Maksó Bianka[1]: A hazai adatvédelmi jogi környezet mai állapotához vezető főbb jogharmonizációs lépések, különös tekintettel a külföldi adattovábbítás szabályaira* (JURA, 2016/1., 239-244. o.)

1. Bevezető gondolatok

Az Európai Unió mint eredendően gazdasági integráción alapuló együttműködés fejlődése mára egyre inkább a széles körű jogi szabályozás irányába halad. A jogközelítés igénye azonban nem korunk kihívása, hanem az eredményes együttműködés záloga már az integráció kezdetétől. Ebben a tanulmányban azt igyekszem bemutatni, hogy hazánk a jogközelítés az általános adatvédelem,[1] különösen a külföldi adattovábbítás területén milyen lépéseket tett meg a csatlakozási folyamat megindulásától napjainkig. A fejlődési folyamat fontosságát tanúsítja az is, hogy a Lisszaboni Szerződéssel elsődleges jogforrási szintre[2] emelték a személyes adatok védelmét deklaráló szabályokat.

2. Jogharmonizáció, kiemelten az adatvédelem területén

2.1 A jogharmonizáció történeti jellemzői és napjaink tényei

A XIX. századi jogfejlődés eredményeként a jog nemzetivé vált, ez volt "a nemzeti magánjogi kodifikációk dicsőséges időszaka."[3] Az 1940-es évek végétől, elsősorban a gazdasági és kereskedelmi jog területein, a jogegységesítés iránti igény hirtelen megélénkült. Az első ilyen törekvés a Benelux államok 1943. évben elkezdődő, és 1958-ban az EGK-ba beleépülő eredményei. A Közösség jogharmonizációs igénye már az integráció első éveiben megjelent a jog-összehasonlítás gyakorlati igényének támogatásaként.

A tagállamok és a Közösség intézményei között komplex kapcsolatrendszer alakult ki a jogalkotás és a végrehajtás vonatkozásában,[4] csak úgy, mint az egymás mellett párhuzamosan érvényesülő, ugyanakkor a közösségi jognak primátust biztosító[5] közösségi és nemzeti jog között. Az egymás mellett érvényesülő jogrendszerek és jogalkalmazások azonban az egyre szélesebb körű, mélyebb gazdasági integráció és a négy alapszabadság általános érvényesülése[6] felé vezető úton bizonyos egységesség, egyenértékűség, azonos értelmezés igényét hívták életre az egyre több területre kiterjedő szupranacionális jogi szabályozás körében. Így a nemzetek fölött álló szervezet a jogalkotással támogatta a szorosabb kapcsolat kialakítását a tagállamok között.

A jogharmonizáció a jogrendszerek közötti különbségek mérséklésére, közelítésére vagy egyenértékűségek kialakítására irányuló folyamat.[7] Az Európai Unió keretei közötti jogharmonizáció az a minden tagállamában - és a tagjelölt országokban is - folyamatosan végrehajtandó általános és különös intézkedések összessége, jellemzően jogalkotási tevékenység, amelynek célja a tagállami jogi környezet az Európai Unió jogával való összeegyeztethetőségének maradéktalan kialakítása. Jogalapjának az ún. általános belső piaci jogharmonizációs klauzula[8] tekintendő, több más utaló szabály mellett az egyes szakpolitikák és ágazatok szabályozására is tekintettel. A tagállamoknak a csatlakozás előtt - a tagfelvételhez - és azt követően folyamatosan fennáll az a kötelezettségük, hogy "elősegítsék az Unió feladatainak teljesítését, valamint tartózkodjanak minden olyan intézkedéstől, amely veszélyeztetheti az Unió célkitűzéseinek megvalósítását."[9] A jogharmonizációs folyamatok és a jogszabályok közelítése is olyam mértékben kívánatos, amennyiben azt a belső piac akadálymentessége megköveteli.[10]

A szupranacionális szervezet általános eszközévé az irányelvi jogalkotás vált, amely a deklarált célok elérését a címzett tagállam kötelezettségeként állapítják meg, a cél elérésének eszközét és formáját a tagállam maga határozhatja meg.[11] Eredményeként a tagállami jogrendszer módosul a rendes nemzeti jogalkotási rendben az annak megfelelő jogforrási típus alkalmazásával. A jogharmonizáció célja tehát nem egységes jog kialakítása, hanem a jogközelítés és a nagyobb különbségek megszüntetése oly módon, hogy a hármas követelmény-rendszer maradéktalanul teljesül, azaz általános, kötelező és effektív az a nemzeti jogforrás, amely útján az irányelvekben deklarált célok implementálása megtörténik.[12]

Tekintettel arra, hogy a rendeletek viszont közvetlen hatállyal bírnak és közvetlenül alkalmazandóak, így esetükben deregulációs feladatok, vagy a nemzeti szintű - a szubszidiaritás elvével összhangban - végrehajtási típusú jogalkotási feladatok válhatnak szükségessé. A határozatokból eredő jogalkotási feladatok az egyes irányelvek végrehaj-

- 239/240 -

tását megvalósító bizottsági határozatok, jellemzően a mezőgazdaság, a környezetvédelem vagy az uniós statisztikai szabályozás területén észlelhetőek.[13]

A jogharmonizációs kötelezettségek elmulasztása vagy nem megfelelő teljesítése következtében lefolytatandó kötelezettségszegési eljárások illetve egyéb jogkövetkezmények - például kényszerítő bírság, egyes alapokból lehívható támogatás korlátozása, megvonása - a nemzeti jogalkotási feladatok időben és megfelelő módon történő teljesítésével elkerülhetőek. Ezen feladatok ütemezése a nemzeti és az uniós jogalkotással párhuzamosan, komplex programrend szerint zajlik az Európai Unió jogának való megfelelés érdekében szükséges jogszabály-előkészítési feladatok teljesítéséről szóló 302/2010. (XII. 23.) Korm. rendelet rendelkezéseinek betartásával.

2.2 Jogharmonizáció az adatvédelmi jogi környezetben

A legtöbb nemzetközi emberi jogi dokumentum[14] nevesített alapjogként tételezi a magánélet illetve hallgatólagosan vagy kifejezetten a személyes adatok védelméhez való jogot. Az Európai Unióról Szóló Szerződés[15] 6. cikke úgy hivatkozik az Alapjogi Chartára[16] mint az emberi és alapvető jogok gyűjteményére. Rendelkezései, így 7. és 8. cikke a magánélet- és személyes adatok védelmére vonatkozóan is normatívak, immár elsődleges jogforrási szinten. Az EUMSZ. 16. cikke elsődleges szintű jogforrásként deklarálja a személyes adatokhoz védelméhez való jogot.

A másodlagos jogforrási szintű adatvédelmi szabályozása több területre osztható:[17] i) általános adatvédelem ii) az unió intézményeire irányadó adatvédelem iii) adatvédelem az elektronikus szektorban iv) szektorális adatvédelem pl. bűnügyi adatok vonatkozásában vagy az elektronikus kommunikáció és hírközlési ágazatban, azonban jelen tanulmányban csak az általános védelem szabályanyagát vizsgálom.

A személyes adatok általános védelme jogi kereteinek jogharmonizációs folyamata a 95/46/EK irányelv (adatvédelmi irányelv) megalkotásával kezdődött meg. A jogterületet általánosságban szabályozó jelenleg hatályos irányelvet 1995-ben fogadták el, melynek szükségességét az (56) preambulumbekezdésben rögzítettek szerint a nemzetközi kereskedelem bővülése is igényelte azon túl, hogy számos szakpolitika sikeres végrehajtásának előfeltételévé is vált a jogszerű adatkezelés és adattovábbítás.[18] A tagállamoknak az ezen irányelvet átültető nemzeti intézkedések hatálybalépésétől számított legfeljebb hároméves időszakot lehetett engedélyezni a teljes megfelelés biztosítására.[19] Tekintettel hazánk 2004. évi csatlakozására, az egyes irányelvek implementálásának határidejét a Magyar Köztársaság jogharmonizációs programja tartalmazta a törvényalkotás általános szabályainak megfelelő eljárásban.[20]

Kiemelendő, hogy hazánk a személyes adatok védelme vonatkozásában példaértékű és a térségben egyedülállóan korán[21] törvényi szintű szabályozást dolgozott ki az 1992. évi LXIII. törvény (a továbbiakban: Avtv.) rendelkezéseivel, így a 2002. évi az Európai Bizottság által készített országjelentés[22] már a jogközelítés befejezéséről szólt. Megjegyzendő, hogy hazánk jogalkotása már a csatlakozási folyamat előtt is figyelemmel volt a nyugat-európai szabályozási tendenciákra,[23] a jogharmonizációs folyamatokban pedig a közösségi jog egyoldalú átvétele jellemezte intézkedéseit.[24]

Hazánk jogharmonizációs kötelezettségének az Avtv. 1999-től kezdődően több lépésben, kiemelten a 2004. január 1. napjával valamint 2005. június 1. napjával hatályba lépő módosított szövegével tett eleget. A legjelentősebb módosítások a következők:

- a törvény hatályának deklarálása,

- a különleges adat, az adatállomány és a nyilvántartó rendszer fogalmának pontosítása,

- jogszerű adatkezelés lehetőségeinek szélesítése,

- a tiltakozás lehetőségének bevezetése,

- adatkezelési jogalapok pontosítása,

- az automatizált egyedi döntéssel kapcsolatos szabályozás bevezetése.

A jogharmonizációs céllal módosított jogszabály záró rendelkezései a jogharmonizációs záradékban rögzítették az irányelvnek való megfelelés tényét.

A jogharmonizáció stílusa totálisnak tekinthető, az irányelv nagyon csekély[25] mozgásteret hagyott a tagállami jogalkotó számára a szabályozás kialakításában, a részletes, esetenként szigorúbb rendelkezések elfogadására. Egyik ilyen jellemző eltérés az adatkezelés fogalma vonatkozásában tapasztalható: a magyar szabályozás elkülöníti az adatkezelés és az adatfeldolgozás fogalmát, amely az uniós jogban összeolvad, csupán terminológiai a különbség. Az irányelv által biztosított további eltérés lehetősége megjelenik a különleges adatok kezelése, a nemzeti azonosító szám és a történelmi, statisztikai vagy tudományos célokra történő további felhasználása vonatkozásában.[26]

A 2011. évi CXII. törvény (a továbbiakban: Infotv.) - amely az Avtv-t váltotta fel - a harmonizált szabályokat megőrizve további rendelkezéseket tartalmaz a szektorális adatvédelmi irányelveknek való megfelelés körében: a környezeti információkhoz való nyilvános hozzáférés, a közszféra információinak további felhasználása és a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelmének tárgyában született irányelvek vonatkozásában.[27]

- 240/241 -

Az adatvédelmi jogharmonizáció egy negatív hozadéka a hazánkkal szemben lezajlott kötelezettségszegési eljárás. Magyarország 2012. január 1. napjával az adatvédelmi biztos intézményét felváltó független hatóságot állított a személyes adatok védelmén való őrködés céljából: a Nemzeti Adatvédelmi Információszabadság Hatóságot. Hazánk az adatvédelem területen mutatott példaértékű rendszerében - az ombusdman-like jellegű intézményrendszer kialakítása és működtetése - ezen intézkedését - t.i. az adatvédelmi biztos intézményének megbízatási idejének lejárta előtti megszűntetését és helyére a Hatóság felállítását és elnökének más személy kinevezését - az Európai Unió Bírósága ellentétesnek találta az uniós joggal.[28] A Bíróság szerint a függetlenség mint kulcsfontosságú jellemző akkor tartható tiszteletben, ha a megbízatás eredetileg megállapított időtartamát annak leteltéig tiszteletben tartják. Megállapítást nyert, hogy a biztos megbízatása a törvényben rögzített megszűnési okok egyikére sem illett rá.

Az az objektív tény, hogy az adatvédelmi felügyelet modellváltáson, újraszervezésen[29] ment keresztül, nem indokolta a függetlenségi követelmény, így a megbízatási időtartam tiszteletben tartásának ilyen formán történő megsértését.

3. Harmonizáció a külföldi adattovábbítás körében

A személyes adatok általános védelmének körében a külföldi adattovábbítás szabályainak alapjaiban való módosítása vált szükségessé hazánk jogharmonizációs kötelezettségei teljesítése körében, hiszen a megfelelő védelem biztosítása mellett a korlátozásmentes szabad áramlás is elvárássá vált.[30]

A harmonizáció előtti mindösszesen egyetlen paragrafus egyetlen bekezdése: ["9. § Személyes adat az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi, feltéve hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek."] számos újabb szabállyal egészült ki a külföldi adattovábbítás megkönnyítése érdekében.

2004. január 1. napjától az alábbi változások léptek hatályba az első nagy módosítási-bumm eredményeként: i) a különleges adatot is beleértve kell teljesülnie a szabályoknak, ii) a harmadik országba történő továbbítás feltétele, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosítson az átadott adatok kezelésekor.

2004. május 1. napjától került deklarálásra a törvény hatályát is (újra)értelmező rendelkezés, azaz hogy az Európai Unió tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor. A harmonizált jogi környezet előirányozta, hogy a tagállamokon belüli adattovábbítás az országon belüli továbbításnak tekintendő. Egyértelmű rendelkezés került tehát beiktatásra arra vonatkozóan, hogy Európai Gazdasági Térség tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha az ország területén belüli adattovábbításra kerülne sor.

A jogalapok tekintetében az érintett hozzájárulása, valamint a törvény által biztosított eset - illetve a törvény egyes időállapotaiban[31] nemzetközi szerződés alapján biztosított lehetőség - további konjunktív feltételeként megjelent a megfelelő védelmi szint követelménye a 2005. június 1. napján hatályba lépett törvénymódosítás szövegében. A megfelelő védelmi szint a harmadik országok megkülönböztető jellemzője, fogalmát nem tartalmazza egyetlen nemzeti vagy uniós jogforrás sem. Az Európai Bizottság az adatvédelmi irányelv 31. cikke szerinti hatásköre, hogy komitológiai eljárás keretében megállapítsa, hogy harmadik ország megfelelő védelmi szintet biztosít-e vagy sem.[32] "A "megfelelő védelmi szint" kifejezést úgy kell érteni, mint amely megköveteli, hogy e [az USA] harmadik ország - belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján - az Unióban a Chartával összefüggésben értelmezett 95/46 irányelv által biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok számára. [...] azok az eszközök, amelyeket a harmadik ország az ilyen védelmi szint biztosításához e tekintetben igénybe vesz, különbözhetnek azoktól az eszközöktől, amelyeket [...] az Unióban alkalmaznak, ezen eszközöknek a gyakorlatban mégis hatékonynak kell lenniük ahhoz, hogy az Unióban biztosított védelemmel lényegében azonos védelmet biztosítsanak"[33]

A 2005. évi módosítás indokolása rámutatott arra is, hogy a nemzetközi jogsegélyek teljesítésével összefüggő adattovábbítási szabályokat is rendezni szükséges, mivel bizonyos országokba jogsegély nem teljesíthető a megfelelő védelmi szint hiánya miatt. Az indokolás rögzíti továbbá, hogy az ilyen országokra vonatkozó uniós aktusokra utaló hivatkozást "a törvény egyszerű többséggel elfogadandó, záró rendelkezései között célszerű elhelyezni."

Az Infotv. tartalmában csupán kissé módosult az Avtv. utolsó hatályos időállapotában hatályos szabályokhoz képest a megfelelő védelmi szint kérdésében. A nemzetközi jogsegély biztosíthatóságának szabálya az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződések esetével bővült.

A megfelelő védelmi szint biztosítottnak tekintendő, ha i) Európai Unió, az Avtv-ben még Európai Bizottság, kötelező jogi aktussal deklarálja azt ii) az érintett jogait és az adatkezelés jogalapját

- 241/242 -

teljes körűen biztosító nemzetközi szerződés esetén. A harmadik esetkör, hogy az adatkezelés szabályainak ismertetésével igazolt a megfelelő védelmi szint, ma már nincs hatályban. Az unió gyakorlatára és a piaci szféra igényeire reagálva azonban a kötelező szervezeti szabályozás útján a 2015. október 1. napján hatályba lépő rendelkezések biztosítanak további lehetőséget a megfelelő védelmi szint biztosítására. Megjegyzendő, hogy ezen megoldás kizárólag az adatkezelő vagy adatkezelők csoportja számára, de nem a harmadik ország vonatkozásában biztosítja a megfelelő védelmi szintet. A kötelező szervezeti szabályozás[34] olyan önkéntesen elfogadott magatartási kódex,[35] "adatvédelmi szabálycsomag"[36] amely lehetővé teszi multinacionális gazdasági társaságok, cégcsoportok számára, hogy a saját belső szabályrendszerükben lefektetett rendelkezéseket - érvényesíthető jogokat - és elveket betartva a cégcsoporton belül személyes adatokat külföldre továbbítsanak és a harmadik országban lévő cégcsoporti tag adatkezelése megfeleljen az Európai Unió adatvédelem körében született kötelező erejű aktusai rendelkezéseinek, azaz biztosítsa a megfelelő védelmi szintet.

Kivételként rögzíti az Infotv. az alábbi esetet: ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt megfelelő védelmi szint hiányában is továbbíthatóak külföldre személyes adatai.[37]

4. A jogharmonizáción túl - záró gondolatok

Az Európai Unió adatvédelmi szabályai, különösen a külföldi adattovábbítás esetén, extraterritoriális jogalkotásnak tekinthető, még ha hatályában nem is, de hatásában mindenképpen.[38] Legjobb példa erre[39] a megfelelő védelmi szint és a kötelező szervezeti szabályozás bevezetése, hiszen mintegy az uniós adatvédelmi politika és szabályozás exportja, válnak kötelezővé az adatvédelmi standard betartását célzó intézkedések szerte a világon multinacionális vállalatok mindennapi adattovábbítási gyakorlatában.

Az országhatároktól független, azonos jogokat és védelmet biztosító jogi és technológiai környezet igénye nemcsak a jogalkotó, hanem az egyének szintjén is megjelenik. Az Eurostat legfrissebb 2015 tavaszán végzett felmérése[40] szerint a megkérdezettek 89% százaléka tartja fontosnak, hogy joghatóságtól függetlenül ugyanazon jogok és védelem illesse meg őket személyes adataik kezelése kapcsán.

Az USA vonatkozásában létrehozott "Safe Harbour" feltételeket az Európai Bíróság C-362/14. számú ügyben[41] meghozott határozatával érvénytelennek nyilvánította, amely újabb bizonyítéka,[42] hogy az európai szigorúbb szabályozásnak ki kell terjednie az uniós polgár érintettek adatkezelésére függetlenül az Európai Unió fizikai határaitól. Elvi éllel rögzíti,[43] hogy a felügyelő hatóságoknak jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy a harmadik országokba történő adattovábbítások során tiszteletben tartják-e az említett irányelvben támasztott követelményeket, nem rendelkeznek azonban hatáskörrel arra, hogy maguk állapítsák meg a megfelelő védelmi szint fennállását deklaráló uniós jogi aktus érvénytelenségét. Kimondta továbbá a Bíróság, hogy a Chartában foglalt alapjogokat sérti az olyan szabályozás, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, illetve amely nem biztosít a jogalany számára semmilyen jogorvoslati lehetőséget.

Ami a jogharmonizációs kötelezettségen túlmutat az maga a tény, hogy az ún. Általános Adatvédelmi Rendelettervezet a harmadik olvasaton is túl van az uniós társjogalkotók asztalán.[44] A jelentőségét az adja, hogy a jelenleg irányelvi szabályozást rendeleti szintű szabályozás válthatja fel. A rendelet általános hatállyal bíró jogi aktus, amely kötelező és közvetlenül alkalmazandó[45] valamennyi tagállamban. Külön nemzeti jogalkotás nélkül, közvetlenül érvényesül jogforrási természeténél fogva. Ennek a ténynek két jelentős következménye lesz: egyrészt tilos a nemzeti jogba való átültetése, másrészt érvényesül a záróhatás. A tagállam az uniós jogforrás hatályba lépésével kvázi lemond jogalkotási szuverenitásáról, így szükséges lehet a hatályos jogszabályok hatályon kívül helyezése is. Ezzel azonban jogfejlesztő kötelezettsége is

- 242/243 -

keletkezik az Uniós jogalkotónak,[46] amely a rohamos technológiai fejlődés miatt - így a külföldi adattovábbítás, a felhő technológia és a forum shopping elveket szem előtt tartó szerver-telepítések valamint a WEB2 elterjedése okán is - kiemelt feladat. Ezt igyekszik ellensúlyozni az a jogalkotási tendencia, amely az adatvédelmi szabályozás új generációját[47] keltheti életre: az érintetti, egyébként kevéssé érvényesíthető jogok gyarapítása helyett az adatkezelők önilletve társszabályozását támogatja.[48] Ezzel a cselekvés lehetőségét és/vagy kötelezettségét a jogviszony másik résztvevőjére helyezi át.[49] Érdekeltté teszi az adatkezelőt saját adatvédelmi szabályok létrehozására, például kötelező szervezeti szabályozás alkalmazására, ezzel biztosítva az érintett jogait, jogvédelmét, személyes adatainak hatékony védelmét. ■

JEGYZETEK

* A kutatómunka a Miskolci Egyetem stratégiai kutatási területén működő Mechatronikai és Logisztikai Kiválósági Központ keretében valósult meg.

[1] Az általános jelző itt azt a célt szolgálja, hogy jelen tanulmány tárgyát lehatárolja; jelen tanulmánynak nem tárgya a szektorális adatvédelmi szabályozás, pl. banki adatok továbbítása szabályozása, harmonizációjának vizsgálata.

[2] Ld. Európai Unió Alapjogi Charta 7. és 8. Cikke, Hivatalos Lap C 83, 2010. Március 30. valamint az EUMSZ. 16. cikke HL C 326., 2012.10.26., 47-390. o.

[3] Kecskés László: EU-JOG és harmonizáció, HVG-ORAC Lap- és Könyvkiadó Kft., Budapest 2009. 430-436. o.

[4] Az Európai Unió és a tagállamok hatalmi ágak szerinti differenciált munkamegosztása mint közigazgatástani fogalom szerinti értelmezéséről és elemzéséről lásd bővebben: Torma András: Hét tézis az EU és a tagállamok közigazgatása közötti kapcsolatról, Publicationes Universitatis Miskolciensis Series Juridica Et Politica 29:(2) pp. 313-332. (2011) vagy Közigazgatási Jog IV. Európai Közigazgatás (Szerk. Dr. Torma András) Miskolci Egyetemi Kiadó, Miskolc 2013

[5] Kecskés: 2009 575. o.

[6] Ismert példa a C-2/74. Reynes-ügyben (Határozatok Tára 1974 00631) az önálló vállalkozó meghatározása a letelepedés szabadsága körében.

[7] Kecskés: 2009, 430-436. o.

[8] EUMSZ 114. Cikk HL C 326., 2012.10.26., 47-390. o.

[9] http://eujog.im.kormany.hu/jogharmonizacios-ugyek-intezese [2016. január 15.]

[10] Horváth Zoltán: Kézikönyv az Európai Unióról, HVG-ORAC Lap- és Könyvkiadó Kft, Budapest 2011. 217-218. o.

[11] Osztovits András (Szerk.): EU-jog, HVG-ORAC Lap- és Könyvkiadó Kft., Budapest 2012. 211-220. o.

[12] Horvát: 2011. 218-219. o.

[13] http://eujog.im.kormany.hu/jogharmonizacios-ugyek-intezese [2016. január 15.]

[14] EJENY és EJEE a magánélet védelmét nevesítik, a PPJNE a magánélet elleni jogtalan támadást tiltja.

[15] Az Európai Unióról szóló szerződés egységes szerkezetbe foglalt változata, Az Európai Unióról szóló szerződés, HL C 83., 2010.3.30., 361-366. o.

[16] Az Európai Unió Alapjogi Chartája, Hivatalos Lap C 83, 2010. Március 30.

[17] Dr. Oros Paulina - Dr. Szurday, Kinga: Európai Füzetek 35.: Adatvédelem az Európai Unióban - Szakmai összefoglaló a magyar csatlakozási tárgyalások lezárt fejezetiből, A Miniszterelnöki Hivatal Kormányzati Stratégiai Elemző Központ és a Külügyminisztérium közös kiadványa, Budapest 2003. 6. o.

[18] Osztovics András (Szerk.): Az Európai Unióról és az Európai Unió Működéséről Szóló Szerződések Magyarázata 2., Complex Kiadó Jogi és Üzleti Tartalomszolgáltató Kft., Budapest 2011. 977. o.

[19] 95/46/EK irányelve 32. Cikk (1) bekezdés, Hivatalos Lap L 281, 23/11/1995 o. 0031-0050. o.

[20] A jogharmonizáció Magyarországon http://www.parlament.hu/biz37/eib/link1/jogharm.htm [2015. november 24.]

[21] Az első adatvédelmi törvények Svédországban 1973. évben és az USA-ban 1974. évben születtek meg, míg Lengyelországban 1997. évben, Romániában 2001. évben, Szlovákiában 2002. évben.

[22] Az európai bizottság éves jelentése: Magyarország előrehaladásáról a tagság felé, 2002. Www.eski.hu/new3/eucsat/eu/2002/2002hu.doc [2015. November 2.]

[23] Várnay Ernő, Papp Mónika: Az Európai Unió joga, KJK -KERSZÖV Jogi és Üzleti kiadó Kft., Budapest 2005. 533. o.

[24] I.m. 537. o.

[25] Oros-Szurday:2003. 14. o.

[26] 95/46/EK irányelve 6. Cikk (1) bekezdés b) pont; 8. Cikk (1) és (7) bekezdések

[27] Ezen szektorális adatkezelésekre vonatkozóan külön jogszabályok vannak hatályban, például: 2009. évi XLVII. törvény a bűnügyi nyilvántartási rendszerről, az Európai Unió tagállamainak bíróságai által magyar állampolgárokkal szemben hozott ítéletek nyilvántartásáról, valamint a bűnügyi és rendészeti biometrikus adatok nyilvántartásáról,

[28] C-288/12. sz. ECLI:EU:C:2014:237

[29] Az unió több tagállamában hatósági forma működik (görög, dán, finn, francia, portugál, spanyol hatóságok ..etc. ), noha az adatvédelmi irányelv nem deklarálja a forma kialakítását, csupán a függetlenségi követelményt írja elő.

[30] Megjegyzendő, hogy a külföldi adattovábbítás fogalmának rendezésére a Lindquist-ügy (C-101/1.) óta sem került sort, az azonban állítható, hogy személyes adatok internetre felöltése nem minősül annak.

[31] Például a 2004.V.1. - 2005.V.31. között

[32] Csatlakozásunk előtt Magyarországról is megállapította mégpedig Svájccal együtt elsőként a megfelelő védelmi szint meglétét, jelenleg például Andorra, a Feröer-szigetek, Argentína, Svájc, Guernsey, Man-sziget, Kanada tartozik e körbe.

Bővebben:

https://secure.edps.europa.eu/EDPSWEB/edps/site/mysite/pid/71 [2015. November 2.] Az USA vonatkozásában a 2000/520 Bizottsági határozat szerinti biztonságos kikötő elvek és a gyakran felvetőtő kérdések mint kötelező mellékletként csatol útmutató szabályozta e jogterületet.

[33] C-362/14. Ítélet 73. pontja, amely a főtanácsnoki indítványt idézi valamint a 74. pontja. ECLI:EU:C:2015:650

[34] A jogszabályi fogalom: Infotv. 3. § 25. pont.

[35] http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm [2016. február 23.]

[36] Európai Bizottság: Milyen előnyökkel jár az uniós adatvédelmi reform az európai vállalkozások számára? Http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/7_hu.pdf [2016. január 10.]

[37] A kivételek körét szélesebb körben határozza meg az Irányelv 25. cikk (2). bekezdése.

[38] Kuner Christopher: Extraterritoriality and Regulation of International Data Transfers in EU Data Protection Law, University of Cambridge Faculty of Law Research Paper No. 49/2015, Cambridge 2015

[39] Az alapjogok védelem fontossága tükrében az adatvédelmi irányelv különösen tágan vett hatályának értelmezéséről a Bíróság a C-131/12. Google Spain és Google ügyben foglalt állást az ítélet 54. pontjában. Az elektronikus EBHT-ban közzétették. ECLI:EU:C:2014:317

[40] A közdiagram forrása:

- 243/244 -

http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_eurobarometer_240615_en.pdf [2016. január 2.]

[41] Az érvénytelenséget az ítélet 106.pontja deklarálja. ECLI:EU:C:2015:650 Http://curia.europa.eu/juris/liste.jsf?Td=ALL&language=hu&jur=C,T,F&num=C-362/14. [2015. október 10.]

[42] Osztovics: 2011. 984. o.: Az Európai Parlament keresetében kérte a 2004/496/EK tanácsi határozat valamint 2004/535/EK bizottsági (megfelelési) határozat megsemmisítését. Indoka, hogy a PNR adatok az USA-ba történő továbbítása a közbiztonság fenntartása és a bűnüldözés, nem pedig a szolgáltatás nyújtás szabadsága és a belső piac működésének elősegítése, így az nem tartozik az adatvédelmi irányelv hatálya alá. A határozat tartalmát ebben az esetben sem vizsgálta a Bíróság, csupán a kiadás jogalapjának hiányában döntött a megsemmisítés mellett a C-317/04 és C-318/04 (EBHT 2005. I-2465, 2474) ügyekben.

[43] Az USA vonatozásában a légiforgalmi utas-adatok kezelésének és továbbításának kérdésben hasonló jelentőségű ítélet a C-317/04 és C-318/04. Sz. Egyesített ügyekben született. Határozatok Tára 2006 I-04721

[44] http://eur-lex.europa.eu/procedure/HU/2012_11?Qid=1448752434860&rid=1 [2016. február 23.]

[45] Irányelv közvetlen hatályára a GRAD-ügy ad iránymutatást, azonban az adatvédelem területén a megkívánt feltételek nem állnak fenn.

[46] Kecskés: 2009. 574. o.

[47] Szőke Gergely László: Az európai adatvédelmi jog megújítása - Tendenciák és lehetőségek az önszabályozás területén, HVG-ORAC Lap- és Könyvkiadó Kft., Budapest 2015. 30-52. o.

[48] I.m. 93-115. o.

[49] Ilyen alapállás váltást hozott a privacy by design és a privacy by default alkalmazása. A két fogalomról részletesen: http://www.naih.hu/adatvedelmi-szotar.html [2016. január 10.]