Óra, csokoládé, adatvédelem – az új svájci adatvédelmi szabályozásról röviden

Öt év után kijelenthető, hogy az Európai Unió általános adatvédelmi szabályozása nemcsak az USA egyes szövetségi államaira, hanem Svájcra is hatással volt. Számos esetben alkalmazták az általános adatvédelmi rendeletet az alpesi országban, talán ennek hatására 2020-ban korszerűbb szövetségi törvényt fogadott el a jogalkotó. Jelen cikkben röviden bemutatnám az új jogszabály azonosságait és különbségeit a 2016/679 számú európai uniós rendelethez képest.

Extraterritoriális hatálya miatt az Európai Unió adatvédelmi rendeletét (a továbbiakban: GDPR) tagállami polgárok személyes adatainak kezelése során be kellett tartania a svájci székhelyű vállalkozásoknak, magánszemélyeknek is. Míg ez az érintetteket megnyugtatta, a helyi jogászoknak kellemetlenségnek érződhetett a hazainál szigorúbb rendelkezések megismerése, alkalmazása. Néhány súlyosabb adatvédelmi incidenst követően a svájci kormány úgy döntött, ideje hallgatni az idők szavára, és a hatályos, 1992-ben megalkotott törvényt újabbra cserélni. Már csak amiatt is, mert a korábbi jogforrás nem volt tökéletesen alkalmazható az online tér adatkezeléseire. A Svájci Szövetségi Tanács által hozott jogforrás 2023. szeptember elsején lépett hatályba.

Ki kicsoda?

Az érintett fogalmához hasonlóan a svájci törvény is kizárólag természetes személyekre vonatkozik, bár nem definiálja az adatkezelés alanyait vagy a személyes adat fogalmát, szemben a GDPR-ral.[1] Érdekesség, hogy a korábbi adatvédelmi norma a jogi személyek adataira is vonatkozott. Az adatkezelőt és – feldolgozót összefoglaló néven „felelős személynek” nevezi az új jogforrás több alkalommal. Bár gyakran azonos személyük, egy svájci székhelyű vállalat elleni eljárásban alaposabb vizsgálatot igényelhetne, ki járt el kizárólag adatkezelőként és kik végezték el az általa meghatározott műveleteket feldolgozóként.

Kiemelném az adatvédelmi tisztviselő személyét, aki a svájci jogforrás szerint tanácsadó.
Alkalmazásuk csak a szövetségi hatóságok számára kötelező, egyéb esetben opcionális.[2] Ezzel szemben a GDPR kötelezővé tette adatvédelmi tisztviselő alkalmazását az érintettek rendszeres, nagymértékű megfigyelése esetén, valamint, ha az adatkezelő vagy – feldolgozó különleges kategóriába tartozó, vagy bűncselekményre vonatkozó személyes adatokat kezel nagy számban. Az ilyen tanácsadó hiánya megnehezítheti az érintettek jogainak érvényesítését, a helyi vagy akár külföldi felügyeleti hatóságokkal való együttműködést.
Képzeljünk el egy adatvédelmi incidenst, például bankkártya azonosítónk kiszivárgását
egy svájci utazás alatt, amikor a vétkes adatkezelőn kívül nincs olyan hozzáértő személy a közelben, akihez fordulhatnánk a szükséges jogi, technikai lépések megtétele érdekében.

Jogok és kötelezettségek

Az egyik jelentős különbség, hogy míg az adatkezeléshez – és feldolgozáshoz a GDPR szerint meghatározott jogalapra van szükség, a svájci törvény csak a nagy kockázatot jelentő profilalkotás vagy a különösen érzékeny személyes adatok feldolgozása esetén írja elő az érintett kifejezett hozzájárulását.[3]

Az érintettek jogosultságai bővültek és a korábbiak – például a hozzáféréshez való jog, az adatkezelés céljának megismeréséhez való jog és a törléshez való jog – mellett mostantól az adathordozhatósághoz való jog és a beavatkozáshoz való jog is szerepel, ha az adatkezelő automatizált döntéshozatalt alkalmaz.[4] Az adathordozhatósághoz és adattovábbításhoz való jog tartalmilag megegyezik a GDPR-ban foglaltakkal.

A törvény 25. cikke kimondja, hogy az érintettnek minden olyan információt meg kell kapnia, amely jogai érvényesítéséhez, valamint az átlátható adatfeldolgozás biztosításához szükséges.[5]Az adatkezelő azonban bizonyos feltételek mellett megtagadhatja, korlátozhatja vagy elhalaszthatja a tájékoztatás nyújtását, míg a GDPR erre nem adott lehetőséget.

Az adatkezelőknek tájékoztatniuk kell az érintetteket a kezelt személyes adatok címzettjeivel kapcsolatban, amennyiben ezeket harmadik félnek továbbítják.[6] Az Európai Unión és EGT – tagállamokon kívüli, úgynevezett harmadik országba történő továbbítás esetén az adatkezelőnek az összes célországot meg kell neveznie.

Ha egy tervezett adatkezelés komoly kockázatot jelent az érintett személyiségére vagy alapvető jogaira nézve, az adatkezelőknek előzetes adatvédelmi hatásvizsgálatot kell készíteniük.[7] Komoly kockázatot az adatkezelés jellege, mértéke, körülményei és célja jelenthet az új törvény szerint. Különösen komoly kockázatot jelent a nagy kockázatú profilalkotás vagy az érzékeny személyes adatok széleskörű feldolgozása.[8]

A fentiek mellett új jogforrás 11. cikke ösztönzi a szakmai, kereskedelmi és üzleti szövetségeket, hogy saját magatartási kódexeket dolgozzanak ki és azokat véleményezésre nyújtsák be az adatvédelmi biztoshoz.[9] Kedvező vélemény esetén az elfogadott kódexeket alkalmazó adatkezelőknek nem kell adatvédelmi hatásvizsgálatot végezniük. Bár nem vetem el az önszabályozást, meglátásom szerint kissé kockázatos ez a jogalkotói megoldás.
A GDPR 35. cikke szerint, ha az adatkezelés típusa valószínűsíthetően magas kockázattal jár az érintettekre nézve, az adatkezelő köteles hatásvizsgálatot elvégezni a tervezett műveletekkel kapcsolatban. Ugyan a tagállami hatóságok megállapíthatnak olyan műveleteket, amelyek mentesülnek a hatásvizsgálat alól, ezt nem az adatkezelők által kidolgozott, önkéntes alapon követett kódexekre alapozva teszik, szemben az új svájci szabályozással.

Az adatkezelőnek és az adatfeldolgozónak nyilvántartást kell vezetnie az adatfeldolgozási tevékenységéről. A jogszabály meghatározza azokat az információkat, amelyeket a lajstromnak tartalmaznia kell.[10] A Szövetségi Tanács kivételeket állapíthat meg azon vállalatok számára, amelyek 250 főnél kevesebbet foglalkoztatnak és adatfeldolgozásuk alacsony kockázattal jár az érintettek személyiségi jogainak védelme szempontjából.[11]

Incidens esetén értesítendő?

Az adatkezelőnek előzetes előrejelzést kell készítenie egy észlelt incidens lehetséges következményeiről és ennek értékelése alapján köteles eldönteni, fennáll-e közvetlen veszély, és milyen formában értesítse az érintetteket vagy a hatóságot.[12]
Ha az adatkezelő – és tanácsadója – nem ítéli magasnak a személyes adatokkal kapcsolatos kockázatot, vagy az nem sérti az érintettek alapvető jogait, nem köteles az incidenst jelenteni a szövetségi adatvédelmi biztosnak.[13]
Újabb, ám talán a fentinél kisebb eltérés a GDPR-tól, hogy magasabb kockázatú incidens esetén a törvény nem állapít meg határidőt a hatóság értesítésére, csupán úgy fogalmaz, „a lehető leghamarabb” kell ezt megtenni.[14]

Hasonlóan az uniós tagállami jogrendszerekhez, a svájci szövetségi adatvédelmi biztos jogosult javaslatot tenni az adatkezelőnek hatásvizsgálata kiegészítésére, módosítására. Utasíthatja konzultációra, az adatokon végzett műveletek kiigazítására, megszakítására, súlyosabb jogsértés esetén a kezelt információk törlésére és megsemmisítésére.[15]
Köteles hivatalból eljárni adatvédelmi jogsértések esetén, ám bírságot nem szabhat ki,
az bejelentésére a illetékes kantonális ügyészség kötelessége.[16] Meglátásom szerint figyelemre méltó a GDPR által biztosított hatósági bírság és polgári jogi kártérítés mellett
a büntetőjogi szankcionálás megjelenése az adatvédelmi jogban.
A pénzbírság főszabály szerint természetes személyeket sújthat jogsértés megállapítása esetén, maximális mértéke 250 000 svájci frank.[17] A címzett a hatóság határozatai ellen
a Szövetségi Közigazgatási Bírósághoz, majd a Szövetségi Legfelsőbb Bírósághoz fordulhat. Jogi személyekre, szervezeti egységeikre csak az eljárás akadályozása esetén szabható ki bírság, legfeljebb 50 000 svájci frank értékben.[18]

A fentiek alapján kijelenthetjük, az Európai Unió adatvédelmi rendelete jelentős hatást gyakorolhatott a vele szoros gazdasági kapcsolatban álló államok jogalkotására.
Bár úgy tűnik, a svájci szabályozás az érintettek személyes adatainak védelme mellett az adatkezelők, – feldolgozók helyzetét sem nehezíti meg túlságosan, összességében úgy vélem, az uniós szabályozás hatására 2023 őszétől mindenki nagyobb biztonságban tudhatja személyes adatait Svájcban az új szövetségi adatvédelmi törvénynek köszönhetően.

A cikk szerzője dr. Szilárd Ákos.

Források

[1] A törvény 1. cikke alapján.

[2] A törvény 10. cikke.

[3] A törvény 6. cikk (5) és (6) bekezdései.

[4] A törvény 25. cikk (2) bekezdése, az adathordozhatóságról a 28. cikk rendelkezik.

[5] A törvény 25. cikk (2) bekezdése.

[6] A törvény 19. cikk (2) – (4) bekezdései.

[7] A törvény 22. cikk (1) bekezdése.

[8] A törvény 22. cikk (2) bekezdése.

[9] A törvény 11. cikk (1) bekezdése.

[10] A törvény 12. cikk (1) – (3) bekezdései.

[11] A törvény 12. cikk (5) bekezdése.

[12] A törvény 24. cikk (4) – (5) bekezdései.

[13] A törvény 24. cikk (1) bekezdése.

[14] A törvény 24. cikk (3) bekezdése.

[15] A törvény 51. cikk (1) – (3) bekezdései.

[16] A törvény 50. cikk (1) és (3) bekezdései.

[17] A törvény 60. – 63. cikkei.

[18] A törvény 64. cikk (1) bekezdése.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.