A GDPR és az ePrivacy Irányelv kapcsolata

Az Európai Adatvédelmi Testület (EDPB) 2019. március 12-i ülésén elfogadta az ePRivacy Irányelv és a GDPR kapcsolatáról szóló 5/2019. számú véleményét (Vélemény). A dokumentum, amelyet a testület a belga adatvédelmi hatóság kérésére bocsátott ki, a két instrumentum kapcsolódási pontjai mellett kitér az adatvédelmi felügyeleti szervek feleadat- és hatásköreire. Összességében tehát elmondható, hogy a gyakorlat szempontjából kiemelt jelentőségű útmutatás született, amely nemcsak az adatvédelmi jog jelenlegi, de a jövőbeli alkalmazására is hatást gyakorol. Az korábban az adatvédelmi csomag részét képező ún. ePRivacy Rendelet elfogadására ugyanis a tervek szerint már ez év őszén sor kerül. Utóbbi instrumentum és a GDPR kapcsolata pedig – hasonlóan a jelenlegi irányelvhez – alapaiban határozza meg az információs társadalommal összefüggő szolgáltatások nyújtása, valamint a elektronikus hírközlés keretében végzett adatkezelések szabályait.

A Vélemény számos részterületet érint. Az EDPB többek között megvizsgálta a GDPR és az ePrivacy Irányelv hatálya alá eső tevékenységeket, adatkezeléséket. E tekintetben kiemelendő, hogy a testület számos olyan esetet talált, amelyek mindkét instrumentum tárgyi hatálya alá tartoznak: „[…] a GDPR maga kifejezetten utal a tárgyi hatályának meghatározása (személyes adat fogalma) során olyan adatkezelési tevékenységekre, amelyek – legalább részben – az ePrivacy Irányelv hatálya alá is tartoznak”. Példaként említhetők a IP címek kezelése vagy a cookie-k alkalmazása.

A GDPR és az ePRivacy Irányelv kapcsolata vonatkozásában az EDPB hangsúlyozta, hogy a GDPR 95. cikke, illetve (173) preambulumbekezdése alapján az ePRivacy Irányelv lex specialis-ként viszonyul a GDPR-hoz, azaz a „rendelet nem ró további kötelezettségeket [az adatkezelőkre] az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők [az ePrivacy Irányelvben] megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak”. Ebből következően az ePRivacy Irányelv alkalmazandó a GDPR helyett akkor, ha speciális szabályozást tartalmaz egy adott terület vonatkozásában. Példaként említhető az adatkezelések jogalapjának meghatározása az irányelvben. A rendeletet kell ugyanakkor alkalmazni, ha nem található megfelelő rendelkezés az ePRivacy Irányelvben, például az érintetti jogok esetén.

Végezetül az EDPB vizsgálat tárgyává tette az adatvédelmi felügyeleti hatóságok feladat- és hatásköreit. E tekintetben megállapította, hogy e szervek abban az esetben járhatnak el a GDPR és az ePRivacy Irányelvet is érintő kérdésekben, ha utóbbi instrumentumot átültető nemzeti szabályok ezt lehetővé tették számukra. Ez azonban nem érinti a hatóságok azon adatkezelések tekintetében fennálló hatásköreit, amelyekre nem vonatkoznak speciális szabályok az ePRivacy Irányelv alapján, még ha az adott adatkezelés az irányelv hatálya alá esik is.

Forrás: www.edpb.europa.eu, www.huntonprivacyblog.com