Szerző: dr. Horváth Katalin
2021. január 5-én hozta nyilvánosságra az Európai Unió Tanácsa az elektronikus hírközlési adatvédelmi rendelet (ePrivacy rendelet, a továbbiakban: a „Rendelet”) új tervezetét, amelyet az elektronikus hírközlési adatvédelmi irányelv felváltására szánnak. A tervezet azért nevezhető újnak, mert az idén év elején nyilvánosságra hozott verzió immáron a 14. változata a Rendeletnek, és ahhoz köthető, hogy 2021. jaunár 1-től Portugália tölti be az Európai Unió Tanácsának soros elnöki tisztjét, így elnökségük kezdetén az általuk indokoltnak látott módosításokat tettek a korábbi tervezeten.
A Rendelet azon, nyilvánosan működő elektronikus szolgáltatók számára ír elő kötelezettségeket és korlátozásokat, amelyek az EU területén lévő végfelhasználók (ideértve a magánszemélyeket és cégeket is) adatait kezelik vagy az ilyen személyekhez tartozó eszközökhöz férnek hozzá. Célja a végfelhasználók adatai védelmének, kommunikációjuk bizalmasságának, valamint eszközeik épségének biztosítása. Az új tervezet alapvetően az előző tervezet struktúráját követi, 5 fejezetre oszlik, amelyből 2 fejezet csak – többek között – a végfelhasználók eszközein található adatokhoz való hozzáférés (pl. cookie-kon vagy pixeleken keresztül) követelményeivel és korlátaival, valamint az elektronikus hírközlési tartalmakhoz, metaadatokhoz vagy a végfelhasználók eszközadataihoz (mind hardver, mind szoftver eszközök) kapcsolódó adatkezelés szabályaival foglalkozik. A Rendelet emellett minden számazonosító alapú személyközi kommunikációs szolgáltatás (pl. telefonszolgáltatások, Skype) és közvetlen marketingkommunikációt lehetővé tévő platform (pl. email és más elektronikus üzenetküldő platformok) tekintetében is megfogalmaz a szolgáltatókat érintő korlátozó rendelkezéseket.
A portugál elnökség új tervezetének újdonságai
Az új tervezet koncepcionális, elvi jelentőségű módosításokat nem, viszont olyan lényegesnek mondható módosításokat tartalmaz a Rendelet előző tervezetéhez viszonyítva, amelyek célja a portugál elnökség indokolása szerint a Rendelet szövegének egyszerűsítése, valamint az, hogy az Általános Adatvédelmi Rendelet (GDPR) szabályaival való viszonyának egyértelműbb és következetesebb legyen, továbbá, hogy jobban tükröződjön a Rendeletnek a GDPR-hoz viszonyítva speciális jogszabályi jellege. A főbb módosítások az alábbiak szerint foglalhatók össze:
- Az új tervezet kiterjeszti a Rendelet hatályát az olyan adatkezelők általi adatkezelésre is, amelyek olyan Európai Gazdasági Közösség területén kívüli területen működnek, ahol valamelyik tagállam joga a nemzetközi közjog szabályai alapján alkalmazandó. Ennek a portugál elnökség szerint az a célja, hogy a Rendelet területi hatálya összhangban legyen a GDPR területi hatályával.
- Meghatározásra kerül a „helymeghatározó adat” fogalma
- Visszaillesztésre kerülnek a korábban a horvát elnökség által törölt azon rendelkezések, amelyek lehetővé teszik az elektronikus hírközlési adatok és metaadatok kezelését olyan célból, amely összhangban van az adatok begyűjtésének céljával.
- Beültetésre kerül a Rendeletbe a GDPR-ban található, „szerződéses kötelezettség teljesítése céljából történő adatkezelés” követelménye nyomán az a szabály, hogy az elektronikus hírközlési szolgáltatók a szolgáltatás nyújtása céljából jogosultak az ügyfeleik adatainak kezelésére. A korábbi tervezetek ennél jóval szigorúbb szabályokat tartalmaztak az adatkezelés jogalapját tekintve, és csak a hírközlés továbbításához szükséges célból engedélyezték az adatkezelést a szolgáltatók számára.
- Azon szolgáltatók, akik az általuk nyújtott elektronikus hírközlési szolgáltatásokhoz kapcsolódó anonim adatokat továbbítanak harmadik személyek felé, kötelesek adatvédelmi hatásvizsgálatot végezni, valamint tájékoztatni a végfelhasználókat a tervezett adatkezelési műveletekről.
- A szolgáltatók a szerződés teljesítésének céljából jogosultak a végfelhasználók adatainak kezelésére. A korábbi tervezet ezt csak a szerződés műszaki szempontú teljesítés céljából tette lehetővé.
Az ePrivacy Rendelet és a GDPR kapcsolatát tisztázó módosítások
Fontos továbbá megjegyezni, hogy az elektronikus hírközlési adatvédelmi rendelet a GDPR-nál szélesebb körű adatkezelést szabályoz, mint a GDPR, mert nemcsak a személyes adatok, hanem valamennyi elektronikus hírközlési adat (és a végfelhasználók eszközeiről gyűjtött adatok) kezelésére irányadó, függetlenül attól, hogy azok személyes adatnak minősülnek, vagy sem. Ettől függetlenül viszont lesznek olyan adatkezelési helyzetek, amelyekre a Rendelet mellett párhuzamosan a GDPR szabályai továbbra is irányadók lesznek, mivel a Rendelet új tervezetében eszközölt módosítások egy részének a célja éppen annak a biztosítása volt, hogy az elektronikus hírközlési adatok kezelése kapcsán megfogalmazott célok a GDPR-ral való ellentmondás nélkül kerülhessenek megvalósításra.
Az EDPB nem elégedett maradéktalanul az új tervezettel
Az Európai Adatvédelmi Testület (European Data Protection Board – EDPB) 2020. november 19-én elfogadott nyilatkozatában a portugál elnökség által előterjesztett Rendelet tervezettel kapcsolatban az alábbi nyilatkozatot tette:
- A Rendelet nem csökkentheti az ePrivacy Irányelv (2002/58/EK irányelv) által biztosított védelmet, és ki kell egészítenie a GDPR-t valamennyi típusú elektronikus kommunikáció védelmével és erős garanciákat kell tartalmaznia a bizalmasságra.
- Az elektronikus kommunikációs metaadatok további célra történő kezelésével kapcsolatban az EDPB a korábban már kifejtett széleskörű tilalmak és szűkkörű kivételek alkalmazását támogatja és hozzájárulás nélkül csak azok anonimizálását követően engedi azok kezelését.
- Az EDPB kiemelte, hogy a jelenlegi tervezet nem tisztázta a „cookie falak” kérdéskörét, ugyanakkor támogatja a 8. cikk azon kiegészítését, amely a TV műsor szolgáltatásokban foglalt információkra és a szoftver frissítésekre hivatkozik és kiemeli, hogy ezeknek felhasználó barát módon kell kialakításra kerülniük.
- Az EDPB kiemelte, hogy ePrivacy Rendelet alapján személyes adatok kezelésére is sor kerül, ezért ezen adatkezelések esetében az ePrivacy Rendelet tekintetében is a GDPR szerinti felügyeleti hatóságoknak kell eljárniuk, és a GDPR szerinti együttműködési és egységességi mechanizmust kell alkalmazni. A portugál elnökség mostani új tervezete ezt az igényt csak részben elégíti ki, hiszen a 18. cikkében kifejezetten a GDPR szerinti felügyeleti hatóságokat jelöli meg az ePrivacy Rendelet alkalmazására is, azonban más, megfelelő szakértelemmel rendelkező független hatóság kijelölését is lehetővé teszi. A Rendelet tervezet 20. cikke pedig csak az együttműködés szabályaira tér ki, törlésre került azonban belőle a GDPR szerinti egységességi mechanizmus. Ennek megfelelően az EDPB a GDPR VII. fejezete szerinti jól működő egységességi mechanizmus alkalmazását javasolja az ePrivacy Rendelet szerinti felügyeleti hatóságokra is és kiemelte, hogy a Rendelet és a GDPR szerinti hatóságok hatásköre összeér.
- Az EDPB javasolta továbbá az adatkezelőknek valamennyi adatkezelésükre vonatkozóan egy egységes kapcsolattartó pontot kijelölni, hogy ne kelljen többféle szabályozó hatósággal foglalkozniuk.
A tervek szerint a Rendelet tervezet a kihirdetésétől számított 20. napon lép hatályba és ezen időponttól számított egy évvel későbbtől lesz alkalmazandó, vagyis a vállalkozásoknak egy évük lesz felkészülni az alkalmazására.
A Rendelet tervezet ezen verziójának tagállami támogatottságáról még korai lenne bármit is mondani, a fejleményeket folyamatosan nyomon követjük.