Négy évvel az általános adatvédelmi rendelet (GDPR) hatályba lépése, és két évvel a tényleges alkalmazásának megkezdése után az Európai Bizottság egy friss jelentésben értékelte a személyes adatok védelmét és áramlását szabályozó rendelet eddigi eredményeit. A szerdán közzétett riport megállapítja, hogy a GDPR beváltotta a legtöbb hozzá fűzött elképzelést, és a közelmúltban kirobbant világjárvány nyomán bebizonyosodott, hogy váratlan körülmnyek között is elég rugalmas a digitális megoldások támogatásához.

Az EB szerint a tagállamok közti jogharmonizáció egyre erősebb, de még érvényesül bizonyos fokú töredezettség, amelynek alakulását figyelemmel kell kísérni. Az üzleti szereplők körében mindenesetre kialakult egy folyamatosan erősödő megfelelőségi kultúra, és a felhasználói adatok magas szintű védelemre már sokan tekintenek versenyelőnyként. A jelentés emellett olyan intézkedéseket is megfogalmaz, amelyekre a kkv-k vagy az állami szervezetek körében szükség lenne a GDPR hatékonyabb alkamazásához.

Folyamatos, de egyenlőtlen fejlődés

A dokumentum főbb megállapításai között szerepel, hogy az európaiak nem csak a jogaikkal vannak egyre inkább tisztában, de egyre több lehetőségük is van ezeknek a jogoknak az érvényesítésére. Az Európai Unió Alapjogi Ügynökségének felmérése szerint a 16 évesnél idősebb uniós polgárok 69 százaléka már hallott a GDPR-ről, 71 százalékuk pedig azt is tudja, hogy országában működik valamilyen nemzeti adatvédelmi hatóság. Ezek a hatóságok hajlandóak is élni a GDPR által biztosított eszközeikkel, amihez azonban újabb emberi, technikai és anyagi erőforrásokra is szükségük van.

A forrásokat sok tagállamban meg is kapták, amennyiben 2016 és 2019 között átlagosan 42 százalékos létszámnövekedést és a működésükre szánt összegek 49 százalékos emelkedését tapasztalták. A fejlődés azonban korántsem egyenletes, és az olyan tényezőket is érdemes figyelembe venni, mint hogy az ír vagy a luxemburgi adatvédelmi hatóságok a náluk működő big tech multik miatt vezető szerepet töltenek be a határokon átnyúló ügyekben, így a sokkal több támogatásra lenne szükségük, mint amit rendes esetben a két ország mérete indokolna. Az írek mások mellet a Facebook, az Instagram, a WhatsApp, a Twitter, az Apple, a Verizon Media, a LinkedIn vagy a Quantcast ellen is egymaguk folytatnak vizsgálatokat, ami nyilvánvalóan erőforrás-igényes dolog.

Mivel a GDPR a korábban megszokottól eltérően egy kiterjesztő hatályú rendelet, vagyis kötelező lehet az EU-n kívüli államok szervezeteire is, a jelentés kitér a nemzetközi együttműködések promotálására. Az Európai Bizottság szerint az elmúlt két évben számos partnerükkel kezdeményeztek regionális, két- vagy többoldalú párbeszédet az adatvédelmi kultúra globális fejlesztéséről és az eltérő rendszerek összehangolásáról. Erre példának hozzák fel a Data Free Flow with Trust kezdeményezést, az afrika-európai uniós partnerségi megállapodásokat, vagy legutóbb a brit, ausztrál és új-zélandi felekkel való tárgyalásokat.

Elégedettek, de még nem dőlnek hátra

Az EB a jelentéssel párhuzamosan egy olyan közlemnyt is kiadott, amelyben jogi aktusokat határoz meg a személyes adatok prevenciós célú hatósági feldolgozásával, a nyomozásokkal, a vizsgálatokkal vagy a büntetőeljárások lefolytatásával kapcsolatban, összefüggésben a bűnüldözésr eérvényes adatvédelmi direktívával. Ennek célja a jogbiztonság megteremtése és az olyan kérdések tisztázása, mint a személyes adatok feldolgozása az illetékes hatóságok által – beleértve azt a problémát is, hogy egyáltalán milyen típusú adatokat érinthet az ilyen típusú feldolgozás.

Adokumentum az Európai Bizottság alelnökét is idézi, aki úgy látja, hogy az európai adatvédelmi szabályozás alkalmas egy emberközpontú digitális átállás levezénylésére, emellett alapot jelent az olyan szabáályozásokhoz is, amelyek az európai adatstratégiára vagy a mesterséges intelligenciára vonatkoznak. Věra Jourová szerint a GDPR jó példa arra, hogy az EU az alapvető emberi jogokra épülő európai megközelítéssel nem csak saját polgárait támogatja, de a piaci szereplőknek is lehetőséget teremt rá, hogy a legtöbbet hozzák ki a digitális forradalomból. Ennek ellenére ő is kiemelte, hogy még nagyon sok munkára van szükség a GDPR teljes potenciáljának kiaknázásához.

A Reuters beszámolója az Európai Szövetség a Szabadságjogokért (Liberties) képviselőjét is idézi, aki úgy ítéli meg, hogy a kezdetektől a mai napig az érvényesítés jelenti a GDPR leggyengébb pontját: évekkel a bevezetés után is túl sok szervezet, üzleti vagy akár kormányzati szereplő teheti meg, hogy semmibe veszi az európai általános adatvédelmi rendelet különböző szabályait.

A jelentés ugyanakkor kiemeli annak az egyablakos rendszernek a jelentőségét, amelyen a nemzeti hatóságok az Európai Adatvédelmi Testülettel együtt dolgoznak. Ez 2018 májusa és 2019 decembere között már 141 esetben eredményezett határozat-tervezeteket, amelyek közül 79-ből végleges határozat is született. Azt persze az EB is elismeri, hogy ezen a területen is még hatékonyabb és még összehangoltabb megközelítésre van szükség, mert a GDPR által biztosított eszközök csak az adatvédelmi hatóságok teljes együttműködésében lesznek eredményesek.