skip to Main Content

29-es Munkacsoport WP173 3/2010 vélemény az elszámoltathatóság elvéről

A 29. CIKK SZERINTI MUNKACSOPORT

3/2010 vélemény az elszámoltathatóság elvéről
Elfogadás időpontja: 2010. július 13.

Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport az adatvédelemmel, valamint 1a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK
irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg.

A titkársági feladatokat az: Európai Bizottság Jogérvényesülési Főigazgatóságának D. Igazgatósága (Alapvető jogok és uniós polgárság) látja el, B-1049 Brüsszel, Belgium, LX-46 01/02. sz. iroda.

VEZETŐI ÖSSZEFOGLALÓ

Az uniós adatvédelmi elvek és kötelezettségek gyakran nem jelennek meg kellőképpen a konkrét belső intézkedésekben és gyakorlatokban. Amennyiben az adatvédelem nem válik egy szervezet közös értékei és gyakorlatai részévé, és nem egyértelműek a rá vonatkozó felelősségi körök, az elvek és kötelezettségek hatékony betartása jelentős kockázatnak lesz kitéve, és várhatóan további adatvédelmi balesetek fognak bekövetkezni.

Az uniós keretszabályozásban kiegészítő eszközökre van szükség az adatvédelem gyakorlati előmozdításához. A jelen vélemény célja, hogy a Bizottságnak tanácsot adjon az adatvédelmi irányelv e célú módosítása tekintetében. A vélemény konkrét javaslatot tesz az elszámoltathatósági elvre bevezetésére, amely előírná az adatkezelők számára, hogy az irányelvben foglalt elvek és kötelezettségek érvényesülése érdekében hozzanak megfelelő és hatékony intézkedéseket, és a felügyelő hatóság kérelmére be is tudják mutatni ezeket. Ez hozzájárulna ahhoz, hogy előrelépés történjen az adatvédelem terén az elmélettől a gyakorlat felé, valamint segítené az adatvédelmi hatóságokat felügyeleti és végrehajtási feladataik ellátásában.

A vélemény javaslatokat tartalmaz annak biztosítása érdekében, hogy az elszámoltathatósági elv nyújtson jogbiztonságot, ugyanakkor adjon teret a fokozatosságnak (vagyis az adatfeldolgozással járó kockázattól és a feldolgozott adatok fajtájától függően lehessen megállapítani a konkrét intézkedéseket). Ezután bemutatja, hogy egy ilyen elvnek milyen kihatásai lehetnek más területekre, ideértve a nemzetközi adatforgalmat, az értesítési kötelezettségeket, a szankciókat, és végső soron a hitelesítő programok vagy bizonyítványok fejlesztését.

Az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport,

amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozott létre, tekintettel az említett irányelv 29. cikkére, 30. cikke (1) bekezdésének a) pontjára és
(3) bekezdésére, valamint a 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv 15. cikkének (3) bekezdésére,

tekintettel a munkacsoport eljárási szabályzatára,

elfogadta a következő véleményt:

1. BEVEZETÉS

1. Az adatvédelemnek el kell mozdulnia az elmélettől a gyakorlat felé. A jogi követelményeket le kell fordítani konkrét adatvédelmi intézkedésekre. Az uniós adatvédelmi keretszabályozásban kiegészítő eszközökre van szükség az adatvédelem gyakorlati előmozdításához. Az európai és globális adatvédelmi keretekről szóló viták során az elszámoltathatóság alapú mechanizmusok kerültek ajánlásra abból a célból, hogy hatékony adatvédelmet szolgáló gyakorlati eszközök alkalmazására ösztönözzék az adatkezelőket.

2. A magánélet védelmének jövőjéről szóló, 2009. decemberi dokumentumában (WP 168) a 29. cikk alapján létrehozott munkacsoport kifejtette azon véleményét, hogy a jelenleg hatályos jogi keretek nem tudták teljes mértékben biztosítani az adatvédelmi követelmények alapján hatékony, valódi védelmet biztosító mechanizmusok kialakítását. A helyzet javítása érdekében a 29. cikk alapján létrehozott munkacsoport javasolta, hogy a Bizottság fontolja meg elszámoltathatóság alapú mechanizmusok bevezetését, és különösen az
„elszámoltathatósági” elvnek a felülvizsgált adatvédelmi irányelvbe történő belefoglalását. Az elv erősítené az adatkezelő szerepét, és növelné felelősségét.

3. Dióhéjban: a jogszabályba foglalt elszámoltathatósági elv kifejezetten előírná az adatkezelők számára, hogy az irányelvben foglalt elvek és kötelezettségek végrehajtása érdekében megfelelő és hatékony intézkedéseket léptessenek életbe, és ezt felhívásra bizonyítani is tudják. A gyakorlatban ez a fokozatosságon

alapuló, a létező adatvédelmi elvek végrehajtására irányuló programokban (melyekre esetenként „megfelelőségi programokként” történik utalás) jelenne meg. Az elv kiegészítéseként az adatvédelmi biztosítékok gyakorlati átültetésére, illetve ennek hatékonysága biztosítására irányuló speciális kiegészítő követelmények vezethetőek be. Erre egy példa lehetne egy olyan előírás, mely a magasabb kockázatú adatfeldolgozási műveletek esetében megkövetelné az adatvédelmi hatásvizsgálat elvégzését.

4. A vélemény építeni kíván a 29. cikk alapján létrehozott munkacsoport korábbi, a témával kapcsolatos állásfoglalására, melyet a magánélet védelmének jövőjéről megfogalmazott véleményében fejtett ki abból a célból, hogy a Bizottságnak a 95/46/EK irányelv folyamatban lévő felülvizsgálatával kapcsolatban tanácsot adjon. Ezért a jelen vélemény négy részre oszlik: Az első az adatfeldolgozók gyakorlati belső rendelkezései (politikák és eljárások) megerősítésének szükségességét tárgyalja az alkalmazandó szabályokkal összhangban történő adatfeldolgozás érdekében, továbbá azt, hogy az elszámoltathatóság alapú rendszerek hogyan járulhatnak hozzá ehhez a célhoz. Ezután vizsgálja az elszámoltathatóság alapú rendszerek lehetséges jogi szerkezetét, továbbá előzményeket az adatvédelem terén és más területeken. A második rész konkrét javaslatot tartalmaz az elszámoltathatósági elvre, és bemutatja a javaslat különböző részei mögött meghúzódó indokokat. A harmadik rész az átfogó elszámoltathatósági rendszert kiegészítő jogi rendszerhez kapcsolódó különböző elemeket tárgyalja. Tartalmaz egy fejtegetést egy ilyen, egyfelől a jogbiztonságot célzó, másfelől kellőképpen általános, a méretezést lehetővé tevő módon fogalmazó (ami lehetővé teszi az adatfeldolgozáshoz kapcsolódó kockázat és a feldogozott adatok típusának függvényében eltérő konkrét intézkedések és hitelesítési módszerek alkalmazását) javaslat szükségességéről. Ezután tárgyalja a kapcsolódó kérdéseket, mint amilyen a tengeren túli adattovábbítással való kapcsolat, bemutatja, hogy az elszámoltathatóság alapú mechanizmus milyen előnyökkel járna az adatvédelmi hatóságok számára, és felvázolja, hogy milyen szerepet kaphatna a hitelesítés.

II. ELSZÁMOLTATHATÓSÁG: CÉLOK, JOGI SZERKEZET, ELŐZMÉNYEK ÉS TERMINOLÓGIA

II.1. Elszámoltathatóság, mint az adatvédelmi elvek hatékony végrehajtásának ösztönzője

5. Manapság egyre nő az igény arra, és egyre több érdek fűződik ahhoz, hogy az adatkezelők valódi adatvédelmet biztosító hatékony intézkedéseket tegyenek, és ezt biztosítsák is. Ezt több, az alábbiakban kifejtett indok is alátámasztja.

6. Először is tapasztalható egy „adatáradat” hatás, vagyis a létező, feldolgozott és továbbított személyes adatok mennyisége folyamatosan növekszik. A jelenséget elősegíti mind a technikai fejlődés, vagyis a információs és kommunikációs rendszerek növekedése, mind az egyének egyre fejlődő képessége a technológia használatára és az azzal való kapcsolatteremtésre. Ahogy egyre több adat válik elérhetővé és áramlik szét a világban, úgy nő az adatvédelmi szabályok megsértésének veszélye is. Ez még inkább kihangsúlyozza annak szükségességét, hogy mind a köz-, mind a magánszektorba tartozó adatkezelőknek valódi és hatékony belső védelmi mechanizmusokat kell életbe léptetniük az egyének információi védelme érdekében.

7. Másodszor a személyes adatok mennyiségének folyamatos növekedése mellett ezeknek az adatoknak a szociális, politikai és gazdasági értéke is emelkedik. Egyes szektorokban, különösen az online környezetben, a személyes adat tényleges fizetőeszközzé vált az online tartalomért cserébe. Ugyanakkor társadalmi szempontból nézve egyre inkább elismerik az adatvédelem társadalmi értékét. Összegezve, ahogy a személyes adatok egyre értékesebbé válnak a különböző szektorokba tartozó adatkezelők számára, a polgárok, a fogyasztók és általában véve a társadalom is egyre inkább ráébred ezen adatok jelentőségére. Ez viszont felerősíti a szigorú védelmi intézkedések alkalmazásának szükségességét.

8. Végül a fentiekből következik, hogy a személyes adatok megsértése súlyos negatív következményekkel járhat a köz- és magánszektorban az adatkezelők számára. Az e-kormányzati, e-egészségügyi alkalmazások lehetséges működési zavarai rendkívül súlyos hatásokkal járhatnak mind gazdaságilag, mind pedig és különösképp a megítélés szempontjából. Így a kockázatok minimálisra csökkentése, a jó hírnév megszerzése és megőrzése, valamint a polgárok és fogyasztók bizalmának biztosítása kulcsfontosságúvá válik az adatkezelők számára valamennyi szektorban.

9. Összegezve a fentiek rámutatnak annak alapvető jelentőségére, hogy az adatkezelők valódi és hatékony, a jó adatvédelmi szabályozást célzó adatvédelmi intézkedéseket léptessenek életbe a gyenge adatvédelmi gyakorlatból származó jogi, gazdasági és megítélésbeli kockázatok minimalizálása mellett. Amint az az alábbiakban további kifejtésre kerül, az elszámoltathatóság alapú mechanizmusok e célok megvalósítására irányulnak.

II.2. Az elszámoltathatóság alapú mechanizmusok lehetséges átfogó jogi szerkezete

10. Ebben az összefüggésben az egyik fő kérdés az, hogy a jogi keretek hogyan ösztönözhetik az adatkezelőket arra, hogy a gyakorlatban tényleges védelmet nyújtó intézkedéseket tegyenek. Másként fogalmazva: milyen legyen az elszámoltathatóság alapú rendszerek jogi szerkezete.

11. A szerkezetek megvitatása előtt előzetes megjegyzésként hangsúlyozni kell, hogy az ilyen rendszerek indulásukkor semmilyen módon nem változtatják meg vagy hatnak ki az adatvédelem anyagi elveire, hanem azok hatékonyabb érvényesülését célozzák.

12. Az elszámoltathatósági elvnek a felülvizsgált irányelvbe történő belefoglalása lenne az egyik lehetőség az adatkezelők ösztönzésére ilyen intézkedések életbe léptetésére. Egy ilyen előírás várható hatásai közé tartoznának a létező adatvédelmi elveket a gyakorlatban érvényesítő belső intézkedések és eljárások végrehajtása, az adatvédelmi elvek hatékonyságának biztosítása, és a fentiek bizonyítási kötelezettsége az adatvédelmi hatóságok felhívására. Amint az alább részletesen kifejtésre kerül, az eljárások és mechanizmusok típusai a feldolgozás és az adat természete szerinti kockázatok függvényében változnának.

13. Ezen túlmenően lehetőség lenne speciális követelmények megjelenítésére, mint amilyen például adott esetben az adatvédelmi hatásvizsgálat elvégzésének követelménye vagy az adatvédelmi tisztviselők kinevezése. Ezek a speciális követelmények kiegészíthetnék az átfogó elszámoltathatósági elvet.

14. A 29. cikk alapján létrehozott munkacsoport elismeri, hogy az adatkezelők esetlegesen olyan politikákat és eljárásokat kívánhatnak alkalmazni, amelyek nem szerepelnek kifejezetten az adatvédelmi szabályozásban. Például egy adatkezelő kötelezheti magát arra, hogy nagyon rövid időn belül válaszol a hozzáférési megkeresésekre; noha a szabályozás bizonyos rugalmasságot biztosít. Az adatkezelő arra is kötelezheti magát, hogy a hozzáférési kérelmekre egyszerre válaszol online és offline, ezáltal biztosítva az információ időszerű és hatékony célba érését. Elképzelhető olyan helyzet is, amikor az adatkezelő többet kíván nyújtani az általános jogi keretekben előírt minimális követelményeknél. Az adatkezelő például dönthet úgy, hogy kinevez adatvédelmi tisztviselőt akkor is, ha ez nem kötelező a jelenleg hatályos jogszabályok értelmében. Az adatkezelő úgy is határozhat, hogy harmadik féllel elvégezteti az összes adatfeldolgozási művelet ellenőrzését annak felmérése érdekében, hogy ezek megfelelnek-e az adatvédelmi jogszabályokban foglaltaknak. A 29. cikk alapján létrehozott munkacsoport üdvözli az ilyen a kezdeményezéseket, és támogatja, hogy az új adatvédelmi jogi keretszabályozás tartalmazzon ez irányú ösztönzőket az adatkezelők számára.

15. A fentiek szerint az elszámoltathatósági mechanizmusok „jogi szerkezete” két szintből állna: az első egy alapvető, minden adatkezelőre kiterjedő jogszabályi követelményt tartalmazna. A követelmény tartalmát két elem jelentené: az intézkedések/eljárások végrehajtása, és ezek bizonyíthatóságának folyamatos biztosítása. Az első szintet speciális követelmények egészítenék ki. A második szint önkéntes elszámoltathatósági mechanizmusokat tartalmazna, amelyek a minimális jogi követelményeken túlmennének az alapul szolgáló adatvédelmi elvek (az alkalmazandó szabályokban foglaltaknál erősebb biztosítékok nyújtása), és/vagy az intézkedések végrehajtása, illetve ezek hatékonyságának biztosítása (a minimális szintet meghaladó követelmények végrehajtása) tekintetében. A jelen vélemény az ilyen rendszerek fontosságának és előnyeinek elismerése mellett is elsősorban az első szintbe tartozó követelményekkel, különösen az általános elszámoltathatósági elvvel foglalkozik.

II.3. Terminológia, és az elszámoltathatósági elv az adatvédelemben és más területeken

Előzmények

16. A 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy az elszámoltathatósági elv önmagában nem újdonság. Kifejezett elismerése megtalálható Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) 1980- ban kiadott, az adatvédelemről szóló iránymutatásában. Eszerint az elszámoltathatóság elve kimondja, hogy: „Az adatkezelőnek felelősséggel kell tartoznia a fenti (anyagi) elvek érvényesülését szolgáló intézkedések végrehajtásáért.”

17. Az elv a közelmúltban a Madridi Nemzetközi Standardokban jelent meg, amelyeket az adatvédelmi és a magánélet védelmével foglalkozó biztosok nemzetközi konferenciája készített. Az elv az újabb keletű, adatvédelmi keretet létrehozó ISO 29100 szabványtervezetben is szerepel, továbbá ez az APEC adatvédelmi keret és határon átnyúló adatvédelmi szabályok egyik fő eleme.

18. „Jogalkotási” szempontból a 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvényben szereplő úgynevezett kanadai korrekt információs elvekben is utalás történik az elszámoltathatóságra. Egyebek mellett az első elv előírja, hogy a politikákat és gyakorlatokat kell kialakítani a tíz korrekt információs elv végrehajtása érdekében, ideértve a személyes adatok védelmére, valamint a panaszok és tudakozódások fogadására és megválaszolására szolgáló eljárások bevezetését.

19. A fentieken túlmenően a 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy a kötelező társasági szabályok („BCR-ek”), melyeket a nemzetközi adattovábbításokkal összefüggésben alkalmaznak, is utalnak az elszámoltathatóság elvére. A BCR-ek olyan gyakorlati szabálygyűjtemények, melyeket a nemzetközi szervezetek állítanak össze és követnek, és amelyek az adatvédelmi elvek megvalósítására szolgáló belső intézkedéseket tartalmaznak (mint amilyenek az ellenőrzés, a képzési programok, az adatvédelmi tisztviselők hálózata, a panaszkezelési rendszer). A nemzeti adatvédelmi hatóságok általi átvilágítás után a BCR-ek általános megítélés szerint megfelelő biztosítékokat nyújtanak az egy vállalatcsoporthoz tartozó olyan vállalatok közötti személyesadat-továbbítások és adattovábbítási kategóriák esetében, melyeket kötnek ezek a vállalati szabályok a 95/46/EK irányelv 25. cikke és 26. cikkének
(2) bekezdése alapján.

20. Az adatvédelem világán kívül is létezik néhány példa az elszámoltathatóság elvére – olyan program, amely konkrétan meghatározza az adatkezelőnek a jogszabályi előírásoknak történő megfelelést szolgáló politikáit és eljárásait. A megfelelési programokat kötelezővé teszik például a pénzügyi szolgáltatásokról szóló jogszabályok. Más esetekben csak ajánlott, de nem kötelező rendelkezni megfelelési programmal, mint például a versenyjog terén. Kanadában például a versenyjogi biztos részletes politikákat alakított ki a vállalati megfelelési programokkal kapcsolatban. A vállalatok maguk dönthetik el, hogy alkalmazzák- e a programot. Mindazonáltal a kanadai versenyügyi biztos hangsúlyozza a megfelelés, mint kockázatcsökkentési eszköz fontosságát, és a jogi, megítélésbeli és gazdasági előnyöket.

Terminológia

21. Az „elszámoltathatóság” (accountability) fogalma az angolszász világból származik, ahol bevett fogalomnak számít, és ahol széles körű egyetértés van a jelentése körül – még akkor is, ha a gyakorlatban összetett kérdés meghatározni, mit is jelent pontosan. Általánosságban a hangsúly annak bemutatásán van, hogy hogyan érvényesül a felelősség, és ez hogyan bizonyítható. A felelősség és az elszámoltathatóság egyazon érme két oldala, és mindkettő elengedhetetlen eleme a jó kormányzásnak. Csak akkor épülhet ki megfelelő bizalom, ha a felelősség hatékony működése a gyakorlatban is bebizonyosodik.

22. Az elszámoltathatóság fogalmát nehéz lefordítani a legtöbb európai nyelvre, főként a jogrendszerek közötti különbségek miatt. Ennek következményeként jelentős a veszélye a fogalom eltérő értelmezésének, és ezáltal a harmonizáció hiányának. Voltak javaslatok az elszámoltathatóság jelentésének olyan más szavakkal történő kifejezésére, mint a „megerősített felelősség”, a „biztosítás”, a
„megbízhatóság”, és franciául az „obligation de rendre des comptes”, azaz
„elszámolási kötelezettség”. Megfogalmazódott olyan javaslat is, hogy az elszámoltathatóság „az adatvédelmi elvek végrehajtására” utal.

23. Ezért mi a jelen dokumentumban elsősorban azzal foglalkozunk, hogy milyen intézkedéseket kell a megfelelés érdekében meghozni vagy biztosítani az adatvédelem terén. Az elszámoltathatóságra történő utalásokat a jelen véleményben használt jelentés szerint kell értelmezni, az itt megfogalmazott fogalmat pontosabban kifejező más megfogalmazás sérelme nélkül. A dokumentum ezért pragmatikusan a megteendő intézkedésekre fókuszál a fogalom helyett, és nem foglalkozik szakkifejezésekkel.

III. AZ ELSZÁMOLTATHATÓSÁGRÓL SZÓLÓ ÁLTALÁNOS RENDELKEZÉSRE TÖRTÉNŐ JAVASLAT KIDOLGOZÁSA

III.1. Általános rendelkezés az adatkezelők felelősségének megerősítéséről és fokozásáról

24. A 29. cikk alapján létrehozott munkacsoport az I. részben tett megállapítások fényében tovább elemezte az elszámoltathatóság alapú megoldásoknak az új átfogó adatvédelmi jogi keretbe történő bevezetésének lehetőségét.

25. Ennek eredményeképp megerősítette azon nézetét, amelyet már kifejtett a magánélet védelmének jövőjéről szóló véleményében is, miszerint az új átfogó jogi keretekben szerepeltetni kell egy átfogó elszámoltathatósági elvet. Egy ilyen rendelkezés célja, hogy megerősítse és növelje az adatkezelők felelősségét a személyes adatok feldolgozása során. Ez nem érinti azon konkrét elszámoltathatósági intézkedéseket, amelyek kiegészíthetnék ezt az elvet.

26. Ez az új rendelkezés összhangban lenne a már jelenleg létező jogi keretek közt meglévő konkrét rendelkezésekkel. Különösképp lehet utalni a 95/46/EK irányelv 6. cikkére, amelynek (1) bekezdése az adatok minőségével kapcsolatos elvekkel foglalkozik, és amelynek (2) bekezdése kimondja hogy „az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek”. Az új rendelkezés összhangban lenne a 17. cikk (1) bekezdésével is, amelyik előírja az adatkezelők számára technikai és szervezeti jellegű intézkedések végrehajtását. Az általános elszámoltathatósági rendelkezés a fennmaradó rendelkezésekben szereplő követelményeken túl ténylegesen megerősítené az adatkezelők kötelezettségét a 17. cikk szerinti biztonsági követelmények végrehajtására.

III.2. Az általános elszámoltathatósági elvről szóló konkrét javaslat kidolgozása

27. Az új rendelkezés a konkrét és praktikus intézkedések elfogadásának előmozdítására irányulna, és az alkalmazandó jogszabályokkal és előírásokkal összhangban az általános adatvédelmi elveket konkrét, az adatkezelő szintjén meghatározott politikákra és eljárásokra fordítaná le. Az adatkezelőnek biztosítania kellene az intézkedések hatékonyságát, és felhívásra tudnia kellene bizonyítani, hogy megtette ezeket az intézkedéseket.

28. Vázlatosan összefoglalva egy ilyen általános rendelkezés két fő elemre koncentrálna:

i. az adatkezelő azon kötelezettségére, hogy megfelelő és hatékony intézkedéseket tegyen az adatvédelmi elvek végrehajtására;
ii. azon kötelezettségére, hogy felhívásra bizonyítania kell a megfelelő és hatékony intézkedések megtételét. Vagyis az adatkezelő a fenti i. pontra nyújt bizonyítékot.

29. A kötelezettségnek ki kellene terjednie minden adatkezelőre és minden helyzetre.

30. A kötelezettség első eleme előírná az adatkezelők számára megfelelő intézkedések végrehajtását. Az intézkedések konkrét típusait az elszámoltathatósági elvről szóló általános rendelkezés szövege nem nevezné meg. A nemzeti adatvédelmi hatóságok, a 29. cikk alapján létrehozott munkacsoport, illetve a Bizottság (komitológiai eljárásban) későbbi iránymutatásai konkretizálhatnak olyan egyes esetekre szóló minimális intézkedéseket, amelyek kimerítik a megfelelő intézkedések fogalmát. Ilyen intézkedésekre példa lenne bizonyos esetekben az adatvédelmi elvek végrehajtásához szükséges olyan belső politikák és eljárások elfogadása, amelyek tükröznék a vonatkozó jogszabályokat és előírásokat.

31. Az intézkedések és eljárások végrehajtása a felelősségi körök delegálása és az adatkezelési műveletekben résztvevő személyzet képzése révén is megvalósulhatna hatékony módon. Különösképp az adatkezelőket kellene ösztönözni személyesadat-védelmi felelősök kinevezésére, összhangban az irányelv 18. cikkével. Szintén minden esetben bátorítandó lenne a kötelezettségek szervezeten belül különböző szintekre történő delegálása annak érdekében, hogy ezek a kötelezettségek teljesüljenek.

32. Az Európai Unión kívüli személyesadat-továbbításokra vonatkozóan az adatkezelőknek megfelelő intézkedéseket kellene elfogadniuk és végrehajtaniuk annak érdekében, hogy eleget tegyenek az irányelv 26. cikke szerinti „megfelelő garanciák megteremtése” kötelezettségének, például BCR-ek révén.

33. Az adatkezelőknek azt is biztosítaniuk kellene, hogy az adatvédelmi elvek végrehajtása érdekében bevezetett gyakorlati intézkedések valóban hatékonyak legyenek. A nagyobb terjedelmű, összetettebb vagy magasabb kockázatú adatfeldolgozások esetében az elfogadott intézkedések hatékonyságát rendszeresen ellenőrizni kellene. Többféleképpen is lehet értékelni az intézkedések hatékonyságát (illetve a hatékonyság hiányát): nyomon követés, külső és belső ellenőrzés, stb.

34. A fenti megjegyzésekkel összhangban a 29. cikk alapján létrehozott munkacsoport megfontolta egy, az átfogó jogi keretekbe beilleszthető konkrét rendelkezés megszövegezését, amely így hangzana:

„X. cikk – Az adatvédelmi elvek végrehajtása

1. Az adatkezelő megfelelő és hatékony intézkedéseket hajt végre az irányelvben foglalt elveknek és kötelezettségeknek történő megfelelés biztosítása érdekében.
2 Az adatkezelő a felügyelő hatóság felhívására bizonyítja, hogy eleget tesz az
(1) bekezdésben foglaltaknak.”

IV. AZ ÁLTALÁNOS ELSZÁMOLTATHATÓSÁGI ELVHEZ KAPCSOLÓDÓ KÜLÖNFÉLE EGYÉB ELEMEK MEGVITATÁSA

IV.1. A már létező kötelezettségek megerősítése

35. A 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy egyes adatkezelők esetleg úgy érezhetik, hogy az általános elszámoltathatósági elv nehézkes új jogi kötelezettségeket ró rájuk, különösen a jelenlegi, kihívásokkal teli uniós gazdasági helyzetben. Ez félreértés lenne.

36. A 29. cikk alapján létrehozott munkacsoport rá kíván mutatni, hogy az új rendelkezésben foglalt legtöbb követelmény már most, a jelenleg hatályos jogszabályokban is szerepel, noha kevésbé határozott formában. Az adatkezelőknek már a jelenleg hatályos jogi keretek értelmében is eleget kell tenniük az irányelvben foglalt elveknek és kötelezettségeknek. Ennek érdekében lényeges bevezetni, és lehetőség szerint igazolni az adatvédelemhez kötődő eljárásokat. E szemszögből nézve az elszámoltathatóságról szóló rendelkezés nem jelent nagyobb újdonságot, és nagyobbrészt nem vezet be olyan kötelezettségeket, melyet nem voltak meg a már létező jogszabályokban is. Összegezve az új rendelkezés nem irányul arra, hogy az adatkezelőket újabb elveknek vesse alá, hanem a már létezőeknek történő valós, hatékony megfelelést biztosítja.

37. Valójában hasonló jogi fejlődésre került sor a 2002/58/EK irányelv 2009-es módosításakor. Ebben az esetben a jogszabály egy kötelezettséget vezetett be biztonsági politika végrehajtására, konkrétan „a személyes adatok feldolgozásának biztonságára vonatkozó politika biztosítását”. Így az irányelv biztonságra vonatkozó előírásai tekintetében a jogalkotó úgy határozott, hogy szükség van a biztonsági politika léte és végrehajtása érdekében egy határozott követelmény bevezetésére. Ráadásul a 95/46/EK irányelv 18. cikke, mely az adatvédelmi tisztviselők kijelölésével és a kötelező vállalati szabályok fent említett rendszerével foglalkozik, is tartalmaz már az adatkezelők által elfogadható gyakorlati intézkedésekre példákat.

38. A fentiekhez kapcsolódó kérdés az elszámoltathatóság elvének történő megfeleléshez (vagy annak elmaradásához) kapcsolódó jogkövetkezmény. A 29. cikk alapján létrehozott munkacsoport rámutat arra, hogy az, ha az adatkezelő eleget tesz az elszámoltathatóság elvében foglaltaknak, nem jelenti azt, hogy egyben az irányelvben foglalt anyagi elveknek is eleget tett, vagyis nem hordozza magában a megfelelés jogi vélelmét, és nem helyettesíti ezen elvek egyikét sem. Lehetséges, hogy az adatkezelő végrehajtotta az irányelvben foglalt intézkedéseket és ezt ellenőrizte is, és mégis a jogszabály ellenére jár el. Ennek megfelelően az elvek betartása érdekében elfogadott intézkedések semmilyen esetben sem mentesíthetik az adatkezelőket az adatvédelmi hatóságok felügyeleti intézkedései tekintetében. A gyakorlatban azon köz- és magánszektorbeli adatkezelők, melyek erőteljes megfelelési programok keretében intézkedéseket fogadtak el, nagyobb valószínűséggel tesznek eleget a jogszabályoknak. Mivel az anyagi adatvédelmi elvek betartását szolgáló hatékony gyakorlati intézkedéseket léptettek életbe, valóban kevésbé valószínű, hogy megszegnék a jogszabályokat. Ezért az adatvédelmi jogsértésekhez fűződő szankciók megállapításakor az adatvédelmi hatóságok figyelembe vehetik az intézkedések végrehajtását (vagy ennek hiányát), illetve ennek ellenőrzését.

IV. Megfelelő intézkedések az irányelv rendelkezéseinek végrehajtására

39. Az elszámoltathatóságról szóló rendelkezés arra kötelezné az adatkezelőket, hogy határozzák meg és hajtsák végre az irányelvben foglalt elveknek és kötelezettségeknek történő megfeleléshez szükséges intézkedéseket, és hogy rendszeresen ellenőrizzék ezek hatékonyságát.

40. A javasolt általános elszámoltathatósági elv szándékosan tartózkodik a végrehajtandó intézkedéstípusok részletes leírásától. Ez felvet két alapvető kapcsolódó kérdést: i. mely közös intézkedések tennének eleget az elszámoltathatósági elvnek? ii. hogyan lehet az intézkedéseket az egyedi körülményekhez hozzáméretezni és hozzáidomítani?

Az intézkedések: néhány példa

41. A 29. cikk alapján létrehozott munkacsoport úgy tekinti, hogy a közös elszámoltathatósági intézkedések közé tartozhatnak az alábbi, nem kimerítő jellegű listán szereplők:

• Belső eljárások kialakítása új személyes adatfeldolgozási műveletek létrehozása előtt (belső felülvizsgálat, értékelés, stb.);
• Írásbeli és kötelező adatvédelmi politikák felállítása, melyek új adatfeldolgozási műveletek esetében figyelembe veendők és alkalmazandók (pl. adatminőség megfelelősége, értesítés, biztonsági elvek, hozzáférés stb.), és amelyeknek az érintettek számára hozzáférhetőeknek kell lenniük.
• Az adatfeldolgozási eljárások megfelelő azonosítása érdekében az eljárások feltérképezése, valamint egy adatfeldolgozási műveleti jegyzék fenntartása;
• Adatvédelmi tisztviselő, valamint az adatvédelemért felelős más személyek kinevezése;
• Megfelelő adatvédelmi képzés és oktatás biztosítása a személyzet számára. Ennek ki kell terjednie a személyes adatokat feldolgozókra (illetve a feldolgozásért felelősökre, mint amilyenek a humánerőforrás–ügyi igazgatók), valamint az IT menedzserekre, a fejlesztőkre, és az üzleti egységek igazgatóira. Megfelelő erőforrásokat kell elkülöníteni a magánélet védelmének kezelésére stb.
• A hozzáférési, javítási és törlési kérelmek kezelésére eljárások kialakítása, melyeknek átláthatóaknak kell lenniük az érintettek számára;
• Belső panaszkezelési mechanizmus kialakítása;
• Belső eljárások kialakítása a biztonsági rendszer sérüléseinek hatékony kezelése és jelentése céljából;
• Speciális körülményekre vonatkozó adatvédelmi hatásvizsgálatok elvégzése;
• Ellenőrzési eljárások kivitelezése és felügyelete annak biztosítása érdekében, hogy az intézkedések ne csak papíron létezzenek, hanem kerüljenek végrehajtásra, és a gyakorlatban is működjenek (belső vagy külső ellenőrzések stb.).

42. Elképzelhető lenne egy kiegészítő jellegű megközelítés is az általános elszámoltathatósági elvhez. Az elképzelés szerint a jogi keretszabályozás nem csak az általános elszámoltathatósági elvet tartalmazná, hanem olyan intézkedések példálózó jellegű listáját is, melyek nemzeti szinten ösztönözhetőek lennének. A rendelkezés tartalmazhatna egy olyan példálózó és nem kimerítő jellegű listát, amely „eszközkészletként” szolgálhatna az adatkezelők számára. Iránymutatásul szolgálhatna az adatkezelőknek, hogy adott esetben mi minősül az adatkezelő által végrehajtandó megfelelő intézkedésnek. Ez a példálózó jellegű lista természetesen csak kiegészítené a megfelelő intézkedések elfogadásának általános jogi kötelezettségét.

Az intézkedések méretezése

43. A fenti egy példálózó lista olyan intézkedésekről, amelyeket az adatkezelők átültethetnek a gyakorlatba az elszámoltathatósági elv első felének teljesítése érdekében (a kezelő megfelelő és hatékony intézkedéseket hajt végre annak érdekében, hogy eleget tegyen az irányelvben foglalt elveknek és kötelezettségeknek).

44. Egyes intézkedések, melyeket a legtöbb adatfeldolgozási művelet során végre kell hajtani, „kapocsként” szolgálnak. Az elvek végrehajtására szolgáló belső politikák és mechanizmusok (hozzáférési kérelmek és panaszok kezelésére alkalmazandó eljárások) szövegezése tartalmazhat a megfelelő intézkedésekre példákat egyes adatfeldolgozások esetében. Az intézkedések megfelelőségéről eseti alapon kell határozni. Az ilyen döntések meghozatala az adatkezelők feladata, de figyelembe kell venniük a nemzeti adatvédelmi hatóságok és a 29. cikk alapján létrehozott munkacsoport iránymutatásait, amennyiben ilyenek léteznek (lásd lentebb).

45. A fentiekből következik, hogy a végrehajtandó intézkedések típusának meghatározása során nincs más lehetőség, csak a „méretre szabott” megoldások. A végrehajtandó konkrét intézkedéseket minden eset egyedi jellemzői és körülményei alapján kell meghatározni, különös figyelmet fordítva az adatfeldolgozással járó kockázatra és az adattípusokra. Az „egy méret mindenkire jó” megközelítés csak olyan konstrukciókba kényszerítené az adatkezelőket, melyek nem megfelelőek a számukra, és amelyek kudarccal végződnének.

46. A jelen megközelítés szerint az adatkezelőknek lehetőségük kell, hogy legyen arra, hogy az intézkedéseket a saját és az adatkezelési műveletek konkrét körülményeihez igazítsák. Ebben az összefüggésben a 29. cikk alapján létrehozott munkacsoport felidézi a jelenlegi irányelv 17. cikkében foglalt kritériumokat az alkalmazandó biztonsági intézkedések típusa meghatározása céljából: konkrétan: az adatfeldolgozásból adódó kockázatokat és az adat jellegét. E két tényező analogikusan használható lenne az alkalmazandó intézkedések általános típusainak meghatározására. Konkrétabban: a kockázat mértékét olyan tényezők határozzák meg, mint az adatfeldolgozási művelet(ek) mérete, a feldolgozás tervezett célja, és a tervezett adattovábbítások száma. Az adat fajtáját szintén figyelembe kell venni, ideértve azt is, hogy bizalmas-e vagy sem. A jelen elszámoltathatósági elv fényében elemezhető lenne az adatfeldolgozókkal, illetve az ICT (információs és kommunikációs technológiák) tervezőkkel és/vagy gyártókkal szembeni egyes követelmények bevezetésének szükségessége is.

47. E követelmények betartása mellett a nagy adatfeldolgozóknak elvileg szigorú intézkedéseket kell végrehajtaniuk. Egyes esetekben azon kis- és közepes adatfeldolgozóknak, akik kockázatos adatfeldolgozási műveleteket végeznek – például az e-egészségügyi adatfeldolgozási műveleteket végzőknek – is életbe kellene léptetniük szigorú biztosítékokat. Például egy helyi önkormányzat (polgármesteri hivatal), egy multinacionális vállalat, egy kis (internetes) vállalkozás, egy olyan szervezet, melynek az adatfeldolgozás az alaptevékenysége, illetve egy már egyszer törvényt sértett szervezet esetében egyaránt egyedi intézkedésekre lenne szükség a hiteles és hatékony információs kormányzás biztosításához. Ennek eredményeképp az egyszerű alapesetekben, mint amilyen például egy vállalati telefonkönyv felállításához szükséges, a humánerőforrásra vonatkozó személyes adatok feldolgozása, az elszámoltathatósági elv (2) bekezdése szerinti „bizonyítási tehernek” egyszerűen eleget lehetne tenni (például a használt értesítésekkel, az alapvető biztonsági intézkedések leírásával stb.). Ezzel ellentétben bonyolultabb esetekben, mint amilyen például az innovatív biometrikus eszközök használata, a bizonyítási teher további követelmények teljesítésével járhat. A kezelőnek például adott esetben bizonyítania kell, hogy végzett adatvédelmi hatásvizsgálatot, hogy az adatfeldolgozásban résztvevő személyzet megfelelően képzett és rendszeres tájékoztatást kap stb.

48. Az átláthatóság nélkülözhetetlen eleme számos elszámoltathatósági intézkedésnek. Az érintettekkel és általában a közvéleménnyel szembeni átláthatóság hozzájárul az adatfeldolgozók elszámoltathatóságához. Például magasabb fokú elszámoltathatóság érhető el az adatvédelmi politikák interneten történő közzététele, a belső panaszkezelési eljárások átláthatóvá tétele és az éves jelentések megjelentetése révén.

Iránymutatás és jogbiztonság

49. Figyelemmel arra, hogy a méretezés, és ezáltal a rugalmasság igénye miatt a tág fogalmazás előnyös, a 29. cikk alapján létrehozott munkacsoport tudatában van annak, hogy a a rugalmasságnak és fokozatosságnak teret adó átfogó rendelkezés bizonytalansághoz is vezethet. Az adatkezelők úgy tekinthetik, hogy a rendelkezés nem kellően részletes ahhoz, hogy jogbiztonságot teremtsen. Bizonytalanságban lehetnek például a kidolgozandó adatvédelmi politikák és eljárások részletessége, az adatvédelmi tisztviselő kinevezésének ideje és módja, a képzések szervezésének ideje stb. felől. A bizonytalanság vonatkozhat az ellenőrzés típusára is, vagyis, hogy belső vagy harmadik fél által végzett ellenőrzésre van-e szükség. Az adatkezelők tarthatnak továbbá az egymástól eltérő és önkényes nemzeti értelmezésektől kötelezettségeik terjedelmét és természetét illetően.

50. A 29. cikk alapján létrehozott munkacsoport megérti ezeket az aggodalmakat. Mindazonáltal a méretezés és rugalmasság szükségességéhez kapcsolódó fentebb kifejtett okok miatt magával az irányelvvel nem lehet biztosítani a jogbiztonságot. A szükséges jogbiztonság megvalósítása céljából a 29. cikk alapján létrehozott munkacsoport úgy véli, hogy a Bizottság vagy a 29. cikk alapján létrehozott munkacsoport által kibocsátott iránymutatás (például végrehajtás–technikai jellegű) hasznos eszközül szolgálhat a jogbiztonság növeléséhez, és a végrehajtásban jelentkező eltérések kiküszöböléséhez A 29. cikk alapján létrehozott munkacsoport készíthet általános iránymutatást is az átlagos adatkezelő számára szükséges alapelemek tekintetében. Ez az alap aztán az egyes adatkezelők egyéni igényeihez lenne szabható.

51. Hasznos lenne kifejleszteni egy olyan adat megfelelési mintaprogramot is, amelyet a közepes- és nagy adatkezelők vehetnének alapul, és amelyre aztán ráépíthetnék saját egyedi programjaikat, ahogy ez történt a BCR-ekkel a 29. cikk alapján létrehozott munkacsoport iránymutatásával. Ezeket a modelleket a jelenlegi gyakorlatok és rendelkezésre álló modellek gondos vizsgálata, valamint minden lényeges érdekelt féllel történő konzultáció után lehetne elkészíteni. Ez olyan terület, amely minden érdekelt részéről komoly befektetést igényel.

Az intézkedések hatékonysága

52. Az alkalmazandó intézkedések tekintetében fentebb megvitatott kérdések felvetődnek az intézkedések hatékonyságának biztosítása tekintetében is. Az adatfeldolgozás fajtájától függően eltérő módon lehet biztosítani a hatékonyságot.

53. Az adatkezelők többféleképpen is értékelhetik az intézkedések hatékonyságát (illetve a hatékonyság hiányát). A kiterjedtebb, összetettebb és nagyobb kockázattal járó adatfeldolgozások esetében a külső és belső ellenőrzések bevett ellenőrzési módszerek. Az ellenőrzés végzésének módja is változhat, a teljes körű ellenőrzéstől a negatív ellenőrzésig terjedhet (amelyek szintén különféle formákat és alakokat ölthetnek). A 29. cikk alapján létrehozott munkacsoport az intézkedések hatékonyságának biztosításával kapcsolatban ugyanazon, a 95/46/EK irányelv 17. cikkéből származó ismérvek alkalmazását javasolja, mint az intézkedésekről való döntés esetén, vagyis az adatfeldolgozásból származó kockázatokat és az adat jellegét. Ezért az, hogy az adatkezelő miként biztosítja az intézkedések hatékonyságát, az adat érzékenységén, a feldolgozott adatmennyiségen és az adatfeldolgozás jelentette eseti kockázaton fog múlni. A
29. cikk alapján létrehozott munkacsoport e tekintetben is megfogalmazhat iránymutatást.

IV.3. Kapcsolatok más követelményekkel

Előzetes értesítések

54. Érdemes lenne átgondolni az előzetes értesítések lehetséges hatását abban az esetben, ha a megfelelő biztosítékok az adatkezelő szintjén kerülnek meghatározásra. Elképzelhetőek olyan elszámoltathatósági mechanizmusok, amelyek a jelenlegi adatvédelmi jogszabályokban foglalt adminisztratív követelmények helyébe lépnek, illetve csökkentik azok jelentőségét, ahogy azt a
29. cikk alapján létrehozott munkacsoport a magánélet védelmének jövőjéről szóló véleményében már kifejtette.

Belső adattovábbítások

55. A kötelező társasági szabályok gyűjteménye az egyik példája annak, hogyan lehet az adatvédelmi elveket végrehajtani az elszámoltathatósági elv alapján. Ez a 29. cikk alapján létrehozott munkacsoport által kialakított és elfogadott módszer az Európai Unión kívüli adattovábbítás megfelelő biztosítékokkal történő ellátására.

56. Olyan területről van szó, amelynek hasznára válna a további elemzés a 95/46/EK irányelv felülvizsgálata fényében. Különösen fontos lenne megfontolni azt, hogy az irányelv 26. cikkének (2) bekezdése (a tagállamok engedélyezhetik a személyes adatok… továbbítását …amennyiben az adatkezelő megfelelő garanciákat teremt… ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek) a kötelező vállalati szabályok egészére kiterjed-e, továbbá idővel más kötelező elszámoltathatósági mechanizmusok kialakítását, amelyek a megfelelő garanciák nyújtásának eszközéül szolgálnának.

57. Ebben az összefüggésben különösen fontos egyebek mellett az adatkezelőnél az adatvédelmi elvek és kötelezettség érvényesítése céljából belsőleg használt mechanizmusok és az ellenőrzési rendszerek értékelése. Fontos továbbá a nemzeti adatvédelmi hatóságok adattovábbítási engedélye alapján működő jelenlegi rendszer korszerűsítésére szolgáló mechanizmusok megvitatása.

IV.4. Az adatvédelmi hatóságok szerepe

58. Foglalkozni kell azzal a kérdéssel, hogy a jelen véleményben javasolt elszámoltathatósági elv érinteni fogja-e az adatvédelmi hatóságok hatásköreit, különösen a szankcionálás terén. Amint az alább részletesen kifejtésre kerül, az elv nem von el hatásköröket az adatvédelmi hatóságoktól. Ezzel épp ellenkezőleg: előnyös az adatvédelmi hatóságok számára.

59. A jogérvényesítés szempontjából az elv a javasolt formájában elismeri az adatvédelmi hatóságok hatáskörét arra, hogy az adatkezelőt kötelezze az elszámoltathatósági elvnek való megfelelés bizonyítására, ezáltal erősítve a hatóságok végrehajtási jogkörét. Ez biztosítja, hogy a hatóságoknak megmaradjon a joguk arra, hogy bármikor végrehajtási cselekményt foganatosítsanak. Tisztázni kell, hogy az adatvédelmi hatóságoknak minden esetben megmaradna a hatásköre arra, hogy ne csak az adatkezelők által megtett intézkedéseket vizsgálják, hanem mindenekelőtt az alapvető elveknek és kötelezettségeknek való megfelelést.

60. Az elszámoltathatósági elv gyakorlati átültetése továbbá hasznos információkat fog szolgáltatni az adatvédelmi hatóságoknak a megfelelési szintek nyomon követéséhez. Így a megfeleléshez kapcsolódóan nagyon fontos információk állnának a hatóságok rendelkezésére, mivel az adatkezelőknek bizonyítaniuk kellene a hatóságok felé egyfelől, hogy végrehajtották az intézkedéseket, másfelől a végrehajtás mikéntjét. Ezt az információt aztán a hatóságok felhasználhatják a végrehajtási intézkedésekkel összefüggésben. Továbbá amennyiben az adatkezelő nem szolgáltat felhívásra ilyen információkat, az adatkezelő hatóságoknak közvetlen okuk lesz fellépni ellenük, az alapul szolgáló adatvédelmi elvek feltételezett megsértésétől függetlenül.

61. Az elv segítséget jelent továbbá az adatvédelmi hatóságok számára abban a tekintetben is, hogy segít nekik szelektívebben és erősebb stratégiai szemlélettel működni, ezáltal lehetővé téve, hogy erőforrásaik felhasználásával a lehető legnagyobb mértékű megfelelést idézzék elő.

62. A 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy az elszámoltathatósági elv hozzájárulhat a jogi és technikai szakértelem fejlődéséhez az adatvédelmi követelmények végrehajtása terén. A jól képzett, az adatvédelemhez jogilag és technikailag értő, kommunikációs, képzési, politikaalkotási és végrehajtási képességekkel rendelkező személyzet nélkülözhetetlen lesz ezen a területen. Az ilyen szakértelemre a vállalatoknak egyaránt szüksége lesz házon belül, és bérelhető külső szolgáltatásként. Ez a fejlődés létfontosságú lesz ahhoz, hogy az adatkezelők eleget tudjanak tenni kötelezettségeiknek, ideértve szükség szerint a belső és külső/belső ellenőrzések elvégzését is. Ugyanakkor a fejlődés előnyös lesz az adatvédelmi hatóságok szempontjából is, mivel a rendszer hozzá fog járulni az átfogó megfeleléshez, a hatóságok több hasznos információval fognak rendelkezni a vállalatok belső gyakorlatairól, és a jól képzett és megfelelő képességekkel rendelkező adatvédelmi szakemberréteg kialakulása bizonyosan elő fogja segíteni az adatkezelők és a hatóságok kapcsolatát.

63. Le lehet vonni a következtetést, hogy az adatvédelmi hatóságok tevékenysége inkább utólagos mint előzetes jellegű. Mivel az elszámoltathatóság a jó adatvédelmi kormányzás terén meghatározott elérendő eredményekre teszi a hangsúlyt, ezért eredményorientáltnak minősül; az utólagos rész a hangsúlyos (vagyis az adatfeldolgozás megkezdése utáni rész).

IV.5. Szankciók

64. A javasolt rendszer akkor lesz működőképes, ha az adatvédelmi hatóságok megfelelő szankcionálási jogosultságokat kapnak. Különösen akkor van szükség hatékony szankciókra, ha az adatkezelők nem tesznek eleget az elszámoltathatósági elvnek. Például szankcionálandó, ha az adatkezelő nem tartja be a kötelező belső politikákban tett vállalásokat. Ez nyilvánvalóan az anyagi adatvédelmi elvek tényleges megsértésén felül számít.

65. A fentieken túlmenően a 29. cikk alapján létrehozott munkacsoport úgy véli, hogy a nemzeti adatvédelmi hatóságoknak hatáskörrel kell rendelkezniük arra, hogy pontos utasításokat adhassanak az adatkezelőknek azok megfelelési rendszereivel kapcsolatban.

IV.6. Ellenőrzési rendszerek kialakítása

66. Hosszabb távon az elszámoltathatósági elvről szóló rendelkezés elősegítheti a hitelesítési programok vagy bizonyítványok fejlődését. Az ilyen programok hozzájárulnának annak bizonyításához, hogy az adatkezelő eleget tett a rendelkezésben foglaltaknak; vagyis, hogy meghatározott és életbe léptetett megfelelő intézkedéseket, amelyek érvényesülése aztán rendszeresen ellenőrzésre is kerül. Több tényező is hozzájárulhat az ez irányú fejlődéshez:

67. Általában az várható, hogy annak érdekében, hogy kitűnjenek, az adatvédelemmel/ellenőrzéssel/adatvédelmi hatásvizsgálatokkal foglalkozó szolgáltatók valószínűleg egyre nagyobb mértékben fognak tanúsítványokat/bizonyítványokat kínálni, részint, hogy ők maguk kiemelkedjenek a piacból, részint megszerezhető versenyelőny gyanánt. Az adatkezelők határozhatnak úgy, hogy igénybe veszik a megbízható, tanúsítványt adó szolgáltatókat. Ahogy egyes bizonyítványok elhíresülnek a szigorú tesztelésről, az adatkezelők várhatóan előnyben fogják részesíteni őket, mivel ezek nagyobb megfelelési „komfortérzetet” és emellett versenyelőnyt nyújtanak.

68. A BCR-ek használata a nemzetközi adattovábbítások jogi alapjaként szükségessé teszi azt, hogy az adatkezelők bizonyítsák, hogy megfelelő biztosítékokat alkalmaznak, és az adatvédelmi hatóságok ebben az esetben engedélyezhetik a továbbítást. Ez egy olyan terület, ahol a hitelesítési szolgáltatók hasznosak lennének. A szolgáltatók ellenőriznék az adatkezelő által használt biztosítékokat, és amennyiben ezek megfelelőek, kiállítanák a megfelelő bizonyítványt. Az adatvédelmi hatóság a valamely hitelesítési programból származó tanúsítványt használhatná a BCR elemzése során annak megállapítására, hogy az adatkezelő megfelelő biztosítékokat nyújtott-e a nemzetközi adattovábbítások esetében. Ez hozzájárulna a nemzetközi adattovábbítási engedélyezések folyamatának egyszerűsítéséhez.

IV.6. Ellenőrzési rendszerek szabályozása

69. A hitelesítési szolgáltatások fejlesztésének szükségességére vonatkozó indokok egyben e szolgáltatások szabályozásának szükségességét is alátámasztják. Amennyiben a szolgáltatások célja, hogy megbízhatóan tanúsítsák az adatvédelmi szabályozásnak történő megfelelést (az adatvédelmi hatóságok, az adatkezelők és általában a fogyasztók számára), és ha azt akarjuk, hogy e szolgáltatások zökkenőmentesen működjenek a belső piacon, akkor nyújtásukkal kapcsolatban szükségesnek tűnik követelményeket megállapító szabályozást lefektetni. Az adatvédelmi hatóságoknak kulcsszerepet kell játszaniuk e követelmények kidolgozásában (pl. referenciák, modellek stb.), és képeseknek kell lenniük ezek kikényszerítésére. Ehhez megfelelő forrásokkal kell rendelkezniük. Az adatvédelmi hatóságoknak továbbá szerepet kell kapniuk a hitelesítők hitelesítésében. Ez különösen fontos lehet a nemzetközi adattovábbítások terén. Mivel a szolgáltatások minősége és a belső piaci elérhetőségük iránti igény kulcsfontosságú tényezők, a jogszabályokban meg kell határozni az e minőség elérését szolgáló követelményeket. E munkának a piacra hagyása nem tűnik lehetségesnek. A más területeken – úgy mint az áruk hitelesítése esetében – szerzett tapasztalatok már rámutattak a lefelé irányuló tendenciákra. A szolgáltatók közötti verseny az árak csökkenéséhez és az eljárások rugalmasságához, illetve lazulásához vezethet. Összegezve: a jó minőségű szolgáltatások és az egyenlő versenyfeltételek biztosításához szükségesnek tűnik az – akár határon átnyúló, akár nem határon átnyúló alapú – szabályozás.

70. A 29. cikk alapján létrehozott munkacsoport megjegyzi, hogy a létező akkreditációs szabályozás alkalmazható lehet az adatvédelem területén a hitelesítési szolgáltatók tekintetében. Ez a szabályozás már biztosítja a szükséges szerkezetet az akkreditációs testületek szervezetének és működésének szabályozásával. Ezek a szabályok egyaránt vonatkoznak az önkéntes akkreditációra és azokra a speciális esetekre, amikor az akkreditáció kötelező.

71. Ez a szolgáltatástípus nyilvánvalóan az alapul szolgáló, a szervezetek tesztelésére szolgáló standardok harmonizálása irányába hatna. Nagyon fontos lenne az adatvédelmi megfelelési mintaprogramokat tartalmazó említett (a 29. cikk alapján létrehozott munkacsoporttól vagy a Bizottságtól származó) iránymutatás.

V. KÖVETKEZTETÉSEK

72. Az új technológiák kifejlesztése, valamint a gazdaság és a társadalom folyamatos globalizációja a gyűjtött, válogatott, továbbított illetve egyéb módon felhasznált személyes adatok elterjedéséhez vezetett. Ezért az ilyen adatokkal járó kockázat megsokszorozódott.

73. A 29. cikk alapján létrehozott munkacsoport meg van győződve arról, hogy mind a személyes adatok értéke, mind a velük járó kockázat önmagában is alátámasztja az adatkezelők szerepe és felelőssége erősítésének szükségességét. Az új helyzetre reagáló keretszabályozásnak tartalmaznia kell az adatkezelőket megfelelő és hatékony intézkedések gyakorlati alkalmazására ösztönző eszközöket, melyek biztosítják az adatvédelmi elvek érvényesülését. Az ilyen intézkedésekre példák az adatfeldolgozási műveletek azonosítását célzó, illetve a hozzáférési kérelmek megválaszolását szolgáló eljárások, és a források elosztása, ideértve az adatvédelmi szabályoknak történő megfelelésért a szervezet részéről felelős személyek kinevezését.

74. Az adatvédelem gyakorlati ösztönzése végett a 29. cikk alapján létrehozott munkacsoport mindenekelőtt egy olyan új rendelkezés belefoglalását ajánlja az adatvédelmi irányelv módosítására irányuló javaslatokba, amely arra kötelezné az adatkezelőket, hogy az adatvédelmi irányelvben szereplő elveknek és kötelezettségeknek történő megfelelést biztosító megfelelő és hatékony intézkedéseket vezessenek be, és ezt felhívásra bizonyítani is tudják a hatóságok felé. Ezek az intézkedések várhatóan ösztönöznék az adatvédelmi irányelveknek és kötelezettségeknek történő megfelelést, egyúttal a minimalizálnák a jogosulatlan hozzáférés, felhasználás, adatveszteség stb. kockázatait. A szükséges intézkedések foganatosításának felhívásra történő bizonyítási kötelezettsége várhatóan hasznos eszköz lenne az adatvédelmi hatóságok számára végrehajtási feladataik ellátásához.

75. Ezen intézkedések végrehajtási kötelezettségének minden (magán- és köz) szektorba tartózó adatkezelőre ki kellene terjednie, és méretezhetőnek kellene lennie, hogy az intézkedéstípus összhangban legyen az adatfeldolgozás jelentette kockázatokkal és az adatok jellegével.

Back To Top