Az Európai Unió adatvédelmi szabályainak reformja már évek óta napirenden van. Ugyanakkor az új rendelkezések véglegesítése a korábban tervezetthez képest jóval több időt vesz igénybe, mint amelyre kezdetekben számítani lehetett. Az alábbiakban vetünk egy pillantást arra, hogy hogy áll most a folyamat, amelynek végén a jelenlegi 95/46/EK adatvédelmi irányelvet egy, a tagállamokban immáron közvetlenül alkalmazandó rendelet váltaná fel, a korábbinál jóval magasabb szintre emelve az adatvédelmi szabályok harmonizációját.
A reform és indokai
Az Európai Bizottság az adatvédelem átfogó reformját érintő programjának végleges szövegét 2012-ben terjesztette elő. A jogalkotási csomag két eleme az adatvédelem általános keretét meghatározó rendelet és a bűncselekmények megelőzése, felderítése, kivizsgálása vagy üldözése és ehhez kapcsolódó igazságügyi tevékenységek céljából feldolgozott személyes adatok védelméről szóló irányelv.
A személyes adatok védelmét érintő reform egyik indoka a modernizáció, mivel a közel húsz éves szabályozás már nem hatékony a globalizálódó, internetalapú környezetben, új szabályok kellenek a közösségi hálózatok, a felhő alapú szolgáltatások világában. A Bizottság további céljai között fogalmazta meg az egyéni jogok erősítését, az internet világában a magánélethez való jog hatékonyabb védelemben részesítését, ezáltal Európa digitális gazdaságának fellendítését. Utóbbi cél úgy érhető el, hogy a nagyobb bizalommal rendelkező online felhasználó több személyes adatot ad ki, jobban megbízik az online szolgáltatásokban, így fejlődik az elektronikus szolgáltatások rendszere is. A reform másik fontos oka, hogy az irányelv mint jogi eszköz jellege miatt nem alkalmas az egységes szabályozásra, mert a tagállami átültetés és az átültetett szabályok végrehajtása ma sokszor következetlen, ami jelentős jogbizonytalansághoz vezet, valamint számos adminisztratív teherrel jár. A Bizottság ezért úgy találta, hogy a személyes adatok védelmének érdekében elengedhetetlen egy világos, koherens szabályrendszer megalkotása, amelyre a rendelet a legmegfelelőbb eszköz. A Bizottság szerint az egységes szabályozás következtében az adminisztratív terhek is csökkennek.
Egységes szabályok minden tagállamban és extraterritoriális hatály
Az egyik legfontosabb változás, hogy a jelenlegi, közvetett hatállyal bíró irányelvet egyetlen, közvetlenül alkalmazandó rendelet váltja majd fel, amely révén szükségtelenné válnak az egyes tagállamok, személyes adatokat érintő jogszabályai. A rendelettervezet továbbá kiterjeszti az uniós jog alkalmazásának hatályát. Eddig az uniós adatvédelmi szabályok alkalmazására akkor került sor, ha az adatkezelő egy tagállam területén végzett adatkezelést vagy adatfeldolgozást. A továbbiakban a rendeletet kellene alkalmazni az európai uniós adatalanyok adatainak kezelésére vagy feldolgozására is, ha az ilyen tevékenység termékeknek vagy szolgáltatásoknak ilyen adatalanyoknak történő nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódik, tekintet nélkül az adatkezelés helyére, illetve az adatkezelő letelepedési helyére.
Egyablakos rendszer
A reformtervezet leginkább vitatott kérdése az egyablakos rendszer (“one-stop-shop”), amely azt jelenti, hogy az adatkezelő csak egy állam adatvédelmi hatóságának mint főhatóságnak a felügyelete alatt áll (az adatalanyok oldalán továbbra is fennáll majd annak lehetősége, hogy a panaszokat a saját tagállamának hatóságánál nyújtsák be). A rendelettervezet eltörölné a jelenleg általános adatkezelési listát vezető adatvédelmi nyilvántartásokat. Az EU számos tagállamában, így Magyarországon is, a jelenlegi szabályok alapján az egyes adatkezeléseket be kell jelenteni az illetékes adatvédelmi hatósághoz nyilvántartásba vétel céljából, igaz, voltak kivételek is az adminisztratív bejelentési kötelezettség alól. A rendelettervezet által előrevetített szabályozási környezetben ugyanakkor már nem lesz általános bejelentési kötelezettség. Az adatkezelőknek a jelentősebb kockázatot jelentő adatkezelési és feldolgozási műveletekre kell összpontosítani, és ennek keretében hatásvizsgálatot, azaz előzetes felmérést kell végezni arról, hogy egy-egy döntés, intézkedés, gyakorlat milyen adatkezelési kockázatokat rejt magában.
Álnevek és anonim adatok
A rendelettervezet finomítja a személyes adat fogalmát, bevezetve az álnevesített és az anonim adat fordulatot. Az anonim adat olyan személyes adat, amely önállóan, más információ felhasználása nélkül nem köthető egyetlen adatalanyhoz sem.
Erősödnek az érintettek jogai
A rendelettervezet megerősíti az adatalanyok jogait. A rendelettervezet szerint az adatkezeléshez való hozzájárulásnak kifejezettnek kell lennie, mind papír alapú, mind online környezetben. Korábban egyes tagállamok gyakorlatában előfordult a hallgatólagos hozzájárulás jogszerűsége is, mivel az irányelv az “egyértelmű” szót alkalmazta a “kifejezett” fordulat helyett.
Felejtéshez való jog
A rendelettervezet új, adatalanyokat érintő jogintézménye a manapság nagy nyilvánosságot kapott “felejtéshez való jog”. Jelenleg az adatalanyoknak az eset körülményeitől függően jogukban áll, hogy a rájuk vonatkozó, jogellenesen kezelt adatok törlését kérjék. Ez a jog annyiban szélesedik, hogy a rendelettervezet szerint az adatot nemcsak törölni kell, hanem az adatot hozzáférhetővé tevő adatkezelőnek minden ésszerű lépést meg kell tennie annak érdekében, hogy az adatot az ahhoz hozzáférő harmadik felek is töröljék.
Adathordozhatóság
Az adatvédelmi rendelettervezet biztosítja az adathordozhatóság jogát, amely azt jelenti, hogy adatok strukturáltan és széles körben használt formátumban történő elektronikus feldolgozása esetén az adatalanynak joga van arra, hogy ezen adatok másolatát lekérje és meghatározott esetben ezeket egy másik rendszerbe továbbítsa.
Személyes adatok megsértése
Személyes adatok megsértése esetén a jövőben azt késedelem nélkül, de ahol lehetséges, 72 órán belül be kell jelenteni az adatvédelmi hatóság részére. Ellenkező esetben a késedelem okát meg kell indokolni. Az adatalanyt akkor nem kell értesíteni személyes adatai megsértéséről, ha az adatkezelő igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták az adatok megsértésével érintett adatokra, így például az adatokat olvashatatlanná tették.
Privacy by design – beépített adatvédelem, azaz adatvédelem a tervezéstől
A rendelettervezet fontos eleme a “privacy by design” mint alapelv érvényesítése, azaz az adatvédelmi biztosítékokat már a termékek, a szolgáltatások és a működési struktúrák kialakításának kezdeti fázisában be kell építeni, és az adatvédelmet támogató beállításokat kell alapbeállításként alkalmazni.
Komoly szankciók
A rendelettervezet – legalábbis a magyar szabályozáshoz képest – súlyosan szigorítja a kiszabható szankciókat. A legújabb szövegezés szerint adatvédelmi jogsértés esetén a bírság akár 1 millió euró, vagy a világszintű éves árbevétel 5%-a is lehet. A bírság összege természetesen függ a jogsértés súlyától, és egyedi mérlegelés tárgya.
Szövegtervezetek sokasága
A rendelettervezet elfogadásának folyamata eddig nem volt igazán zökkenőmentes. Az elfogadás eredeti céldátuma 2014 volt, jelen állás szerint azonban ez a dátum 2015-re módosult, 2017-es hatályba lépéssel. Jelenleg a jogkereső közönségnek három szövegtervezetre is figyelemmel kell lennie, ha fel kíván készülni a jövőben érvényesülő adatvédelmi szabályoknak való megfelelésre. A Bizottság 2012-ben benyújtott javaslatához az Európai Parlament módosítások sokaságát fűzte, majd a 2014. március 12-én elfogadott parlamenti szöveg az Európai Tanács elé került. A Tanácsban a tárgyalásokat a különböző tagállami álláspontok ütközése nehezítette, valamint a reform előre haladását az időközben lezajlott európai parlamenti választások, illetve a Bizottság megújítása is hátráltatta. A közelmúltban a Tanács a tervezet több pontját érintően a korábbi szövegektől eltérő “részleges általános megközelítéseket” fogadott el, amelyek a Tanács politikai megállapodásai. A Tanács ugyanakkor azt is leszögezte, hogy “mindaddig nincs semmiről megállapodás, amíg mindenről megállapodás nem született”, azaz ezek a szövegrészek is módosulhatnak mindaddig, amíg a rendelettervezetet a maga teljes egészében nem fogadja el a testület. A Tanács ilyen megállapodást fogadott el ez idáig a területi hatály, a személyes adatok külföldre továbbítása, valamint a személyes adatok megsértése esetén követendő eljárás vonatkozásában.
Az új rendelettervezet hatása a hírközlési szektorra
Jelenleg a személyes adatok megsértésére vonatkozó, a telekommunikációs szektorban alkalmazandó eljárást a 611/2013/EU bizottsági rendelet szabályozza. Ma még nem tisztázott, hogy az általános adatvédelmi rendeletnek azonos tárgykört érintő rendelkezései miként hozhatóak összhangba a nevezett rendelettel, mivel mindkét jogszabály megállapít követendő szabályokat a személyes adatok megsértése esetére.
dr. Halász Bálint és dr. Rajnai Anna Éva
balint.halasz@twobirds.com, anna.rajnai@twobirds.com
Tel.: +36 1 799 2000
Categories: Adatvédelem
