Mi szabályozza személyes adataink kezelését - az új adatvédelmi rendelet

Személyes adatok védelme

Személyes adatok védelme

Az Európai Adatvédelmi Testület elnökének nyilatkozata

2020. augusztus 22. - Kuviklacz

A portfolio.hu számára meginderjúvoltam Andrea Jelineket, az EDPB elnökét. Az interjúban sok mindent megerősített, ami új benne, hogy utalt a GDPR kivételeket tartalmazó 49. cikkének első bekezdésében a kivételek listája utáni speciális szabályra, amely szerint jogos érdekből, amennyiben az felülírja az érintett személy jogait, kis számú érintett adatainak egyedi továbbítására sor kerülhet, de erről értesíteni kell az adatvédelmi hatóságot és a jogos érdek és az alkalmazott garanciák közlésével az érintetteket. A garanciáknak nem kell olyan erőseknek lenniük, mint a jogszerű (a 46-47. cikk szerinti) adattovábbításoknál, csak a körülményekhez képest (a magyar fordítás mindkét esetben "megfelelő" garanciákról beszél, de az angol szerint a 46. cikk az "appropriate", míg a 49. cikk ""suitable" kifejezést használja, utóbbit inkább "alkalmas"-nak lehetett volna fordítani - érdekes módon a francia és a német verzióban sincs különbség a két helyen használt kifejezés között).

 

 

Mit ért el Schrems?

Írtam már Maximilian Schrems osztrák joghallgató (tényleg, még nem végzett azóta sem, vagy már jogász?) kereszteshadjáratáról a Facebook ürügyén az amerikai adatcsere ellen. Ismét sikerrel járt, és mondhatnám azt is, hogy felnőtté vált az ügy és ő maga is. Elkezdte ugyanis ő maga értelmezni az ítéletet és tanácsokat adni, hogy hogyan kell ezután adatot átadni az Egyesült Államokba. Érdekesek voltak megszólalásai az ítélet nyomán rendezett onlájn konferenciákon is (diadalmas mosolyát leszámítva, természetesen).

További részletek itt.

Az ítéletnek egyébként az összes, az EGT-n kívülre irányuló adatcserére van befolyása, ahol nincs megfelelőségi határozata az Európai Bizottságnak a célországról, sőt, várható, hogy a megfelelőségi határozatok feltételei is szigorodnak. Ez meg azért érdekes, mert ha nem lesz megállapodás az Egyesült Királysággal az év végéig, vagy az nem terjed ki az adatvédelemre, oda is csak akkor lehet adatot továbbadni, ha lesz megfelelőségi határozat, vagy teljesül a megfelelő biztosítékok feltétele. Az ítélet lényege ugyanis, hogy nem lehet a biztosítékot (pl. az ú.n. Általános Szerződési Feltételeket - standard contractual clauses) - a konkrét feltételeknek van magyar változata is, a hivatkozott oldalon lévő linkekben az "en"-t át kell írni "hu"-ra, vagy a dokumentum oldalán választani nyelvet) formálisan alkalmazni, meg kell vizsgálni, hogy tényleg védelmet nyújt-e. Az USA és Nagy-Britannia között a C.L.O.U.D. Act alapján kötött megállapodás a felhőben tárolt adatoknak a nemzetbiztonsági szolgálatok részére történő kiadásáról pedig ezt kétségessé teszi.

 

Trump fogja megrendszabályozni a GAFA-t, hogy ne éljen vissza az adatainkkal vagy az EU?

Trump rossz okból akar rossz irányba lépni, és létrehozta a nagy adatgazdálkodók egységfrontját az eddig "szélárnyékban maradó" Twitter mögött. Erről és az EU és más hatóságok küzdelméről - nem csak az adatvédelem, hanem a fogyasztóvédelem és versenypolitika területén is - szól ez a cikk.

Közben további fejlemények történtek, az Európai Bizottság is közzétette értékelését a GDPR első két évéről.

A rendelet módosítására nem tettek javaslatot, még nem minden lehetőséget használtak ki se hatóságok, főleg a nemzetközi együttműködésben van javítanivaló. A sok bírság dacára még sok a probléma.

Adatoknak az Európai Gazdasági Térségek kívüli átadására még nem adták ki az aktualizált általános szerződési feltételeket, a Privacy Shieldről (és a szerződéses feltételekről) július 16-án mond ítéletet az Európai Bíróság.

Kell-e adatvédelem vírusjárvány idején?

A felhatalmazási törvény körüli vita ismét felveti a szabadságjogok és a biztonság viszonyát. Az elég természetes, hogy a biztonság macerás: nehezebb egy biztonsági zárat kinyitni, amikor hazamész, mint csak lenyomni a kilincset - ráadásul a lakó sokkal többször nyitja ki saját ajtaját, mint az esetleges betörő.

Ugyanez a helyzet az informatikában: hosszabb jelszavakat nehezebb megjegyezni, különösen, ha véletlen karaktersorokból állnak, számokkal, írásjelekkel megspékelve. A kétfaktoros azonosítás még több macerával jár, és a biztonsági megoldások le is lassíthatják a programokat.

Ennek ellenére kevés embernek jutna eszébe lezáratlanul hagyni a lakását. A digitális világban már gyakrabban találkozunk kényelem okozta biztonsági résekkel, de reménykedjünk, hogy ez is csökken.

A biztonság érdekében gyakran kérik tőlünk azt is, hogy bizonyos jogainkról mondjunk le. Az orvos csak úgy tud gyógyítani, ha ismeri egészségi állapotunkat, eddigi vagy meglévő betegségeinket. Hasonló a helyzet ügyvédünkkel, könyvelőnkkel. Ezeknek a szakmáknak a művelőit azonban köti a szakmai titok - és ez alól néha még a bűnüldözési érdek sem ad korlátlan felmentést. 

Másik oldalról: Benjamin Franklin szerint: "Aki feladja az alapvető szabadságát az átmeneti biztonságért, az nem érdemel se szabadságot, se biztonságot."

Amikor szabadságjogainkat törvényekbe foglalják, általában az előrelátható rendkívüli helyzetekre is gondolnak. Ez a helyzet az adatvédelemmel is. Az Általános Adatvédelmi Rendelet (GDPR) 23. cikke részletesen rendelkezik arról, hogy mikor lehet az érintett személyek jogait felfüggeszteni. Az adatkezelés jogalapjai között pedig kiemelten szerepel a jelentős  közérdek, többek között a közegészségügy, egy személy létfontosságú érdekeinek védelme, egy jogi kötelezettség teljesítése.

Az érzékeny személyes adatok (a hivatalos megfogalmazás szerint: adatok különleges kategóriái), köztük az egészséggel kapcsolatos adatok, kezelhetők például a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása céljából is.

Útmutatókat is megjelentettek a különböző adatvédelmi hatóságok, köztük a NAIH is közzétett egy tájékoztatót a koronavírus-járvány idején követendő gyakorlatról.

Aki többet akar tudni, megnézheti a Európai Adatvédelmi Testület tájékoztatóját is.

További részletek a potfolio.hu-n - sajnos már fizetős, az angol verzió viszont elérhető.

 

 

Schrems II - mi lesz az amerikai adatcserével?

Rendkívül érdekes volt az Európai Bíróság ítélethirdetési délelőttje december 19-én

Itt most csak az adatvédelem szempontjából érdekes üggyel szeretnék foglalkozni. Maximilian Schrems osztrák joghallgató a Snowden-leleplezések után vette célba a Facebookot. A szociális hálózatok között legalábbis domináns helyzetben lévő portál sok stiklije mellett (erről többet itt lehet olvasni) szinte mellékesnek tűnhet, hogy az Írországban bejegyzett európai leányvállalat a felhasználók adatait elküldi az amerikai központnak, Schrems mégis úgy érzi, hogy miután az említett leleplezés szerint amerikai hatóságok válogatás nélkül tömegesen gyűjtenek adatokat az amerikai informatikai cégek szolgáltatásainak felhasználóiról,

Az első Schrems ügy a "Safe harbour" érvénytelenítésével végződött. Mi is ez? Európai uniós adatkezelők csak akkor adhatnak át személyes adatokat az unión kívülre, ha az érintett személyek jogai megfelelő védelemben részesülnek - azokat hasonló szabályok szerint kezeli, mint amit az uniós adatvédelmi szabályok előírnak, és johgsgálni, és amennyiben úgy találja, hogy a védelem megfelelő (nem kell azonosnak lennie, csak lényegét tekintve egyenértékűnek - ezt már a Bíróság állapította meg pont az első Schrems ügyben), kiad egy "megfelelőségi határozatot". Az Egyesült Államokban az üzleti vállalkozások és a hatóságok adatkezelése teljesen eltérő (nemrég lépett életbe a kaliforniai, ottani viszonylatban szigorú adatvédelmi rendelet, és csak most van a Képviselőház előtt egy hasonló szövetségi törvény). Ezért általános megfelelőségi határozat helyett egy önkéntes regisztrációs rendszert vezettek be, és azokat a cégeket tekintették az EU szabályainak megfelelően megbízhatóknak, amelyek regisztráltak az amerikai Kereskedelmi Minisztériumnál és vállalták a feltételek teljesítését. Ez volt a "Safe harbour".Emellett vannak más módok is a megfelelő védelem biztosítására, ennek egyik formájáról később lesz szó.

A Snowden által leleplezett válogatás nélküli és tömeges titkos adatgyűjtésre tekintettel az Európai Bíróság kimondta, hogy a "Safe harbour" feltételei nem teljesülnek, ezért a döntés érvénytelen. Ezután az EU és az USA gyorsan tető alá hozta a "Privacy shield"-et, amelynek feltételei már szigorúbbak voltak, létrejött a jogérvényesítésre egy ombudsmani hivatal, és a regisztráló vállalatok vállalásainak teljesítését ellenőrző mechanizmus. Az alap változatlanul egy önkéntes regisztráció, és természetesen a legtöbb nagy informatikai szolgáltató regisztrált. Schrems viszont nem találta kielégítőnek a védelmet, ezért ismét beperelte a Facebookot.

Egy kis kitérő: az Európai Bíróság nem dönt el olyan pereket, amelyekben nem európai intézmény a peres fél, viszont tagállami bíróságok fordulhatnak hozzá az előttük folyó peres ügyekkel kapcsolatban az európai jog értelmezésére vonatkozó kérdésekkel (ez az úgynevezett előzetes döntéshozatali eljárás). Minden tagállamban van emellett egy (vagy több, pl. Németországban) adatvédelmi hatóság, ez utóbbiakhoz kell fordulni, ha egy szervezet megsérti az adatvédelmi szabályokat. Az illetékes hatóság bírságolhat, utasíthatja az adatkezelő szervezetet a törvénytelen adatkezelés abbahagyására, illetve bíróság elé citálhatja a kihágást elkövetőket. Ebben az esetben Schrems perelte be az ír adatvédelmi hatóságot, mert nem volt hajlandó eljárni. A bíróság pedig kérelmére kérdéssel fordult az Európai Bírósághoz. Ebben egyrészt ismét kérdést tett fel a "Privacy shield" alkalmazhatóságáról. Ugyanakkor per közben a Facebook köpenyt váltott: kijelentette, hogy már nem a "Privacy shield", hanem az úgynevezett "általános adatvédelmi kikötések" alapján adta át az adatokat. Ezek az Európai Bizottság által jóváhagyott olyan szerződéses feltételek, amelyek alapján szintén jogszerű az adatátadás.

Az Európai Bíróság előtti eljárásokban először a bíróság szakértője, a főtanácsnok fogalmazza meg javaslatát (úgynevezett "főtanácsnoki indítvány", amelyet ebben az ügyben az említett csütörtöki ülésen hoztak nyilvánosságra.

Az indítvány lényegi része a javaslat: ebben Saumandsgard Øe főtanácsnok azt javasolta, hogy a fentemlített változtatásra tekintettel csak az általános szerződéses feltételekről nyilatkozzon a Bíróság, és annak érvényességét tartsa fent. Meg kell jegyezni, hogy ez nyitva hagyja a tagállami bíróság, illetve az adatvédelmi hatóság számára a lehetőséget, hogy a feltételek megszegése esetén alkalmazza a fentebb részletezett szankciókat.

Arról azonban csak az indokló részben írt a főtanácsnok, hogy mi a véleménye a "Privacy shield"-ről és megfogalmazta kételyeit, hogy az valóban megfelelő védelmet biztosít-e.

A bíróság az esetek nagy többségében követni szokta a főtanácsnok javaslatát, de pont a legérzékenyebb ügyekben el is szokott néha térni tőle. Meg kell tehát várni a tavasszal esedékes ítéletet, hogy mi lesz az ügy vége: továbbra is működhet a "Privacy shield"-en alapuló adatcsere vagy más megoldást kell keresni. Az általános szerződési feltételek alkalmas jelöltnek tűnhetnek, de azt is tudjuk, hogy sok szolgáltató (felmérést készítő, e-maileket küldő és más standardizált szolgáltatásokat nyújtó) cégek saját szerződéses feltételeikkel dolgoznak, és nem biztos, hogy hajlandóak lesznek európai ügyfeleiknek más feltételeket biztosítani, mint a világ többi részének és lehetővé tenni ezen feltételek teljesítésének ellenőrzését, hiszen üzleti modelljük lényege a standard, egyszerű szolgáltatások tömeges nyújtása. Nemsokára pedig hasonló gondokkal kell megküzdeni a brit vállalatoknak is.

A főtanácsnoki vélemény felvet még egy sor más kérdést, például az amerikai nemzetbiztonság céljára történő adatgyűjtéssel, az Általános Adatvédelmi Rendelet EU-n kívüli hatályával és általában a nemzetbiztonsági célú adatgyűjtéssel kapcsolatban. A második kérdés felmerült a Google/CNIL ügyben is (amely az elfeledtetéshez való jogot is érinti), amellyel párhuzamosan az információszabadság és az adatvédelem közötti egyensúly kérdéséről is döntött a Bíróság. Mindezekről a folytatásban lesz szó.

Eljött a nagy nap..

Gondolom nem én vagyok az egyetlen (egyik ismerősöm a facebookon panaszkodott is miatta), aki sorra kapja az értesítéseket azoktól, akik az adataimat nyilvántartják, hogy megfelelnek az új általános adatvédelmi rendelet követelményeinek, szíveskedjek elolvasni adatvédelmi nyilatkozatukat, esetleg bele is egyezni, illetve adjam hozzájárulásomat adataim további kezeléséhez, ha kapcsolatban akarok maradni, kapni akarom a hírlevelet stb.

Május 25-étől ugyanis alkalmazni kell az új szabályokat - két év felkészülési idő után.

A fentemlített panaszra egyik ismerősünk úgy reagált, hogy egy csomó helyről kap értesítést, amelyekről nem is sejtette, hogy kezelik (amibe beletartozik többek között a tárolás, közzététel, feldolgozás stb.) adatait, és ez már eredmény.

Annak ellenére, hogy ismertem a régi és ismerem az új szabályokat (az uniós intézményekre vonatkozó speciális szabályozás kidolgozásában érintőleg, mint egyik alkalmazó képviselője, részt is vettem), meglepett, hogy ennyi értesítést kapok. Az adatkezelés törvényességét megalapozó indokok, de az adatvédelmi nyilatkozatok kötelező tartalma nem változott lényegesen ugyanis, inkább a lehetséges szankció, az új rendelet körüli hírverés és az érintett személyek (ez a kifejezés azokat jelenti, akiknek a személyes adatait kezelik) jogainak inkább pontosítása, mint kiterjesztése lehet az, ami cselekvésre ösztönözte az adatkezelőket (akik az adatokat nyilvántartják, közzéteszik stb., vagyis akik felelősek az adatok kezeléséért). Igaz, több jogunk van megtiltani adataink kezelését, és nem számít beleegyezésnek (hozzájárulásnak) a passzív tűrés.

Akik átdolgozták adatkezelési nyilatkozatukat, azok nagy eséllyel eddig túl lazán kezelték annak tartalmát. Nem mindenkinek kellene beleegyezésünket kérni, csak azoknak, akik beleegyezés alapján kezelik az adatokat, és nem kérték meg ezt úgy, hogy az egyértelmű, informált és aktív legyen, vagyis nem egy előre bejelölt kocka bejelölve hagyása, vagy implicite a szolgáltatás használata. Ez utóbbiak ugyanis az új szabályok szerint nem számítanak beleegyezésnek.

A hozzájárulás az új rendelet kommunikációjában nagy szerepet kapott, szerintem nagyobbat, mind amennyit megérdemelt volna. Vannak ugyanis más jogalapok is, hogy adatankat kezeljék, ezek egyike például az adatkezelő jogos érdeke. És a preambulum szerint (amely persze nem része a kötelező előírásoknak, a bíróság azonban felhasználhatja a jogalkotó szándékának megállapítására) a direkt marketing is jogos érdeknek minősülhet. De például egy szerződés végrehajtása érdekében is kezelhetnek adatot a szerződéses felek.

Miért érdekesek ezek a más jogalapok? Azért, mert a hozzájárulás bármikor visszavonható, míg a más alapon történő adatkezelés ellen csak megfelelő indokkal lehet kifogást emelni. Erre sokan rá fognak jönni, ha szembesülnek azzal, hogy az ügyfeleik, akiktől megkérték a hozzájárulást, megtagadják azt az adatkezelő számára szükséges adatok kezeléséhez is. Érdemes tehát ésszerűen végiggondolni, megtagadjuk-e hozzájárulásunkat.

Milyen jogokat ad nekem az új Általános Adatvédelmi Rendelet?

Valóban nem lehet az adataimat a hozzájárulásom nélkül használni? Vagy legalább mindig tudnom kell, hogy mi történik az adataimmal?

A hozzájárulás (vagy beleegyezés) nem az egyetlen, nem is a legfőbb alap arra, hogy személyes adatokat kezeljen valaki, kivéve az érzékeny adatokat (különleges adatok kategóriája, ilyenek az egészségre, etnikai eredetre, vallásra, politikai véleményekre, szexuális orientációra vonatkozó adatok), de ezek esetében is lehet őket kezelni  meghatározott indokok esetén, például az érintett személy életét fenyegető veszély elhárítása érdekében.

Itt érdemes tisztázni két fogalmat: adatkezelésnek nevez a jogszabály majdnem minden tevékenységet, amelyet a személyes adatokkal végeznek, az érintett személy pedig az, aknek az adatait kezelik.

Az adatvédelmi szabályok két ellentétes filozófia között kell megtalálják a megfelelő kompromisszumot: sokan tartják az adatvédelmet felesleges tehernek, szerintük nekik semmi titkolnivalójuk nincsen, a "titkolózás" csak a bűnözőket, a stikliket elkövetőket védi. Ez egy kicsit "amerikai" felfogás, ahol ugyan létezik a magánélet védelme, de ez inkább annak a joga, hogy az egyént "békén hagyják", az aktív beavatkozás ellen véd (ezért lehet ott a magánélet védelme alapján alkotmányellenes az abortusz tiltásatiltásag) - amelybe beletartozik a megfigyelés, az adatok gyűjtése is, de ennél sokkal radikálisabb az európai filozófia: a személyes adatok az egyén tulajdonát képezik, és az azok feletti rendelkezés jogát csak indokolt esetben lehet elvitatni tőle. Érdekes módon a magyar Alkotmánybíróság az első értelmezés mellett tört lándzsát  3110/2013. (VI. 4.) döntése 88. paragrafusában, amikor a magánszférába történő aktív behatolás nélkül, tehát nem megfigyelés útján folytatott adatgyűjtést nem tekintette a magánszférához való jog megsértésének.

Azért az első - "nincs titkolnivalóm" - filozófia vajon azt is jelenti, hogy  egy független fiatal - aki esetleg több partnerrel is kapcsolatot tart - egyik partnerének meg kell tudnia, hogy egy másikkal  hol volt annak érdekében, hogy egy parkolási díjat (nem bírságot) behajtsanak tőle?

A szükségesség és az arányosság fontos szerepet játszanak annak meghatározásában, hogy egy adatkezelés indokolt-e vagy sem.

Az elvek tehát (zárójelben kissé egyszerűsítve tartalmuk legfontosabb elemei; fontos, hogy egyesek alól indokolt esetben kivételek lehetnek, például indokolt lehet, hogy az érintett személy ne tudjon adatai kezeléséről pl. egy vizsgálat esetén):

jogszerűség, tisztességes eljárás és átláthatóság (megfelelő jogalap kell és az érintett személynek tudnia kell az adatkezelésről és annak módjáról)

célhoz kötöttség (adatot kezelni csak meghatározott, egyértelmű és jopgszerű célból lehet)

adattakarékosság (a szükségesre kell korlátozódniuk)

pontosság (az adatoknak pontosnak és naprakésznek kell lenniük)

korlátozott tárolhatóság (csak a szükséges ideig tárolhatóak)

integritás és bizalmas jelleg (az adakothoz illetéktelenek nem férhetnek hozzá, azokat nem módosíthatják)

Az adatfeldolgozást indokolhatja:

az érintett hozzájárulása

ha az adatkezelés szerződés teljesítéséhez szükséges

az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ha ezzel szemben az érintett személy alapvető jogainak érvényesítése nem élvez elsőbbséget, különösen igaz ez a korlátozás gyermek esetén.

Visszatérve ezután a hozzájárulásra: az új rendelet tisztázza, hogy amennyiben ez az adatkezelés alapja, egyrészt a szükséges információ birtokában,másrészt kifejezetten, aktívan kell történnie. Amennyiben például egy kocka vagy kör bejelölésével jelezzük, a kocka vagy kör nem lehet előre bejelölve, vagy azzal, hogy egy szolgáltatást használok, implicite nem adok hozzájárulást.

A transzparencia, vagyis jogom a tájékoztatáshoz minden esetben fennáll, csak nagyon korlátozott kivételekkel nem kell tudnom adataim kezeléséről és annak módjáról. Megnyugtatandó azokat, akik szerint az adatvédelem a bűnözőket védi: a bűncselekmények felderítése és üldözése szerepel ezek között a kivételeo között, sőt, a bűnüldözés és szankcionálás területén egy másik irányelv szabályozza a személyes adatok kezelését - irányelv lévén, keretei között a tagállamok szabadon határozhatnak meg szabályokat.

Megfogalmazásában új az elfeledtetés joga (így fordították, nyelvtanilag precízen). Már régóta folynak viták arról, hogy helyes-e, hogy ami egyszer felkerült az internetre, örökre megtalálható lehet. Aztán egy spanyol úr megtámadta a Google-t - sikeresebben, mint don Quijote a szélmalmokat -, hogy távolítsa el a találatai közül egy régebbi ballépésének nyomát. Az ügy az Európai Bíróság elé került, amely az akkor hatályos adatvédelmi irányelv alapján is megalapozottnak találta az érvelést, hogy az információ idővel elvesztette jelentőségét. Így aztán az új európai adatvédelmi rendeletben is megjelent ez a jog. Tartalma azonban nem azonos - a Google ügyben csak a névre végzett keresések eredményei közül kellett eltávolítani az információt, az eredeti internetes közzététel érintetlen maradt. A rendelet azonban az információ eltávolítását írja elő - értelemszerűen a feltételek is szigorúbbak. Világos azonban, hogy az információt el kell távolítani, ha nem szükséges többé - ez csak egy kokrétabb megfogalmazása az elvnek, hogy csak a szükséges információt és csak a szükséges ideig szabad kezelni -, de lehetővé teszi egyrészt a hozzájárulás egyszerű visszavonását, különösen, ha valaki gyerekként kezdett egy információs társadalomi szolgáltatást igénybe venni, másrészt lehetővé teszi (amrégi szabályoknak megfelelően, hogy egy személy speciális körülményeire hivatkozva kérje személyes adatai eltávolítását (tehát hiába jogszerű általában az adatok megtartása, az adott személy adatait indokolt lehet eltávolítani).

Azokban az esetekben, ha az adatkezelés alapja az érintett beleegyezése vagy a vele kötött szerződés, kérhető, hogy az adatokat géppel olvasható formában rendelkezésére bocsássák, illetve egy másik adatkezelőnek átadják. Ennek jelentősége szolgáltatóváltáskor van, és kiterjedhet például az e-mail fiókban tárolt levelezésre vagy a mobiltelefonos híváslistákra is. Legalábbis erre utal a jelenlegi irányelv 29. cikke alapján a tagállamok adatvédelmi hatóságai által létrehozott munkacsoport (amely jövő májusban átalakul a jóval nagyobb hatáskörű Adatvédelmi Tanáccsá) által közzétett útmutatás, amly persze felveti, hogy ennek során a híváslistában vagy e-mailekben szereplő más személyek jogait is figyelembe kell venni. Hogy ez hogy fog működni, az a gyakorlatban fog kiderülni, az útmutatás önmagában nem bír joghatállyal, de ezért említettem, hogy a testület jogutódja több hatáskörrel fog bírni.

További jogokról és egyéb gyakorlati szempontokról a következő részekben lesz szó.

Az új európai "Általános Adatvédelmi Rendelet", 1. rész

Az új „Általános Adatvédelmi Rendelet” (AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) 2018 május 25-ével lép életbe. Meghozatalának oka többek között az volt, hogy 1995 óta, amikor az adatvédelmi irányelvet elfogadták, sok minden megváltozott a világban, az adatkezelés területén is. Emellett maga az, hogy nem irányelv, hanem rendelet született, azt jelenti, hogy minden tagállamban egységes szabályok érvényesülnek, az egyes parlamenteknek, kormányoknak csak azokban a kérdésekben van joguk külön szabályokat alkotni, amelyeken erre őket a rendelet felhatalmazza (ilyenek főleg a közhatalmi, igazgatási területeken vannak). AZ “EGT vonatkozású szöveg” kitétel pedig azt jelenti, hogy a teljes Európai Gazdasági Térségre érvényes, nem csak az EU tagállamaira. Svájcnak pedig saját érdeke, adatvédelmi szabályozását összhangba hozza az új rendelettel (és ezáltal megtartsa státusát, hogy az EU-ban élvezettel egyenértékű védelmet biztosít).

Mi ennek a jelentősége? Az, hogy a cégeknek vagy más szervezeteknek nem kell alkalmazkodniuk az egyes országokban eltérő szabályozásokhoz, hanem minden országban lényegében ugyanazoknak a szabályoknak kell megfelelniük.

Ebben és a következő posztokban a legfontosabb változásokat foglalom össze. Nem jogi precizitásra törekszem, sokszor egyszerűsítek, a főbb vonásokat vázolom, a rendelet a fenti linken megtalálható, mindenben annak a szövege az irányadó. Néhol mégis kénytelen vagyok a rendelet hivatalos magyar fordításának megfogalmazásait használni, amelyek nem feltétlenül felelnek meg a magyar köznyelvnek. Ez néhol érthető, hiszen olyan új fogalmakat vezet be a rendelet, amelyekre eddig nem volt magyar kifejezés. Ilyenek például a beépített és az alapértelmezett adatvédelem (privacy by design and by default), az elfeledtetéshez való jog (right to be forgotten), az adathordozhatósághoz való jog (right to data portability) vagy az „egységességi mechanizmus” (one stop shop). Az internetes felületeken négyzeteket kell bejelölni (a köznyelv kockának hívja, de az iskolából tudjuk, hogy ezeket szabatosan négyzeteknek kell hívni). Ugyanakkor az eddig hatályos adatvédelmi irányelvben is szereplő kifejezéseket meg kellett tartani. A személyes adatok gyűjtése, rögzítése, rendszerezése, tárolása, átalakítása vagy megváltoztatása, hozzáférhetővé tétele, stb. (a teljes lista a rendelet 4. cikkének 2. pontjában megtalálható) az adatkezelés, az ezért felelős szervezet az adatkezelő, a személyt, akinek adatait kezelik, érintettnek vagy érintett személynek, léteznek az adatok különleges kategóriái (amelyek érzékeny adatok) stb.

Az elvek nem változnak, egyes szabályok azonban szigorúbbak lesznek, másokat egyértelműsítettek. Fontos, hogy a szabályokat igazították a digitális korszak követelményeihez, de azok egyben kevésbé technológiaspecifikusak lettek, ezzel felkészülve a jövőbeni technológiai fejlődésre. Erre példa, hogy az adatkezeléshez a hozzájárulás megadásának módjai tükrözik az internet szokásait. A böngésző beállításai vagy más technikai beállítások például minősülhetnek a hozzájárulás megadásának.

A rendelet hatálya igencsak széles: mindenkire kiterjed, aki az EU-ban tartózkodó személyek adatait kezeli, kivéve a természetes személyek kizárólag személyes vagy otthoni tevékenységét. Felmerül természetesen a kérdés, hogy az interneten – pl. Facbookon – megadott adatok esetén tudni kell-e az adatkezelőnek, hogy kezeli-e európai illetőségűek adatait. Erre a rendelet tartalmaz utalást erre, a 23. preambulumbekezdésben, nem elegendő az, hogy a honlap vagy más elérhetőség hozzáférhető legyen az Unió területén, de ha egy vagy több tagállamban általánosan használatos nyelvet vagy pénznemet használ (amely nem általánosan használt saját országában), vagy utal az Unióban tartózkodó személyekre, az jelzi ezt a szándékot. Kivételt képeznek az uniós jog hatályán kívüli tevékenységek (ez nem az EU „hatásköreit” jelenti a közkeletű „oktatás, szociálpolitika nem uniós hatáskör” értelmében, annál szűkebb a korlátozás), valamint a közös kül- és biztonságpolitika, valamint a bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása. Ez utóbbi területen egy ugyanekkor elfogadott irányelv (amelyet a tagállamok saját törvényhozása ültet át nemzeti jogukba, és jogalkotási szabadságukat csak az korlátozza, hogy az nem lehet ellentétes az irányelvben meghatározottakkal) határozza meg a fő elveket és szabályokat.

A legfontosabb változás, hogy az új szabályok kevésbé az adminisztratív megfelelésre koncentrálnak, inkább a kockázat alapú megközelítést célozzák. Ezzel azonban az adatkezelők felelőssége is megnő. Az adatvédelmi hatósághoz (vagy biztoshoz – a rendelet „felügyeleti hatóságnak” nevezi) beküldött bejelentési kötelezettség helyett az adatkezelő köteles olyan nyilvántartást vezetni, amely dokumentálja, hogy az adatkezelés megfelel a rendeletnek. Eltűnik a különleges adatok kezelése esetén kötelező előzetes engedélyezés, az adatvédelmi hatósággal (biztossal) az adatkezelő „csak” konzultál. Az adatvédelmi hatásvizsgálat az első lépés. Ez tulajdonképpen egy kockázatelemzés, amely akkor kötelező, ha az adatkezelés valószínűsíthetően magas kockázattal jár. A konzultáció akkor kötelező, amennyiben a hatásvizsgálat eredménye visszaigazolja a magas kockázatot. A kockázati tényezőket ismét csak egy preambulumbekezdés sorolja fel, természetesen csak indikatív jelleggel. Ezekről az adatok különleges kategóriáinál lesz részletesebben szó, a folytatásban.

Említésre méltó a kiskorúak fokozottabb védelme is. Aki gyermekként (a korhatár 16 év; itt van a tagállamoknak joga ezt a korhatárt csökkenteni, de nem csökkenthetik 13 év alá) információs társadalommal összefüggő szolgáltatást (ilyenek lehetnek a szociális hálózatok, internetes kommunikációs szolgáltatások, a hivatalos definíció: „térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás”http://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1492283545138&uri=CELEX:31998L0048) akar igénybe venni, ahhoz szükséges a gyermek feletti szülői felügyeletet gyakorló személy hozzájárulása. Ha az érintett személy (ez a neve annak, akinek a személyes adatait kezelik, azt kéri, az adatkezelő köteles törölni az adatokat minden mástól függetlenül (az „elfeledetéshez való jog” vagy „törléshez való jog” is egy újdonság a rendeletben).

Fontos változások, amelyekről a következő részekben lehet majd részleteket találni:

Az említett elfeledtetéshez való jog, amelynek értelmében azokat az adatokat, amelyeknek megőrzésére a jogalap idővel megszűnik, nem szabad tovább megőrizni – és ezzel kapcsolatban az archiválási célú megőrzés szabályozása.

Az adatok hordozhatóságához való jog, amelynek alapján kérhetjük, hogy egy szolgáltatónak egyszer már megadott adatainkat a szolgáltató gépi feldolgozásra alkalmas módon (de csak olyan módon, amelyet rendszerei lehetővé tesznek, ezáltal elkerülve, hogy ez aránytalan terhet jelentsen neki) átadja egy másik szolgáltatónak, ha kérjük.

Az „egységességi mechanizmus”, amely megoldja, hogy ha egy másik országban működő adatkezelővel van problémánk, vagy egy probléma több országot érint, ne nekünk kelljen szaladgálni egyik ország adatvédelmi hatóságtól a másikig vagy akár megkeresni, hogy melyikük az illetékes. Ez egyben egyszerűsíti az adatkezelők dolgát is, hisz nekik is csak egy adatvédelmi hatósággal lesz dolguk, még ha több országban is vannak ügyfeleik.

Meghatározza a rendelet, hogy mikor kell egy adatkezelőnek adatvédelmi tisztviselőt (vagyis az adatvédelem felelősét) alkalmaznia, és mik ennek a tisztviselőnek a kötelezettségei, jogai, milyen követelményeknek kell megfelelnie.

Az adatvédelmi incidensek (adatok kiszivárgásának, meghekkelésének) bejelentési szabályai védik az érintetteket, ugyanakkor reális követelményeket határoznak meg az adatkezelők számára.

Egyértelműbbé válnak az adatkezeléshez adandó hozzájárulás módjai. Ugyanakkor érdemes szem előtt tartani, hogy az adatkezelés hozzájárulás nélkül is lehet jogszerű, ha az indokolt – a rendelet a jogszabályon alapuló adatkezelés mellett bevezeti a „jogos érdek” (legitimate interest) fogalmát, amely lefedheti a vállalatok üzleti érdekeltségét. Viszont a fentemlített „elfeledtetéshez való jog”, tehát az a jog, amikor az érintett kérheti adatainak törlését, szélesebb abban az esetben, ha az adatkezelés nem jogszabályon alapszik.

A jogtalan adatkezelés szankciói között megjelennek a (jelentős mértékű) pénzbeli bírságok.

Említettem az adatok különleges kategóriáit (érzékeny adatokat, mint a vallásra, politikai nézetekre, egészségügyi állapotra, szexuális orientációra vonatkozó adatok). Ezek kiegészülnek a genetikai és biometrikus adatokkal, követve a technika fejlődését. Külön korlátok vonatkoznak az automatikusan hozott döntésekre, és az úgynevezett profilírozásra.

Végül pontosodnak az EU-val egyenértékű adatvédelmet nem biztosító országokba történő adattovábbítás feltételei. Az USA speciális helyzetéről az előző posztban már szó volt, a részletek a következő posztokban következnek.

Folyt. köv.

Mi a helyzet az USÁ-val?

Az Európai Parlament határozatot fogadott el, amelyben aggodalmát fejezi ki, mert az USÁ-ban gyengítik (aláássák, írják ők) az adatvédelmi biztosítékokat amelyeket a "Privacy Shield" biztosít, az EU és az USA közötti megállapodás, melynek célja, hogy az EU elismerje, hogy az USÁ-ban az európaival egyenértékű védelmet élveznek az uniós polgárok személyes adatai.

Ebben utalnak arra, hogy nemrég nyilvánosságra került, hogy 2015-ben is titkos megfigyelést végzett az NSA és az FBI számára az egyik amerikai távközlési szolgáltató, valamint felidéznek egy pár rendelkezést, amelyek gyengítik a személyes adatok védelmét. Emellett kifogásolják, hogy a Privacy and Civil Liberties Oversight Board létszáma a határozatképtelenségi határ alá csökkent - ennek a testületnek a feladata az adatkezelések felügyelete - és a Privacy Shield közvetlen felügyeletét ellátó Federal Trade Commission (az adatvédelmi együttműködés, miután amerikai vállalatok kereskedelmi érdekeit érinti, mindig is a Kereskedelmi Minisztérium alá tartozott -, nem nevezték ki a jogok új biztosát és hiányoznak a garanciák, hogy az európai polgárok az USÁ-ban hatékony jogvédelemben részesüljenek ezen a területen.

Miről szól (mondanánk pestiesen) mindez?

Az Európai Bizottság joga, hogy határozattal megállapítsa, ha egy, az Európai Gazdasági Térségen kívüli országban a személyes adatok védelme egyenértékű (nem azonos) az EU által biztosítottal. Az Egyesült Államokkal egy önminősítési rendszeren alapuló megállapodás, a "Safe Harbour" egyezmény biztosította, hogy azon vállalkozások esetén, amelyek megfeleltek az önminősítés követelményeinek és ezt bejelentették a Federal Trade Commission-nál, ezt elismerte és így ezeknek a vállalatoknak ugyanúgy lehetett személyes adatokat átadni, mint más EU-beli vállalatoknak (így például informatikai szolgáltatást végezhettek).

Egy Maximilian Schrems nevű osztrák joghallgató bepanaszolta a Facebook Írországot (a Fb európai központját) az ír adatvédelmi biztosnál, hogy adatait jogtalanul adja át az Egyesült Államokban székelő anyavállalatának.. Részletek mellőzésével: az ügy az Európai Bíróságnál landolt, amely érvénytelenítette ezt. Az indok főleg az volt, hogy a Snowden-féle leleplezések megmutatták, hogy az amerikai kormányzat tömegesen és differenciálatlanul hozzáfér az amerikai cégeknél tárolt személyes adatokhoz, valamint hogy nem áll az európai polgárok rendelkezésére megfelelő jogorvoslati lehetőség arra az esetre, ha megsértik személyes adataikhoz fűződő jogaikat.

Ezt volt hivatva kiküszöbölni az említett "Privacy Shield". Ez még nem állta ki a bíróság próbáját, de jelenleg érvényben van.

A Facebook azonban más utat választott: az EU által elfogadott "Modellszerződés" alapján adja most át az adatokat. M. Schrems ezt is megtámadta.

Amíg bíróság nem érvényteleníti mindkét megoldás jogilag megalapozott. Majd lesz egy poszt általában is az EGT-n kívülre történő adattovábbításról, most maradjunk az USÁ-nál. Mi itt a kockázat?

Nos, a vállalati megoldások problémája az, hogy nem védenek az állami beavatkozás ellen. A "P.A.T.R.I.O.T." act (angolul egyrészt hazafit jelent, másrészt a törvény részletes megnevezésének rövidítése) ugyanis kötelezővé teszi minden vállalat számára, amely a hatálya alá tartozik, hogy személyes adatokat adjon át, ha az amerikai hatóságok a terrorizmus elleni harc érdekében szükségesnek tartják. A törvény hatálya alá pedig azok az Amerikán kívüli vállalatok is odatartoznak, amelyek jelentős tevékenységet folytatnak az USÁ-ban, és "természetesen" elvileg idetartoznak az amerikai cégek európai leányvállalatai is.

Legújabban az okozott némi felzúdulást, hogy Trump aláírt egy elnöki rendeletet, amely szerint senki nem tagfadhatja meg adatok kiadását, ha nemzetbiztonsági szempontból szükséges. Van azonban a rendeletben egy félmondat: "a hatályos jogszabályok keretei között". Ebbe beleértendő a "Privacy shield"-et életbe léptető rendelet is. Ezt Az USA külön megerősítette az Európai Bizottságnak.

A "Privacy Shield" szerepe, hogy az európai polgárok számára védelmet, illetve jogorvoslati lehetőséget biztosítson. A Trump által nemrég hozott rendelet, amelyben ismét előírta, hogy adatvédelmi megfontolások nem állhatnak az állambiztonsági okból kért adatok kiszolgáltatásának útjába, tartalmaz egy kitételt: "a hatályos jogszabályok betartásával". A "Privacy Shield" keretében elfogadott jogszabályok is ide tartoznak, tehát jogilag minden rendben van. De hogy a bíróságok hogy fogják ezt megítélni, az kérdéses.

És bizonyos esetekben ez amerikai bíróságokra fog hárulni. Két ügy van folyamatban, mindkettő az amerikai biztonsági szolgálatoknak az amerikai cégek európai leányvállalatai által Európában tárolt adatokra vonatkozik, A Microsoftnak sikerült nyernie: nem köteles kiadni az adatokat. A Google egy másik bíróságon vesztett. Kis különbség, hogy a Google nem állította határozottan, hogy az adatok kizárólag Európában vannak tárolva, ő azt állította, hogy nem tudja, hogy vannak-e adatok az USÁ-ban. A különbség számottevő, de nem döntő. Mindkét ügy megy feljebb, és valószínűleg az USA Legfelsőbb Bíróságán fog kikötni.

Ott valószínűleg azután tárgyalják, hogy Trump kinevezte az új elnököt és saját jelöltjét állítja az elhúnyt Scalia helyére. Az eredmény legalábbis kétséges mind az USA, mind az Európai Bíróság ismét visszaküldhet minket a start mezőre.

 

 

 

 

süti beállítások módosítása