Az adatvédelmi szabályozás újabb tendenciái, különösen az Európai Unió várható új adatvédelmi szabályozása, egyértelműen az önszabályozás különböző formáinak erősödése, valamint az auditálás illetve különböző címkéző-tanúsító rendszerek jelentőségének növekedése felé mutatnak. Jelen tanulmány áttekintő jelleggel mutatja be az önszabályozásban rejlő lehetőségeket és korlátokat, valamint az adatvédelmi felügyelet sajátos intézményeként felfogható adatvédelmi audit főbb jellemzőit - kitérve annak hatályos magyar szabályozására.
Európában az adatvédelmi irányelv1 elfogadása megteremtette a többé-kevésbé egységes európai szabályozást, amely - úgy tűnik - kevésbé teszi szükségessé az önszabályozás különböző formáit.2 Az Egyesült Államokban ezzel szemben - épp az egységes szövetségi szintű adatvédelmi szabályozás hiánya miatt - az iparági (adatvédelmi) önszabályozásnak komoly szerepe van. Ez azon az üzleti alapú megközelítésen alapul, amely szerint az üzleti élet szereplői képesek a fogyasztói elvárásoknak megfelelő szabályozást kialakítani3 kivédve ezzel az állami szabályozást.4 Az Egyesült Államok önszabályozási mechanizmusait számos kritika éri, és jelen tanulmányunkban sem ezt tartjuk követendőnek: Európában ugyanis - szemben éppen az Egyesült Államok példájával - jellemzően nem az állami szabályozást helyettesítő, sokkal inkább azt kiegészítő, pontosító, "végrehajtási szabály" jellegű szerepet tölthetnek be az önszabályozás különböző formái, így (bár a tanulmányban a külföldi szóhasználathoz igazodva az önszabályozás kifejezést használjuk) valójában pontosabb e szabályozási megoldásokra társszabályozásként tekinteni.
Az önszabályozás potenciális eszközeinek
1. a magatartási kódexeket,
2. a különböző szabványokat, valamint
3. az adatkezelők szintjén elfogadott (belső) szabályozásokat
tekintjük. Az alábbiakban e területeket vizsgáljuk részletesen.
- 14/15 -
Az európai adatvédelmi irányelv kifejezetten támogatja az önszabályozás bizonyos formáit: a 27. cikk kifejezetten utal magatartási kódexek (codes of conduct) elfogadásának lehetőségére, és a kódexek kidolgozói számára megteremti azt a lehetőséget is, hogy azokat véleményezés céljából a nemzeti adatvédelmi hatóság vagy a 29-es munkacsoport elé terjesszék, amelyek kötelesek a kódex és a nemzeti jog összhangját vagy annak hiányát megállapítani.5 Európai szintű elismerésben egyelőre csak két szervezet magatartási kódexe részesült:6 a Nemzetközi Légi Szállítási Szövetségé7 és az Európai Direkt és Interaktív Marketing Szövetségé.8
A Bizottság eredeti, 2012-ben kiadott rendelettervezete9 lényegében a hatályos irányelv szabályozásához hasonlóan rendelkezett "eljárási szabályzatok" (magatartási kódexek)10 létrehozásáról. A kódexek kidolgozói számára ez alapján is fennállna az a lehetőség, hogy azokat véleményezés céljából a nemzeti adatvédelmi hatóságok elé terjesszék, amelyek véleményt adhatnak e kódexekről.11 Az Európai Parlament illetékes bizottsága által kidolgozott, és az Európai Parlament 2014. március 12-i plenáris ülésén óriási többséggel változtatás nélkül elfogadott ún. LIBE javaslat12 ezen lényegében csak annyit változtat, hogy kötelezővé teszi az értékelést a nemzeti hatóságok számára (csakúgy, mint a hatályos irányelv alapján).13
Az önszabályozás egy másik lehetséges iránya a szabványosítás, amely lényegében abban tér el más önszabályozási formáktól, hogy valamely szabvánnyal foglalkozó szervezet keretei között dolgozzák ki.14 A szabványosítással kapcsolatos legjelentősebb kutatások között említhető az Európai Szabványügyi Bizottság15 Információs Társadalom Szabványosítási Rendszer16 (CEN/ISSS) keretében 2000-ben indult, "Európai adatvédelmi szabvány kezdeményezés" elnevezésű17 projekt, amelynek zárójelentése18 számos releváns megállapítást tartalmaz a szabványosítás lehetőségeiről és korlátairól, az adatvédelmi auditálással kapcsolatos kérdésekről, és a magánszféravédő technológiákról.19 A dokumentum végül arra a következtetésre jut, hogy a globális és átfogó szabvány kialakítása nem időszerű,20 de konszenzus alakult ki arról, hogy további lépéseket kell tenni egyrészt a témát illető elemzések, másrészt önkéntes iránymutatások (guidance) kidolgozása terén. Ennek eredményeként született meg 2005-ben egy öt, majd 2010-ben egy további három dokumentumból álló informális szabványcsomag, ún. CEN Workshop Agreement.21
Végül érdemes megemlíteni az ISO/IEC 29100 szabványt,22 amely azonban nem alkalmas teljes adatvédelmi kockázatelemzésre, vagy adatvédelmi irányítási rendszer kialakítására, mivel csak az adatvédelmi terminológia és adatvédelmi alapelvek egységesítésére törekszik,23 (illetve meghatározza az adatkezelések potenciális szereplőit és feladataikat).24 Összességében tehát e szabvány csak az alapvető, definíciós kérdésekben kaphat szerepet.
Az önszabályozás további lehetséges - a fentieket nem kiváltó, hanem kiegészítő - iránya az adatkezelő szintjén elfogadott szabályozás (policy, szabályzat, eljárásrend stb.), amelyek hatálya nem egy-egy ágazatra/iparágra, csupán az adott szervezetre, vagy szervezetcsoportra (pl. vállalatcsoportra) terjed ki. E körben mindenképp említést érdemel a kötelező vállalati szabályok25 térnyerése, amelyeknek az adatvédelmi szabályozásban (elsősorban harmadik országban történő adattovábbítással kapcsolatban) betöltött növekvő jelentőségét a 29-es munkacsoport BCR-rel foglalkozó dokumentumai is alátámasztják.26 Ugyancsak megemlítendő, hogy több európai adatvédelmi törvény is kötelezően írja elő bizonyos szervezetek számára belső adatvédelmi (és adatbiztonsági) szabályzat elfogadását és/vagy belső adatvédelmi felelős kinevezését.27 Bennett és Raab az önszabályozás egy típusának tekinti az adatvédelmi nyilatkozatokat is, amelyek mögött azonban nem feltétlenül állnak részletes belső szabályok.28
Az új európai adatvédelmi szabályozásban az adatkezelők felelőssége és elszámoltathatósága (accountability) olyan új alapelvként jelenik meg, amelynek tényleges megvalósítása számos, az adatkezelők szintjén elfogadott belső szabályozókkal valósítható meg. Mind a Bizottság eredeti szövegtervezete, mind a LIBE javaslat jelentősen növeli az adatkezelők kötelezettségeit.
Az adatkezelőknek mindenekelőtt kockázatértékelést kell majd végezniük, amely alapján eldönthető, hogy tevékenységük "valószínűsíthetően jelent-e sajátos kockázatokat". Amennyiben az adatkezelés jellemzői megfelelnek a javaslatban foglalt számos kritérium valamelyikének,29 úgy az adatkezelőket további kötelezettségek terhelik: adatvédelmi hatásvizsgálat elvégzését és az adatvédelmi megfelelőség (compliance) időszakos felülvizsgálat is megköveteli majd a jogszabály. Az új rendelettervezet adatkezelőkre vonatkozó kötelezettségeinek részletes elemzése nélkül30 is összességében megállapítható, hogy az adatkezelők szintén kialakított (irányítási) rendszer és a belső normák jelentősége az új európai adatvédelmi szabályozás során egyértelműen nőni fog.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
