Az új „Általános Adatvédelmi Rendelet” (AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) 2018 május 25-ével lép életbe. Meghozatalának oka többek között az volt, hogy 1995 óta, amikor az adatvédelmi irányelvet elfogadták, sok minden megváltozott a világban, az adatkezelés területén is. Emellett maga az, hogy nem irányelv, hanem rendelet született, azt jelenti, hogy minden tagállamban egységes szabályok érvényesülnek, az egyes parlamenteknek, kormányoknak csak azokban a kérdésekben van joguk külön szabályokat alkotni, amelyeken erre őket a rendelet felhatalmazza (ilyenek főleg a közhatalmi, igazgatási területeken vannak). AZ “EGT vonatkozású szöveg” kitétel pedig azt jelenti, hogy a teljes Európai Gazdasági Térségre érvényes, nem csak az EU tagállamaira. Svájcnak pedig saját érdeke, adatvédelmi szabályozását összhangba hozza az új rendelettel (és ezáltal megtartsa státusát, hogy az EU-ban élvezettel egyenértékű védelmet biztosít).
Mi ennek a jelentősége? Az, hogy a cégeknek vagy más szervezeteknek nem kell alkalmazkodniuk az egyes országokban eltérő szabályozásokhoz, hanem minden országban lényegében ugyanazoknak a szabályoknak kell megfelelniük.
Ebben és a következő posztokban a legfontosabb változásokat foglalom össze. Nem jogi precizitásra törekszem, sokszor egyszerűsítek, a főbb vonásokat vázolom, a rendelet a fenti linken megtalálható, mindenben annak a szövege az irányadó. Néhol mégis kénytelen vagyok a rendelet hivatalos magyar fordításának megfogalmazásait használni, amelyek nem feltétlenül felelnek meg a magyar köznyelvnek. Ez néhol érthető, hiszen olyan új fogalmakat vezet be a rendelet, amelyekre eddig nem volt magyar kifejezés. Ilyenek például a beépített és az alapértelmezett adatvédelem (privacy by design and by default), az elfeledtetéshez való jog (right to be forgotten), az adathordozhatósághoz való jog (right to data portability) vagy az „egységességi mechanizmus” (one stop shop). Az internetes felületeken négyzeteket kell bejelölni (a köznyelv kockának hívja, de az iskolából tudjuk, hogy ezeket szabatosan négyzeteknek kell hívni). Ugyanakkor az eddig hatályos adatvédelmi irányelvben is szereplő kifejezéseket meg kellett tartani. A személyes adatok gyűjtése, rögzítése, rendszerezése, tárolása, átalakítása vagy megváltoztatása, hozzáférhetővé tétele, stb. (a teljes lista a rendelet 4. cikkének 2. pontjában megtalálható) az adatkezelés, az ezért felelős szervezet az adatkezelő, a személyt, akinek adatait kezelik, érintettnek vagy érintett személynek, léteznek az adatok különleges kategóriái (amelyek érzékeny adatok) stb.
Az elvek nem változnak, egyes szabályok azonban szigorúbbak lesznek, másokat egyértelműsítettek. Fontos, hogy a szabályokat igazították a digitális korszak követelményeihez, de azok egyben kevésbé technológiaspecifikusak lettek, ezzel felkészülve a jövőbeni technológiai fejlődésre. Erre példa, hogy az adatkezeléshez a hozzájárulás megadásának módjai tükrözik az internet szokásait. A böngésző beállításai vagy más technikai beállítások például minősülhetnek a hozzájárulás megadásának.
A rendelet hatálya igencsak széles: mindenkire kiterjed, aki az EU-ban tartózkodó személyek adatait kezeli, kivéve a természetes személyek kizárólag személyes vagy otthoni tevékenységét. Felmerül természetesen a kérdés, hogy az interneten – pl. Facbookon – megadott adatok esetén tudni kell-e az adatkezelőnek, hogy kezeli-e európai illetőségűek adatait. Erre a rendelet tartalmaz utalást erre, a 23. preambulumbekezdésben, nem elegendő az, hogy a honlap vagy más elérhetőség hozzáférhető legyen az Unió területén, de ha egy vagy több tagállamban általánosan használatos nyelvet vagy pénznemet használ (amely nem általánosan használt saját országában), vagy utal az Unióban tartózkodó személyekre, az jelzi ezt a szándékot. Kivételt képeznek az uniós jog hatályán kívüli tevékenységek (ez nem az EU „hatásköreit” jelenti a közkeletű „oktatás, szociálpolitika nem uniós hatáskör” értelmében, annál szűkebb a korlátozás), valamint a közös kül- és biztonságpolitika, valamint a bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása. Ez utóbbi területen egy ugyanekkor elfogadott irányelv (amelyet a tagállamok saját törvényhozása ültet át nemzeti jogukba, és jogalkotási szabadságukat csak az korlátozza, hogy az nem lehet ellentétes az irányelvben meghatározottakkal) határozza meg a fő elveket és szabályokat.
A legfontosabb változás, hogy az új szabályok kevésbé az adminisztratív megfelelésre koncentrálnak, inkább a kockázat alapú megközelítést célozzák. Ezzel azonban az adatkezelők felelőssége is megnő. Az adatvédelmi hatósághoz (vagy biztoshoz – a rendelet „felügyeleti hatóságnak” nevezi) beküldött bejelentési kötelezettség helyett az adatkezelő köteles olyan nyilvántartást vezetni, amely dokumentálja, hogy az adatkezelés megfelel a rendeletnek. Eltűnik a különleges adatok kezelése esetén kötelező előzetes engedélyezés, az adatvédelmi hatósággal (biztossal) az adatkezelő „csak” konzultál. Az adatvédelmi hatásvizsgálat az első lépés. Ez tulajdonképpen egy kockázatelemzés, amely akkor kötelező, ha az adatkezelés valószínűsíthetően magas kockázattal jár. A konzultáció akkor kötelező, amennyiben a hatásvizsgálat eredménye visszaigazolja a magas kockázatot. A kockázati tényezőket ismét csak egy preambulumbekezdés sorolja fel, természetesen csak indikatív jelleggel. Ezekről az adatok különleges kategóriáinál lesz részletesebben szó, a folytatásban.
Említésre méltó a kiskorúak fokozottabb védelme is. Aki gyermekként (a korhatár 16 év; itt van a tagállamoknak joga ezt a korhatárt csökkenteni, de nem csökkenthetik 13 év alá) információs társadalommal összefüggő szolgáltatást (ilyenek lehetnek a szociális hálózatok, internetes kommunikációs szolgáltatások, a hivatalos definíció: „térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás”http://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1492283545138&uri=CELEX:31998L0048) akar igénybe venni, ahhoz szükséges a gyermek feletti szülői felügyeletet gyakorló személy hozzájárulása. Ha az érintett személy (ez a neve annak, akinek a személyes adatait kezelik, azt kéri, az adatkezelő köteles törölni az adatokat minden mástól függetlenül (az „elfeledetéshez való jog” vagy „törléshez való jog” is egy újdonság a rendeletben).
Fontos változások, amelyekről a következő részekben lehet majd részleteket találni:
Az említett elfeledtetéshez való jog, amelynek értelmében azokat az adatokat, amelyeknek megőrzésére a jogalap idővel megszűnik, nem szabad tovább megőrizni – és ezzel kapcsolatban az archiválási célú megőrzés szabályozása.
Az adatok hordozhatóságához való jog, amelynek alapján kérhetjük, hogy egy szolgáltatónak egyszer már megadott adatainkat a szolgáltató gépi feldolgozásra alkalmas módon (de csak olyan módon, amelyet rendszerei lehetővé tesznek, ezáltal elkerülve, hogy ez aránytalan terhet jelentsen neki) átadja egy másik szolgáltatónak, ha kérjük.
Az „egységességi mechanizmus”, amely megoldja, hogy ha egy másik országban működő adatkezelővel van problémánk, vagy egy probléma több országot érint, ne nekünk kelljen szaladgálni egyik ország adatvédelmi hatóságtól a másikig vagy akár megkeresni, hogy melyikük az illetékes. Ez egyben egyszerűsíti az adatkezelők dolgát is, hisz nekik is csak egy adatvédelmi hatósággal lesz dolguk, még ha több országban is vannak ügyfeleik.
Meghatározza a rendelet, hogy mikor kell egy adatkezelőnek adatvédelmi tisztviselőt (vagyis az adatvédelem felelősét) alkalmaznia, és mik ennek a tisztviselőnek a kötelezettségei, jogai, milyen követelményeknek kell megfelelnie.
Az adatvédelmi incidensek (adatok kiszivárgásának, meghekkelésének) bejelentési szabályai védik az érintetteket, ugyanakkor reális követelményeket határoznak meg az adatkezelők számára.
Egyértelműbbé válnak az adatkezeléshez adandó hozzájárulás módjai. Ugyanakkor érdemes szem előtt tartani, hogy az adatkezelés hozzájárulás nélkül is lehet jogszerű, ha az indokolt – a rendelet a jogszabályon alapuló adatkezelés mellett bevezeti a „jogos érdek” (legitimate interest) fogalmát, amely lefedheti a vállalatok üzleti érdekeltségét. Viszont a fentemlített „elfeledtetéshez való jog”, tehát az a jog, amikor az érintett kérheti adatainak törlését, szélesebb abban az esetben, ha az adatkezelés nem jogszabályon alapszik.
A jogtalan adatkezelés szankciói között megjelennek a (jelentős mértékű) pénzbeli bírságok.
Említettem az adatok különleges kategóriáit (érzékeny adatokat, mint a vallásra, politikai nézetekre, egészségügyi állapotra, szexuális orientációra vonatkozó adatok). Ezek kiegészülnek a genetikai és biometrikus adatokkal, követve a technika fejlődését. Külön korlátok vonatkoznak az automatikusan hozott döntésekre, és az úgynevezett profilírozásra.
Végül pontosodnak az EU-val egyenértékű adatvédelmet nem biztosító országokba történő adattovábbítás feltételei. Az USA speciális helyzetéről az előző posztban már szó volt, a részletek a következő posztokban következnek.
Folyt. köv.