Lépést tud-e tartani az adatvédelem a globalizációval? Az Európai Unió új adatvédelmi rendelete

Az adatvédelmi irányelvet a tervezettek szerint közvetlenül alkalmazandó rendelet váltja fel. A hatályos irányelv közel 20 éves, immár elavult a modernizáció, globalizáció előrehaladtával. Éles viták bontakoztak ki a szöveg megfogalmazása körül, a tárgyalások húzódnak. A kihirdetés a tervezettek szerint 2014 –ben már várható.

Az új rendelet kiterjesztené az adatkezelők illetékességét, egyablakos rendszert vezetne be, csökkentené az adminisztrációs terheket, de növelné az adatkezelők felelősségét. Növelné az érintettek jogait. Legfenyegetőbb tényezőként szigorú bírságolásra is feljogosítaná a nemzeti hatóságokat.

adatvedelem

A személyes adatok védelme – miért olyan fontos?

Bár sokan úgy gondolják, ez a téma kezelhetetlen, mégis érdemes egy pillantást vetni a kérdésre. A 21. század elején a technológiai fejlődés, a gazdasági, hivatalos vagy akár személyes interakciók megsokszorozódása következtében az adatforgalom mind nagyobb méreteket ölt akár nemzeten belüli, akár nemzetközi kapcsolatokról legyen szó. A társadalomban való részvétel megköveteli az egyéntől, hogy információkat bocsásson rendelkezésre magáról, és másokról. A vállalatoknak, a gazdaság szereplőinek, csakúgy, mint az állami intézményeknek elemi fontosságú, hogy megfelelő mennyiségű információval rendelkezzenek az eredményes működés érdekében. Az adatokat rendelkezésre bocsátókat és az azt felhasználókat a kölcsönös uralom és kiszolgáltatottság jellemzi egymás irányában. Ellentmondás e tekintetben, hogy míg a személyes adatok „féltése” a mindennapi közbeszéd tárgya, kevesen ismerik valójában az adatvédelmi jogból fakadó jogaikat és kötelezettségeiket. Az itt leírtakkal párhuzamosan azok a hangok is felerősödnek, amelyek az adatvédelmi szabályozás elérni kívánt céljaira való alkalmatlanságára, kikényszeríthetetlenségére igyekeznek ráirányítani a figyelmet, sőt egyesek kifejezett diszfunkcionalitását hirdetik a gazdasági tevékenységek területén. [Bergkamp].

Mi az adatvédelem – háttér

Az adatvédelem esetében a védelem tárgya –a személyes adat- olyan információ, amelynek puszta nyilvánosságra kerülése önmagában nem sérti az egyén jogait vagy érdekeit. Az önmagukban semleges tények az információs technológiák megjelenése és fejlődése miatt képviselnek az egyén magánszférájára veszélyt, mert „feldolgozásuk, egyeztetésük, társításuk, a felhasználásukkal új adatok előállítása nyomán a magánszféra sérülhet.” [Jóri. Adatvédelmi kézikönyv.] Ez indokolja olyan szabályozás megalkotását, amely a személlyel összefüggésbe hozható bármely adatra, jellegétől függetlenül kiterjed, és szabályokat állapít meg azok gyűjtésére, továbbítására, terjesztésére, felhasználásra, továbbá biztosítja az egyénnek a jogot, hogy ezen adatok sorsáról meghatározott korlátok között maga döntsön.

Az eddigi szabályozás

A személyes adatok védelméhez való jog az Unióban elismert alapjogi minőséget nyert. A hatályos európai szabályozás központi eleme a 95/46/EK irányelv, mely az adatvédelemre vonatkozó általános szabályokat állapítja meg, és amelynek- a későbbiekben részletesebben tárgyalt- hatálya csak az Unió volt első pillérére terjed ki. Az irányelv célja, hogy egyensúlyt teremtsen az adatok és információk tagállamok közti szabad áramlásának követelménye és az alapvető jogként elismert személyes adatok védelméhez való jog között.

A reform – Miért jelentős az új rendelet bevezetése?

A Bizottság 2009-ben indította útjára az adatvédelem átfogó reformját érintő programját, és a végleges szöveget 2012-ben fogadta el. Álláspontja szerint a közel húsz éves szabályozás már nem állja meg a helyét a globalizálódó, online környezetben. Új szabályok kellenek a közösségi hálózatok, a cloud-computing világában. A Bizottság célja a modernizáció, az egyéni jogok erősítése, az adminisztratív terhek csökkentése, illetve világos, koherens szabályrendszer megalkotása, valamint, hogy hatékonyabb védelemben részesítse az internet világában a magánélethez való jogot, és fellendítse Európa digitális gazdaságát. Mindez úgy érhető el, hogy a nagyobb bizalommal rendelkező online felhasználó több személyes adatot ad ki, jobban bízik az online szolgáltatásokban, így fejlődik az elektronikus szolgáltatások rendszere is. Az irányelv, mint jogi eszköz jellege miatt a tagállami szabályalkotás és a végrehajtás következetlen volt, amely jelentős jogbizonytalanságokhoz vezetett, valamint számos adminisztratív teherrel járt.

A Bizottság ezért úgy találta, hogy a személyes adatok védelme keretének meghatározására a rendelet a legmegfelelőbb eszköz.

Az út a tanácsi szövegig

A jelenlegi javaslattervezet két évig tartó alkufolyamat eredménye, mely nem volt mentes a különböző, gyökeresen eltérő álláspontok ütközésétől, amely a reformot hátráltatta. Az Európai Parlament 2014 márciusában fogadta el saját szövegtervezetét, amely mintegy négyezer módosítást tartalmaz a bizottsági javaslathoz képest.

A Tanács szövege sok esetben szűkíti, illetve egyszerűsíti, máshol tovább részletezi, pontosítja a bizottsági javaslatot. További jellemzője, hogy következetesebben tesz különbséget adatkezelő és adatfeldolgozó között.

A tanácsi szöveg további jellemzője, hogy szűkíti a Bizottság hatáskörét azzal, hogy ritkábban enged lehetőséget a Bizottság számára végrehajtási aktusok elfogadására.

A jogalkotási folyamatot azonban lassítja, hogy az érintettek továbbra sem tudtak megegyezni egyes részletszabályokon. A jogalkotás végső lépése az Európai Tanács végső szövegtervezetének kiadása. A rendelet elfogadásának céldátuma 2014. [Domokos-Petrányi].

Milyen változásokat hoz az új rendelet?

Először is fontos a legalapvetőbb fogalmak tisztázása. Adatkezelő az, aki meghatározza a személyes adatok feldolgozásának célját, feltételeit és módját. Adatkezelés az adatokon végzett bármely művelet. Ezzel szemben adatfeldolgozó az, aki személyes adatokat- elsősorban technikai módszerrel- dolgoz fel az adatkezelővel kötött szerződés alapján.

És itt elérkeztünk a legérdekesebb ponthoz. Ki az, akinek az adatait kezelik, feldolgozzák? Ő az  „érintett”: azonosított vagy közvetlen, vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen bizonyos, a hétköznapokban való létezés közben ott hagyott adatok alapján– azonosítható természetes személy.

Egyetlen, közvetlenül alkalmazandó jogszabály

A jelenlegi irányelv csak közvetett hatállyal bír, a tagállamok jogköre annak implementációja. Az új rendelet azonban közvetlenül alkalmazandó lenne, és felváltaná a tagállami szabályokat.

Kiterjesztett hatály

A továbbiakban a rendeletet kell alkalmazni a nem Unióban letelepedett adatkezelő által végzett, az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozására, ha a feldolgozási tevékenységek  termékek, szolgáltatások ilyen érintettek számra történő nyújtásához vagy viselkedésük nyomon követéséhez kapcsolódnak.

Egyablakos rendszer

A legtöbb vitát az egyablakos rendszer váltotta ki (one-stop-shop), amely azt jelenti, hogy az adatkezelő csak egy állam adatvédelmi hatóságának mint főhatóságnak a felügyelete alatt áll, szemben a korábbi szabályozással, amikor a hatóságok csak saját államuk területén voltak illetékesek. Az így kijelölt felügyelő hatóság látja el a rendelet által ráruházott feladatokat, amely lehet például az adatfeldolgozás tilalmának elrendelése, vagy az adattovábbítás megtiltása harmadik államok felé. De mi a helyzet az érintett oldalán? Minden érintett hatóságnak be kell fogadnia az összes érintett panaszt és ki kell vizsgálni az ügyet.

Csökkentett adminisztratív terhek

Jelenleg minden adatkezelést be kell jelenteni az illetékes hatósághoz-egyes kivételekkel. Ezt a Bizottság túlzottnak ítélte, és az eltörlését javasolja, és a továbbiakban a veszélyeztető feldolgozási műveletekre kell összpontosítani. Az azonosítás garanciája az adatkezelő hatásvizsgálata.

Nagyobb adatkezelői felelősség és elszámoltathatóság

Az adatkezelő biztosítja a megfelelő szervezési és technikai intézkedéseket, további a rendelet által előírt kötelezettségeket, mint például dokumentáció, adatbiztonsági követelmények. A Tanács szövege a kötelezettségeket tovább pontosítja.

Adatvédelmi jogsértések bejelentési kötelezettsége

Mi történik, ha személyes adatainkat megsértik, de erről nekünk nincs tudomásunk? Az adatvédelmi rendelet előírja, hogy adatvédelmi jogsértés esetén az adatkezelő késedelem nélkül értesíti a felügyelő hatóságot, valamint a feldolgozó azonnal értesíti az adatkezelőt.

Ezt követően az adatkezelőnek az érintettet is értesíteni kell, amennyiben a jogsértés hátrányosan érinti a személyes adatok vagy a magánélet végelmét.

Az érintettek jogainak megerősítése (hozzájárulás, a felejtéshez való jog, nagyobb kontroll a személyes adatok felett, adathordozhatóság)

  • Hozzájárulás: Az adatkezelés egyik legbiztosabb jogalapja az érintett hozzájárulása.  A rendelet szerint ennek kifejezettnek kell lennie, mind papír alapú, mind online környezetben. A korábbi gyakorlat megengedte a hallgatólagos hozzájárulást is. A tagállamok jelenleg különféleképpen értelmezik a hozzájárulás fogalmát, amely a kifejezett írásbeli nyilatkozattól a hallgatólagos hozzájárulásig terjedhet. [Comparative Study]
  • Felejtéshez való jog: az érintetteknek joguk lesz az online kockázatok csökkentésére. Az érintettnek bizonyos feltételek mellett megvan a rá vonatkozó személyes adatok törléséhez való joga. Online környezetben az adatokat nyilvánosságra hozó adatkezelőnek tájékoztatnia kell az ilyen adatokat nyilvánosságra hozó harmadik feleket az érintett törlési kérelméről, beleértve azok másolatait is. Az adatkezelőnek minden ésszerű lépést kell tenni, valamint felel akkor, ha a nyilvánosságra hozatalt ő engedélyezte.
  • Adathordozhatóság: A személyes adatok strukturált és széles körben használt formátumban történő elektronikus feldolgozása esetén az érintettnek joga van arra, hogy kérje az adatkezelőtől a feldolgozás alatt álló adatok széles körben használt elektronikus és strukturált formátumú másolatát, amely lehetővé teszi az érintett általi további használatot, továbbá meghatározott esetekben az érintett jogosult arra, hogy ezeket a személyes adatokat és az érintett által rendelkezésre bocsátott, automatizált feldolgozó rendszerben tárolt bármely egyéb információt széles körbenhasznált elektronikus formátumban egy másik rendszerbe továbbítsa.

 adatvedelem2

Profilozás

A profilozás a személyről már tudott, automatizáltan tárolt információk alapján új információk levonása. Miért fontos ez? A gazdasági életben elsősorban a célzott reklámok kiküldése terén van jelentősége, vagy veszélyesen alkalmazható a munkahelyi teljesítményértékelés terén is. Az új rendelet szerint mindenkinek joga van, hogy ne legyen ilyen profilozás tárgya. A tanácsi szövegezés ennél szigorúbb szabályokat állapít meg.

Adattovábbítás

A személyes adatok külföldre továbbítása az adatkezelés egy speciális esetét alkotja. Képzeljük el, hogy Magyarországon dolgozunk, de cégcsoportunk Kanadán keresztül továbbít adatokat az Egyesült Államokba, aki végül távol-keleti adatfeldolgozót bíz meg a feldolgozással! Biztonságban érezzük magunkat? Valószínűleg bele sem gondolunk. Pedig vállalati oldalról költséghatékony és célravezető.

Az új rendelet szerint az EU-n belül szabad az adattovábbítás. Harmadik államok felé a Bizottság határozata szükséges a megfelelő védelmi szint biztosításáról, vagy annak hiányáról. Ennek hiányában a cégek számára továbbra is rendelkezésre áll a védelmi szint biztosítása. Ezek lehetnek a Kötelező Erejű Vállalati Szabályok. (BCR- Binding Corporate Rules) A BCR-eket jellemzően a multinacionális cégek alakítják ki és alkalmazzák a vállalat különböző országokban elhelyezkedő egységei közötti adatáramlás szabályozására.

Az Európai Unió harmadik államokkal szembeni adattovábbítási szabályait számos kritika érte. Legfőbb ellenvetés, hogy a koncepció abból a feltevésből indul ki, hogy a nemzetközi adatforgalom mindig pontos és előre meghatározható útvonalat követ. Ez két okból is megcáfolható. Egyrészt a csomagkapcsolt adattovábbítási mód lényege éppen abban rejlik, hogy egyes elemei mindig a leghatékonyabb úton keresztül jutnak el a célállomáshoz, így az adat előre nem megjósolható utat tesz meg. Másfelől- és a hétköznapokban inkább ez érzékelhető egy átlagos felhasználó számára- legjellemzőbben az internet esetében egy üzenet küldőjének, vagy egy weboldal üzemeltetőjének nincsen valós kontrollja afelett, hogy annak tartalmát a világ mely pontján töltik le. [Walden] A Bizottság problémaként azonosítja megfelelő védelmi szint egységes kritériumainak hiányát. Ezeket a tagállamok, de akár maga az adatkezelő is megállapíthatja. Ez eltérő értékelésekhez, gyakorlathoz vezethet. Sajnálatos az is, hogy az általános szerződési feltételeket a hatóságok egyáltalán nem alkalmazhatják, annak lehetősége csak a magánszektor számára áll nyitva. [Walden]

Fenti lehetőségek mellett az „Európai Adatvédelmi Pecséttel” rendelkező cégek számára szabadon lehetne adatot továbbítani. [Domokos-Petrányi]

Súlyos szankciók!

A legújabb, tanácsi szövegezés szerint a tagállami bírság akár 1 millió euró, vagy az éves világszintű árbevétel 5%-a is lehet. Ez persze a jogsértés legsúlyosabb  foka esetén alkalmazandó. Ezen kívül természetesen nem kell megrettennünk, a kezdeti lépések az írásbeli figyelmeztetés, a rendszeres felülvizsgálat bevezetése. Továbbá a bírságolás során figyelembe kell vennie a nemzeti hatóságnak a Rendeletben meghatározott elveket, csak úgy, mint a jogsértés természetét, súlyát, az együttműködést a felügyeleti hatósággal.

Magáncélú felhasználás

A magáncélú adatkezelés, mint kivétel az irányelv- és a továbbiakban a rendelet- hatálya alól az internetes közösségi oldalak, ismeretségi hálózatok megjelenésével, és különböző magáncélú weboldalak tömeges létrehozásával vált problémássá.

A szabályozás figyelme ebben a körben elsősorban a tárhely- és alkalmazásszolgáltatók oldalán próbálta kezelni a felelősségi kérdéseket, és a felhasználók által feltöltött adatok általuk történő másodlagos felhasználása állt a középpontban, míg a felhasználók adatkezelési tevékenységét a pusztán magáncélú felhasználás körébe tartozónak tekintették. Szemléletmódbeli változást jelent annak elismerése, hogy a szóban forgó web2.0-es szolgáltatások felhasználásának van egy köre, amely túllép a kizárólagos személyes vagy háztartási célú felhasználáson. A probléma abban rejtett, hogy nem volt kellően részletezett a magánszemély fogalma. Például magáncélú  a megosztás a szakmai kollégák csoportja mint barátok között?

Privacy ikonok- ábrákkal az adatvédelem érdekében?

A Rendelet által bevezetendő újdonságok közé tartozik, hogy az adatvédelmi tájékoztatók mellé adatvédelmi ikonokat kell mellékelni, így segítve a sokszor bonyolult szabályok alapelemeinek gyors megértését.

adatvedelem3

A rendeletet ért kritikák

A bizottsági és a parlamenti álláspontok a gyakorlatban megvalósíthatatlanok. A parlamenti szöveg nem változtatott a bizottsági állásponton. A Parlament által elfogadott javaslat nélkülözi a kiegyensúlyozott és időtálló szabályozást a személyes adatok védelme és az európai gazdaság innovációra és növekedésre való képessége között. – hangzik egy, a gazdasági szervezeteket tömörítő szervezet véleménye.

*

Források:

A Európai Tanács és a Parlament rendelete  a személyes adatok feldolgozása vonatkozásában az egyének védelméről  és az ilyen adatok szabad áramlásáról 8általános adatvédelmi rendelet. Brüsszel, 2012. 01. 25. COM(2012) 11 final

Az Európai Parlament 2014. március 12-i jogalkotási állásfoglalása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Rendes jogalkotási eljárás: első olvasat)

The Privacy Fallacy: Adverse effect of Europe’s Data Protection Policy in an Information Driven Economy . Professor Lucas Bergkamp, Hunton & Williams, Brussels

Jóri András: Adatvédelmi kézikönyv. Osiris Kiadó. Budapest. 2005.

COMPARATIVE STUDY ON DIFFERENT APPROACHES TO NEW PRIVACY CHALLENGES, IN PARTICULAR IN THE LIGHT OF TECHNOLOGICAL DEVELOPMENTSEUROPEAN COMMISSION DIRECTORATE-GENERAL JUSTICE, FREEDOM AND SECURITY.  20 January 2010. http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_country_report_A3_france.pdf

Walden, Ian: Telecommunications Law and Regulation. Oxford university Press, 2009.

Dr. Domokos Márton. Dr. Petrányi Dóra, CMS: 2014 az Unió adatvédelmi reformjának új céldátuma. Origo. 2014. 02. 12.

C-101/01 sz. ügy. A Bíróság november 6.-i ítélete: 2003. Bodil Lindqvist elleni büntetőeljárás. Európai Bírósági Határozatok Tára 2003 oldal I-12971

Képek forrása: http://blog.vint.sogeti.com/wp-content/uploads/2012/12/1.png
http://www.video-interju.hu/adatvedelem/
http://static.origos.hu/s/img/i/1101/20110127adatvedel6.jpg

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.