Az Európai Bizottság 2012. január 25-én közzétette a hatályos adatvédelmi irányelv[1] helyébe lépő általános adatvédelmi rendeletének tervezetét (továbbiakban: Rendelettervezet). A Rendelettervezet fontos változásokat hoz az adatvédelem eddigi európai szabályozásában, és közzététele óta kiderült, hogy szabályozói, adatkezelői és fogyasztói oldalról is komoly igény van a reformokra. A Rendelettervezetet az Európai Parlament - állampolgári jogok, bel- és igazságügy (LIBE), rapportőr: Jan Philipp Albrecht - is észrevételezte, és az előzetes várakozásokra rácáfolva módosítási javaslataival (továbbiakban: EP Javaslat) szigorítaná rendelkezéseit.[2] Könyves Tóth Pál e folyóirat korábbi számában megjelent cikke[3] áttekintést adott a Rendelettervezet főbb jellemzőiről és előzményeiről - a jelen írás célja, hogy bemutassa a Rendelettervezet által bevezetni kívánt legfontosabb változásokat és az érintettek számára várható gyakorlati következményeket.[4]
Fontos célkitűzése a Rendelettervezetnek, hogy hatálya kiterjed "a nem az EU-ban letelepedett adatkezelő által végzett adatkezelési tevékenységekre, feltéve, ha az termékeknek vagy szolgáltatásoknak az EU-ban lakóhellyel rendelkező érintett személyek számára való nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódik".[5] A nem az Unió területén letelepedett adatkezelők kötelesek uniós képviselőt kijelölni. E kötelezettséget nem kell alkalmazni a következő esetekben: »a) ha a Bizottság úgy határozott, hogy a harmadik ország "megfelelő védelmi szintet" biztosít; vagy b) a 250 főnél kevesebb főt foglalkoztató vállalkozásra; vagy c) állami hatóságra vagy szervre; vagy d) az Unióban lakóhellyel rendelkező érintetteknek csak alkalmi jelleggel termékeket és szolgáltatásokat kínáló adatkezelőre.« A kiterjesztett területi hatály kifejezett célja, hogy kötelezze a nem az EU-ban letelepedett adatkezelőket - tipikusan ilyenek a közösségi oldalak vagy az e-kereskedelemmel foglalkozó szolgáltatók, de ide tartozhat például egy EU-n kívülről üzemeltetett egyszerű weboldal is - az EU-s szabályoknak való megfelelésre. Az EP Javaslata szerint a Rendelettervezet hatálya alá tartoznának majd az EU-n kívülről nyújtott ingyenes szolgáltatások (például keresőprogramok), valamint nem csak a felhasználók viselkedésének nyomon követése, hanem az adataikkal kapcsolatos általános, EU-n kívül végzett adatkezelési tevékenységek is. Az uniós képviselő kijelölésének elmulasztása a legmagasabb bírság kiszabását vonhatja maga után, illetve ha az adatkezelő rendelkezik képviselővel, a szankciókat a képviselővel szemben kell alkalmazni.[6] Kérdés azonban, hogy a gyakorlatban hogyan valósítható meg a jogszabály rendelkezéseinek kikényszerítése - ehhez részletesen kidolgozott szabályrendszeren alapuló, határon átnyúló együttműködés szükséges a felügyelő hatóságok között, jelentős emberi és anyagi erőforrások bevonásával. Ennek hiányában az EU-s jogszabályoknak való megfelelés a nem az EU-ban letelepedett adatkezelők számára csak ajánlás marad, és az EU-ban lakóhellyel rendelkező érintett személyek számára biztosított további védelem is csak elméleti lehetőség. Ami biztos: a végrehajtás hatékonyságától függetlenül a széles területi hatály jelentős compliance költségeket jelenthet majd az adatkezelők számára.
Fontos újítása a Rendelettervezetnek a Hatályos Irányelvhez képest a "fő szervezet" fogalmának bevezetése, mely a következőt jelenti: »az adatkezelő vonatkozásában a letelepedés azon helye az Unióban, ahol a személyes adatok kezelésének céljaira, feltételeire és módjaira vonatkozó fő döntéseket meghozzák; amennyiben a személyes adatok kezelésének céljaira, feltételeire és módjaira vonatkozó fő döntéseket nem az Unióban hozzák meg, a fő szervezet az a hely, ahol az Unióban létrehozott adatkezelő tevékenységeivel összefüggésben a fő adatkezelési tevékenységeket végzik. A feldolgozó vonatkozásában a "fő szervezet" a központi ügyvezetés helye az Unióban«. A Rendelettervezet szerint a "fő szervezet" azonosítása a több tagállamban működő adatkezelők esetében illetékes adatvédelmi hatóság megállapítása céljából elsődleges.[7] A cél az, hogy egy adatkezelő tevékenységével kapcsolatban alapvetően egy EU ország adatvédelmi hatósága legyen illetékes ("one-stop-shop") és ezzel hatékonyabb legyen az irányadó jogszabályok végrehajtása, valamint kiszámíthatóbb jogi környezet álljon a több tagállamban működő adatkezelő rendelkezésére. A 29-es Munkacsoportnak a Rendelettervezettel kapcsolatos Véleménye[8] javasolja, hogy a "one-stop-shop" alapelve ne legyen alkalmazható a nem az EU-ban letelepedett adatkezelő által végzett adatkezelési tevékenységekre, ha az termékeknek vagy szolgáltatásoknak az EU-ban lakóhellyel rendelkező érintett személyek számára való nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódik - ebben az esetben bármely érintett tagállam adatvédelmi hatósága járhasson el. A szabályozási irány előremutató, a gyakorlatban azonban számos adatkezelő akad majd, akiknél nehéz lesz megállapítani a "fő szervezet" helyét. A "fő döntések" meghozatalára, illetve a "fő adatkezelési tevékenységek" elvégzésére ugyanis nemzetközi cégcsoportok esetén nem feltétlenül csak egy országban kerül sor. Ezen túlmenően "one-stop-shop" által elért adminisztrációs előnyök mellett még mindig hiányzik a Rendelettervezetből, hogy támogassa azt a multinacionális vállalatok működését és jogszabályi megfelelőségét jelentősen megkönnyítő megoldást, miszerint cégcsoport is minősülhet egy adatkezelőnek.
A Rendelettervezet a Hatályos Irányelv hozzájárulás-fogalmát a következők szerint szigorítja: hozzájárulás "az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok kezeléséhez". A legfontosabb újítás, hogy a hozzájárulásnak "kifejezettnek" kell lennie. Ez a megközelítés az európai adatvédelmi gyakorlatban folyamatos viták tárgya, különösen az online környezetben végzett
61/62
adatkezelések során kért, illetve a cookie-k elhelyezéséhez a 2002. július 12-i 2002/58/EK Irányelv ("e-Privacy Irányelv") 5. § (3) alapján szükséges hozzájárulások módjával kapcsolatban. A kérdés a Rendelettervezettel kapcsolatban is változatlan: milyen megoldásokkal lehet biztosítani a "kifejezett" hozzájárulás beszerzését, úgy, hogy a jogszabályi megfelelőség is biztosítva legyen, de az érintett személyek számára is könnyen használható, felhasználói élményüket nem romboló hozzájárulási lehetőség álljon rendelkezésre? Fontos rendelkezés továbbá, hogy a hozzájárulás nem teremt jogalapot az adatkezelésre, ha "jelentős egyenlőtlenség"[9] áll fenn az érintett és az adatkezelő helyzete között. A gyakorlatban vélhetően ilyen lehet például a munkáltató-munkavállaló közötti viszony, vagy a vállalkozás-fogyasztó viszony, viszont megfelelően részletezni kellene a Rendelettervezet véglegesítése során, hogy pontosan milyen esetkörökben alkalmazandó ez a kivétel. Az egyes tagállamok eltérő adatvédelmi kultúrája miatt ugyanis fennáll a veszélye, hogy a különböző tagállami értelmezések jogbizonytalansághoz, és ezzel végső soron a Rendelettervezet céljának meghiúsulásához vezetnek. A hozzájárulás követelményének szigorításával nő az adatgazdák ellenőrzési joga, ugyanakkor jelentős compliance és IT költségek merülnek fel az adatkezelők számára, mivel a korábbinál szélesebb körben kell kifejezett hozzájárulást beszerezni és archiválni, valamint sokszor esetről-esetre vizsgálni a hozzájárulás jogszerűségét.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás