Az Európai Bizottság tájékoztató iránymutatása a nem személyes adatok szabad áramlásáról – Kérdések és válaszok

„1. Mi az iránymutatás célja?
Az iránymutatás a nem személyes adatok szabad áramlásáról szóló rendeletben foglalt kötelezettségnek tesz eleget, amely szerint a Bizottságnak iránymutatást kell közzétennie az e rendelet és az általános adatvédelmi rendelet között – különösen a személyes és a nem személyes adatokat egyaránt tartalmazó adatkészletek tekintetében – fennálló kölcsönhatásról. Célja, hogy segítse a felhasználókat – különösen a kis- és középvállalkozásokat – a két rendelet kölcsönhatásának megértésében.

Az Európai Adatvédelmi Testület által kidolgozott, a hatályos általános adatvédelmi rendelettel összefüggő dokumentumokkal összhangban ezen iránymutatási dokumentum célja annak tisztázása, hogy mely szabályok alkalmazandók a személyes és a nem személyes adatok kezelése során. Hasznos áttekintést nyújt a személyes és a nem személyes adatok Unión belüli szabad áramlásának központi fogalmairól, miközben gyakorlati szempontból, konkrét példákon keresztül elmagyarázza a két rendelet közötti kapcsolatot.

2. Kinek a javát szolgálja az iránymutatás?
Az iránymutatás az olyan magánvállalkozások, különösen a kis- és középvállalkozások, szervezetek és egyéb entitások számára bír különös jelentőséggel, amelyek szakmai tevékenységük során adatokat dolgoznak fel. Ez mind a személyes, mind a nem személyes adatok előállítását, gyűjtését, tárolását, továbbítását és egyéb kezelését magában foglalja. Még a csak nem személyes adatokat feldolgozó vállalkozások is hasznosnak találhatják az iránymutatást, mivel a dokumentum olyan helyzeteket is bemutat, amikor az adatokra lokalizációs követelmények vagy bizonyos feltételek mellett adatvédelmi szabályok vonatkozhatnak.

Az iránymutatás arra is biztosítékot nyújt, hogy a polgárok személyes adataik védelméhez való jogát mindig tiszteletben tartják, olyankor is, amikor az adataik más típusú adatokkal keverednek, vagy adataikat megfelelően anonimizálják.

Ezen túlmenően az iránymutatás az olyan hatóságok számára is informatív, amelyek rendszeresen dolgoznak fel adatokat, és közvetlenül részt vesznek az adatfeldolgozással kapcsolatos jogalkotási és közigazgatási szabályok létrehozásában.

3. Mely témákra tér ki az iránymutatás?
A nem személyes adatok szabad áramlásáról szóló rendelet és az általános adatvédelmi rendelet hatályának bemutatása mellett az iránymutatás e két uniós szabályrendszer közötti kölcsönhatást is meghatározza. Kifejti, hogy milyen összefüggés van a két rendelet között az adatok szabad áramlása tekintetében. Emellett bemutatja a nem személyes adatok és a személyes adatok fogalmát, és tisztázza, hogy mely szabályokat kell követni a vegyes – azaz a személyes és a nem személyes adatokat egyaránt tartalmazó – adatkészletek feldolgozása során. A dokumentum emellett ismerteti az adathordozhatóság fogalmát, valamint azt, hogy e tekintetben hogyan viszonyul egymáshoz az általános adatvédelmi rendelet és a nem személyes adatok szabad áramlásáról szóló rendelet. A vállalkozások számára áttekintést nyújt az adathordozásra és az adatfeldolgozási szolgáltatók közötti váltásra vonatkozó magatartási kódexekről, valamint ismerteti az olyan önszabályozás szerepét az adatvédelmi szabályoknak való megfelelés igazolásában, mint a magatartási kódexek és a tanúsítási mechanizmusok. Annak érdekében, hogy képet lehessen alkotni arról, hogy a két rendelet hogyan járul hozzá az EU-n belül az adatok szabad mozgásához, az iránymutatás ismerteti a nem személyes adatok szabad áramlásáról szóló rendelet szerinti adatlokalizálási követelmények, valamint az általános adatvédelmi rendelet szerinti szabad mozgás elve fogalmát.

4. Mik azok a nem személyes adatok?
A nem személyes adatok – az általános adatvédelmi rendelet meghatározása szerint – különböznek a személyes adatoktól. A nem személyes adatok eredetük szerint két csoportra oszthatók:

• olyan adatok, amelyek eredetileg nem azonosított vagy azonosítható természetes személyre vonatkoztak, például a szélturbinákra telepített érzékelők által generált, az időjárási viszonyokra vonatkozó adatok vagy az ipari gépek karbantartási igényeire vonatkozó adatok; vagy
• olyan adatok, amelyek eredetileg személyes adatok voltak, de később anonimizálták őket.

Az iránymutatás amellett, hogy több példát is említ a nem személyes adatokra, a jobb érthetőség kedvéért az anonimizált és álnevesített személyes adatok fogalmát is kifejti, valamint ismerteti a személyes és a nem személyes adatok közötti határokat.

5. Melyek a vegyes adatkészletek?
A legtöbb valós helyzetben az adatkészletek valószínűleg személyes és nem személyes adatokat egyaránt tartalmaznak. Ezeket gyakran „vegyes adatkészletnek” nevezzük. Azon adatkészletek többségét, amelyeket az adatgazdaságban használunk, és amelyek a technológiai fejlesztéseknek, például a dolgok internetének (azaz a digitálisan összekapcsolódó dolgoknak), a mesterséges intelligenciának vagy a nagy adathalmazok elemzését lehetővé tévő technológiáknak köszönhetően széles körben gyűjthetők, éppen e vegyes adatkészletek teszik ki.

A vegyes adatkészletekre példa a vállalatok adónyilvántartása, amelyben szerepel a vállalat ügyvezető igazgatójának neve és telefonszáma. Ide tartozhatnak a vállalatok IT-problémákat és azok megoldásait tartalmazó, az egyes IT-incidensekről készült jelentések alapján összeállított tudásadatbázisa, vagy a kutatóintézmények anonimizált statisztikai adatai és a kezdetben gyűjtött nyers adatok, például az egyes válaszadók által a statisztikai kérdőívek kérdéseire adott válaszok.

6. A személyes és a nem személyes adatokat külön kell feldolgozni?
Nem. Sem a nem személyes adatok szabad áramlásáról szóló rendelet, sem az általános adatvédelmi rendelet nem teszi kötelezővé a vegyes adatkészletek felosztását vagy a személyes és a nem személyes adatok külön történő feldolgozását. Ez a legtöbb esetben nagy kihívást jelentene és célszerűtlen – sőt akár lehetetlen is – lenne. Az iránymutatás ezért az alkalmazandó szabályokat a nem személyes adatok szabad áramlásáról szóló rendelettel (annak 2. cikke (2) bekezdésével) összhangban fejti ki, míg a vegyes adatkészletek esetében:

• az adatkészlet nem személyes adatokat tartalmazó részére a nem személyes adatok szabad áramlásáról szóló rendelet alkalmazandó,
• az adatkészlet személyes adatokat tartalmazó részére pedig az általános adatvédelmi rendelet szabad áramlásra vonatkozó rendelkezése vonatkozik.

Ha a nem személyes adatokat tartalmazó rész és a személyes adatokat tartalmazó rész „elválaszthatatlanul összekapcsolódónak” minősül, akkor az általános adatvédelmi rendeletből eredő adatvédelmi jogok és kötelezettségek teljes körűen alkalmazandók a teljes vegyes adatkészletre, még akkor is, ha a személyes adatok csak az adatkészlet kis részét teszik ki.

Az iránymutatás az „elválaszthatatlanul összekapcsolódó” fogalmát is kifejti, és gyakorlati példákkal szolgál a fenti szabályok alkalmazására vonatkozóan.

7. Van-e ellentmondás a két rendelet között?
Az általános adatvédelmi rendeletben és a nem személyes adatok szabad áramlásáról szóló rendeletben nincsenek egymásnak ellentmondó kötelezettségek. Míg az általános adatvédelmi rendelet magas szintű adatvédelmi szabályokat biztosít, és a személyes adatok szabad áramlásáról rendelkezik, a nem személyes adatok szabad áramlásáról szóló rendelet a nem személyes adatok szabad áramlását szabályozza. Mindkét rendelet lehetővé teszi valamennyi adat szabad áramlását az EU-n belül.

Továbbá a nem személyes adatok szabad áramlásáról szóló rendelet nem tartalmaz kötelezettségeket a vállalkozások számára, így a nem személyes adatok feldolgozásának gyakorlati részletei az adott vállalkozás döntésétől függenek. A nem személyes adatok szabad áramlásáról szóló rendelet nem korlátozza a vállalkozások szerződési szabadságát, ami lehetővé teszi számukra, hogy megválasszák az adataik feldolgozásának helyét.

8. Miért terjed ki az iránymutatás az önszabályozásra is?
A nem személyes adatok szabad áramlásáról szóló rendelet célja a nem személyes adatok Unión belüli szabad áramlásának lehetővé tétele. Az érdekelt felek különböző csoportjai magatartási kódexeket dolgoznak ki az adatoknak a vállalkozások közötti kapcsolatok keretein belül történő hordozására és a szolgáltatóváltásra vonatkozóan, valamint az általános adatvédelmi rendelet szerinti adatvédelemmel összefüggésben. Emellett a felhőalapú szolgáltatások kiberbiztonsági tanúsítása érdekében is folyik munka. Ezáltal az önszabályozás lehetővé teszi a piaci szereplők számára, hogy innovatívabbak legyenek, megteremtsék a bizalmat a szakterületükön, és potenciálisan javuljon a piaci változásokra való reagálási képességük.

További információk

• Sajtóközlemény – Digitális egységes piac: A Bizottság iránymutatást tesz közzé a nem személyes adatok szabad áramlásáról
• Iránymutatás a nem személyes adatok szabad áramlásáról szóló rendelethez
• A nem személyes adatok szabad áramlásának Unión belüli kerete – Kérdések és Válaszok
• Általános adatvédelmi rendelet: visszatekintés az első évre
• A felhőszolgáltatásokban érdekelt felek munkacsoportjai a felhőszolgáltatások közötti váltásról és a felhőszolgáltatások biztonsági tanúsításáról
• Gyakorlati tudnivalók az adatok szabad áramlásáról az Európa Önökért portálon

”

Forrás:
A Bizottság iránymutatást tesz közzé a nem személyes adatok szabad áramlásáról – Kérdések és válaszok; Európai Bizottság; MEMO/19/2750; 2019. május 29.