogy az érdekelt felek a megfelelőségi határozatokat tekintik az ilyen adatáramlások alapvető eszközének, mivel nem kötik az adatáramlást további feltételekhez vagy engedélyekhez; hangsúlyozza azonban, hogy mindeddig csak kilenc ország vonatkozásában fogadtak el megfelelőségi határozatokat, annak ellenére, hogy a közelmúltban sok más harmadik ország fogadott el új adatvédelmi törvényt, az általános adatvédelmi rendelethez hasonló szabályokkal és elvekkel; megjegyzi, hogy mindeddig a kereskedelmi vonatkozású személyes adatok EU és USA közötti jogszerű továbbítását garantáló egyetlen egységes mechanizmus ellen sem emeltek jogi kifogást az Európai Unió Bírósága (EUB) előtt;
30. üdvözli az EU és Japán közötti első kölcsönös megfelelőségi határozat elfogadását, amely a világ legnagyobb szabad és biztonságos adatáramlási térségét hozta létre; felhívja azonban a Bizottságot, hogy az eszköz első felülvizsgálata során vegye figyelembe a Parlament által felvetett valamennyi kérdést, és az eredményeket a lehető leghamarabb tegye nyilvánosan hozzáférhetővé, mivel a felülvizsgálatot 2021 januárjáig el kellett volna fogadni;
31. felhívja a Bizottságot, hogy tegye közzé azokat a kritériumokat, amelyek alapján eldönthető, hogy egy harmadik ország az EU-n belül biztosított védelemmel „lényegében egyenértékű” védelmi szintet biztosít-e, különösen a jogorvoslathoz való hozzáférés és az adatokhoz való kormányzati hozzáférés tekintetében; ragaszkodik ahhoz, hogy biztosítani kell az uniós jog által az általános adatvédelmi rendelet 48. cikkében nem engedélyezett adattovábbításokkal vagy nyilvánosságra hozatallal kapcsolatos rendelkezések tényleges alkalmazását és betartását, különös tekintettel a harmadik országok hatóságainak az Unióban a személyes adatokhoz való hozzáférésre irányuló kérelmeire, és felhívja az Európai Adatvédelmi Testületet és az adatvédelmi hatóságokat, hogy adjanak iránymutatást, és érvényesítsék ezeket a rendelkezéseket, ideértve a személyes adatok továbbítására szolgáló mechanizmusok értékelését és fejlesztését is;
32. felszólítja a Bizottságot, hogy fogadjon el felhatalmazáson alapuló jogi aktusokat a 42. cikk (1) bekezdése szerinti adatvédelmi tanúsítási mechanizmus tekintetében figyelembe veendő követelmények meghatározása céljából, hogy fokozza a mechanizmus mint a nemzetközi adattovábbítás eszköze alkalmazását együtt a harmadik országbeli adatkezelő vagy -feldolgozó arra vonatkozó kötelező erejű és kikényszeríthető kötelezettségvállalásaival, hogy a 46. cikk (2) bekezdésének f) pontjában előírtaknak megfelelően többek között az érintettek jogai tekintetében alkalmazza a megfelelő biztosítékokat;
33. megismétli, hogy a tömeges adatgyűjtést magában foglaló tömeges megfigyelési programok megakadályozzák a megfelelőségre vonatkozó megállapításokat; sürgeti a Bizottságot, hogy alkalmazza az EUB által a Schrems I[4], II[5] és a Privacy International és mások (2020)[6] ügyekben levont következtetéseket a megfelelőségi határozatok minden felülvizsgálatára, valamint a folyamatban lévő és a jövőbeli tárgyalásokra; emlékeztet arra, hogy az általános adatvédelmi rendelet 49. cikke szerinti, egyedi helyzetekre vonatkozó eltéréseken alapuló adattovábbításnak kivételesnek kell maradnia; üdvözli az Európai Adatvédelmi Testület és az adatvédelmi hatóságok erre vonatkozó iránymutatásait, és felhívja őket, hogy az Európai Adatvédelmi Testület 02/2018. számú iránymutatásával összhangban biztosítsák az ilyen eltérések alkalmazásának és ellenőrzésének következetes értelmezését;
34. felhívja az adatvédelmi hatóságokat és a Bizottságot, hogy az Európai Unió Bíróságának ítélkezési gyakorlatával összhangban módszeresen értékeljék, hogy a gyakorlatban alkalmazzák-e az adatvédelmi szabályokat a harmadik országokban;
35. sürgeti a Bizottságot, hogy indokolatlan késedelem nélkül tegye közzé az 1995. évi irányelv alapján elfogadott megfelelőségi határozatok felülvizsgálatát; rámutat arra, hogy megfelelőségi határozatok hiányában a nemzetközi adattovábbítások esetén az általános szerződési feltételek a legszélesebb körben használt eszközök; megjegyzi, hogy az EUB fenntartotta az általános szerződési feltételekről szóló 2010/87/EU határozat[7] érvényességét, ugyanakkor előírta a harmadik országba továbbított adatok védelmi szintjének és e harmadik ország jogrendszere releváns aspektusainak értékelését a hatóságok továbbított személyes adatokhoz való hozzáférése tekintetében; sürgeti a Bizottságot, hogy gyorsítsa fel a korszerűsített a nemzetközi adattovábbításokra vonatkozó általános szerződési feltételek kidolgozását, hogy a kis- és középvállalkozások (kkv-k) számára nemzetközi szinten egyenlő versenyfeltételeket biztosítson; üdvözli az általános szerződési feltételekre vonatkozó tervezet Bizottság általi közzétételét, valamint azt a célkitűzést, hogy az általános szerződési feltételeket felhasználóbarátabbá tegyék, és orvosolják a jelenlegi szabványok azonosított hiányosságait;
36. emlékeztet az Európai Adatvédelmi Testületnek az (EU) 2016/679 rendelet szerinti magatartási kódexekről és ellenőrző szervekről szóló 1/2019. sz. iránymutatására; elismeri, hogy ezt az eszközt jelenleg nem használják ki annak ellenére, hogy biztosítja az általános adatvédelmi rendeletnek való megfelelést, amennyiben a harmadik országbeli adatkezelő vagy adatfeldolgozó megfelelő biztosítékok alkalmazására irányuló, kötelező erejű és kikényszeríthető kötelezettségvállalásaival együtt alkalmazzák; kiemeli az eszközben rejlő lehetőségeket a kkv-k jobb támogatására és a jogbiztonság növelésére a különböző ágazatok közötti nemzetközi adattovábbítással összefüggésben;
Jövőbeli uniós jogszabályok
37. véleménye szerint az általános adatvédelmi rendelet – mivel technológiasemleges jogszabály – megbízható szabályozási keretet teremt a kialakulóban lévő technológiák számára; mindazonáltal úgy véli, hogy további erőfeszítésekre van szükség a digitalizáció tágabb kérdéseinek – például a monopolhelyzetek és a kiegyenlítetlen erőviszonyok – egyedi szabályozás révén történő kezeléséhez, valamint az általános adatvédelmi rendelet és az egyes új jogalkotási kezdeményezések közötti viszony gondos mérlegeléséhez a következetesség biztosítása és a joghézagok kezelése érdekében; emlékezteti a Bizottságot, hogy köteles biztosítani, hogy a jogalkotási javaslatok, például az adatkormányzási rendelet, az adatokról szóló jogszabály, a digitális szolgáltatásokról szóló jogszabály vagy a mesterséges intelligenciáról szóló jogszabály mindig teljes mértékben megfeleljen az általános adatvédelmi rendeletnek és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvnek[8]; úgy véli, hogy a társjogalkotók által az intézményközi tárgyalásokon keresztül elfogadott végleges szövegeknek teljes mértékben tiszteletben kell tartaniuk az adatvédelmi vívmányokat; sajnálja azonban, hogy maga a Bizottság nem mindig alkalmaz következetes megközelítést az adatvédelemre vonatkozóan a jogalkotási javaslatokban; hangsúlyozza, hogy az általános adatvédelmi rendelet alkalmazására való hivatkozástól vagy „az általános adatvédelmi rendelet sérelme nélkül” hivatkozástól egy javaslat még nem fog megfelelni az általános adatvédelmi rendeletnek; felhívja a Bizottságot, hogy konzultáljon az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, amennyiben jogalkotási aktusra irányuló javaslatok elfogadását követően a személyes adatok kezelése befolyásolja az egyének jogainak és szabadságainak védelmét; felhívja továbbá a Bizottságot, hogy az adatvédelmi szabályok Unió-szerte biztosítandó egységességének érdekében a javaslatok vagy ajánlások kidolgozásakor törekedjen az európai adatvédelmi biztossal való konzultációra, és mindig végezzen hatásvizsgálatot;
38. megjegyzi, hogy bár a profilalkotást szigorú és szűk feltételek mellett csak az általános adatvédelmi rendelet 22. cikke teszi lehetővé, azt egyre inkább alkalmazzák, mivel az egyének online tevékenységei nyomán alaposan fel lehet térképezni személyiségüket és magánéletüket; megjegyzi, hogy mivel a profilalkotás lehetővé teszi az érintettek viselkedésének manipulálását, a digitális szolgáltatások használatával összefüggő személyesadat-gyűjtést és -kezelést a szolgáltatások nyújtásához és azok számlázásához szigorúan szükséges mértékre kell korlátozni; felhívja a Bizottságot, hogy – amennyiben ezt még nem tette meg – javasoljon szigorú ágazatspecifikus adatvédelmi jogszabályokat a személyes adatok érzékeny kategóriáira; szorgalmazza az általános adatvédelmi rendelet szigorú betartását a személyes adatok kezelése során;
39. felszólít a tudatos fogyasztói magatartás kialakítására annak érdekében, hogy a fogyasztók megalapozott döntéseket hozhassanak az új technológiák használatának adatvédelmi vonatkozásaival kapcsolatban, valamint hogy biztosítsák a tisztességes és átlátható adatkezelést azáltal, hogy könnyen alkalmazható lehetőségek állnak rendelkezésre a személyes adatok kezeléséhez való hozzájárulás megadására és visszavonására az általános adatvédelmi rendeletben előírtak szerint;
A bűnüldözésben érvényesítendő adatvédelemről szóló irányelv
40. aggodalmának ad hangot amiatt, hogy a bűnüldözési célokra felhasznált adatvédelmi szabályok nagyrészt alkalmatlanok arra, hogy lépést tartsanak az újonnan létrehozott bűnüldözési hatáskörökkel; felszólítja ezért a Bizottságot, hogy az irányelvben előírt határidőnél korábban értékelje a bűnüldözés érvényesítéséről szóló irányelvet, és tegye nyilvánosan hozzáférhetővé a felülvizsgálatot;
Az elektronikus hírközlési adatvédelmi rendelet
41. mélységes aggodalmát fejezi ki amiatt, hogy a tagállamok nem hajtják végre az elektronikus hírközlési adatvédelmi irányelvet[9], tekintettel az általános adatvédelmi rendelet által bevezetett változásokra; felhívja a Bizottságot, hogy gyorsítsa fel értékelését, és indítson kötelezettségszegési eljárást azon tagállamok ellen, amelyek nem hajtották végre megfelelően az elektronikus hírközlési adatvédelmi irányelvet; súlyos aggodalmának ad hangot amiatt, hogy az elektronikus hírközlési adatvédelem több éve esedékes reformja széttagolt jogi környezetet eredményez az EU-ban, ami káros mind a vállalkozások, mind a polgárok számára; emlékeztet arra, hogy az elektronikus hírközlési adatvédelmi rendelet[10] célja az általános adatvédelmi rendelet kiegészítése és pontosítása volt, és az, hogy egybeessen az általános adatvédelmi rendelet hatálybalépésével; hangsúlyozza, hogy az elektronikus hírközlési adatvédelmi szabályok reformja nem vezethet az általános adatvédelmi rendelet és az elektronikus hírközlési adatvédelmi irányelv által biztosított védelem jelenlegi szintjének csökkenéséhez; sajnálatát fejezi ki amiatt, hogy négy évbe telt, amíg a Tanács végül elfogadta tárgyalási álláspontját az elektronikus hírközlési adatvédelmi rendeletre irányuló javaslatról, míg a Parlament 2017 októberében elfogadta tárgyalási álláspontját; emlékeztet a 2002-es és 2009-es elektronikus hírközlési adatvédelmi szabályok korszerűsítésének fontosságára annak érdekében, hogy az általános adatvédelmi rendeletet kiegészítve javítsák a polgárok alapvető jogainak védelmét és a vállalatok jogbiztonságát;
°
° °
42. utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Bizottságnak, az Európai Tanácsnak, a tagállamok kormányainak és nemzeti parlamentjeinek, az Európai Adatvédelmi Testületnek és az európai adatvédelmi biztosnak.
- [1] HL L 119., 2016.5.4., 1. o.
- [2] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf
- [3] https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf
- [4] A Bíróság C-362/14. sz., Maximillian Schrems kontra adatvédelmi biztos ügyben hozott 2015.október 6-i ítélete, ECLI:EU:C:2015:650.
- [5] A Bíróság C-31/18. sz., Adatvédelmi biztos kontra Facebook Ireland Limited és Maximillian Schrems ügyben hozott 2020. július 16-i ítélete, ECLI:EU:C:2020:559.
- [6] A Bíróság C-623/17. sz. Privacy International ügyben hozott ítélete, valamint a C-511/18. sz. La Quadrature du Net és társai, a C-512/18. sz. French Data Network és társai, a C-520/18 sz. Ordre des barreaux francophones et germanophone és társai, egyesített ügyekben hozott ítélete.
- [7] A 2016. december 16-i (EU) 2016/2297 bizottsági végrehajtási határozattal módosított, a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatoknak harmadik országban letelepedett adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozat, HL 2016. L 344., 100. o.
- [8] Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről, HL L 119., 2016.5.4., 89. o.
- [9] Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (HL L 201., 2002.7.31., 37. o.).
- [10] Javaslat az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi rendeletre, COM(2017) 0010.