Az Általános Adatvédelmi Rendelet – alkalmazandó 2018. május 25-től
Közzétéve: jún 7, 2016
2016. május 4-én közzétették az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (a továbbiakban: Általános Adatvédelmi Rendelet vagy Rendelet) végleges szövegét az Európai Unió Hivatalos Lapjában. Ezzel pont került az EU adatvédelmi szabályozási reformjának a végére. Bár a Rendelet a közzétételét követő huszadik napon lép hatályba, azaz 2016. május 25-én, szabályait 2018. május 25-től kell alkalmazni. Az adatkezelők, adatfeldolgozók és nemzeti kodifikátorok tehát kapnak egy kétéves felkészülési időt az európai adatvédelem új szabályainak és elvárásainak való megfelelésre.
Az Általános Adatvédelmi Rendelet felváltja a jelenleg alkalmazandó 95/46/EK Adatvédelmi Irányelvet (a továbbiakban: Adatvédelmi Irányelv vagy Irányelv) és jelentős változásokat hoz ezen a jogterületen. Az egyik legfontosabb ilyen változás magában a szabályozási formában rejlik: a mérsékelt megközelítést, melynek keretében a tagállamok maguk voltak jogosultak meghatározni adatvédelmi elvárásaikat egy irányelv iránymutatásai alapján, felváltja egy új rendelet, mely önmagában lesz közvetlenül hatályos és alkalmazandó valamennyi tagállamban. Ez közel egységes adatvédelmi szabályozást fog eredményezni az EU teljes területén, és nagyobb fokú kiszámíthatóságot a több államban is adatot kezelő vállalatok számára – bár bizonyos nemzeti sajátosságok továbbra is fennmaradhatnak. Az új Rendelet tovább szélesíti az érintetti jogokat és a nemzeti adatvédelmi hatóságok jogköreit, növeli az adatkezelők felelősségét és területi hatálya esetenként az Európai Unió határain kívülre is kiterjedhet.
A Rendelet azonban nem tölti be azt a jogalkotási űrt, melyet a Bizottság az Amerikai Egyesült Államokra kiterjedő Safe Harbor határozatának közelmúltbéli érvénytelenné nyilvánítása hagyott maga után, erre várhatóan a hamarosan elfogadásra kerülő EU-USA Adatvédelmi Pajzs („Data Shield”) hivatott.
1. Tárgyi hatály
Az Általános Adatvédelmi Rendelet hatálya alá tartozik bármely azonosított vagy azonosítható természetes személyre vonatkozó bármely adat kezelése. Az online azonosítók (így például egy IP cím vagy süti azonosító) szintén ilyen adatnak minősül.
2. Területi hatály
A Rendelet hatálya kiterjed minden olyan helyzetre, ahol az Európai Unióban tartózkodó érintettekre vonatkozó személyes adatok kezelése zajlik áruknak vagy szolgáltatásoknak a nyújtásához kapcsolódóan (akkor is, ha minderre ingyenesen kerül sor), vagy az Európai Unióban tartózkodó érintettek viselkedésének megfigyelése történik. Ez utóbbi elsősorban az internetfelhasználók profilozása körében merül fel, mely általában piackutatási célokat szolgál. Az adatkezelő, illetve feldolgozó székhelye, tartózkodási helye tehát nem döntő tényező. Az Általános Adatvédelmi Rendelet hatálya kiterjed azon vállalkozásokra is, melyek szervezetileg nem telepedtek le az Európai Unió területén belül, de határokon átnyúló üzleti tevékenységet folytatnak, európai érintetteket célba véve. Ezen adatkezelők és feldolgozók kötelesek kijelölni egy Európai Unió területén belüli képviselőt.
3. Álnevesítés
Új jogi fogalomként jelenik meg a személyes adatok anonimmá tételének módszere „álnevesítés” útján. Ez a kifejezés azt jelenti, hogy a személyes adatokat úgy kezelik, hogy további információ felhasználása nélkül nem lehet megállapítani, hogy az adott adat mely konkrét természetes személyre vonatkozik. Ezt a kiegészítő információt külön kell tárolni, és technikai, illetve szervezési intézkedésekkel kell megőrizni azok bizalmasságát. A Rendelet több ponton is az álnevesítést említi, mint a kívánt és jogszerű megoldást bizonyos adatkezelési helyzetek esetén.
4. A hozzájárulás feltételei
Az Általános Adatvédelmi Rendelet részletesebben rögzíti a jogszerű hozzájárulás feltételeit. Érvényes hozzájárulás adható az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása útján, akár nyilatkozat, akár a megerősítést félreérthetetlenül kifejező cselekedet formájában. A tiltakozás hiánya, a „hallgatás”, illetve az előre kitöltött jelölő-négyzetek alkalmazása azonban nem elegendő. Az érintett bármikor jogosult visszavonni a hozzájárulását. Tilos egy szerződés teljesítését és/vagy szolgáltatások nyújtását olyan személyes adatok kezeléséhez kötni, melyek nem szükségesek az adott szerződés teljesítéséhez/szolgáltatás nyújtásához és valamennyi adatkezelési cél tekintetében különálló hozzájárulásra van szükség.
5. Gyermekek személyes adatai
13 év alatti gyermekek semmilyen körülmények között nem jogosultak maguk hozzájárulást adni személyes adataik információs társadalommal összefüggő szolgáltatások körében történő kezeléséhez. 16 év fölötti gyermekek önállóan jogosultak ilyen hozzájárulást adni. A tagállamok maguk jogosultak meghatározni az ilyen jellegű hozzájáruláshoz szükséges életkort, az előbbiekben rögzített korlátozásokkal, azaz ezen életkor lehet 16 évnél alacsonyabb is, de semmilyen esetben sem rögzíthető 13 éves kor alatt. Az előbbiek szerinti korhatár alatti gyermekek esetén szülői hozzájárulás szükséges. E szabály kizárólag az információs társadalommal összefüggő szolgáltatásokra terjed ki – az általános nemzeti cselekvőképességi szabályok az irányadók az egyéb (offline) adatkezelési tevékenységek tekintetében adandó hozzájárulásra.
6. Különleges adatok
A különösen érzékeny, így fokozottan védett különleges adatok körében kifejezetten nevesítésre kerültek a genetikai és biometrikus adatok.
7. Átláthatóság
Az adatkezelők széles körben kötelesek tájékoztatni az érintetteket az őket érintő személyes adatkezelésről. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell megadni. A Bizottság jogosult olyan jogi aktusokat kiadni, melyek lehetővé teszik bizonyos ikonok alkalmazását annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást.
8. Az elfeledtetéshez való jog
Ezt a jogot már levezette és nevesítette az Európai Bíróság is az Irányelv alapján, azonban a Rendelet az, mely ezt először kifejezetten és részletezve jogszabályi szintre emeli. Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, köteles ezzel párhuzamosan ésszerűen elvárható lépéseket tenni annak érdekében, hogy tájékoztassa az ilyen, törölni kért adatot kezelő további adatkezelőket, hogy utóbbiaknak is lehetősége nyíljon törölni ezen adatok másodpéldányait, illetve az azokra mutató linkeket. Az érintett elfeledtetéshez való joga azonban nem korlátlan – az adatkezelő bizonyos esetekben jogosult a törlést megtagadni.
9. Az adathordozhatósághoz való jog
Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog. Ez annyit tesz, hogy az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és azt egy másik adatkezelőnek továbbítsa.
10. A tiltakozáshoz való jog
Szélesítették az érintettek azon jogát, hogy személyes adataik kezelése ellen tiltakozzanak a közvetlen üzletszerzési tevékenységekkel összefüggésben. Míg a Rendelet általában lehetővé teszi az adatkezelő számára, hogy elutasítsa az érintett tiltakozását, amennyiben az adatkezelést kényszerítő erejű jogos okok indokolják, addig a közvetlen üzletszerzési tevékenységek körében az adatkezelőnek nincs ilyen lehetősége. Ha az érintett tiltakozik a közvetlen üzletszerzés érdekében történő adatkezelés ellen, akkor a személyes adatai a továbbiakban e célból nem kezelhetők (beleértve a közvetlen üzletszerzéshez kapcsolódó profilalkotást).
11. Automatizált döntéshozatal egyedi ügyekben
Az automatizált egyedi döntéshozatal (beleértve a profilalkotást) szűk korlátok közé szorul. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Kivételt képez ez alól, ha az érintett kifejezetten hozzájárulását adja az automatizált egyedi döntéshozatalhoz, vagy az egyébként szükséges egy bizonyos szerződés teljesítéséhez. Ilyen esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak és jogos érdekeinek védelme érdekében, melynek körében köteles lehetővé tenni, hogy az érintett élhessen azon jogával, hogy az adatkezelő oldalán emberi beavatkozást kérjen, álláspontját kifejezze, illetve a döntéssel szemben kifogást nyújtson be. A nemzeti jog is teret engedhet az automatizált egyedi döntéshozatalnak, azonban köteles megfelelő intézkedéseket rögzíteni az érintett jogainak és jogos érdekeinek védelme érdekében. Különleges adatot csak szigorú korlátok mellett lehet automatizált döntéshozatalhoz használni egyedi ügyekben.
12. Adatkezelők és –feldolgozók
Az Általános Adatvédelmi Rendelet a bírói gyakorlatot rögzíti amikor kifejezetten rendelkezik a közös adatkezelésről, melynek lehetőségére az Adatvédelmi Irányelv csupán érintőlegesen utalt. Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon kötelesek meghatározni a Rendelet szerinti kötelezettségek teljesítéséért fennálló felelősségük megoszlását. Az érintett ettől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a jogait.
Bár továbbra is az adatkezelőket terheli az általános felelősség az adatkezelési tevékenységekért, az Általános Adatvédelmi Rendelet az adatfeldolgozókhoz is telepít némi felelősséget. Az adatfeldolgozókkal kötendő szerződések tartalmát részletesen rögzíti a Rendelet. Az adatfeldolgozó az adatkezelő előzetesen írásban adott eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Harmadik országba történő továbbításra kizárólag az adatkezelő dokumentált utasítása alapján kerülhet sor. Az adatfeldolgozó köteles lehetővé tenni és elősegíteni az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat és vizsgálatokat.
13. Az adatkezelési tevékenységek nyilvántartása
Megszüntetésre kerül az adatkezelési tevékenységek jelenleg irányadó, nemzeti adatvédelmi hatóságok általi nyilvántartásba vétele. A 250 főnél több munkavállalót foglalkoztató, fokozott kockázatokkal járó adatkezelést végző, illetve különleges adatokat kezelő vállalkozások azonban kötelesek belső nyilvántartást vezetni az adatkezelési tevékenységeikről.
14. Az adatvédelmi incidensek bejelentése
Adatvédelmi incidens (adatlopás, feltörés, lehalászás, stb.), esetén az adatkezelő az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és az érintetteket kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A bejelentésben ismertetni kell az adatvédelmi incidens jellegét, az érintettek kategóriáit és hozzávetőleges számát, az érintett adatok kategóriáit és hozzávetőleges számát, a valószínűsíthető következményeket, és az incidens orvoslására tett vagy tervezett intézkedéseket, beleértve az esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
Amennyiben egy adatvédelmi incidens valószínűsíthetően fokozott kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintetteket az incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit, a valószínűsíthető következményeket és a megtett intézkedéseket. Amennyiben az érintettek egyedileg történő tájékoztatása aránytalan erőfeszítést tenne szükségessé, az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy más hasonló intézkedést kell hozni. Az adatfeldolgozóknak csak az adatkezelőt kell értesíteniük egy adatvédelmi incidens esetén.
15. Elszámoltathatóság, adatvédelmi hatásvizsgálat és az adatvédelmi tisztviselő
Az Általános Adatvédelmi Rendelet célja, hogy növelje az adatkezelők és feldolgozók elszámoltathatóságát. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – formája valószínűsíthetően fokozott kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő hatásvizsgálatot köteles végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha az adatvédelmi hatásvizsgálat megerősíti a fokozott kockázat lehetőségét, az adatkezelő köteles konzultálni az adatvédelmi hatósággal.
Közhatalmi szervek, az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését végző adatkezelők és/vagy –feldolgozók, illetve azok, akik különleges adatokat nagy számban kezelnek kötelesek kijelölni egy adatvédelmi tisztviselőt. Vállalkozáscsoportok közös adatvédelmi tisztviselőt is kijelölhetnek.
16. Személyes adatok továbbítása
A Rendelet nem tartalmaz forradalmi újítást e téren és fenntartja az Irányelv révén jelenleg is működő rendszert és jogszerű adattovábbítási jogalapokat. Továbbra is lesz lehetőség általános szerződési feltételek alkalmazására, illetve olyan államokba irányuló adattovábbításra, melyek a Bizottság döntése alapján megfelelő védelmi szintet biztosítanak. A Bizottság köteles lesz folyamatosan figyelemmel kísérni e harmadik országok tekintetében fennálló, a döntés alkalmazását potenciálisan befolyásoló fejleményeket, és szükség esetén átértékelni korábbi döntését. Az Általános Adatvédelmi Rendelet tartalmazza a kötelező erejű vállalati szabályok alkalmazásának lehetőségét is.
A Rendelet innovációjának a jóváhagyott magatartási kódexek, illetve az adatvédelmi tanúsítási eljárásra vonatkozó rendelkezések tekinthetők, melyek valószínűleg többek között az adattovábbítások területén juthatnak kiemelt szerephez. Harmadik országok jogszabályi rendelkezésére alapított adattovábbítási követelmények tekintetében az Általános Adatvédelmi Rendelet kifejezetten rögzíti, hogy harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy -feldolgozó számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött nemzetközi megállapodáson alapul.
17. Kártérítéshez való jog és felelősség
Minden olyan személy, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenved, az elszenvedett kárért az adatkezelőtől vagy -feldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel, ha nem tartott be valamely, kifejezetten az adatfeldolgozókat terhelő kötelezettséget, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
Ha több adatkezelő vagy -feldolgozó tartozik felelősséggel az adatkezelés által okozott károkért, valamennyi adatkezelő és -feldolgozó egyetemleges felelősséggel tartozik a teljes kárért, az érintett tényleges kártérítésének biztosítása érdekében. Ha valamely adatkezelő vagy -feldolgozó teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy a többiektől visszaigényelje a kártérítésnek azt a részét, mely megfelel a károkozásért való felelősségük mértékének.
18. Egyablakos ügyintézési rendszer
Valamennyi tagállam köteles gondoskodni egy független közhatalmi szerv létrehozásáról, melynek feladata az Általános Adatvédelmi Rendelet alkalmazásának figyelemmel kísérése. Az adatkezelő vagy -feldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelések tekintetében. A nemzeti hatóságok együttműködésének és gyakorlatuk egységességének kérdéseit a Rendelet külön fejezete rendezi. Felállításra kerül az Európai Adatvédelmi Testület (a továbbiakban: Testület), mely többek között e körben is hivatott lesz iránymutatást nyújtani. A Testület minden tagállam felügyeleti hatóságának vezetőjéből és az európai adatvédelmi biztosból áll. A Bizottság szavazati jog nélkül vehet részt a Testület tevékenységében.
19. Közigazgatási bírságok
A nemzeti adatvédelmi hatóságok jogosultak közigazgatási bírságot kiszabni, melynek maximuma attól függ, hogy a Rendelet mely rendelkezését sértették meg. Lényeges kötelesség súlyos megsértése esetén a fizetendő közigazgatási bírság maximuma 20.000.000 EUR, vagy vállalatok esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg (amelyik magasabb). Kevésbé lényeges rendelkezések megsértése esetén a fizetendő közigazgatási bírság maximuma 10.000.000 EUR, vagy vállalatok esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeg. A közigazgatási bírság mértékének meghatározásakor mind az esettel kapcsolatos súlyosító, mind az enyhítő körülményeket figyelembe kell venni.
20. Eltérés a nemzeti jog alapján
Az Általános Adatvédelmi Rendelet bizonyos körülmények között egyes területeken, illetve célokból lehetőséget biztosít az eltérésre, így például a nemzetbiztonság, közbiztonság védelmének, illetve bűncselekmények megelőzésének, nyomozásának, felderítésének, illetve a vádeljárás lefolytatásának érdekében. Ezen eltérések során is tiszteletben kell tartani az alapvető jogok és szabadságok lényeges tartalmát és az eltéréseknek szükségesnek és arányosnak kell lenniük. A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak fenn, illetve vezethetnek be a genetikai adatok, biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.