A jogszabály mai napon ( 2024.09.11. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

Az Európai Unió joganyaga kizárólag az Európai Unió Hivatalos Lapjának elektronikus kiadásában megjelent változatban tekinthető hivatalosnak és hitelesnek. A Jogtár termékcsalád európai jogi dokumentumainak forrása az Európai Unió Kiadóhivatala, valamint a Hivatalos Lap magyar nyelvű változatának elektronikus kiadása. © Európai Unió, 1998-2018, https://eur-lex.europa.eu/

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2018. november 14-i (EU) 2018/1807 RENDELETE

a nem személyes adatok Európai Unióban való szabad áramlásának keretéről * 

(EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,

a Régiók Bizottságával folytatott konzultációt követően,

rendes jogalkotási eljárás keretében * ,

mivel:

(1) A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is

(2) Az adatértékláncok alapját az adatokkal végzett különböző tevékenységek képezik: az adatok létrehozása és gyűjtése, az adatok összevont feldolgozása és rendszerezése, az adatkezelés, az adatok elemzése, piaci értékesítése és forgalmazása, az adatok felhasználása és újrafelhasználása. Az adatok kezelésének hatékony és eredményes működése minden adatértékláncban alapvető építőelem. Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását az Unióban azonban az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja: a tagállamok hatóságai által előírt adatlokalizációs követelmények és a vevőfogvatartási gyakorlatok a magánszférában.

(3) Az Európai Unió működéséről szóló szerződésben (EUMSZ) szereplő letelepedés szabadsága és szolgáltatásnyújtás szabadsága az adatkezelési szolgáltatásokra is alkalmazandó. Ugyanakkor az említett szolgáltatások nyújtását az adatok meghatározott területen való elhelyezésére vonatkozó bizonyos nemzeti, regionális vagy helyi követelmények hátráltatják, illetve olykor akadályozzák.

(4) Az adatkezelési szolgáltatások szabad mozgása és a szolgáltatók letelepedési joga előtt álló ilyen akadályok a tagállamok jogában foglalt arra vonatkozó követelményekből erednek, hogy az adatokat adatkezelés céljából egy adott földrajzi körzetben vagy területen kell elhelyezni. Ezzel egyenértékű hatása van más konkrét követelményeket előíró szabályoknak vagy közigazgatási gyakorlatoknak, amelyek megnehezítik az adatoknak az Unió egy adott földrajzi körzetén vagy területén kívüli kezelését, így például az arra vonatkozó követelmények, hogy egy adott tagállamban tanúsított vagy jóváhagyott technológiai létesítményeket kell használni. A jogszerű és jogszerűtlen adatlokalizációs előírásokkal kapcsolatos jogbizonytalanság tovább korlátozza a piaci szereplők és az állami szektor választási lehetőségeit az adatok kezelésének helyét illetően. Ez a rendelet semmiképpen sem korlátozza a vállalkozások azzal kapcsolatos szabadságát, hogy az adatok tárolásának helyét meghatározó szerződéseket kössenek. Ez a rendelet csupán biztosítani kívánja ezt a szabadságot azzal, hogy egy megállapodás szerinti helyszín az Unión belül bárhol lehessen.

(5) Az adatok Unión belüli mobilitását ugyanakkor magánjellegű korlátozások is gátolják: az adatkezelési szolgáltatások felhasználóit jogi, szerződéses és műszaki kérdések is hátráltatják vagy megakadályozzák abban, hogy átvigyék adataikat egyik szolgáltatótól a másikhoz, vagy akár visszavigyék őket saját informatikai rendszerükbe, még akkor is, amikor a szolgáltatóval kötött szerződésük lejár.

(6) Ezen akadályok kombinációja az uniós felhőszolgáltatók közötti verseny hiányához, különböző vevőfogvatartási (vendor lock-in) problémákhoz és az adatmobilitás súlyos hiányához vezetett. Hasonlóképpen, az adatlokalizációs szabályok csorbították a kutatás-fejlesztéssel foglalkozó vállalkozások azon képességét, hogy az innováció érdekében elősegítsék a cégek, egyetemek és egyéb kutatóhelyek közötti együttműködést.

(7) A jogbiztonság érdekében és az Unión belüli egyenlő versenyfeltételek szükségessége miatt a belső piac működése szempontjából kulcsfontosságú, hogy valamennyi piaci szereplőre egységes szabályozás vonatkozzon. Az eltérő nemzeti jogokból eredő kereskedelmi akadályok és versenytorzulások megszüntetése, valamint a további valószínűsíthető kereskedelmi akadályok és jelentős versenytorzulások kialakulásának megelőzése érdekében egységes, minden tagállamban alkalmazandó szabályok elfogadására van szükség.

(8) E rendelet nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével, valamint az elektronikus kommunikáció során a magánélet tiszteletben tartásával és a személyes adatok védelmével kapcsolatos jogi keretet, és nem érinti különösen az (EU) 2016/679 európai parlamenti és tanácsi rendeletet * , valamint az (EU) 2016/680 *  és a 2002/58/EK európai parlamenti és tanácsi irányelvet * .

(9) Az egyre bővülő dolgok internete, a mesterséges intelligencia és a gépi tanulás a nem személyes adatok jelentős forrásainak számítanak, például az automatizált ipari gyártási folyamatokban való alkalmazásuk eredményeképpen. A nem személyes adatok konkrét példái közé tartoznak a nagy adathalmazok elemzéséhez használt összesített és anonimizált adatkészletek, a precíziós gazdálkodással kapcsolatos azon adatok, amelyek segíthetnek a peszticidek és a víz használatának nyomon követésében és optimalizálásában, vagy az ipari gépek karbantartási igényeire vonatkozó adatok. Ha a technológiai fejlődés lehetővé teszi az anonimizált adatok személyes adatokká történő átalakítását, az ilyen adatokat személyes adatoknak kell tekinteni, és ennek megfelelően az (EU) 2016/679 rendelet alkalmazandó.

(10) Az (EU) 2016/679 rendelet szerint a tagállamok nem korlátozhatják vagy nem tilthatják meg a személyes adatok Unión belüli szabad áramlását a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével kapcsolatos okokból. E rendelet ugyanezt az elvet rögzíti a nem személyes adatok Unión belüli szabad áramlása tekintetében, kivéve, ha a korlátozást vagy a tiltást közbiztonsági okok indokolják. Az (EU) 2016/679 rendelet és ez a rendelet koherens szabályrendszert biztosít a különböző típusú adatok szabad áramlásának biztosítására. Ezen túlmenően e rendelet nem írja elő a különböző típusú adatok elkülönített tárolásának kötelezettségét.

(11) A nem személyes adatok Unión belüli szabad áramlása keretének megteremtése és az adatgazdaság kialakításához szükséges alapok létrehozása, valamint az uniós ipar versenyképessége fokozásának céljából egyértelmű, átfogó és kiszámítható jogi keretet kell kialakítani a személyes adatoktól eltérő adatok kezeléséhez a belső piacon. A tagállamok közötti együttműködésről és az önszabályozásról rendelkező, elvvezérlet megközelítésnek biztosítania kell, hogy a keret rugalmas legyen annyira, hogy figyelembe vegye az uniós felhasználók, szolgáltatók és nemzeti hatóságok változó igényeit. A meglévő mechanizmusokkal való átfedések kockázatának elkerülése, és ezáltal mind a tagállamokra, mind a vállalkozásokra háruló magasabb terhek elkerülése érdekében nem kell részletes műszaki szabályokat megállapítani.

(12) Ez a rendelet nem érinti az adatkezelést, amennyiben azt valamilyen uniós jog hatályán kívül eső tevékenység részeként végzik. Emlékeztetni kell különösen arra, hogy az Európai Unióról szóló szerződés (EUSZ) 4. cikkének megfelelően a nemzetbiztonság az egyes tagállamok kizárólagos felelőssége.

(13) Az adatok Unión belüli szabad áramlása fontos szerepet fog játszani az adatközpontú növekedés és innováció megvalósításában. A fogyasztókhoz és a vállalkozásokhoz hasonlóan a tagállami közigazgatási szerveknek és közjogi intézményeknek is hasznára válik a választás nagyobb szabadsága az adatközpontú szolgáltatást nyújtók tekintetében, a versenyképesebb árak és az állampolgárok részére való hatékonyabb szolgáltatásnyújtás. Tekintettel arra, hogy a közigazgatási szervek és a közjogi intézmények nagy mennyiségű adatot kezelnek, rendkívül fontos, hogy jó példával járjanak elöl az adatkezelési szolgáltatások igénybevétele során, és tartózkodjanak az adatlokalizációs korlátozások alkalmazásától, amikor adatkezelési szolgáltatásokat vesznek igénybe. Ezért a közigazgatási szerveknek és a közjogi intézményeknek e rendelet hatálya alá kell tartozniuk. E tekintetben a nem személyes adatok szabad áramlásának e rendelet által biztosított elvét az általános és következetes közigazgatási gyakorlatokra és a 2014/24/EU európai parlamenti és tanácsi irányelv *  sérelme nélkül a közbeszerzés területén előírt egyéb adatlokalizációs követelményekre is alkalmazni kell.

(14) Ahogy a 2014/24/EU irányelv esetében is, ez a rendelet nem érinti a tagállamok belső szervezetére vonatkozó azon törvényeket, rendeleteket és közigazgatási rendelkezéseket, amelyek meghatározzák a közigazgatási szervek és a közjogi intézmények adatkezeléssel kapcsolatos hatáskörét és felelősségi körét a magánfelek szerződéses díjazása nélkül, továbbá nem érinti a tagállamok azon törvényeit, rendeleteit és közigazgatási rendelkezéseit, amelyek e hatáskörök és felelősségi körök végrehajtását szabályozzák. Bár a közigazgatási szerveket és a közjogi intézményeket arra ösztönzik, hogy vegyék figyelembe a külső szolgáltatóknak történő kiszervezés gazdasági és egyéb előnyeit, jogos indokok szólhatnak a szolgáltatások saját nyújtása vagy visszaszervezése mellett. Következésképpen e rendelet egyetlen rendelkezése sem kötelezi a tagállamokat arra, hogy külső felet bízzanak meg olyan szolgáltatások nyújtásával, amelyeket maguk kívánnak nyújtani vagy a közbeszerzési szerződéstől eltérő módon kívánnak megszervezni.

(15) E rendeletet olyan természetes vagy jogi személyekre kell alkalmazni, akik vagy amelyek az Unióban tartózkodó vagy letelepedett felhasználók számára nyújtanak adatkezelési szolgáltatásokat, ideértve azon szolgáltatókat is, akik vagy amelyek az Unióban való letelepedés nélkül nyújtanak adatkezelési szolgáltatásokat az Unióban. E rendelet ezért nem alkalmazandó az Unión kívüli adatkezelési szolgáltatásokra és az ilyen adatokra vonatkozó adatlokalizációs követelményekre.

(16) E rendelet nem állapít meg a kereskedelmi ügyekben alkalmazandó jog meghatározására vonatkozó szabályokat, és ezért nem sérti az 593/2008/EK európai parlamenti és tanácsi rendeletet * . Különösen, amennyiben a szerződésre alkalmazandó jogot nem az említett rendeletnek megfelelően választották ki, a szolgáltatásnyújtásra vonatkozó szerződésre főszabály szerint azon ország joga irányadó, ahol a szolgáltató szokásos tartózkodási helye található.

(17) E rendeletet kell alkalmazni a legszélesebb értelemben vett adatkezelésre, amely valamennyi típusú informatikai rendszer használatát magában foglalja függetlenül attól, hogy azok a felhasználó helyiségében vagy területén találhatók-e, vagy kiszervezték-e azokat egy szolgáltatóhoz. E rendelet hatálya kiterjed a különböző intenzitási szintű adatkezelésre, az adattárolástól („Infrastructure-as-a-Service” [IaaS]) az adatok platformokon („Platform-as-a-Service” [PaaS]) vagy alkalmazásokban („Software-as-a-Service” [SaaS]) történő kezeléséig.

(18) Az adatlokalizációs előírások egyértelműen gátolják az adatkezelési szolgáltatások szabad nyújtását az Unióban és a belső piacon. Mint ilyeneket, el kell őket törölni, kivéve, amikor az adatlokalizációs az uniós jogszabályok szerint, különösen az EUMSZ 52. cikke értelmében közbiztonsági okokból indokolt, és megfelel az EUSZ 5. cikkében foglalt arányosság elvének. Annak érdekében, hogy megvalósulhasson a nem személyes adatok határokon átnyúló szabad áramlásának elve, hogy biztosítható legyen a meglévő adatlokalizációs előírások gyors eltörlése, és hogy üzemeltetési okokból lehetőség legyen az adatkezelési szolgáltatások Unión belüli, több helyszínen történő nyújtására, valamint mivel e rendelet szabályozási ellenőrzés céljából az adatok rendelkezésre állását biztosító intézkedésekről rendelkezik, a tagállamok az adatlokalizációs követelményeket csak a közbiztonsággal indokolhatják.

(19) A „közbiztonság” fogalma az EUMSZ 52. cikke értelmében és a Bíróság értelmezése szerint a tagállamok külső és belső biztonságára egyaránt kiterjed, ahogyan a közvédelem kérdéseire is, különösen a bűncselekmények kivizsgálásának, felderítésének és büntetőeljárás alá vonásának elősegítése érdekében. Valamely alapvető társadalmi érdeket érintő, olyan tényleges és kellően súlyos fenyegetés fennállását feltételezi, mint például az intézmények és alapvető közszolgáltatások működésének vagy a lakosság életének veszélyeztetése, továbbá a külkapcsolatoknak vagy a népek békés együttélésének súlyos megzavarása vagy a katonai érdekeket fenyegető kockázat. Az arányosság elvével összhangban a közbiztonsági okokból indokolt adatlokalizációs követelményeknek alkalmasaknak kell lenniük a kitűzött cél elérésére, és nem léphetik túl az e cél eléréséhez szükséges mértéket.

(20) Annak érdekében, hogy biztosítsák a nem személyes adatok határokon átnyúló szabad áramlása elvének hatékony alkalmazását, valamint hogy megelőzzék a belső piac zavartalan működését gátló új akadályok kialakulását, a tagállamoknak azonnal közölniük kell a Bizottsággal minden olyan jogiaktus-tervezetet, amely új adatlokalizációs követelményt vezet be, vagy egy meglévő adatlokalizációs követelményt módosít. Ezeket a jogiaktustervezeteket az (EU) 2015/1535 európai parlamenti és tanácsi irányelvnek *  megfelelően kell benyújtani és értékelni.

(21) Ezenkívül a meglévő potenciális akadályok megszüntetése érdekében a tagállamoknak e rendelet alkalmazási időpontjától számított 24 hónapos átmeneti időszak során felül kell vizsgálniuk azokat a meglévő, általános jellegű törvényeket, rendeleteket vagy közigazgatási rendelkezéseket, amelyek adatlokalizációs követelményeket írnak elő, valamint közölniük kell a Bizottsággal bármely olyan adatlokalizációs követelményt, amelyet e rendelettel összeegyeztethetőnek tartanak, annak indokolásával együtt. Ennek lehetővé kell, tennie a Bizottság számára bármely megmaradó adatlokalizációs követelmény megfelelőségének vizsgálatát. A Bizottságot adott esetben fel kell hatalmazni arra, hogy észrevételeket fogalmazzon meg az adott tagállam számára. Az ilyen észrevételek ajánlást is tartalmazhatnak az adatlokalizációs követelmény módosítására vagy hatályon kívül helyezésére.

(22) A meglévő adatlokalizációs követelmények és a jogiaktus-tervezetek Bizottság részére történő közlésére vonatkozó, e rendeletben megállapított kötelezettségeket kell alkalmazni a szabályozási adatlokalizációs követelményekre és az általános jellegű jogiaktus-tervezetekre, viszont nem kell őket alkalmazni a konkrét természetes vagy jogi személyekre irányuló határozatokra.

(23) Annak érdekében, hogy biztosítsák a tagállamok általános jellegű törvényeiben, rendeleteiben és közigazgatási rendelkezéseiben előírt adatlokalizációs követelmények átláthatóságát az olyan természetes és jogi személyek számára, mint például az adatkezelési szolgáltatások nyújtói és felhasználói, a tagállamoknak az ilyen követelményekre vonatkozó információkat egy nemzeti egységes online információs ponton kell közzétenniük és rendszeresen naprakésszé tenniük. Másik megoldásként, a tagállamoknak az ilyen követelményekre vonatkozó naprakész információkat egy másik uniós jogi aktus értelmében létrehozott központi információs ponton kell rendelkezésre bocsátaniuk. A tagállamoknak rendszeresen frissíteniük kell ezeket az információkat. A természetes és jogi személyeknek az Unió-szerte fennálló adatlokalizációs követelményekről való megfelelő tájékoztatása érdekében a tagállamoknak értesíteniük kell a Bizottságot az ilyen nemzeti egységes online pontok címéről. A Bizottságnak ezen információkat közzé kell tennie a saját honlapján a tagállamokban érvényben lévő valamennyi adatlokalizációs követelmény rendszeresen naprakésszé tett, összesített jegyzékével együtt, beleértve ezen követelményekre vonatkozó, összefoglaló jellegű tájékoztatást is.

(24) Az adatlokalizálási követelmények gyakran az adatok határokon átnyúló kezelésébe vetett bizalom hiányából erednek, amely abból a feltételezésből fakad, hogy így az adatok nem állnak majd a tagállamok illetékes hatóságainak rendelkezésére, például a szabályozási vagy felügyeleti ellenőrzések céljából folytatott vizsgálatokhoz és auditokhoz. A bizalom ilyen hiányát nem lehet kizárólag az olyan szerződéses feltételek semmisnek nyilvánításával orvosolni, amelyek tiltják az illetékes hatóságok számára az adatokhoz való, hivatalos feladataik ellátása céljából történő jogszerű hozzáférést. Ezért a rendeletnek egyértelműen ki kell mondania, hogy nem sérti az illetékes hatóságok azon hatáskörét, hogy az uniós vagy nemzeti jognak megfelelően adatokhoz való hozzáférést kérjenek és kapjanak, valamint hogy az illetékes hatóságok adatokhoz való hozzáférése nem utasítható el azon az alapon, hogy az adatok kezelése egy másik tagállamban történik. Az illetékes hatóságok működési követelményeket írhatnak elő az adatokhoz való hozzáférés támogatása érdekében, például megkövetelhetik, hogy a rendszerleírásokat az érintett tagállamban kell tartani.

(25) Azon természetes vagy jogi személyek, akik kötelesek adatokat szolgáltatni az illetékes hatóságok részére, úgy felelhetnek meg az ilyen kötelezettségnek, hogy valós és időben történő elektronikus hozzáférést adnak és biztosítanak az adatokhoz az illetékes hatóságok számára, függetlenül attól, hogy az adatok kezelése melyik tagállamban történik. Az ilyen hozzáférés a hozzáférés biztosítására kötelezett természetes vagy jogi személy és a szolgáltató közötti szerződésben szereplő konkrét feltételek útján biztosítható.

(26) Amennyiben az adatok szolgáltatására kötelezett természetes vagy jogi személy nem teljesíti e kötelezettséget, az illetékes hatóságnak lehetősége kell, hogy legyen segítséget kérni más tagállamok illetékes hatóságaitól. Ilyen esetekben az illetékes hatóságoknak az uniós jog vagy nemzetközi megállapodások szerinti konkrét együttműködési eszközöket kell alkalmazniuk az adott ügy tárgyától függően, például a rendőrségi együttműködés, a büntető vagy polgári igazságszolgáltatás, illetve az igazgatási ügyek terén a 2006/960/IB tanácsi kerethatározatot * , a 2014/41/EU európai parlamenti és a tanácsi irányelvet * , az Európa Tanács számítástechnikai bűnözésről szóló egyezményét * , az 1206/2001/EK tanácsi rendeletet * , a 2006/112/EK tanácsi irányelvet * , valamint a 904/2010/EU tanácsi rendeletet * . Ilyen konkrét együttműködési mechanizmusok hiányában az illetékes hatóságoknak együtt kell működniük egymással azzal a céllal, hogy a kijelölt egységes kapcsolattartó pontokon keresztül hozzáférést biztosítsanak a kért adatokhoz.

(27) Amennyiben egy segítségnyújtás iránti megkeresés következtében hozzáférés szükséges egy természetes vagy jogi személy helyiségeihez és területeihez, ideértve bármely adatkezelésre szolgáló berendezéshez és eszközhöz való hozzáférést, az ilyen hozzáférésnek összhangban kell állnia az uniós joggal vagy a nemzeti eljárási joggal, ideértve bármely előzetes bírói engedély megszerzésének követelményét is.

(28) E rendelet nem teheti lehetővé a felhasználók számára, hogy megpróbálják megkerülni a nemzeti jog alkalmazását. Ezért rendelkeznie kell arról, hogy a tagállamok hatékony, arányos és visszatartó erejű szankciókat vessenek ki azokra a felhasználókra, amelyek megakadályozzák, hogy az illetékes hatóságok hozzáférjenek az uniós és nemzeti jog szerinti hivatalos feladataik ellátásához szükséges adataikhoz. Sürgős esetekben, amikor egy felhasználó visszaél a jogával, a tagállamok számára lehetővé kell tenni, hogy szigorúan arányos ideiglenes intézkedéseket írjanak elő. Bármely olyan ideiglenes intézkedés, amely az adatoknak a relokalizációt követő 180 napnál hosszabb relokalizációját követeli meg, jelentős ideig eltérne az adatok szabad áramlásának elvétől, és ezért azt az uniós joggal való összeegyeztethetősége vizsgálata céljából közölni kell a Bizottsággal.

(29) Az akadálymentes adathordozhatóság alapvető tényezője a felhasználók szabad választásának és az adatkezelési szolgáltatások piacán kialakuló tényleges versenynek. A határokon átnyúló adathordozhatóság valós vagy vélt nehézségei aláássák a foglalkozásszerű felhasználók bizalmát a határokon átnyúló ajánlatok elfogadása során, és ezáltal gyengítik a belső piacba vetett bizalmukat is. Jóllehet az egyéni fogyasztók élvezik a jelenlegi uniós jog előnyeit, e jog nem segíti elő a szolgáltatók közötti váltás lehetőségét azon felhasználók számára, akik üzleti vagy szakmai tevékenységük folytatása során járnak el. Az Unió-szerte egységes műszaki követelmények - függetlenül attól, hogy műszaki harmonizációra, kölcsönös elismerésre vagy önkéntes harmonizációra vonatkoznak-e - hozzájárulnak az adatkezelési szolgáltatások versenyképes belső piacának kialakításához is.

(30) A verseny által jellemzett környezet előnyeinek teljes mértékű kiaknázása érdekében a foglalkozásszerű felhasználók számára lehetővé kell tenni, hogy tájékoztatáson alapuló döntéseket hozhassanak és könnyen összehasonlíthassák a belső piacon kínált különböző adatkezelési szolgáltatások egyedi összetevőit, ideértve a szerződés megszűnése esetén az adathordozhatóságra vonatkozó szerződéses feltételeket is. A piac innovációs potenciáljához való igazodás, valamint az adatkezelési szolgáltatások foglalkozásszerű felhasználói és szolgáltatói tapasztalatának és szakértelmének a figyelembevétele érdekében, a piaci szereplőknek meg kell határozniuk az adathordozhatóságra vonatkozó részletes információkat és működési követelményeket olyan önszabályozás útján, amelyet a Bizottság akár szerződésifeltétel-mintákat is magukban foglaló uniós magatartási kódexek formájában ösztönöz, elősegít és nyomon követ.

(31) A hatékonyság, valamint a szolgáltatóváltás és az adathordozás megkönnyítése érdekében az ilyen magatartási kódexeknek átfogónak kell lenniük, és legalább néhány olyan kulcsfontosságú szempontot le kell fedniük, amelyek fontosak az adathordozás folyamata során, például az adatokról készült biztonsági másolatokhoz használt folyamatokat és a biztonsági másolatok helyét, a rendelkezésre álló adatformátumokat és adathordozókat, a szükséges IT-konfigurációt és a minimális hálózati sávszélességet, az adathordozási folyamat megkezdése előtt szükséges időt és azt az időtartamot, amely alatt az adatok hordozhatóak maradnak, valamint azokat a garanciákat, amelyek a szolgáltató csődje esetén biztosítják az adatokhoz való hozzáférést. A magatartási kódexeknek ezenkívül egyértelművé kell tenniük, hogy a vevőfogvatartás nem elfogadható üzleti gyakorlat, a bizalmat növelő technológiákról kell rendelkezniük, és az említett kódexeket rendszeresen naprakésszé kell tenni, hogy lépést tartsanak a technológiai fejlődéssel. A Bizottságnak gondoskodnia kell arról, hogy minden érintett érdekelt féllel, közöttük a kis- és középvállalkozások (kkv-k) szövetségeivel és az induló innovatív vállalkozásokkal, a felhasználókkal és a felhőszolgáltatókkal is konzultációra kerüljön sor a folyamat során. A Bizottságnak értékelnie kell az ilyen magatartási kódexek kidolgozását és végrehajtásuk hatékonyságát.

(32) Amennyiben az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy e rendelet alapján adatokhoz hozzáférést kapjon, akkor valamely kijelölt egységes kapcsolattartó ponton keresztül olyan megfelelően indokolt kérelmet kell benyújtania a megkeresett tagállam kijelölt egységes kapcsolattartó pontjához, amelynek írásban tartalmaznia kell, hogy milyen indokok és jogalap alapján kíván hozzáférni az adatokhoz. A segítségkérés céljából megkeresett tagállam által kijelölt egységes kapcsolattartó pontnak meg kell könnyítenie a kérelem továbbítását a megkeresett tagállam illetékes hatóságának. A hatékony együttműködés biztosítása érdekében annak a hatóságnak, amelynek továbbították a kérelmet indokolatlan késedelem nélkül segítséget kell nyújtania az adott ügyben, vagy tájékoztatást kell nyújtania arról, hogy milyen nehézségeket tapasztalt az ilyen kérés teljesítése során, vagy milyen indokok alapján tagadja meg azt.

(33) A határokon átnyúló adatkezelési megoldásokba vetett bizalom erősítése nyomán a piaci szereplők és a közszféra várhatóan kevésbé lesz hajlamos arra, hogy adatlokalizációt alkalmazzon az adatbiztonság biztosítása érdekében. Ez továbbá nagyobb jogbiztonságot fog nyújtani a vállalkozásoknak a biztonsági követelményeknek való megfelelés tekintetében, amikor adatkezelési tevékenységeiket többek között más tagállamokban működő szolgáltatóknak szervezik ki.

(34) Az adatok más tagállamban végzett kezelésére vonatkozóan is alkalmazni kell az adatkezelési tevékenységhez kapcsolódóan támasztott bármely olyan biztonsági követelményt, amelyet az érintett adatokat tulajdonló természetes vagy jogi személy tartózkodási helye vagy letelepedési helye szerinti tagállamban az uniós vagy a nemzeti jog alapján indokoltan és arányosan, az uniós jognak megfelelően alkalmaznak. Ezeknek a természetes vagy jogi személyeknek képeseknek kell lenniük az ilyen követelmények saját maguk általi vagy a szolgáltatókkal kötött szerződéses rendelkezések révén történő teljesítésére.

(35) A nemzeti szinten meghatározott biztonsági követelményeknek szükségeseknek kell lenniük és arányban kell állniuk az adatkezelés biztonságát azon nemzeti jog hatálya alá tartozó területen fenyegető kockázatok mértékével, amely az adott követelményeket meghatározza.

(36) Az (EU) 2016/1148 európai parlamenti és tanácsi irányelv *  olyan jogi intézkedésekről rendelkezik, amelyek elősegítik a kiberbiztonság általános szintjének emelkedését az Unióban. Az adatkezelési szolgáltatások az említett irányelv hatálya alá tartozó digitális szolgáltatások közé tartoznak. Az említett irányelv értelmében a tagállamok biztosítják, hogy a digitális szolgáltatók azonosítják és megteszik a megfelelő és arányos műszaki és szervezési intézkedéseket az általuk használt hálózatok és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében. Az ilyen az intézkedéseknek a felmerülő kockázatnak megfelelő biztonsági szintet kell biztosítaniuk, és figyelembe kell venniük a rendszerek és a létesítmények biztonságát, a biztonsági események kezelését, az üzletmenetfolytonosság-menedzsmentet, a monitoringot, az auditálást és a tesztelést, valamint a nemzetközi szabványoknak való megfelelést. Ezeket az elemeket a Bizottságnak az említett irányelv szerinti végrehajtási jogi aktusokban részletesebben meg kell határoznia.

(37) A Bizottságnak e rendelet végrehajtásáról jelentést kell benyújtania, különösen annak megállapítása céljából, hogy a technológiai és a piaci feltételek változásai tükrében szükség van-e módosításokra. Az említett jelentésnek értékelnie kell különösen e rendeletet, főként annak a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletekre, valamint a közbiztonsági kivétel végrehajtására vonatkozó alkalmazását. A Bizottságnak e rendelet alkalmazásának megkezdése előtt tájékoztató iránymutatást is közzé kell tennie a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek kezelésének módjára vonatkozóan annak érdekében, hogy a vállalatok - köztük a kkv-k - jobban megértsék az e rendelet és az (EU) 2016/679 rendelet közötti kölcsönhatást, valamint biztosítsák a mindkét rendeletnek való megfelelést.

(38) E rendelet tiszteletben tartja a különösen az Európai Unió Alapjogi Chartája által elismert alapvető jogokat és szem előtt tartja az abban elismert elveket, és azt ezen jogokkal és elvekkel - különösen a személyes adatok védelmének jogával, a véleménynyilvánítás és a tájékozódás szabadságával, valamint a vállalkozás szabadságával összhangban kell értelmezni és alkalmazni.

(39) Mivel e rendelet célját, nevezetesen a személyes adatoktól eltérő adatok Unióban való szabad áramlását, a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban terjedelme és hatása miatt e cél jobban megvalósítható, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e cél eléréséhez szükséges mértéket,

ELFOGADTA EZT A RENDELETET:

1. cikk

Tárgy

E rendelet biztosítani kívánja a személyes adatoktól eltérő adatok Unión belüli szabad áramlását azáltal, hogy meghatározza az adatlokalizációs követelményekkel, az adatok illetékes hatóságok számára való rendelkezésre állásával, valamint a foglalkozásszerű felhasználók általi adathordozással kapcsolatos szabályokat.

2. cikk

Hatály

(1) Ez a rendelet a személyes adatoktól eltérő elektronikus adatok Unióban végzett olyan kezelésére alkalmazandó, amikor az adatkezelési tevékenységet:

a) szolgáltatásként nyújtják az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy

b) az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.

(2) Személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek esetében e rendelet az adatkészlet nem személyes adatokat tartalmazó részére alkalmazandó. Abban az esetben, ha egy adatkészletben a személyes és a nem személyes adatok elválaszthatatlanul összekapcsolódnak, ez a rendelet az (EU) 2016/679 rendelet sérelme nélkül alkalmazandó.

(3) Ez a rendelet nem alkalmazandó az uniós jog hatályán kívül eső tevékenységekre.

Ez a rendelet nem érinti a tagállamok belső szervezetére vonatkozó azon törvényeket, rendeleteket és közigazgatási rendelkezéseket, amelyek meghatározzák a közigazgatási szervek és a 2014/24/EU irányelv 2. cikke (1) bekezdésének 4. pontjában meghatározott közjogi intézmények adatkezeléssel kapcsolatos hatáskörét és felelősségi körét a magánfelek szerződéses díjazása nélkül, továbbá nem érinti a tagállamok azon törvényeit, rendeleteit és közigazgatási rendelkezéseit, amelyek e hatáskörök és felelősségi körök végrehajtását szabályozzák.

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1. „adat”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adatoktól eltérő adat;

2. „adatkezelés”: az elektronikus formátumú adatokon vagy adathalmazokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, továbbítás általi közlés, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés;

3. „jogiaktus-tervezet”: általános jellegű törvényi, rendeleti vagy közigazgatási rendelkezésként történő hatályba helyezés céljából megfogalmazott szöveg, amelynek kidolgozása olyan előkészítési szakaszban van, hogy még lehetséges érdemi módosításokat tenni;

4. „szolgáltató”: adatkezelési szolgáltatásokat nyújtó természetes vagy jogi személy;

5. „adatlokalizációs követelmény”: bármely olyan, tagállami törvényben, rendeletben vagy közigazgatási rendelkezésben meghatározott vagy a tagállamok és közjogi intézmények általános és következetes közigazgatási gyakorlataiból - beleértve többek között a 2014/24/EU irányelv sérelme nélkül a közbeszerzés területét is - eredő kötelezettség, tilalom, feltétel, korlátozás vagy más követelmény, amely előírja, hogy az adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adatkezelés bármely másik tagállamban történjen.

6. „illetékes hatóság”: egy tagállam azon hatósága vagy a nemzeti jog értelmében közfunkció ellátására vagy közhatalmi jogosítvány gyakorlására feljogosított bármely egyéb szerv, amely az uniós vagy a nemzeti jognak megfelelően hivatali kötelezettségei teljesítése érdekében jogosult hozzáférést szerezni egy természetes vagy egy jogi személy által kezelt adatokhoz;

7. „felhasználó”: adatkezelési szolgáltatásokat használó vagy igénylő természetes vagy jogi személy, ideértve a közigazgatási szerveket és a közjogi intézményeket is;

8. „foglalkozásszerű felhasználó”: olyan természetes vagy jogi személy - ideértve a közigazgatási szerveket és a közjogi intézményeket is -, aki vagy amely kereskedelmi, üzleti, kézműipari, szakmai tevékenységéhez vagy feladatához kapcsolódóan használ vagy igényel adatkezelési szolgáltatást.

4. cikk

Az adatok Unión belüli szabad mozgása

(1) Az adatlokalizációs követelmények alkalmazása tilos, kivéve, ha azok közbiztonsági okokból indokoltak, és összhangban állnak az arányosság elvével.

E cikk első albekezdése nem sérti a (3) bekezdést és a meglévő uniós jog alapján előírt adatlokalizációs követelményeket.

(2) A tagállamok az (EU) 2015/1535 irányelv 5., 6. és 7. cikkében meghatározott eljárásokkal összhangban azonnal közölnek a Bizottsággal minden olyan jogiaktus-tervezetet, amely új adatlokalizációs követelményt vezet be vagy egy meglévő adatlokalizációs követelményt módosít.

(3) A tagállamok 2021. május 30-ig biztosítanak minden olyan meglévő, törvényben, rendeletben vagy általános jellegű közigazgatási rendelkezésben előírt adatlokalizációs követelmény hatályon kívül helyezését, amely nem felel meg az e cikk (1) bekezdésében foglalt előírásoknak.

Amennyiben egy tagállam úgy véli, hogy valamely meglévő intézkedésben foglalt adatlokalizációs követelmény megfelel az e cikk (1) bekezdésének és ezért hatályban maradhat, ezt az intézkedést 2021. május 30-ig közli a Bizottsággal, a követelmény hatályban tartásának indokolásával együtt. Az EUMSZ 258. cikkének sérelme nélkül a Bizottság e közlés kézhezvételétől számított hat hónapon belül megvizsgálja, hogy az adott intézkedés megfelel-e az e cikk (1) bekezdésének, és adott esetben észrevételeket fogalmazzon meg az érintett tagállam számára, amelyekben szükség esetén többek között javasolja az intézkedés módosítását vagy hatályon kívül helyezését.

(4) A tagállamok bármely, általános jellegű törvényben, rendeletben vagy közigazgatási rendelkezésben előírt és a területükön alkalmazandó adatlokalizációs követelményről részletes, online elérhető információkat tesznek közzé egy nemzeti egységes online információs ponton, és ezeket az információkat rendszeresen naprakésszé teszik, vagy az ilyen lokalizálási követelményekről naprakész információkat bocsátanak rendelkezésre egy másik uniós jogi aktus alapján létrehozott központi információs pont számára.

(5) A tagállamok tájékoztatják a Bizottságot arról, hogy milyen címen érhető el a (4) bekezdésben említett egységes információs pontjuk. A Bizottság az ezen információs pont(ok)hoz vezető hivatkozás(oka)t közzéteszi a honlapján valamennyi adatlokalizációs követelménynek a (4) bekezdésben említett rendszeresen naprakésszé tett összesített jegyzékével együtt, beleértve az e követelményekre vonatkozó, összefoglaló jellegű tájékoztatást is.

5. cikk

Az adatok rendelkezésre állása az illetékes hatóságok számára

(1) E rendelet nem érinti az illetékes hatóságok azon hatáskörét, hogy az uniós vagy nemzeti jognak megfelelően adatokhoz való hozzáférést kérjenek vagy kapjanak hivatali kötelezettségeik teljesítése érdekében. Azzal az indokkal, hogy az adatkezelés egy másik tagállamban történik, nem tagadható meg az adatokhoz való hozzáférés az illetékes hatóságoktól.

(2) Amennyiben egy felhasználóra vonatkozó adatokhoz való hozzáférésre irányuló kérelmet követően valamely illetékes hatóság nem kap hozzáférést az adatokhoz, és ha nem léteznek az uniós jog vagy nemzetközi megállapodások szerinti konkrét együttműködési megállapodások az adatcseréről a különböző tagállamok illetékes hatóságai között, az említett illetékes hatóság a 7. cikkben meghatározott eljárásnak megfelelően segítséget kérhet egy másik tagállam illetékes hatóságától.

(3) Amennyiben a segítségkérés keretében a kérelmező hatóság hozzáférést kér egy természetes vagy jogi személy bármilyen helyiségéhez vagy területéhez - többek között bármilyen adatkezelési eszközhöz vagy módhoz -, akkor a kért hozzáférésnek meg kell felelnie az uniós jognak vagy a nemzeti eljárásjognak.

(4) A tagállamok az uniós és a nemzeti joggal összhangban hatékony, arányos és visszatartó erejű szankciókat alkalmazhatnak az adatszolgáltatási kötelezettség elmulasztásának esetére.

Egy felhasználó általi jogokkal való visszaélés esetén a tagállam szigorúan arányos ideiglenes intézkedéseket írhat elő az adott felhasználóra vonatkozóan, amennyiben azt az adatokhoz való hozzáférés sürgőssége indokolja, és figyelembe véve az érintett felek érdekeit. Ha egy ideiglenes intézkedés az adatoknak a relokalizációt követő 180 napnál hosszabb relokalizációját írja elő, ezt az említett 180 napos időszakon belül közölni kell a Bizottsággal. A Bizottság a lehető legrövidebb időn belül megvizsgálja az intézkedést és annak összeegyeztethetőségét az uniós joggal, és adott esetben megteszi a szükséges intézkedéseket. A Bizottság az e tekintetben szerzett tapasztalatokra vonatkozó információkat megosztja a 7. cikkben említett tagállamok egységes kapcsolattartó pontjaival.

6. cikk

Adathordozás

(1) A Bizottság ösztönzi és elősegíti az önszabályozáson alapuló uniós szintű magatartási kódexek kidolgozását annak érdekében, hogy hozzájáruljon egy olyan versenyképes adatgazdaság megteremtéséhez, amely az átláthatóság és az interoperabilitás elvén alapul, valamint megfelelően figyelembe veszi azokat a nyílt szabványokat, amelyek többek között a következő szempontokra vonatkoznak:

a) bevált gyakorlatok a szolgáltatóváltás megkönnyítésére és az adatok strukturált, általánosan használt és géppel olvasható formátumban történő hordozására, beleértve a nyílt szabványú formátumokat, ahol ezt az adatokat megkapó szolgáltató megköveteli vagy kéri;

b) minimális tájékoztatási követelmények annak biztosítása érdekében, hogy az adatkezelésről szóló szerződések megkötése előtt a foglalkozásszerű felhasználók kellően részletes, egyértelmű és átlátható információt kapjanak az alkalmazandó folyamatokról, műszaki követelményekről, időkeretekről és díjakról arra az esetre, ha egy foglalkozásszerű felhasználó az adatait az egyik szolgáltatótól egy másikhoz kívánja átvinni vagy saját informatikai rendszerébe szeretné visszavinni;

c) a szakmai felhasználóknak szánt adatkezelési termékek és szolgáltatások összehasonlítását megkönnyítő tanúsítási rendszerekkel kapcsolatos megközelítések, figyelembe véve a megállapított nemzeti vagy nemzetközi normákat, megkönnyítve e termékek és szolgáltatások összehasonlíthatóságát. Az ilyen megközelítések közé tartozhat többek között a minőségirányítás, az információbiztonsági irányítás, az üzletmenetfolytonosság-menedzsment és a környezetgazdálkodás;

d) kommunikációs ütemtervek, amelyek multidiszciplináris megközelítést alkalmaznak annak érdekében, hogy felhívják az érintett érdekelt felek figyelmét a magatartási kódexekre.

(2) A Bizottság gondoskodik arról, hogy a magatartási kódexek valamennyi érintett érdekelt féllel, közöttük a kkv-k és induló innovatív vállalkozások szövetségeivel, a felhasználókkal és a felhőszolgáltatókkal szoros együttműködésben kerüljenek kidolgozásra.

(3) A Bizottság ösztönzi a szolgáltatókat arra, hogy 2019. november 29-ig fejezzék be a magatartási kódexek kidolgozását, és 2020. május 29-ig ténylegesen hajtsák végre azokat.

7. cikk

A hatóságok közötti együttműködés módja

(1) Minden tagállam kijelöl egy egységes kapcsolattartó pontot, amely e rendelet alkalmazásával összefüggésben biztosítja a kapcsolattartást a többi tagállam egységes kapcsolattartó pontjaival és a Bizottsággal. A tagállamok értesítik a Bizottságot a kijelölt egységes kapcsolattartó pontról és annak a kijelölést követő bármilyen változásáról.

(2) Amennyiben az 5. cikk (2) bekezdése értelmében az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy hozzáférést kapjon bizonyos adatokhoz, megfelelően indokolt kérelmet nyújt be az utóbbi tagállam kijelölt egységes kapcsolattartó pontjához. E kérelem írásban tartalmazza, hogy milyen indokok és jogalap alapján kíván hozzáférni az adatokhoz.

(3) Az egységes kapcsolattartó pont azonosítja a tagállama megfelelő illetékes hatóságát és a beérkezett kérelmet a (2) bekezdésnek megfelelően továbbítja az említett illetékes hatósághoz.

(4) Az így megkeresett megfelelő illetékes hatóság indokolatlan késedelem nélkül és a megkeresés sürgősségével arányos határidőn belül választ ad, amelyben közli a kért adatokat, vagy tájékoztatja a megkereső illetékes hatóságot arról, hogy úgy ítéli meg, hogy a segítségnyújtás e rendelet szerinti kérelmezésének feltételei nem teljesültek.

(5) Az 5. cikk (2) bekezdése szerint kért és nyújtott segítségnyújtás keretében cserélt bármely információ csak abban az ügyben használható fel, amellyel kapcsolatban kérték.

(6) Az egységes kapcsolattartó pontok általános tájékoztatást adnak a felhasználóknak e rendeletről, többek között a magatartási kódexekről.

8. cikk

Értékelés és iránymutatások

(1) A Bizottság legkésőbb 2022. november 29-ig jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak, amelyben értékeli e rendelet végrehajtását, különösen az alábbiak tekintetében:

a) e rendeletnek különösen a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletekre való alkalmazása a piaci és technológiai fejlemények fényében, amelyek bővíthetik az adatokkal kapcsolatos anonimitás megszüntetésének lehetőségeit;

b) a 4. cikk (1) bekezdésének és különösen a közbiztonságra vonatkozó kivételnek a tagállamok általi alkalmazása; valamint

c) a magatartási kódexek kidolgozása és tényleges végrehajtása, valamint a szolgáltatók általi tényleges információnyújtás.

(2) A tagállamok az (1) bekezdésben említett jelentés elkészítéséhez szükséges információkat a Bizottság rendelkezésére bocsátják.

(3) A Bizottság 2019. május 29-ig tájékoztató iránymutatást tesz közzé az e rendelet és az (EU) 2016/679 rendelet kölcsönhatásáról, különösen a személyes és nem személyes adatokat egyaránt tartalmazó adatkészletek tekintetében.

9. cikk

Záró rendelkezések

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet a kihirdetését követő hat hónap elteltével kell alkalmazni

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Strasbourgban, 2018. november 14-én.

az Európai Parlament részéről
az elnök
A. TAJANI
a Tanács részéről
az elnök
K. EDTSTADLER