CLVPartners

EU Bizottság

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után

Olvasási idő: 4 perc

A 2026. június 29-én meghozott amerikai legfelsőbb bírósági döntés (Trump v. Slaughter; a továbbiakban: „Döntés”) valószínűleg hatással lesz az Európai Unió és az Egyesült Államok közötti nemzetközi adattovábbítások jogi megítélésére, és fordulatot hozhat az e területet érintő jelenlegi gyakorlatban.

Az Amerikai Egyesült Államok Legfelsőbb Bírósága („Legfelsőbb Bíróság”) a döntésben az egységes végrehajtó hatalom elméletére támaszkodva arra a következtetésre jutott, hogy az Egyesült Államokban működő valamennyi független végrehajtó hatóság alkotmányellenesnek minősül. A Döntés közvetlenül érinti a Szövetségi Kereskedelmi Bizottságot („FTC”) is.

Ez a fejlemény az európai adatvédelmi jog szempontjából kiemelt jelentőséggel bír, mivel az Európai Bizottság („Bizottság”) 2023/1795. számú végrehajtási határozatával elfogadott, jelenleg hatályos EU–USA Adatvédelmi Keret („EU–USA Data Privacy Framework”, a továbbiakban: „Keret”) az FTC-t nevezte meg, mint az adatvédelmi szabályok betartásáért felelős független felügyeleti szerv.

Hírlevelünkben összefoglaljuk az Európai Unió és az Egyesült Államok közötti adattovábbítási gyakorlat legfontosabb szabályait, valamint áttekintjük, hogy a vállalatoknak milyen változásokra kell felkészülniük a Döntés következtében.

A GDPR szerinti harmadik országokba történő adattovábbítás szabályozási rendszere és a Schrems-ítéletek öröksége

A személyes adatok védelméről szóló 2016/679 rendelet („GDPR”) alapján a személyes adatok harmadik országba történő továbbítása főszabály szerint kizárólag akkor jogszerű, ha az adott ország megfelelő védelmi szintet biztosít. A megfelelőség vizsgálata során kiemelt szempont, hogy a harmadik ország rendelkezik-e olyan független és hatékony adatvédelmi felügyeleti hatósággal, amely képes az adatvédelmi szabályok betartásának tényleges érvényesítésére és kikényszerítésére. Ennek hiánya vagy elégtelen működése esetén ugyanis nem biztosítható az uniós szintű védelemhez hasonló garanciarendszer. Éppen ezért a Bizottság csak akkor fogadhat el megfelelőségi határozatot egy harmadik ország vonatkozásában, ha a vizsgált ország jogrendszere – többek között egy ilyen független felügyeleti szerv révén – biztosítja a személyes adatok megfelelő szintű védelmét.

E körben szükséges továbbá megemlíteni, hogy az Európai Unióból az Egyesült Államokba irányuló adattovábbítások jogi keretrendszere hosszú ideje bizonytalanságokkal terhelt. Az Európai Unió Bírósága a Schrems I és Schrems II ügyekben hozott ítéleteiben korábban érvénytelenítette az EU és USA közötti adattovábbításokra vonatkozó Safe Harbor, majd a Privacy Shield keretrendszert is. A bíróság döntését azzal indokolta, hogy az Egyesült Államokban alkalmazott tömeges megfigyelési gyakorlatok, valamint a hatékony jogorvoslati lehetőségek hiánya miatt az érintettek számára nem biztosított az uniós adatvédelmi szabályoknak megfelelő védelmi szint.

Ezt követően egyfajta „harmadik generációs” adattovábbítási megfelelőségi határozatként került bevezetésre a jelenlegi Keret, amely az Egyesült Államok vonatkozásában az FTC-t nevesíti független felügyeleti hatóságként. A Döntés következtében ugyanakkor kétségessé vált, hogy az FTC esetében a függetlenség fennállásához szükséges feltételek továbbra is biztosítottak.

Miért releváns ez uniós adatkezelők számára?

Az elmúlt évtizedekben számos uniós vállalat szervezte ki adatfeldolgozási tevékenységeit amerikai felhőszolgáltatókhoz. A GDPR azonban egyértelműen rögzíti, hogy a vállalatok személyes adatokat harmadik országba – így az Egyesült Államokba is – kizárólag abban az esetben továbbíthatnak jogszerűen, ha az adattovábbítás megfelelő garanciák és jogalap mellett történik.

Az adattovábbítások egyik lehetséges jogalapját az úgynevezett megfelelőségi határozatok jelentik. Az Európai Unió és az Egyesült Államok közötti viszonylatban jelenleg a Keret tölti be ezt a funkciót. Megfelelőségi határozat hiányában az adattovábbításra kizárólag akkor kerülhet sor jogszerűen, ha az érintett szervezet megfelelő garanciákat biztosítanak, például az Európai Bizottság által elfogadott általános adatvédelmi kikötések („SCC”) alkalmazása, illetve kötelező erejű vállalati szabályok („BCR”) bevezetése mellett.

Ha megállapításra kerül, hogy az FTC a továbbiakban nem felel meg a Keretben előírt függetlenségi követelményeknek, valószínűsíthető, hogy az Európai Bizottság a jövőben felülvizsgálja, illetve adott esetben hatályon kívül helyezi a Keretet.

Hangsúlyozzuk, hogy e fejlemény nem kizárólag a Keret alapján megvalósuló adattovábbításokat érintheti. Azok az adatkezelők is érintetté válhatnak, amelyek SCC-ket vagy BCR-eket alkalmaznak, mivel a GDPR szerinti elszámoltathatóság elvéből következően a vállalatok az adattovábbítási hatásvizsgálat keretében kötelesek értékelni, hogy a harmadik ország joga biztosítja-e a szükséges védelmi szintet. Amennyiben e vizsgálat eredményeként az állapítható meg, hogy az amerikai jogrend – különösen a hatósági hozzáférés vagy a jogorvoslati mechanizmusok tekintetében – nem nyújt megfelelő garanciákat, úgy az SCC-k vagy a BCR-ek alkalmazása önmagában nem elegendő az adattovábbítás jogszerűségének fenntartásához, így azok sem biztosíthatnak megfelelő alapot az Egyesült Államokba történő adattovábbításhoz.

Javasolt lépések

Mindezek alapján a jelenlegi fejlemények fokozott körültekintést tesznek szükségessé minden olyan adatkezelő részéről, amely az Egyesült Államokba irányuló nemzetközi adattovábbításban érintett. Közvetlen, azonnali lépést nem kíván meg a döntés, inkább a belső folyamatok felülvizsgálata és kockázatmenedzsment indokolt:

az adattovábbításokra vonatkozó belső eljárásrendek átfogó felülvizsgálata;

az adattovábbítási hatásvizsgálatok naprakésszé tétele;

annak mérlegelése, hogy szükséges-e további technikai intézkedéseket bevezetni, ideértve például a titkosítás alkalmazását;

alternatív adatfeldolgozási megoldások feltérképezése.

Összegzés

Megállapítható tehát, hogy a Keret megfelelőségének bizonyossága nem egyértelmű, ugyanakkor maga a Keret mindaddig hatályban marad, amíg azt a Bizottság vissza nem vonja, vagy az Európai Unió Bírósága meg nem semmisíti. Ennek következtében a Döntés jelenleg nem gyakorol közvetlen hatást az uniós adatkezelőkre. A vállalatoknak ugyanakkor érdemes felülvizsgálni az Egyesült Államokba történő adattovábbításokkal kapcsolatos gyakorlatukat, és szükség esetén alternatív megoldások bevezetését előkészíteni.

Kép forrása: pexels.com, Mark Stebnicki

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után Read More »

MI Rendelet hatályával kapcsolatos kérdések

Olvasási idő: 5 perc

2024. június 12-én új korszak kezdődött a mesterséges intelligencia („MI”) szabályozásában: elfogadásra és közzétételre került az Európai Uniómesterséges intelligenciáról szóló rendelete („MI Rendelet”). A jogszabály célja, hogy keretet adjon az MI biztonságos, átlátható és felelős fejlesztésének és alkalmazásának az Európai Unióban. Annak érdekében, hogy megfelelően értelmezni tudjuk az MI Rendeletben előírt kötelezettségeket, mindenekelőtt azt kell tisztázni, hogy pontosan milyen szervezetekre, tevékenységekre vagy technológiai megoldásokra vonatkozik a szabályozás.

Cikksorozatunk második részében ezért az MI Rendelet hatályával kapcsolatos legfontosabb szabályokat vesszük górcső alá, hogy segítsünk ügyfeleinknek időben megkezdeni a megfelelésre való felkészülést, és felismerni, ha működésük során olyan MI-rendszereket fejlesztenek vagy használnak, amelyekre az MI Rendelet előírásai alkalmazandók.

MI Rendelet hatályával kapcsolatos legfontosabb szabályok

MI Rendelet szabályozásának tárgya

Az MI Rendelet alapvetően az MI-rendszerek szabályozására terjed ki. Ennek megfelelően elsőként fontos azt azonosítani, hogy mi minősül MI rendszernek.

A MI Rendelet alapján az MI-rendszer olyan gépi alapú rendszer, amelyet kifejezetten úgy terveztek, hogy különböző szintű autonómiával működjön, és a telepítését követően képes legyen alkalmazkodni. Ezek a rendszerek explicit vagy implicit célok érdekében elemzik a kapott bemeneteket, és azok alapján generálnak kimeneteket – például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek hatással lehetnek a fizikai vagy virtuális környezetre.

A MI-rendszereket alapvetően az különbözteti meg a hagyományos szoftvermegoldásoktól, hogy képesek a bemeneti adatokból tanulni, azok alapján következtetéseket levonni, illetve modelleket alkotni. Ezzel szemben a klasszikus programozási megközelítésekre épülő, egyszerűbb szoftverrendszerek – ideértve azokat a rendszereket is, amelyek kizárólag előre meghatározott, ember által rögzített szabályok alapján hajtanak végre automatizált műveleteket – nem rendelkeznek ilyen tanulási vagy adaptációs képességekkel. Ennek következtében ezek a megoldások nem minősülnek MI-rendszernek, és így a vonatkozó szabályozás hatálya sem terjed ki rájuk.

Hagyományos szoftvermegoldásnak tekinthetők például az olyan alkalmazások, amelyek működése teljes mértékben előre meghatározott szabályokon alapul, és nem képesek önálló tanulásra vagy adaptációra. Ilyen lehet többek között egy hagyományos számológép, a Microsoft Excel egyes alapvető funkciói, illetve azok a pénzügyi előrejelzésekhez használt teljesítményértékelő szoftverek, amelyek kizárólag múltbeli adatok feldolgozására és egyszerű statisztikai következtetések levonására alkalmasak.

Fontos továbbá kiemelni, hogy az MI-rendelet főszabály szerint bizonyos speciális területekre nem alkalmazandó. A szabályozás hatálya nem terjed ki a katonai, védelmi vagy nemzetbiztonsági célból alkalmazott MI-rendszerekre, valamint azokra a rendszerekre, modellekre és eredményekre sem, amelyeket kifejezetten tudományos kutatás és fejlesztés céljára hoztak létre. Emellett a rendelet nem vonatkozik azokra a természetes személyekre sem, akik az MI-rendszereket kizárólag személyes, nem szakmai célból használják.

Területi és személyi hatály

Az MI Rendelet hatálya nem korlátozódik kizárólag az Európai Unió területén letelepedett szereplőkre. A szabályozás minden olyan MI-rendszerre alkalmazandó, amelyet az Európai Unió belső piacán hoznak forgalomba, helyeznek üzembe vagy használnak. Ennek megfelelően a rendelet bizonyos esetekben az Unión kívül letelepedett szereplőkre is kiterjed.

A szabályozás alapvetően minden olyan szereplőre kiterjed, aki kapcsolatba kerül MI-rendszerekkel a fejlesztéstől a felhasználásig. Ennek megfelelően a MI Rendelet hatálya alá tartozhatnak többek között a fejlesztők, szolgáltatók, forgalmazók, importőrök, telepítők, üzemeltetők, valamint a rendszerek felhasználói is

Időbeli hatály

Az MI Rendelet rendelkezései fokozatosan lépnek hatályba.

Ugyanakkor fontos hangsúlyozni, hogy az MI Rendelet egyes előírásai már jelenleg is hatályosak. Ezek közé tartoznak többek között a fogalommeghatározásokra vonatkozó rendelkezések, az elfogadhatatlan kockázatot jelentő – azaz tiltott – MI-rendszerekre vonatkozó szabályok, az általános célú MI-modellekre irányadó kötelezettségek, valamint az MI-jártasságra, a hatósági felügyeletre és a szankciókra vonatkozó előírások.

Kiemelt jelentőséggel bír az úgynevezett MI-jártasság követelménye. E rendelkezés értelmében az MI-rendszert alkalmazó szervezetek kötelesek biztosítani, hogy a rendszert kezelő vagy működtető személyek megfelelő szintű ismeretekkel rendelkezzenek az MI-vel kapcsolatban.

Az MI Rendelet hatályos szövege szerint a rendelkezések túlnyomó része 2026. augusztus 2-án válik alkalmazandóvá. Mindazonáltal az Európai Bizottság a digitális omnibusz csomag keretében már 2025 novemberében javaslatot tett arra, hogy egyes szabályok alkalmazását legfeljebb 18 hónappal elhalasszák.

A végrehajtással kapcsolatban további bizonytalanságot okoz, hogy a Bizottságnak 2026. február 2-ig iránymutatást kellett volna közzétennie a nagy kockázatú MI-rendszerek besorolásáról. Ez az iránymutatás kulcsfontosságú annak meghatározásához, hogy egy adott MI-alkalmazás magas kockázatúnak minősül-e, és ennek következtében szigorúbb dokumentációs, megfelelési és felügyeleti követelmények vonatkoznak-e rá. Az iránymutatás közzététele azonban egyelőre elmaradt. Emellett több tagállamban is nehézségek merültek fel a rendelet végrehajtásáért felelős hatóságok kijelölésében.

Mindezek következtében a hatálybalépés és az egyes rendelkezések gyakorlati alkalmazása tekintetében jelenleg is jelentős bizonytalanság tapasztalható.

Hazai szabályozás

A rendeleti forma miatt a magyar szabályozás alapvetően kiegészítő jellegű az uniós szabályokhoz képest. Ennek megfelelően az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény („MI Törvény”) kizárólag azokra az ügyekre, szervezetekre és MI-rendszerekre vonatkozik, amelyek Magyarországot vagy annak területét érintik.

Az időbeli hatály tekintetében a MI Törvény főszabályként 2025 decemberétől alkalmazandó, azonban kivételt képez a szabályozói tesztkörnyezetre vonatkozó rendelkezés, amely 2026. augusztus 2-án lép hatályba.

Összegzés:

Az MI Rendelet azokat a rendszereket szabályozza, amelyek képesek a bemeneti adatok alapján tanulni, következtetéseket levonni vagy autonóm módon kimeneteket generálni, míg a kizárólag előre meghatározott szabályok szerint működő hagyományos szoftverek nem tartoznak a hatálya alá. Az MI Rendelet területi hatálya széles, mivel nemcsak az EU-ban letelepedett szereplőkre vonatkozik, hanem azokra is, akik az uniós piacon hoznak forgalomba MI-rendszereket vagy azok kimeneteit az EU-ban használják. A szabályozás a fejlesztéstől a felhasználásig valamennyi érintett szereplőre kiterjed. Bár az MI Rendelet szabályai fokozatosan válnak alkalmazandóvá, több kulcsfontosságú rendelkezés már hatályos, ugyanakkor a végrehajtással kapcsolatos iránymutatások és intézményi feltételek hiánya jelenleg bizonytalanságot okoz a gyakorlati alkalmazásban.

Kép forrása: pexels.com, Tara Winstead

MI Rendelet hatályával kapcsolatos kérdések Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.