Valószínűleg már mindegyik olvasónkhoz érkezett valamilyen üzleti (képzési, tanácsadási, szakkönyv-beszerzési stb.) ajánlat a GDPR-ral, az Unió 2018. május 25-én hatályba lépő új adatvédelmi szabályozásával kapcsolatban. Blogunk profiljának megfelelően cikksorozatunkkal igyekszünk rövid áttekintést adni a legfontosabb tudnivalókról azzal, hogy a cikkek nem helyettesíthetik az alakuló hazai szabályozás és a hatósági gyakorlat folyamatos nyomon követését.
Az Unió régi adatvédelmi jogszabálya, a 95/46 EK Irányelv helyébe lépő az Európai Parlament és a Tanács (EU): 2016/679 rendelete magyarul is természetesen hozzáférhető
(https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:32016R0679#ntr5-L_2016119HU.01000101-E0005). Mivel rendeleti formában jelent meg, az új rendelkezéseket 2018. május 25-től közvetlenül, a hazai törvényi szabályozás esetleges módosításától függetlenül alkalmazni kell. A személyes adatok védelmével kapcsolatos hatályos magyar törvény továbbra is az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény („Infotörvény”), lásd: https://net.jogtar.hu/jogszabaly?docid=A1100112.TV.
A magyar adatvédelmi hatóság (NAIH) honlapján számos állásfoglalás hozzáférhető az új EU-szabályozással és annak magyarországi alkalmazásával kapcsolatban. (Lásd: NAIH állásfoglalások:
https://naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.htm). A különböző jogalkalmazói megkeresésekre adott válaszokból kiderül, hogy várhatóan hamarosan az Országgyűlés elé kerül az Infotörvény módosítása, továbbá várhatóan módosulni fog számos ágazati, törvényi szintű adatvédelmi szabályozás is. A hazai jogalkotásban tapasztalható lemaradás, illetve átmeneti állapot azonban önmagában nem jelent felmentést a most hatályba lépő szabályozás alkalmazása alól. Hazai jogalkotásra eleve csak akkor van lehetőség, ha maga a GDPR-rendelet lehetővé teszi a pontosítást, korlátozást az érthetőség, a szabályozás koherenciája érdekében. Másfelől az előzőekben említett üzleti ajánlatdömpingtől függetlenül, a szabályozás alapvető elvei, az adatvédelmi joggyakorlat legtöbb eleme változatlanul alkalmazható marad, így az ezekre vonatkozó EU-s és hazai iránymutatások továbbra is alkalmazhatók. A NAIH honlapján közzétett állásfoglalások, tájékoztatások számos kérdésben máris eligazítást adnak (pl. hogy nincs általános kötelező, azonnali belső adatvédelmi szabályozási kötelezettség, az adatkezelések eddigi kötelező bejelentése megszűnik, de helyébe lép a belső adatvédelmi nyilvántartás vezetésére vonatkozó azonnali kötelezettség).
A GDPR-rendelet hatálybalépése és kötelező alkalmazás között a tagállamok és a jogalanyok felkészülése érdekében két év állt rendelkezésre. Az átmeneti szakasz még mindig nem zárult le teljesen, így – az adójogszabályok változásához hasonlóan – itt is fontos az átmeneti rendelkezések figyelembevétele. Így pl. ha az adatkezelés az érintett személynek még a régi szabályozás szerinti hozzájárulásán alapult, és az érintett az új rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő az új rendelet alkalmazási időpontját követően is folytathassa az adatkezelést. Egy másik példa: a korábbi adatvédelmi hatósági engedélyek, tudomásul vett bejelentések hatályban maradnak mindaddig, amíg módosításukra, felváltásukra vagy hatályon kívül helyezésükre sor nem kerül.
Az új szabályozás célja a természetes személyek (és csak ők!) személyes adatainak védelme, részletesebb szabályozása, állampolgárságtól, lakóhelytől független védelemben részesítése az EU-n belül és kívül, a jogérvényesítés egységesítése az Unión belül, azonos felelősség előírása az adatkezelőknél, adatfeldolgozóknál, más oldalról a személyes adatok tagállamok közötti szabad áramlásának további elősegítése, annak megakadályozása, hogy adatvédelmi indokokra alapozva megakadályozható legyen a személyes adatok Unión belüli szabad áramlása. Mindez erős kikényszeríthetőségét szolgáló szabályozás és szankciórendszer mellett.
Az új adatvédelmi szabályozás teljes egészében technológia-semleges, bár részletesen foglalkozik az elektronikus adatkezeléssel, de a rendelkezéseket a papír alapon kezelt iratokon szereplő személyes adatokra is alkalmazni kell, ha az iratokat meghatározott szempontok szerint rendszerezik, visszakereshetővé teszik.
A rendelet nem vonatkozik mindenféle személyesadat-kezelésre. A legfontosabb kivételek:
- Az új rendelet nem alkalmazandó a személyes adatok természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon törté ő kapcsolattartás és online tevékenységek (az ilyen tevékenységhez eszközöket, szolgáltatásokat biztosító az adatkezelőkre és adatfeldolgozókra azonban már alkalmazni kell az új szabályokat).
- A nemzeti hatáskörben szabályható, az uniós jog hatálya alá nem tartozó adatkezelésekre, pl. a nemzetbiztonságot érintő adatkezelésre a rendelet nem alkalmazható.
- A bűncselekmények megelőzésével, felderítésével, a nyomozással, a pénzmosással kapcsolatos személyes adatkezelés, amely külön EU-jogszabályok tárgya.
- Az elhunyt személyek adatkezelése.
Mely adatkezelőkre, adatfeldolgozókra, illetve adatkezelésekre terjed ki a rendelet hatálya?
A rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
Több tagállamban tevékenységi hellyel rendelkező adatkezelő esetén az Unión belüli tevékenységi központ irányadó: azaz az Unión belüli központi ügyvitel helye, kivéve, ha a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy másik Unión belüli tevékenységi helyén hozzák. Nem az számít tehát, hogy a személyes adatok kezelése a szóban forgó helyszínen zajlik-e, hol vannak az adatkezeléshez használt műszaki eszközök. Ha az adatkezelő az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az a hely a meghatározó, ahol az Unióban a fő adatkezelési tevékenységek zajlanak. Az adatkezelő tevékenységi központjának helye határozza meg azt, hogy mely tagállam adatvédelmi hatósága minősül az adatkezelés ellenőrzése, felügyelete szempontjából fő felügyeleti hatóságnak. Ha az adatkezelést vállalkozáscsoport végzi, az ellenőrző vállalkozás tevékenységi központja tekintendő a vállalkozáscsoport tevékenységi központjának, kivéve, ha az adatkezelés céljait és eszközeit valamely más vállalkozás határozza meg.
Ha az adatkezelő, adatfeldolgozó tevékenységi helye az EU-ban van, azaz valamely tevékenység tényleges és valós, tartós jelleget biztosító keretek közötti gyakorlása az EU-n belül történik, akkor a rendeletet alkalmazni kell a nem EU-n belüli adatkezelésre is.
A rendeletet alkalmazni kell az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:
a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.
Ha bizonyítható, hogy az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó termékeket, szolgáltatásokat kínál uniós érintetteknek (pl. uniós pénzben lehet fizetni, adott esetben a nyelv, de a honlap puszta uniós elérhetősége nem elegendő), akkor szintén alkalmazni kell a rendeletet.
A rendeletet az érintettek Unión belüli magatartásának megfigyeléséhez tartozó adatkezelésre is alkalmazni kell. Annak meghatározása, hogy az adatkezelés az érintettek magatartásának megfigyelésének minősül-e, meg kell megvizsgálni, hogy a természetes személyeket nyomon követik-e az interneten, illetve ezt követően a természetes személy profiljának megalkotását is magában foglaló adatkezelési technikákat alkalmaznak-e, annak érdekében, hogy elsősorban a természetes személyre vonatkozó döntéseket hozzanak, valamint, hogy elemezzék vagy előre jelezzék a természetes személy személyes preferenciáit, magatartását vagy beállítottságát.
Az uniós adatvédelmi szabályozás hatályának említett kiterjesztése a közelmúltban kirobbant, inernetes szolgáltató világcégekkel kapcsolatos botrányokkal összefüggésben is rendkívül aktuális.
A személyes adat fogalma:
Személyes adat az azonosított vagy azonosítható természetes személyre (a rendelet szóhasználatában: „érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, IP-címek, cookie-azonosítók stb. vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján - a költségeket, időigényt, az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését számításba véve - azonosítható.
Az adatvédelmi rendelkezéseket az ún.- anonim információkra, olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható, nem kell alkalmazni. Az anonimizálás követelményeinek megfelelő statisztikai vagy kutatási célú adatkezelésre sem kell a rendeletet alkalmazni.
A személyes adatok kezelésének elvei
A rendelet meghatározza a személyes adatok kezelésének elveit, amely elveknek megfelelő adatkezelésért az adatkezelő a felelős, továbbá a tagállami jogalkotás és az adatvédelmi jogviták elbírálása során ezek az elvek az uniós és tagállami hatósági, bírósági jogalkalmazást is meghatározzák:
a) az adatkezelést jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság elve”);
b) a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon azzal, hogy nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség elve”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság elve”);
d) az adatkezelésnek pontosnak és szükség esetén naprakésznek kell lennie; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság elve”);
e) az adattárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor („korlátozott tárolhatóság elve”);
f) az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg elve”)
g) az adatkezelőnek képesnek képesnek kell lennie a a)-f) pont szerinti elveknek való megfelelés igazolására („elszámoltathatóság elve”).
(A cikksorozat következő részei:
2. A személyes adatok kezelhetősége, a személyes adatok különleges kategóriáinak kezelése, az érintett megfelelő tájékoztatása
3. Az érintett hozzáférési joga, a helyesbítéshez, törléshez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog, a tiltakozáshoz való jog és automatikus döntéshozatal, profilalkotás
4. Az adatkezelők feladatai, beépített és alapértelmezett adatvédelem, közös adatvédelem, adatvédelmi képviselő, belső szabályozás, adatfeldolgozókra vonatkozó szabályok, belső adatvédelmi nyilvántartás
5. Adatvédelmi kockázatok és felmérésük, adatvédelmi hatásvizsgálat, adatvédelmi tisztségviselő, adatvédelmi incidensek
6. Adatvédelmi magatartási kódexek, tanúsítási mechanizmusok, az adatvédelmi hatóság jogállása és szerepe
7. Személyes adatok Unión belüli és kívüli forgalma, kötelező erejű vállalati szabályok
8. Jogorvoslat, felelősség, szankciók.)