(EGT-vonatkozású szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére, összefüggésben 114. cikke (1) bekezdésével,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,
rendes jogalkotási eljárás keretében * ,
mivel:
(1) A 2002/58/EK európai parlamenti és tanácsi irányelv * megállapítja az elektronikus hírközlési ágazatban az adatcsere során a személyes adatok kezelése vonatkozásában a magánélethez és a bizalmas adatkezeléshez való jogot biztosító szabályokat. Az említett irányelv pontosítja és kiegészíti az (EU) 2016/679 európai parlamenti és tanácsi rendeletet * .
(2) A 2002/58/EK irányelv a személyes adatoknak a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtásával összefüggő kezelésére vonatkozik. 2020. december 21-ig az elektronikus hírközlési szolgáltatásnak a 2002/21/EK európai parlamenti és tanácsi irányelv * 2. cikkének c) pontjában rögzített fogalommeghatározása volt alkalmazandó. Az említett nappal az (EU) 2018/1972 európai parlamenti és tanácsi irányelv * hatályon kívül helyezte a 2002/21/EK irányelvet. Az elektronikus hírközlési szolgáltatásoknak az (EU) 2018/1972 irányelv 2. cikkének 4. pontjában szereplő fogalommeghatározása az említett irányelv 2. cikkének 7. pontjában meghatározott számfüggetlen személyközi hírközlési szolgáltatásokat is magában foglalja. Ezért a számfüggetlen személyközi hírközlési szolgáltatások - amelyek magukban foglalják például az internetes hangátviteli, az üzenetküldési és a webalapú e-mail-szolgáltatásokat - 2020. december 21-től a 2002/58/EK irányelv hatálya alá kerültek.
(3) Az Európai Unióról szóló szerződés (EUSZ) 6. cikke (1) bekezdésének megfelelően az Unió elismeri az Európai Unió Alapjogi Chartájában (a továbbiakban: a Charta) foglalt jogokat, szabadságokat és elveket. A Charta 7. cikke védi mindenkinek a magán- és családi élete, otthona és kapcsolattartása tiszteletben tartásához fűződő alapvető jogát, ami magában foglalja a közlések titkosságát is. A Charta 8. cikke rögzíti a személyes adatok védelméhez való jogot.
(4) Az Egyesült Nemzetek Szervezetének 1989. évi gyermekjogi egyezménye (Gyermekjogi Egyezmény) 3. cikkének (1) bekezdése, valamint a Charta 24. cikkének (2) bekezdése előírja, hogy a hatóságok és a magánintézmények minden gyermekekkel kapcsolatos tevékenységében a gyermek legfőbb érdekét kell szem előtt tartani. A Gyermekjogi Egyezmény 3. cikkének (2) bekezdése és a Charta 24. cikkének (1) bekezdése továbbá rendelkezik a gyermekeknek a jólétükhöz szükséges ilyen védelemhez és gondoskodáshoz való jogáról.
(5) A gyermekek védelme offline és online módon egyaránt az Unió egyik prioritása. A gyermekek szexuális bántalmazása és szexuális kizsákmányolása súlyosan sérti az emberi és alapvető jogokat, különösen a gyermekeknek az erőszak, a bántalmazás és az elhanyagolás, a bántalmazás, illetve a kizsákmányolás, többek között a szexuális bántalmazás, minden formájával szembeni védelemhez való jogát, ahogy arról a Gyermekjogi Egyezmény és a Charta is rendelkezik. Számos társadalmi és gazdasági előnye mellett a digitalizáció kihívásokat is maga után vont, többek között a gyermekek online szexuális bántalmazásának megnövekedett előfordulását. 2020. július 24-én a Bizottság elfogadta „A gyermekek szexuális bántalmazása elleni hatékonyabb küzdelmet célzó uniós stratégia” (a továbbiakban: a stratégia) című közleményét. A stratégia célja, hogy uniós szinten hatékony válaszlépéseket biztosítson a gyermekek szexuális bántalmazásának bűncselekményével szemben.
(6) A 2011/93/EU európai parlamenti és tanácsi irányelvvel * összhangban ez a rendelet nem irányadó azokra a tagállami szakpolitikákra, amelyek az esetleg gyermekek bevonásával folytatott, beleegyezésen alapuló, az emberi fejlődés során a szexualitás normális felfedezésének tekinthető szexuális tevékenységekre vonatkoznak, figyelembe véve az eltérő kulturális és jogi hagyományokat, valamint a gyermekek és a fiatal felnőttek közötti kapcsolatfelvétel és kapcsolattartás új formáit, ideértve az információs és kommunikációs technológiák útján megvalósulókat is.
(7) Bizonyos számfüggetlen személyközi hírközlési szolgáltatásokat - például webmail- és üzenetküldési szolgáltatásokat - nyújtó szolgáltatók (a továbbiakban: a szolgáltatók) némelyike már most is meghatározott technológiákat használ önkéntes alapon arra, hogy felderítse szolgáltatásai keretében a gyermekek online szexuális bántalmazását, és jelentse azt a bűnüldöző hatóságoknak, valamint a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek, vagy a tartalmak, például képek vagy szövegek, vagy a forgalmi adatok vizsgálata révén, bizonyos esetekben histórikus adatok felhasználásával. Az említett tevékenységekhez használt technológia lehet a képek és videók digitális lenyomatképzése („hashing”), valamint a szöveges vagy forgalmi adatok elemzéséhez igénybe vett osztályozás és mesterséges intelligencia. Digitális lenyomatképzési technológia használatakor egy online anyagot abban az esetben jelentenek gyermekek szexuális bántalmazását ábrázoló online anyagként, ha pozitív találatot észlelnek, ami azt jelenti, hogy egy képnek vagy videónak egy gyermekek szexuális bántalmazását ábrázoló, ellenőrzött online anyagokat tartalmazó, a gyermekek szexuális bántalmazása ellen közérdekből fellépő valamely szervezet által fenntartott adatbázisból származó egyedi, át nem alakítható digitális lenyomattal („hash”) való összehasonlításakor egyezést találnak. Az említett szolgáltatók a gyermekek szexuális bántalmazását ábrázoló online anyagok bejelentésére szolgáló nemzeti forróvonalakhoz, valamint az Unióban és harmadik országokban található olyan szervezetekhez fordulnak, amelyek célja a gyermekek azonosítása, a gyermekek szexuális kizsákmányolásának és szexuális bántalmazásának visszaszorítása, valamint a gyermekek áldozattá válásának megelőzése. Az ilyen szervezetek nem feltétlenül tartoznak az (EU) 2016/679 rendelet hatálya alá. Az ilyen önkéntes tevékenységek együttesen fontos szerepet játszanak az áldozatok azonosításának és kimenekítésének lehetővé tételében, akiknek az emberi méltósághoz, valamint a testi és szellemi sérthetetlenséghez való alapvető jogai súlyosan sérülnek. Az ilyen önkéntes tevékenységek fontosak a gyermekek szexuális bántalmazását ábrázoló online anyagok további terjesztésének visszaszorítása és az elkövetők azonosításához és a velük szemben folytatott nyomozáshoz, valamint a gyermekek szexuális bántalmazásával összefüggő bűncselekmények megelőzéséhez, felderítéséhez, nyomozásához és vádeljárás alá vonásához történő hozzájárulás szempontjából.
(8) Jogszerű célkitűzésük ellenére a szolgáltatók arra irányuló önkéntes intézkedései, hogy felderítsék szolgáltatásaik keretében a gyermekek online szexuális bántalmazását, és jelentsék azt, beavatkozást jelentenek a számfüggetlen személyközi hírközlési szolgáltatásokat igénybe vevő valamennyi felhasználónak (a továbbiakban: felhasználók) a magán- és családi élet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogaiba. A magán- és családi élet tiszteletben tartásához, többek között a közlések titkosságához fűződő alapvető jog korlátozása nem igazolható pusztán azzal az indokkal, hogy a szolgáltatók bizonyos technológiákat használtak akkor, amikor a számfüggetlen személyközi hírközlési szolgáltatások nem tartoztak az elektronikus hírközlési szolgáltatások fogalommeghatározásába. Az ilyen korlátozások csak bizonyos feltételek esetén lehetségesek. A Charta 52. cikkének (1) bekezdése alapján az ilyen korlátozásokat jogszabálynak kell előírnia, azoknak tiszteletben kell tartaniuk a magán- és családi élethez, valamint a személyes adatok védelméhez fűződő alapvető jogok lényegét, az arányosság elvével összhangban, szükségeseknek kell lenniük, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy a mások jogainak és szabadságainak a védelmét kell szolgálniuk. Amennyiben az ilyen korlátozások keretében valamennyi felhasználó közléseit tartósan általános jelleggel és megkülönböztetés nélkül ellenőrzik és elemzik, akkor azok beavatkozást jelentenek a közlések titkosságához fűződő jogba.
(9) 2020. december 20-ig a szolgáltatók által önkéntes intézkedések révén végzett személyesadat-kezelésre a gyermekek online szexuális bántalmazásának szolgáltatásaik keretében történő felderítése és jelentése, valamint a gyermekek online szexuális bántalmazását ábrázoló anyagok szolgáltatásaikból történő eltávolítása céljából kizárólag az (EU) 2016/679 rendelet volt irányadó. A 2020. december 20-ig átültetendő (EU) 2018/1972 irányelv a szolgáltatókat a 2002/58/EK irányelv hatálya alá vonta. Az ilyen önkéntes intézkedések 2020. december 20. utáni további alkalmazása érdekében a szolgáltatóknak meg kell felelniük az e rendeletben meghatározott feltételeknek. Az (EU) 2016/679 rendelet továbbra is alkalmazandó a személyes adatok ilyen önkéntes intézkedések révén történő kezelésére.
(10) A 2002/58/EK irányelv nem tartalmaz semmilyen konkrét rendelkezést a személyes adatoknak az elektronikus hírközlési szolgáltatások nyújtásával összefüggésben a gyermekek online szexuális bántalmazásának a szolgáltatásai keretében történő felderítése és jelentése, valamint a gyermekek szexuális bántalmazását ábrázoló online anyagok szolgáltatásaikból történő eltávolítása céljából történő, szolgáltató általi kezelésére vonatkozóan. Ugyanakkor a 2002/58/EK irányelv 15. cikkének (1) bekezdése értelmében a tagállamok jogszabályi intézkedéseket fogadhatnak el többek között az említett irányelvnek a közlések titkosságára és a forgalmi adatokra vonatkozó 5. és 6. cikkében előírt jogok és kötelezettségek hatályának a gyermekek szexuális bántalmazásához kapcsolódó bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából történő korlátozására. Ilyen nemzeti jogszabályi intézkedések hiányában, valamint a gyermekek szexuális bántalmazása elleni uniós szintű fellépést célzó hosszabb távú jogi keret elfogadásáig a szolgáltatók nem támaszkodhatnak az (EU) 2016/679 rendeletre ahhoz, hogy 2020. december 21. után is folytassák az önkéntes intézkedések alkalmazását a gyermekek online szexuális bántalmazásának a szolgáltatásaik keretében történő felderítése és jelentése, valamint a gyermekek szexuális bántalmazását ábrázoló online anyagoknak a szolgáltatásaikból történő eltávolítása érdekében. Ez a rendelet nem biztosít jogalapot arra, hogy a szolgáltatók kizárólag a gyermekek online szexuális bántalmazásának szolgáltatásai keretében történő felderítése és jelentése, valamint a gyermekek szexuális bántalmazását ábrázoló online anyagok szolgáltatásaikból történő eltávolítása céljából a személyes adatokat kezeljék, azonban rendelkezik a 2002/58/EK irányelv bizonyos rendelkezéseitől való eltérésről. E rendelet további biztosítékokat határoz meg, amelyeket a szolgáltatóknak tiszteletben kell tartaniuk, amennyiben azokra kívánnak támaszkodni.
(11) Az e rendelet alkalmazásában végzett adatkezelés magában foglalhatja az (EU) 2016/679 rendelet 9. cikkében meghatározott különleges kategóriákba tartozó személyes adatok kezelését. A képek és videók meghatározott technikai eszközökkel történő kezelése, ami lehetővé teszi egy természetes személy egyedi azonosítását vagy hitelesítését, különleges kategóriájú személyes adatok kezelésének tekintendő.
(12) Ez a rendelet ideiglenes eltérést biztosít a 2002/58/EK irányelv 5. cikkének (1) bekezdésétől és 6. cikkének (1) bekezdésétől, amelyek védik a közlések és a forgalmi adatok titkosságát. A technológiák önkéntes használata a szolgáltatók által a személyes és egyéb adatok kezelése céljából a gyermekek online szexuális bántalmazásának szolgáltatásaik keretében történő felderítéséhez és jelentéséhez, valamint a gyermekek szexuális bántalmazását ábrázoló online anyagok szolgáltatásaikból történő eltávolításához szükséges mértékben az e rendelet szerinti eltérés hatálya alá tartozik, feltéve, hogy az ilyen használat megfelel az e rendeletben meghatározott feltételeknek, és ezért rá az (EU) 2016/679 rendeletben meghatározott biztosítékok és feltételek vonatkoznak.
(13) A 2002/58/EK irányelvet az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikke alapján fogadták el. Ezenfelül nem minden tagállam fogadott el jogszabályi intézkedéseket a 2002/58/EK irányelvvel összhangban az említett irányelvben meghatározott közlések és a forgalmi adatok titkosságára vonatkozó jogok és kötelezettségek hatályának a korlátozására, valamint az ilyen intézkedések elfogadása a széttagolódás jelentős kockázatát hordozza magában, ami valószínűleg hátrányosan érinti a belső piacot. Következésképpen ennek a rendeletnek az EUMSZ 114. cikkén kell alapulnia.
(14) mivel a természetes személyeket érintő elektronikus közlésekhez kapcsolódó adatok általában személyes adatoknak minősülnek, e rendeletnek az EUMSZ 16. cikkén is alapulnia kell, amely konkrét jogalapot állapít meg az egyének személyes adatainak az uniós intézmények, szervek, hivatalok és ügynökségek által, valamint az uniós jog alkalmazási körébe tartozó tevékenységeik során a tagállamok által végzett kezelése tekintetében történő védelmére, továbbá az ilyen adatok szabad áramlására vonatkozó szabályokra.
(15) Az (EU) 2016/679 rendelet a személyes adatoknak az elektronikus hírközlési szolgáltatások nyújtásával összefüggésben történő, kizárólag a gyermekek online szexuális bántalmazásának szolgáltatásaik keretében történő felderítése és jelentése, valamint a gyermekek szexuális bántalmazását ábrázoló online anyagok szolgáltatásaikból történő eltávolítása céljából végzett kezelésére vonatkozik annyiban, amennyiben az az e rendeletben meghatározott eltérés hatálya alá tartozik.
(16) Az e rendelet alkalmazásában használt technológiatípusoknak az ágazat legkorszerűbb gyakorlataival összhangban a magánéletet legkevésbé sértőknek kell lenniük. E technológiák nem használhatók a közlésekben szereplő szövegek szisztematikus szűrésére és vizsgálatára, kivéve, ha ez kizárólag a gyermekek online szexuális bántalmazásának gyanúját keltő lehetséges konkrét okokra utaló mintázatok felderítése érdekében történik, és e technológiák nem képesek értelmezni a közlések tartalmának jelentését. A gyermekekkel való kapcsolatfelvétel azonosítására használt technológia esetében az ilyen gyanút keltő konkrét oknak olyan objektíven azonosított kockázati tényezőkön kell alapulnia, mint például az életkorbeli különbség és a gyermekek valószínűsíthető érintettsége a vizsgált kommunikációban.
(17) Megfelelő eljárásokat és jogorvoslati mechanizmusokat kell bevezetni annak biztosítására, hogy az egyének észszerű időn belül panaszt nyújthassanak be a szolgáltatókhoz. Az ilyen eljárások és mechanizmusok különösen akkor fontosak, ha olyan tartalmakat távolítottak el vagy jelentettek a bűnüldöző hatóságoknak vagy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezetnek, amelyek nem minősülnek a gyermekek online szexuális bántalmazásának.
(18) A lehető legnagyobb pontosság és megbízhatóság biztosítása érdekében az e rendelet alkalmazásában használt technológiának - az ágazat legkorszerűbb gyakorlataival összhangban - a lehető legnagyobb mértékben korlátoznia kell a hibák (hamis pozitívok) számát és arányát, és szükség esetén haladéktalanul orvosolnia kell a mégis előforduló hibákat.
(19) Az e rendelet hatálya alá tartozó tevékenységek elvégzése során kezelt tartalmi adatok és forgalmi adatok, valamint az e rendelet hatálya alá tartozó tevékenységek elvégzése során keletkezett személyes adatok, továbbá a gyermekek online szexuális bántalmazása gyanújának felmerülése esetén az adatok ezt követő megőrzésének időtartama továbbra is az említett tevékenységek elvégzéséhez feltétlenül szükséges mértékre korlátozódnak. Minden adatot azonnal és tartósan törölni kell, amint azok már nem feltétlenül szükségesek az e rendeletben meghatározott célok valamelyikéhez, beleértve, amikor a gyermekek online szexuális bántalmazásának gyanúja merül fel, és minden esetben legkésőbb a gyermek feltételezett online szexuális bántalmazása felderítésének időpontjától számított 12 hónapon belül. Ez nem érintheti a releváns tartalmi és forgalmi adatok 2002/58/EK irányelvvel összhangban történő tárolásának lehetőségét. Ez a rendelet nem érinti a szolgáltatóra alkalmazandó, az adatok megőrzésére vonatkozó uniós vagy nemzeti jog szerinti bármely jogi kötelezettség alkalmazását.
(20) Ez a rendelet nem akadályozza meg azt a szolgáltatót, amely a bűnüldöző hatóságoknak a gyermekek online szexuális bántalmazását jelentette, abban, hogy az említett hatóságoktól visszaigazolást kérjen a bejelentés beérkezéséről.
(21) Az e rendeletben meghatározott eltérés alapján végzett tevékenységek átláthatóságának és az azokkal kapcsolatos elszámoltathatóságnak a biztosítása érdekében a szolgáltatók 2022. február 3-ig, majd azt követően minden év január 31-ig jelentést tesznek közzé és nyújtanak be az (EU) 2016/679 rendelet szerint kijelölt illetékes felügyeleti hatóságnak (a továbbiakban: a felügyeleti hatóság) és a Bizottságnak. E jelentéseknek ki kell terjedniük az e rendelet hatálya alá tartozó adatkezelésre, többek között a kezelt adatok típusára és mennyiségére, az (EU) 2016/679 rendelet szerinti személyesadat-kezelés konkrét jogalapjára, adott esetben a személyes adatok (EU) 2016/679 rendelet V. fejezete szerinti Unión kívülre történő továbbításának jogalapjára, a gyermekek online szexuális bántalmazására vonatkozó azonosított esetek számára, különbséget téve a gyermekek online szexuális bántalmazását ábrázoló anyagok és a gyermekekkel való kapcsolatfelvétel között, azon esetek számára, amikor egy felhasználó panaszt nyújtott be a belső jogorvoslati mechanizmus révén vagy egy bírósági jogorvoslati eljáráson keresztül, valamint az ilyen panaszok és bírósági eljárások eredményeire, a különböző használt technológiák hibáinak (hamis pozitívok) számára és arányára, a hibaarány korlátozására alkalmazott intézkedésekre és az elért hibaarányra, az adatmegőrzési szabályzatra és az alkalmazott adatvédelmi biztosítékokra az (EU) 2016/679 rendelet értelmében, valamint a gyermekek szexuális bántalmazása ellen közérdekből fellépő azon szervezetek nevére, amelyekkel e rendelet alapján adatokat osztottak meg.
(22) A felügyeleti hatóságok feladatainak támogatása érdekében a Bizottságnak fel kell kérnie az Európai Adatvédelmi Testületet, hogy iránymutatásokat adjon ki az e rendeletben meghatározott eltérés hatálya alá tartozó adatkezelésnek az (EU) 2016/679 rendeletnek történő megfeleléséről. Amikor a felügyeleti hatóságok értékelik, hogy a használandó meglévő vagy új technológia megfelel-e a legkorszerűbb ágazati technológiának, a magánéletet legkevésbé sértő-e, és az (EU) 2016/679 rendelet értelmében megfelelő jogalapon működik-e, ezeknek az iránymutatásoknak különösen abban kell segíteniük a felügyeleti hatóságokat, hogy tanácsot adjanak az említett rendeletben meghatározott előzetes konzultációs eljárás keretében.
(23) Ez a rendelet korlátozza a közlések titkosságának védelméhez való jogot, és eltér az (EU) 2018/1972 irányelvben hozott azon döntéstől, hogy a számfüggetlen személyközi hírközlési szolgáltatásokra a magánélet védelme tekintetében ugyanazok a szabályok legyenek alkalmazandók, mint minden más elektronikus hírközlési szolgáltatásra, kizárólag abból a célból, hogy felderítsék ezen szolgáltatások keretében a gyermekek online szexuális bántalmazását, és jelentsék azt a bűnüldöző hatóságoknak és a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek, valamint eltávolítsák szolgáltatásaikból a gyermekek online szexuális bántalmazását ábrázoló anyagokat. E rendelet alkalmazási időszakát ezért az alkalmazása kezdőnapját követő három évre kell korlátozni, biztosítva a szükséges időt egy új, hosszú távú jogi keret elfogadásához. Amennyiben a hosszú távú jogi keret az említett időpontot megelőzően elfogadásra került és hatályba lépett, az említett hosszú távú jogi keretnek hatályon kívül kell helyeznie ezt a rendeletet.
(24) A 2002/58/EK irányelv hatálya alá tartozó minden egyéb tevékenység tekintetében a szolgáltatókra az említett irányelvben meghatározott egyedi kötelezettségeknek kell vonatkozniuk, és következésképpen e szolgáltatóknak az említett irányelv alapján kijelölt illetékes hatóságok ellenőrzési és vizsgálati hatásköre alá kell tartozniuk.
(25) A végponttól végpontig terjedő titkosítás fontos eszköz a felhasználók, köztük a gyermekek közlései biztonságának és titkosságának biztosításához. A titkosítás bármilyen gyengülésével rosszindulatú harmadik felek visszaélhetnek. Ezért e rendelet egyetlen rendelkezése sem értelmezhető úgy, hogy megtiltaná vagy gyengítené a végpontok közötti titkosítást.
(26) A magán- és családi élet, ideértve a közlések titkosságának tiszteletben tartásához fűződő jogot is, a Charta 7. cikke által biztosított alapvető jog. Ezért ez a szexuális bántalmazásnak kitett gyermekek és egy megbízható felnőtt vagy a gyermekek szexuális bántalmazása ellen fellépő szervezetek közötti biztonságos kommunikációnak, valamint az áldozatok és ügyvédeik közötti kommunikációnak is előfeltétele.
(27) Ez a rendelet nem érintheti a nemzeti jog szakmai titoktartásra vonatkozó szabályait, például az orvosok és pácienseik, az újságírók és forrásaik vagy az ügyvédek és ügyfeleik közötti szakmai kommunikáció védelmére vonatkozó szabályokat, különösen mivel az ügyvédek és ügyfeleik közötti közlések titkossága kulcsfontosságú a tisztességes eljáráshoz való jog alapvető részét képező védelemhez való jog hatékony gyakorlásának biztosításához. Ez a rendelet nem érintheti továbbá a hatóságok vagy a bajba jutott egyének számára tanácsadást nyújtó szervezetek nyilvántartásaira vonatkozó nemzeti szabályokat sem.
(28) A szolgáltatóknak közölniük kell a Bizottsággal a gyermekek szexuális bántalmazása ellen közérdekből fellépő azon szervezetek nevét, amelyeknek a gyermekek potenciális online szexuális bántalmazását e rendelet alapján jelentik. Bár az adatkezelőként eljáró szolgáltatók kizárólagos felelőssége annak értékelése, hogy az (EU) 2016/679 rendelet alapján mely harmadik féllel oszthatnak meg személyes adatokat, a Bizottságnak biztosítania kell az átláthatóságot a gyermekek online szexuális bántalmazásával kapcsolatos lehetséges esetek továbbítása terén azáltal, hogy weboldalán közzéteszi a gyermekek szexuális bántalmazása ellen közérdekből fellépő, a Bizottsághoz bejelentett szervezetek jegyzékét. E nyilvános jegyzéknek könnyen hozzáférhetőnek kell lennie. A szolgáltatók számára is lehetővé kell tenni, hogy az említett jegyzéket arra is felhasználják, hogy azonosítsák a gyermekek online szexuális bántalmazása elleni globális küzdelem területén fellépő releváns szervezeteket. Ez a jegyzék nem érintheti az (EU) 2016/679 rendelet értelmében adatkezelőként eljáró szolgáltatók kötelezettségeit, beleértve azon kötelezettségüket, hogy az említett rendelet V. fejezete alapján az Unión kívülre személyes adatokat továbbítsanak, valamint hogy teljesítsék az említett rendelet IV. fejezete szerinti valamennyi kötelezettségüket.
(29) Az e rendelet szerint a tagállamok által benyújtandó statisztikák fontos mutatók a szakpolitika, többek között a jogalkotási intézkedések értékelése szempontjából. Fontos továbbá elismerni a másodlagos viktimizáció hatását, amely a gyermekek szexuális bántalmazásának áldozatairól készült, esetlegesen már évek óta forgalomban lévő képek és videók megosztásából ered, és amelyet az ilyen statisztikák nem tükröznek teljes mértékben.
(30) Az (EU) 2016/679 rendeletben meghatározott követelményekkel, különösen azzal a követelménnyel összhangban, hogy a tagállamok biztosítsák, hogy a felügyeleti hatóságok rendelkezzenek a feladataik hatékony ellátásához és hatásköreik gyakorlásához szükséges emberi, műszaki és pénzügyi erőforrásokkal, a tagállamoknak elegendő ilyen erőforrást kell biztosítaniuk a felügyeleti hatóságoknak ahhoz, hogy e rendeletnek megfelelően hatékonyan ellássák feladataikat és gyakorolják hatásköreiket.
(31) Amennyiben egy szolgáltató adatvédelmi hatásvizsgálatot végzett, és az (EU) 2016/679 rendelettel összhangban valamely technológia tekintetében konzultált a felügyeleti hatóságokkal e rendelet hatálybalépését megelőzően, akkor az adott szolgáltató e rendelet alapján nem kötelezhető arra, hogy kiegészítő adatvédelmi hatásvizsgálatot végezzen, vagy konzultációt folytasson, feltéve, hogy a felügyeleti hatóságok jelezték, hogy az adott technológia útján történő adatkezelés nem járna magas kockázattal a természetes személyek jogaira és szabadságaira nézve, vagy hogy az adatkezelő megtette az ilyen kockázat csökkentésére szolgáló intézkedéseket.
(32) A felhasználók számára biztosítani kell a hatékony bírósági jogorvoslathoz való jogot, amennyiben jogaik sérültek annak következtében, hogy a gyermekek számfüggetlen személyközi hírközlési szolgáltatások keretében történő online szexuális bántalmazásának felderítése és jelentése, valamint a gyermekek online szexuális bántalmazását ábrázoló anyagoknak az érintett szolgáltatásokból való eltávolítása céljából személyes és egyéb adatok kezelésére került sor, például ha egy felhasználó tartalmait vagy személyazonosságát jelentették egy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezetnek vagy a bűnüldöző hatóságoknak, vagy ha egy felhasználó tartalmát eltávolították, vagy egy felhasználó fiókját zárolták, vagy egy részére nyújtott szolgáltatást felfüggesztettek.
(33) A 2002/58/EK irányelvvel és az adattakarékosság elvével összhangban a személyes adatok és egyéb adatok kezelésének továbbra is a tartalmi adatokra és a kapcsolódó forgalmi adatokra kell korlátozódnia, e rendelet céljának eléréséhez feltétlenül szükséges mértékben.
(34) Az e rendeletben meghatározott eltérésnek ki kell terjednie a 2002/58/EK irányelv 5. cikkének (1) bekezdésében és 6. cikkének (1) bekezdésében említett adatkategóriákra, amely bekezdések a számfüggetlen személyközi hírközlési szolgáltatások nyújtásával összefüggésben kezelt személyes és nem személyes adatokra egyaránt alkalmazandók.
(35) E rendelet célja a 2002/58/EK irányelv bizonyos rendelkezéseitől való ideiglenes eltérés megállapítása a belső piac széttagolódásának előidézése nélkül. Ezenkívül nem valószínű, hogy minden tagállam időben el tudna fogadni nemzeti jogalkotási intézkedéseket. Mivel e rendelet célját a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban e cél jobban megvalósítható, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e cél eléréséhez szükséges mértéket. Ideiglenes és szigorúan korlátozott eltérést vezet be a 2002/58/EK irányelv 5. cikke (1) bekezdésének és 6. cikke (1) bekezdésének alkalmazhatósága tekintetében, és számos biztosítékról rendelkezik annak biztosítása érdekében, hogy az ne lépje túl a kitűzött célok eléréséhez szükséges mértéket.
(36) Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet * 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2020. november 10-én véleményt nyilvánított,
ELFOGADTA EZT A RENDELETET:
(1) Ez a rendelet a 2002/58/EK irányelvben meghatározott bizonyos kötelezettségektől eltérő, ideiglenes és szigorúan korlátozott szabályokat állapít meg azzal a kizárólagos céllal, hogy lehetővé tegye bizonyos számfüggetlen személyközi hírközlési szolgáltatásokat nyújtó szolgáltatók (a továbbiakban: szolgáltatók) számára, hogy a gyermekek online szexuális bántalmazásának a szolgáltatásaik keretében történő felderítéséhez és jelentéséhez, valamint a gyermekek online szexuális bántalmazását ábrázoló anyagok szolgáltatásaikból történő eltávolításához feltétlenül szükséges mértékben meghatározott technológiákat használjanak a személyes és egyéb adatok kezelése céljából, az (EU) 2016/679 rendelet sérelme nélkül.
(2) Ez a rendelet nem alkalmazható hangszolgáltatás vizsgálatára.
E rendelet alkalmazásában:
1. „számfüggetlen személyközi hírközlési szolgáltatás”: az (EU) 2018/1972 irányelv 2. cikkének 7. pontjában meghatározott számfüggetlen személyközi hírközlési szolgáltatás;
2. „gyermekek online szexuális bántalmazását ábrázoló anyagok”:
a) a 2011/93/EU irányelv 2. cikkének c) pontjában meghatározott gyermekpornográfia;
b) a 2011/93/EU irányelv 2. cikkének e) pontjában meghatározott pornográf előadás;
3. „gyermekekkel való kapcsolatfelvétel”: a 2011/93/EU irányelv 6. cikke szerinti bűncselekménynek minősülő szándékos magatartás;
4. „gyermekek online szexuális bántalmazása”: „gyermekek online szexuális bántalmazását ábrázoló anyagok” és „gyermekekkel való kapcsolatfelvétel”.
(1) A 2002/58/EK irányelv 5. cikkének (1) bekezdése és 6. cikkének (1) bekezdése nem alkalmazandó a személyes és egyéb adatok számfüggetlen személyközi hírközlési szolgáltatások nyújtásával összefüggésben történő, szolgáltatók általi kezelését magában foglaló közlések titkosságára, amennyiben:
a) az adatkezelés:
i. feltétlenül szükséges valamely meghatározott technológia használatához abból a kizárólagos célból, hogy felderítsék és eltávolítsák a gyermekek online szexuális bántalmazását ábrázoló anyagokat, valamint azokat jelentsék a bűnüldöző hatóságoknak és a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek, továbbá hogy felderítsék a gyermekekkel való kapcsolatfelvételt, és azt jelentsék a bűnüldöző hatóságoknak vagy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek;
ii. arányos, és a szolgáltatók által az i. alpontban meghatározott célból használt technológiákra korlátozódik;
iii. az i. alpontban meghatározott cél érdekében feltétlenül szükséges tartalmi adatokra és kapcsolódó forgalmi adatokra korlátozódik;
iv. az i. alpontban meghatározott cél érdekében feltétlenül szükséges mértékre korlátozódik;
b) az e bekezdés a) pontja i. alpontjában meghatározott célra használt technológiák megfelelnek a legkorszerűbb ágazati gyakorlatoknak és a lehető legkevésbé sértik a magánéletet, többek között az (EU) 2016/679 rendelet 25. cikkében meghatározott beépített és alapértelmezett adatvédelem elve tekintetében, és amennyiben e technológiákat a közlésekben szereplő szövegek vizsgálatára használják, azok nem képesek értelmezni a közlések tartalmának jelentését, kizárólag felderíteni képesek azokat a mintázatokat, amelyek a gyermekek lehetséges online szexuális bántalmazására utalnak;
c) az e bekezdés a) pontja i. alpontjában megállapított célra használt bármely meghatározott technológia tekintetében az (EU) 2016/679 rendelet 35. cikke szerinti előzetes adatvédelmi hatásvizsgálatra és az említett rendelet 36. cikke szerinti előzetes konzultációs eljárásra került sor;
d) az új technológiák - azaz 2021. augusztus 2. előtt az Unióban a számfüggetlen személyközi hírközlési szolgáltatásokat igénybe vevő felhasználóknak (a továbbiakban: felhasználók) nyújtott szolgáltatásokkal kapcsolatban egyetlen szolgáltató által sem használt, gyermekek szexuális bántalmazását ábrázoló anyagok felderítésére szolgáló technológiák, valamint a gyermekekkel való esetleges kapcsolatfelvétel azonosítására használt technológiák tekintetében a szolgáltató jelentést tesz az illetékes hatóságnak az (EU) 2016/679 rendelet 36. cikkének (2) bekezdésével összhangban az említett rendelet VI. fejezetének 1. szakasza szerint kijelölt illetékes felügyeleti hatóság (a továbbiakban: felügyeleti hatóság) által az előzetes konzultációs eljárás során kibocsátott írásbeli tanácsnak való megfelelés bizonyítása érdekében hozott intézkedésekről;
e) a használt technológiák önmagukban is kellően megbízhatók, mivel a lehető legnagyobb mértékben korlátozzák a gyermekek online szexuális bántalmazását ábrázoló tartalmak felderítésével kapcsolatos hibák arányát, és amennyiben esetenként ilyen hibák előfordulnak, azok következményeit haladéktalanul orvosolják;
f) a gyermekekkel való kapcsolatfelvétel lehetőségére utaló mintázatok felderítésére használt technológiák a releváns kulcsfontosságú mutatók és objektíven azonosított kockázati tényezők - például életkorbeli különbség és a gyermekek valószínűsíthető érintettsége a vizsgált kommunikációban - használatára korlátozódik, az emberi felülvizsgálathoz való jog sérelme nélkül;
g) a szolgáltatók:
i. belső eljárásokat alakítottak ki a személyes és egyéb adatokkal történő visszaélések, a személyes és egyéb adatokhoz történő jogosulatlan hozzáférés és a személyes és egyéb adatok továbbításának megakadályozására;
ii. az e rendelet hatálya alá tartozó technológiák használatával végzett személyes és egyéb adatok kezelése során biztosítják az emberi felügyeletet és szükség esetén az emberi beavatkozást;
iii. biztosítják, hogy előzetes emberi megerősítés nélkül sem olyan anyagról, amelyet korábban nem azonosítottak gyermekek online szexuális bántalmazását ábrázoló anyagként, sem pedig gyermekekkel való kapcsolatfelvételről nem jelentenek a bűnüldöző hatóságoknak vagy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek;
iv. megfelelő eljárásokat és jogorvoslati mechanizmusokat alakítottak ki annak biztosítására, hogy a felhasználók észszerű időn belül panaszt nyújthassanak be hozzájuk nézőpontjuk ismertetése céljából;
v. a felhasználókat egyértelmű, jól látható és érthető módon tájékoztatják arról, hogy a szolgáltatók e rendelettel összhangban eltérést alkalmaztak a 2002/58/EK irányelv 5. cikkének (1) bekezdésétől és 6. cikkének (1) bekezdésétől a felhasználók közléseinek titkossága tekintetében, kizárólag az e bekezdés a) pontjának i. alpontjában meghatározott célból, az eltérés keretében megtett intézkedések mögött meghúzódó logikáról és a felhasználók közléseinek titkosságára gyakorolt hatásról, ideértve annak lehetőségét is, hogy személyes adatokat osztanak meg a bűnüldöző hatóságokkal és a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezetekkel;
vi. tájékoztatják a felhasználókat a következőkről, amennyiben a tartalmaikat eltávolították, vagy felhasználói fiókjukat zárolták, vagy egy részükre nyújtott szolgáltatást felfüggesztettek:
(1) a velük szembeni jogorvoslati lehetőségek;
(2) a felügyeleti hatóságnál történő panasztétel és a bírósági jogorvoslat lehetősége; valamint
(3) a jogorvoslathoz való jog;
vii. 2022. február 3-ig, majd azt követően minden év január 31-ig jelentést tesznek közzé és nyújtanak be a felügyeleti hatóságnak és a Bizottságnak az e rendelet hatálya alá tartozó személyesadat-kezelésről, többek között:
(1) a feldolgozott adatok típusáról és mennyiségéről;
(2) az (EU) 2016/679 rendelet szerinti adatkezelés konkrét jogalapjáról;
(3) adott esetben a személyes adatok Unión kívülre történő továbbításának jogalapjáról az (EU) 2016/679 rendelet V. fejezete alapján;
(4) a gyermekek online szexuális bántalmazásaként azonosított esetek számáról, különbséget téve a gyermekek szexuális bántalmazását ábrázoló online anyagok és a gyermekekkel való kapcsolatfelvétel között;
(5) azon esetek számáról, amikor egy felhasználó panaszt nyújtott be a belső jogorvoslati mechanizmus révén vagy egy igazságügyi hatóságnál, valamint az ilyen panaszok eredményeiről;
(6) a különböző használt technológiák hibáinak (hamis pozitívok) számáról és arányáról;
(7) a hibaarány korlátozására alkalmazott intézkedésekről és az elért hibaarányról;
(8) az adatmegőrzési szabályzatról és az alkalmazott adatvédelmi biztosítékokról az (EU) 2016/679 rendelet értelmében;
(9) a gyermekek szexuális bántalmazása ellen közérdekből fellépő azon szervezetek nevéről, amelyekkel e rendelet alapján adatokat osztottak meg;
h) amennyiben gyermekek online szexuális bántalmazásának gyanúja merült fel, az a) pont ii. alpontjában meghatározott célból feldolgozott tartalmi adatokat és kapcsolódó forgalmi adatokat, valamint az ilyen adatkezelés során keletkezett személyes adatokat biztonságosan és kizárólag az alábbi célokból tárolják:
i. a gyermekek online szexuális bántalmazásával kapcsolatos gyanúnak az illetékes bűnüldöző és igazságügyi hatóságoknak vagy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek történő haladéktalan jelentése;
ii. az érintett felhasználó fiókjának zárolása vagy a részére nyújtott szolgáltatás felfüggesztése vagy megszüntetése;
iii. a hitelt érdemlő módon gyermekek online szexuális bántalmazását ábrázoló anyagként azonosított adatokkal kapcsolatban egyedi, át nem alakítható digitális lenyomat („hash”) létrehozása;
iv. annak lehetővé tétele, hogy az érintett felhasználó jogorvoslatért folyamodjon a szolgáltatónál, vagy közigazgatási felülvizsgálatot vagy bírósági jogorvoslatot kezdeményezzen gyermekek online szexuális bántalmazásának gyanújával kapcsolatos ügyekben; vagy
v. az illetékes bűnüldöző és igazságügyi hatóságoknak az alkalmazandó joggal összhangban álló, a 2011/93/EU irányelvben meghatározott bűncselekmények megelőzéséhez, felderítéséhez, nyomozásához és a vádeljárás lefolytatásához szükséges adatok szolgáltatására irányuló megkereséseinek megválaszolása;
i) az adatokat csak a h) pontban meghatározott releváns cél eléréséhez feltétlenül szükséges ideig tárolják, és semmi esetre sem több mint 12 hónapig a gyermekek online szexuális bántalmazásával kapcsolatos gyanú azonosításától számítva;
j) a gyermekek online szexuális bántalmazására utaló minden indokolt és igazolt gyanút haladéktalanul jelentenek az illetékes nemzeti bűnüldöző hatóságoknak vagy a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezeteknek.
(2) Az (1) bekezdés c) pontjában meghatározott feltétel 2022. április 3-ig nem alkalmazandó azokra a szolgáltatókra, amelyek:
a) 2021. augusztus 2. előtt az (1) bekezdés a) pontjának i. alpontjában megállapított célból egy meghatározott technológiát használtak anélkül, hogy az adott technológiával kapcsolatban előzetes konzultációs eljárást folytattak volna le;
b) 2021. szeptember 3. előtt elindítanak egy előzetes konzultációs eljárást; valamint
c) a b) pontban említett előzetes konzultációs eljárással kapcsolatban megfelelően együttműködnek az illetékes felügyeleti hatósággal.
(3) Az (1) bekezdés d) pontjában meghatározott feltétel 2022. április 3-ig nem alkalmazandó azokra a szolgáltatókra, amelyek:
a) 2021. augusztus 2. előtt az (1) bekezdés d) pontjában említett valamely technológiát használtak anélkül, hogy az adott technológiával kapcsolatban előzetes konzultációs eljárást folytattak volna le;
b) 2021. szeptember 3. előtt elindítanak egy az (1) bekezdés d) pontja szerinti eljárást; és
c) az (1) bekezdés d) pontjában említett eljárással kapcsolatban megfelelően együttműködnek az illetékes felügyeleti hatósággal.
(4) * Az (1) bekezdés g) pontjának vii. alpontjában említett jelentésben szereplő adatokat írásban, formanyomtatványon kell rendelkezésre bocsátani. A Bizottság legkésőbb 2024. december 3-ig végrehajtási jogi aktusok útján meghatározza az említett formanyomtatvány tartalmát és kialakítását. Ezáltal a Bizottság az (1) bekezdés g) pontjának vii. alpontjában felsorolt adatkategóriákat alkategóriákra bonthatja.
Az említett végrehajtási jogi aktusokat a 9a. cikk (2) bekezdésében említett tanácsadó bizottsági eljárás keretében kell elfogadni.
2021. szeptember 3-ig és az (EU) 2016/679 rendelet 70. cikke értelmében a Bizottság felkéri az Európai Adatvédelmi Testületet, hogy adjon ki iránymutatásokat abból a célból, hogy segítse a felügyeleti hatóságokat annak értékelésében, hogy az e rendelet hatálya alá tartozó adatkezelés az e rendelet 3. cikke (1) bekezdése a) pontja i. alpontjában meghatározott célból használt meglévő és új technológiák tekintetében megfelel-e az (EU) 2016/679 rendeletnek.
Az (EU) 2016/679 rendelet 79. cikkével és a 2002/58/EK irányelv 15. cikkének (2) bekezdésével összhangban a felhasználóknak joguk van hatékony bírósági jogorvoslathoz, ha úgy vélik, hogy jogaikat megsértették az e rendelet 3. cikke (1) bekezdése a) pontja i. alpontjában meghatározott célból végzett személyes és egyéb adatok kezelése következtében.
Az (EU) 2016/679 rendelet VI. fejezetének 1. szakasza szerint kijelölt felügyeleti hatóságok az említett fejezetben előírt hatáskörüknek megfelelően nyomon követik az e rendelet hatálya alá tartozó adatkezelést.
(1) A szolgáltatók 2021. szeptember 3-ig közlik a Bizottsággal a gyermekek szexuális bántalmazása ellen közérdekből fellépő azon szervezetek nevét, amelyeknek e rendelet alapján jelentik a gyermekek online szexuális bántalmazását. A szolgáltatók a jegyzék minden módosítását rendszeresen közlik a Bizottsággal.
(2) A Bizottság 2021. október 3-ig közzéteszi a gyermekek szexuális bántalmazása ellen közérdekből fellépő azon szervezetek nevét, amelyeket vele az (1) bekezdés szerint közöltek. A Bizottság naprakészen tartja a nyilvános jegyzéket.
(1) 2022. augusztus 3-ig, majd azt követően évente a tagállamok a következőkre vonatkozó statisztikákat tartalmazó jelentéseket tesznek nyilvánosan elérhetővé, és nyújtanak be a Bizottságnak:
a) a gyermekek online szexuális bántalmazásának felderített eseteiről szóló, a szolgáltatók és a gyermekek szexuális bántalmazása ellen közérdekből fellépő szervezetek által az illetékes nemzeti bűnüldöző hatóságokhoz tett bejelentések teljes száma, különbséget téve - amennyiben ez az információ rendelkezésre áll - az esetek abszolút száma és a több alkalommal jelentett esetek száma között, valamint azon szolgáltató típusa, amelynek szolgáltatása keretében a gyermekek online szexuális bántalmazását felderítették;
b) a 3. cikk szerinti intézkedések révén azonosított gyermekek száma, nemek szerint megkülönböztetve;
c) az elítélt elkövetők száma.
(2) A Bizottság összesíti az e cikk (1) bekezdésében említett statisztikákat, és figyelembe veszi azokat a 9. cikk szerinti végrehajtási jelentés elkészítése során.
(1) * A 3. cikk (1) bekezdése g) pontjának vii. alpontja szerint benyújtott jelentések és a 8. cikk szerint benyújtott statisztikák alapján a Bizottság 2025. szeptember 4-ig jelentést készít e rendelet végrehajtásáról, és azt benyújtja és bemutatja az Európai Parlamentnek és a Tanácsnak.
(2) A végrehajtási jelentésben a Bizottság különösen a következőket veszi figyelembe:
a) a személyes adatok és egyéb adatok kezelésére vonatkozóan a 3. cikk (1) bekezdése a) pontjának ii. alpontjában, valamint b), c) és d) pontjában meghatározott feltételek;
b) az e rendeletben előírt eltérés arányossága, beleértve a tagállamok által a 8. cikk szerint benyújtott statisztikák értékelését;
c) az e rendelet hatálya alá tartozó tevékenységeket érintő technológiai előrelépésbeli fejlemények, valamint az, hogy az ilyen fejlemények milyen mértékben javítják a pontosságot, és csökkentik a hibák (hamis pozitívok) számát és arányát.
(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 4. cikkét kell alkalmazni.
Ez a rendelet az Európai Unió Hivatalos Lapjában történő kihirdetését követő harmadik napon lép hatályba.
Ezt a rendeletet 2026. április 3-ig kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021. július 14-én.
| az Európai Parlament részéről | a Tanács részéről | |
| az elnök | az elnök | |
| D. M. SASSOLI | A. LOGAR |
