Súlyos szankciók az EU új adatvédelmi rendeletében

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az adatvédelmi irányelvet a tervezettek szerint közvetlenül alkalmazandó rendelet váltja fel. A hatályos irányelv közel 20 éves, immár elavult a modernizáció, gloabalizáció előrehaladtával. Éles viták bontakoztak ki a szöveg megfogalmazása körül, a tárgyalások húzódnak. A kihirdetés a tervezettek szerint 2014-ben már várható. Az új rendelet kiterjesztené az adatkezelők illetékességét, egyablakos rendszert vezetne be, csökkentené az adminisztrációs terheket, de növelné az adatkezelők felelősségét. Növelné az érintettek jogait. Legfenyegetőbb tényezőként szigorú bírságolásra is feljogosítaná a nemzeti hatóságokat.

A személyes adatok védelme – miért olyan fontos?

Bár sokan úgy gondolják, ez a téma kezelhetetlen, mégis érdemes egy pillantást vetni a kérdésre. A 21. század elején a technológiai fejlődés, a gazdasági, hivatalos vagy akár személyes interakciók megsokszorozódása következtében az adatforgalom mind nagyobb méreteket ölt akár nemzeten belüli, akár nemzetközi kapcsolatokról legyen szó. A társadalomban való részvétel megköveteli az egyéntől, hogy információkat bocsásson rendelkezésre magáról, és másokról. A vállalatoknak, a gazdaság szereplőinek, csakúgy, mint az állami intézményeknek elemi fontosságú, hogy megfelelő mennyiségű információval rendelkezzenek az eredményes működés érdekében. Az adatokat rendelkezésre bocsátókat és az azt felhasználókat a kölcsönös uralom és kiszolgáltatottság jellemzi egymás irányában. Ellentmondás e tekintetben, hogy míg a személyes adatok „féltése” a mindennapi közbeszéd tárgya, kevesen ismerik valójában az adatvédelmi jogból fakadó jogaikat és kötelezettségeiket. Az itt leírtakkal párhuzamosan azok a hangok is felerősödnek, amelyek az adatvédelmi szabályozás elérni kívánt céljaira való alkalmatlanságára, kikényszeríthetetlenségére igyekeznek ráirányítani a figyelmet, sőt egyesek kifejezett diszfunkcionalitását hirdetik a gazdasági tevékenységek területén. 

Mi az adatvédelem? Háttér

Az adatvédelem esetében a védelem tárgya – a személyes adat- olyan információ, amelynek puszta nyilvánosságra kerülése önmagában nem sérti az egyén jogait vagy érdekeit. Az önmagukban semleges tények az információs technológiák megjelenése és fejlődése miatt képviselnek az egyén magánszférájára veszélyt, mert „feldolgozásuk, egyeztetésük, társításuk, a felhasználásukkal új adatok előállítása nyomán a magánszféra sérülhet.” [Jóri. Adatvédelmi kézikönyv.] Ez indokolja olyan szabályozás megalkotását, amely a személlyel összefüggésbe hozható bármely adatra, jellegétől függetlenül kiterjed, és szabályokat állapít meg azok gyűjtésére, továbbítására, terjesztésére, felhasználásra, továbbá biztosítja az egyénnek a jogot, hogy ezen adatok sorsáról meghatározott korlátok között maga döntsön.

Az eddigi szabályozás

A személyes adatok védelméhez való jog az Unióban elismert alapjogi minőséget nyert. A hatályos európai szabályozás központi eleme a 95/46/EK irányelv, mely az adatvédelemre vonatkozó általános szabályokat állapítja meg, és amelynek- a későbbiekben részletesebben tárgyalt- hatálya csak az Unió volt első pillérére terjed ki. Az irányelv célja, hogy egyensúlyt teremtsen az adatok és információk tagállamok közti szabad áramlásának követelménye és az alapvető jogként elismert személyes adatok védelméhez való jog között.

A reform – miért jelentős az új rendelet bevezetése?

A Bizottság 2009-ben indította útjára az adatvédelem átfogó reformját érintő programját, és a végleges szöveget a 2012-ben fogadta el. Álláspontja szerint a közel húsz éves szabályozás már nem állja meg a helyét a globalizálódó, online környezetben. Új szabályok kellenek a közösségi hálózatok, a cloud-computing világában. A Bizottság célja a modernizáció, az egyéni jogok erősítése, az adminisztratív terhek csökkentése, illetve világos, koherens szabályrendszer megalkotása, valamint, hogy hatékonyabb védelemben részesítse az internet világában a magánélethez való jogot, és fellendítse Európa digitális gazdaságát. Mindez úgy érhető el, hogy a nagyobb bizalommal rendelkező online felhasználó több személyes adatot ad ki, jobban bízik az online szolgáltatásokban, így fejlődik az elektronikus szolgáltatások rendszere is. Az irányelv mint jogi eszköz jellege miatt a tagállami szabályalkotás és a végrehajtás következetlen volt, amely jelentős jogbizonytalanságokhoz vezetett, valamint számos adminisztratív teherrel járt

A Bizottság ezért úgy találta, hogy a személyes adatok védelme keretének meghatározására a rendelet a legmegfelelőbb eszköz.

Az út a tanácsi szövegig

A jelenlegi javaslattervezet két évig tartó alkufolyamat eredménye, mely nem volt mentes a különböző, gyökeresen eltérő álláspontok ütközésétől, amely a reformot hátráltatta. Az Európai Parlament 2014 márciusában fogadta el saját szövegtervezetét, amely mintegy négyezer módosítást tartalmaz a bizottsági javaslathoz képest.

A Tanács szövege sok esetben szűkíti, illetve egyszerűsíti, máshol tovább részletezi, pontosítja a bizottsági javaslatot. További jellemzője, hogy következetesebben tesz különbséget adatkezelő és adatfeldolgozó között.

A tanácsi szöveg további jellemzője, hogy szűkíti a Bizottság hatáskörét azzal, hogy ritkábban enged lehetőséget a Bizottság számára végrehajtási aktusok elfogadására.

A jogalkotási folyamatot azonban lassítja, hogy az érintettek továbbra sem tudtak megegyezni egyes részletszabályokon. A jogalkotás végső lépése az Európai Tanács végső szövegtervezetének kiadása. A rendelet elfogadásának céldátuma 2014..

Milyen változásokat hoz az új rendelet?

Először is fontos a legalapvetőbb fogalmak tisztázása. Adatkezelő az, aki meghatározza a személyes adatok feldolgozásának célját, feltételeit és módját. Adatkezelés az adatokon végzett bármely művelet. Ezzel szemben adatfeldolgozó az, aki személyes adatokat- elsősorban technikai módszerrel- dolgoz fel az adatkezelővel kötött szerződés alapján.

És itt elérkeztünk a legérdekesebb ponthoz. Ki az, akinek az adatait kezelik, feldolgozzák? Ő az  „éintett”: azonosított vagy közvetlen, vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen bizonyos, a hétköznapokban való létezés közben ott hagyott adatok alapján– azonosítható természetes személy.

Egyetlen, közvetlenül alkalmazandó jogszabály

A jelenlegi irányelv csak közvetlen hatállyal bír, a tagállamok jogköre annak implementációja. Az új rendelet azonban közvetlenül alkalmazandó lenne, és felváltaná a tagállami szabályokat.

Kiterjesztett hatály

A továbbiakban a rendeletet kell alkalmazni a nem Unióban letelepedett adatkezelő által végzett, az Unióban lakóhellyel rendelkező érintetek személyes adatainak feldolgozására, ha a feldolgozási tevékenységek  termékek, szolgáltatások ilyen érintetek számra történő nyújtásához vagy viselkedésük nyomon követéséhez kapcsolódnak.

Egykapus rendszer

A legtöbb vitát az egykapus rendszer váltotta ki (one-stop-shop), amely azt jelenti, hogy az adatkezelő csak egy állam adatvédelmi hatóságának mint főhatóságnak a felügyelete alatt áll, szemben a korábbi szabályozással, amikor a hatóságok csak saját államuk területén voltak illetékesek. Az így kijelölt felügyelő hatóság látja el a rendelet által ráruházott feladatokat, amely lehet például az adatfeldolgozás tilalmának elrendelése, vagy az adattovábbítás megtiltása harmadik államok felé. De mi a helyzet az érintett oldalán? Minden érintett hatóságnak be kell fogadnia az összes érintett panaszt és ki kell vizsgálni az ügyet.

Csökkentett adminisztratív terhek

Jelenleg minden adatkezelést be kell jelenteni az illetékes hatósághoz-egyes kivételekkel. Ezt a Bizottság túlzottnak ítélte, és az eltörlését javasolja, és a továbbiakban a veszélyeztető feldolgozási műveletekre kell összpontosítani. Az azonosítás garanciája az adatkezelő hatásvizsgálata.

Nagyobb adatkezelői felelősség és elszámoltathatóság

Az adatkezelő biztosítja a megfelelő szervezési és technikai intézkedéseket, további a rendelet által előírt kötelezettségeket, mint például dokumentáció, adatbiztonsági követelmények. . A Tanács szövege a kötelezettségeket tovább pontosítja.

Adatvédelmi jogsértések bejelentési kötelezettsége

Mi történik, ha személyes adatainkat megsértik, de erről nekünk nincs tudomásunk? Az adatvédelmi rendelet előírja, hogy adatvédelmi jogsértés esetén az adatkezelő késedelem nélkül értesíti a felügyelő hatóságot, valamint a feldolgozó azonnal értesíti az adatkezelőt.

Ezt követően az adatkezelőnek az érintettet is értesíteni kell, amennyiben a jogsértés hátrányosan érinti a személyes adatok vagy a magánélet végelmét.

Az érintettek jogainak megerősítése (hozzájárulás, a felejtéshez való jog, nagyobb kontroll a személyes adatok felett, adathordozhatóság)

Hozzájárulás: az adatkezelés egyik legbiztosabb jogalapja az érintett hozzájárulása.  A rendelet szerint ennek kifejezettnek kell lennie, mind papír alapú, mind online környezetben. A korábbi gyakorlat megengedte a hallgatólagos hozzájárulást is. A tagállamok jelenleg különféleképpen értelmezik a hozzájárulás fogalmát, amely a kifejezett írásbeli nyilatkozattól a hallgatólagos hozzájárulásig terjedhet. 

Felejtéshez való jog: az érintetteken joguk lesz az online kockázatok csökkentésére. Az érintettnek bizonyos feltételek mellett megvan a rá vonatkozó személyes adatok törléséhez való joga. Online környezetben az adatokat nyilvánosságra hozó adatkezelőnek tájékoztatnia kell az ilyen adatokat nyilvánosságra hozó harmadik feleket az érintett törlési kérelméről, beleértve azok másolatait is. Az adatkezelőnek minden ésszerű lépést kell tenni, valamint felel akkor, ha a nyilvánosságra hozatalt ő engedélyezte.

Adathordozhatóság: a személyes adatok strukturált és széles körben használt formátumban történő elektronikus feldolgozása esetén az érintettnek joga van arra, hogy kérje az adatkezelőtől a feldolgozás alatt álló adatok széles körben használt elektronikus és strukturált formátumú másolatát, amely lehetővé teszi az érintett általi további használatot, továbbá meghatározott esetekben az érintett jogosult arra, hogy ezeket a személyes adatokat és az érintett által rendelkezésre bocsátott, automatizált feldolgozó rendszerben tárolt bármely egyéb információt széles körbenhasznált elektronikus formátumban egy másik rendszerbe továbbítson.

Új Ptk – társasági- és cégjogi változások

Az új Ptk. alapjaiban változtatta meg a társasági jog és a cégjog szabályait. A 2014. május 20-i szakmai előadáson és konzultáción szó lesz a gazdasági társaságok szervezetének és működésének változásairól, valamint arról is, hogyan érinti az új törvény a 2014. március 15. előtt alapított cégek működését. Előadóink kitérnek a Ptk.-ból kimaradó szabályok miatti új szabályozás kérdéskörére is. Értesüljön az új szabályokról, tegye fel kérdéseit szakértő előadóinknak, dr. Kenesei Juditnak, a Fővárosi Törvényszék Cégbírósága kollégium-vezető helyettesének és dr. Noctha Tibornak, a PTE egyetemi docensének. Jöjjön el 2014. május 20-án szakmai konferenciánkra! Helyszín: Best Western Hotel Hungária, 1074 Budapest Rákóczi út 90. Bővebb információk és jelentkezés itt

Profilozás

A profilozás a személyről már tudott, automatizáltan tárolt információk alapján új információk levonása. Miért fontos ez? A gazdasági életben elsősorban a célzott reklámok kiküldése terén van jelentősége, vagy veszélyesen alkalmazható a munkahelyi teljesítményértékelés terén is. Az új rendelet szerint mindeninek joga van, hogy ne legyen ilyen profilozás alanya. A tanácsi szövegezés ennél szigorúbb szabályokat állapít meg.

Adattovábbítás

A személyes adatok külföldre továbbítása az adatkezelés egy speciális esetét alkotja. Képzeljük el, hogy Magyarországon dolgozunk, de cégcsoportunk Kanadán keresztül továbbít adatokat az Egyesült Államokba, aki végül Távol-keleti adatfeldolgozót bíz meg a feldolgozással! Biztonságban érezzük magunkat? Valószínűleg bele sem gondolunk. Pedig vállalti oldalról költséghatékony és célravezető.

Az új rendelet szerint az EU-n belül szabad az adattovábbítás. Harmadik államok felé a Bizottság határozata szükséges a megfelelő védelmi szint biztosításáról, vagy annak hiányáról. Ennek hiányában a cégek számára továbbra is rendelkezésre áll a védelmi szint biztosítása. Ezek lehetnek a Kötelező Erejű Vállalati Szabályok. ( BCR – Binding Corporate Rules) A BCR-eket jellemzően a multinacionális cégek alakítják ki és alkalmazzák a vállalat különböző országokban elhelyezkedő egységei közötti adatáramlás szabályozására.

Az Európai Unió harmadik államokkal szembeni adattovábbítási szabályait számos kritika érte. Legfőbb ellenvetés, hogy a koncepció abból a feltevésből indul ki, hogy a nemzetközi adatforgalom mindig pontos és előre meghatározható útvonalat követ. Ez két okból is megcáfolható. Egyrészt a csomagkapcsolt adattovábbítási mód lényege éppen abban rejlik, hogy egyes elemei mindig a leghatékonyabb úton keresztül jutnak el a célállomáshoz, így az adat előre nem megjósolható utat tesz meg. Másfelől- és a hétköznapokban inkább ez érzékelhető egy átlagos felhasználó számára- legjellemzőbben az internet esetében egy üzenet küldőjének, vagy egy weboldal üzemeltetőjének nincsen valós kontrollja afelett, hogy annak tartalmát a világ mely pontján töltik le. A Bizottság problémaként azonosítja megfelelő védelmi szint egységes kritériumainak hiányát. Ezeket a tagállamok, de akár maga az adatkezelő is megállapíthatja. Ez eltérő értékelésekhez, gyakorlathoz vezethet. Sajnálatos az is, hogy az általános szerződési feltételeket a hatóságok egyáltalán nem alkalmazhatják, annak lehetősége csak a magánszektor számára áll nyitva.

Fenti lehetőségek mellett az „Európai Adatvédelmi Pecséttel” rendelkező cégek számára szabadon lehetne adatot továbbítani.

Súlyos szankciók

A legújabb, tanácsi szövegezés szerint a tagállami bírság akár 1 millió euró, vagy az éves világárbevétel 5%-a is lehet. Ez persze a jogsértés legsúlyosabb  foka esetén alkalmazandó. Ezen kívül természetesen nem kell megrettentünk,a kezdeti lépések az írásbeli figyelmeztetés, a rendszeres felülvizsgálat bevezetése. Továbbá a bírságolás során figyelembe kell venni a nemzeti hatóságnak a Rendeletben meghatározott elveket, csak úgy mint a jogsértés természete, súlya, az együttműkődés a felügyeleti hatósággal.

 

Magáncélú felhasználás

A magáncélú adatkezelés mint kivétel az irányelv- és a továbbiakban a rendelet- hatálya alól az internetes közösségi oldalak, ismeretségi hálózatok megjelenésével, és különböző magáncélú weboldalak tömeges létrehozásával vált problémássá.

A szabályozás figyelme ebben a körben elsősorban a tárhely- és alkalmazásszolgáltatók oldalán próbálta kezelni a felelősségi kérdéseket, és a felhasználók által feltöltött adatok általuk történő másodlagos felhasználása állt a középpontban, míg a felhasználók adatkezelési tevékenységét a pusztán magáncélú felhasználás körébe tartozónak tekintették. Szemléletmódbeli változást jelent annak elismerése, hogy a szóban forgó web2.0-es szolgáltatások felhasználásának van egy köre, amely túllép a kizárólagos személyes vagy háztartási célú felhasználáson. A probléma abban rejtett, hogy nem volt kellően részletezett a magánszemély fogalma. Például magáncélú  a megosztás a szakmai kollégák csoportja mint barátok között?

 

Privacy ikonok – ábrákkal az adatvédelem érdekében?

A Rendelet által bevezetendő újdonságok közé tartozik, hogy az adatvédelmi tájékoztatók mellé adatvédelmi ikonokat kell mellékelni, így segítve a sokszor bonyolult szabályok alapelemeinek gyors megértését.

A rendeletet ért kritikák

A bizottsági és a parlamenti álláspontok a gyakorlatban megvalósíthatatlanok. A parlamenti szöveg nem változtatott a bizottsági állásponton. A Parlament által elfogadott javaslat nélkülözi a kiegyensúlyozott és időtálló szabályozást a személyes adatok védelme és az európai gazdaság innovációra és növekedésre való képessége között. – hangzik egy, a gazdasági szervezeteket tömörítő szervezet véleménye.

Az írás az Ars Boni jogi folyóiratban jelent meg, az ars boni az Ügyvédvilág.hu szakmai partnere.

 

---