2018-tól jön a modernebb, de szigorúbb adatvédelem
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az adatvédelem terén már eddig is számos rendelkezés biztosította a személyes adatok védelmét, melyre vonatkozó legfontosabb szabályokat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.), vagyis a jelenlegi adatvédelmi törvényünk tartalmazza. Áprilisban azonban az Európai Parlament új adatvédelmi szabályokat szavazott meg, melyek által 2016/679/EU számon megszületett az EU Általános Adatvédelmi Rendelete (General Data Protection Regulation, GDPR).
A cikk az Ügyvédvilág című szaklap 2016/4. számában jelent meg
Az új szabályozás megalkotásának egyik indoka az volt, hogy az eddig érvényben lévő, már húszéves irányelv felett eljárt az idő. A másik indok viszont a magánszemélyek online szolgáltatásokba vetett bizalmának megerősítése és az online környezethez illeszkedő modernebb adatvédelmi jogszabály megteremtése volt.
Az új rendelet megszületése azt jelenti, ahogy minden tagállamban, úgy itthon is reform érkezik a személyes adatok védelme terén. Bár a rendelet a kihirdetését követő 20. napon lép hatályba (formai hatálybalépés), a benne foglaltakat ténylegesen 2018. május 25-étől kell majd alkalmaznunk, vagyis kevesebb, mint két év áll rendelkezésre minden személyes adatot kezelő vállalat számára, hogy megfeleljen az új és minden bizonnyal sokkal szigorúbb szabályoknak. Ennek hatására várhatóan módosulni fog az Info tv. is, valamint minden olyan részletszabály, ami jelenleg a rendelet szövegével nincs összhangban. Ennél fogva fel kell készülnünk egy jelentősen megváltozott jogszabályi környezetre is.
Bármilyen messze is van az adatkezelő, védve vannak a személyes adataink a világhálón is
A rendelet fontos része annak hatálya, vagyis az, hogy pontosan milyen adatkezelésre alkalmazandóak a benne foglaltak. Ahhoz, hogy a jelenleg hatályos Infotörvényünk alkalmazható legyen, Magyarország területén folytatott adatkezelésre vagy adatfeldolgozásra van szükség, illetve beletartozik még a körbe, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel.
Az új EU-rendelet – amellett, hogy nem csak az azonosított, hanem az azonosítható (pl. IP-cím, cookie alapján) személyes adatokat is hatálya alá veszi – fontos rendelkezést tartalmaz arra nézve is, hogy az EU-ban tartózkodó érintettek személyes adatainak áruk értékesítése vagy szolgáltatások használata érdekében történő kezelése mindenképp a rendelet hatálya alá tartozik, akár anélkül is, hogy az adatkezelő/feldolgozó jelen lenne az unióban. Ebben a körben fontos megjegyezni: ez a hatály azokra a személyes adatokra is érvényes, amelyek az internet világában adnak lehetőséget a felhasználók nyomon követéséhez, például azért, hogy azok alapján rájuk szabott ajánlatokat kaphassanak. A GDPR fontos rendelkezést tartalmaz azokra a vállalkozásokra nézve, amelyek nem telepednek le az EU-ban. Mivel a szabályok őket is kötik, hiszen uniós érintettek adatait kezelik, kötelező jelleggel ki kell jelölniük egy képviselőt az Európai Unión belül.
A hozzájárulás legyen egyértelmű
Adatvédelmi törvényünk jelenleg is tartalmazza azt a szabályt, miszerint bizonyos adatok kezelése csak úgy lehetséges, ha ahhoz a természetes személy előzetesen hozzájárul. Ebbe a körbe tartoznak a különleges adatok, amelyek a rendelettel bővülnek, ugyanis ezentúl a biometrikus és a genetikai adatok is ide sorolhatóak.
A hozzájárulás megléte azonban nem csak a különleges adatok, hanem minden személyes adat esetében lényeges lehet, hiszen nem mindegy, hogy milyen jogalappal rendelkezünk annak kezelésére vagy feldolgozására. A hozzájárulás feltételei tekintetében pedig a rendelet egy bővebb megfogalmazással él, amikor kimondja: a hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ez a fogalom-meghatározás azt jelenti, hogy a tájékoztatásnak konkretizálnia kell az információkat, a szabad akaratból való hozzájárulás pedig nem elegendő, mivel a személynek tevékenynek kell lennie. Vagyis nem szabályos a „hallgatás = beleegyezés” forma, illetve az előre kipipált „hozzájárulok” felirat sem. Továbbra is fontos feltétel, hogy a hozzájárulás bármikor visszavonható legyen és semmi esetre se lehessen feltétele egy szerződés megkötésének vagy szolgáltatás igénybevételének. Szintén lényeges, hogy adatkezelési célonként be legyenek szerezve a külön hozzájárulások.
A személyes adatok közül a hozzájárulások tekintetében is kiemelkednek a különleges adatok, mivel ezek kezeléséhez, illetve feldolgozásához már nem elegendő az egyszerű, azaz egyértelmű hozzájárulás (ahogy a fentiekben írtam), hanem ahhoz a rendelet az érintett részéről már kifejezett hozzájárulást kíván meg.
Az EU Általános Adatvédelmi Rendeletének fontos része annak hatálya, vagyis az, hogy pontosan milyen adatkezelésre alkalmazandóak a benne foglaltak
A gyermekek hozzájárulása is elfogadható?
A rendelet hangsúlyt fektet a gyermekek által adott hozzájárulások feltételeinek kidolgozására is. Ebben a körben talán legfontosabb szabály az, hogy 13 éves kor alatt semmilyen esetben sem fogadható el egy gyermek online szolgáltatások igénybevételére vonatkozó hozzájárulása. Így minden tagállamnak úgy kell kialakítania jogszabályi környezetét, hogy ez az alsó határ hangsúlyosan megjelenjen, de ettől magasabb alsó korhatárt is megállapíthatnak. Ez azt jelenti, hogy a közösségi oldalak vagy akár e-mail-fiókok és egyéb internetes oldalak esetében személyes adataik kezeléséhez a korhatár alattiak nem adhatnak érvényesen hozzájárulást, tehát – amennyiben bevallják életkorukat – nem is vehetik igénybe azokat. Érvényes hozzájárulást 16. betöltött életévtől lehet adni, a két korhatár közötti gyermekek esetében pedig szülői hozzájáruláshoz kötött a gyermek beleegyezésének elfogadhatósága. Azonban a fentiek nem érintik a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.
Álnevesítés mint jó megoldás
A rendelet tartalmaz egy új fogalmat is, amely az álnévhasználatra vonatkozik. Az „álnevesítés” a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni. Az álnéven történő adatkezelés számos esetben célravezető lehet, akár a nagyobb fokú biztonság érdekében, vagy épp akkor, ha statisztikai célra gyűjt valaki adatokat. Ennél fogva a rendelet több helyen is az álnevesítést említi mint jogszerű és célszerű adatkezelési megoldást, miután hangsúlyozza azt is, hogy a személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy megfeleljenek adatvédelmi kötelezettségeiknek.
A felejtés joga
Érintettként eddig is jogunk volt adataink helyesbítését, törlését vagy azzal kapcsolatos tájékoztatást kérni az adatkezelőtől, ha úgy gondoltuk, hogy erre szükség van. A rendelet ezt kiegészíti egy nagyon fontos rendelkezéssel, eszerint: ha az adatkezelő nyilvánosságra hozta a személyes adatot és azt később bármilyen okból törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az ésszerűen elvárható lépéseket – ideértve a technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatok minden másodpéldányának, másolatának és a rájuk mutató hivatkozásoknak a törlését. Ezzel pedig elérhetővé válik a teljes körű felejtés, ami a személyes adatainkat illeti.
Azonban fontos tudni, hogy a felejtés joga nem minden esetben érvényesíthető, ugyanis, ha az adatkezelő más jogalappal is rendelkezik az adatok kezelésére, feldolgozására, akkor az érintett személy kifogása ellenére is folytathatja a tevékenységet.
Az érintett személyeknek joguk van ahhoz, hogy tiltakozzanak bizonyos adatkezeléseket illetően, de ha az adatkezelő bizonyítani tudja, hogy jogos érdeke elsőbbséget élvez, ezzel a joggal nem lehet élni. Ugyanakkor, ha az adatkezelés közvetlen üzletszerzés érdekében történik, a tiltakozás abszolút jogként tekintendő, tehát direkt marketing vagy épp profilalkotás esetén mindenképp meg kell adni az adatkezelés elleni díjmentes tiltakozásra való lehetőséget.
Az automatizált döntéshozatal csak szűk kereteken belül lehetséges
A rendelet alapján az érintett jogosult arra is, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. Ilyen lehet például egy online hitelkérelem automatikus elutasítása, vagy emberi beavatkozás nélkül folytatott online munkaerőtoborzás. Ilyen adatkezelésnek minősül a „profilalkotás” is, különösen az érintett munkahelyi teljesítményére, anyagi helyzetére, egészségi állapotára, személyes preferenciáira, érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére, illetve helyváltoztatásai elemzésére és előrejelzésére, feltéve, hogy az az érintettre nézve joghatással jár, vagy őt hasonlóan jelentős mértékben érinti.
Megengedhető azonban az efféle adatkezelésen alapuló döntéshozatal abban az esetben, ha azt valamely olyan uniós vagy nemzeti jog kifejezetten engedélyezi, amelynek hatálya kiterjed az adatkezelőre. Ilyen lehet például a csalások és az adócsalás nyomon követése és megelőzése, mely – a rendeletben felsorolt számos feltétel szerint – csak akkor lehetséges, ha:
1. erre az uniós intézmények vagy a tagállami felügyeleti hatóságok szabályaival, előírásaival és ajánlásaival összhangban kerül sor, vagy
2. az adatkezelő által nyújtott szolgáltatás biztonságának és megbízhatóságának a biztosítása érdekében van szükség, vagy
3. ha arra valamely, az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van szükség, vagy
4. ha az érintett ahhoz kifejezett hozzájárulását adta.
Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelybe beletartozik az érintett külön tájékoztatása és ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről és hogy megtámadja a döntést.
A szabályok be nem tartásáért magas bírságot és kártérítést is kell fizetni
Ha az adatkezelő vagy adatfeldolgozó az érintettnek kárt okoz, kártérítés megfizetésére kötelezhető. Ez alól csak akkor mentesülhet, ha bizonyítja, hogy a kár bekövetkezéséért nem felelős. Amennyiben azonban egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, úgy minden egyes adatkezelő vagy adatfeldolgozó a teljes kárért felelősséggel tartozik. Természetesen hozzá tartozik, hogy ha egyikük a kárt teljes egészében megfizeti, akkor azt követően viszontkereseti eljárást indíthat az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.
A szabályok megsértéséért az adatkezelők és -feldolgozók eddig is számíthattak bírságra az Info tv. alapján, azonban annak szabályai a rendelet megszületésével jelentősen átrendeződnek. Ugyanis, amíg eddig konkrét felső határa volt a bírságolásnak, most a rendelet szerint a vállalkozás árbevétele lesz a meghatározó. A bírság mértékének felső határa – attól függően, hogy az adatkezelő melyik rendelkezést sérti meg – vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összeg lehet.
Ahogy a fenti új szabályokból látszik, a rendelet igyekszik ledolgozni technológiai lemaradását, azonban tisztában kell lennünk azzal, hogy a jogszabályalkotás – bármennyire is próbál naprakész lenni – nem képes megelőzni, de sokszor még utolérni sem az online világ fejlődését. Így rengeteg változás lesz az elkövetkezendő két év alatt is, mire életbe lépnek az új szabályok, amelyeknek emiatt már most olyan kérdésekre kéne választ adniuk, amik ma még nem is léteznek.