Új korszak köszönt be az adatkezelés terén
Két évvel ezelőtt született meg és a holnapi naptól válik hatályossá az Európai Unió összes tagállamában az Európai Uniónak az általános adatvédelemre vonatkozó rendelete. Szakértők szerint is a holnapi nappal új korszak köszönt be az adatkezelés terén, lévén hogy az általános adatvédelmi rendelet (GDPR) egyidejűleg válik hatályossá a tagállamokban és annak előírásai kötelező módon alkalmazhatók mindenik esetében. A rendelet tulajdonképpeni célja az adatvédelem megreformálása volt oly módon, hogy bárki egyértelmű és érthető tájékoztatást kapjon, amikor személyes adatait feldolgozzák.
[caption id="attachment_70032" align="aligncenter" width="960"] 21 év után gyökeres változás. Sok még a tisztázatlan részlet[/caption]
A jelenlegi adatvédelmi szabályok elfogadása óta eltelt több mint 21 évben létrejött új kommunikációs módok – mint például az online közösségi hálózati szolgáltatások – gyökeresen megváltoztatták azt, ahogyan az emberek személyes információkat osztanak meg egymással, miközben a felhő alapú számítástechnika azt jelenti, hogy több adatot tárolnak személyi számítógépek helyett távoli számítógépes szerverfarmokon. Jelenleg például Európában napi rendszerességgel 250 millió ember használja az internetet.
A most megjelent rendelet bár leegyszerűsíteni kívánja az adatvédelem és az adatkezelés témakörét, első látásra mégis bonyolultnak tűnik, s mondjuk ezt annak okán, hogy csupán a bevezető rendelkezések 170 bekezdést tesznek ki, s a mintegy 100 további cikkbe tömörített érdembeni előírások több mint feléhez komoly hatósági bírságolási jog is kapcsolódik. Egyébként a szabályozás több mint 88 oldalt ölel fel.
Az is igaz viszont, hogy az érdekelt/érintett entitásoknak volt idejük az általános adatvédelmi rendeletet áttanulmányozniuk, s az bárki számára hozzáférhető volt akár magyar nyelven is. Megemlítendő ugyanakkor az is, hogy hazai viszonylatban továbbra is érvényben maradnak az adatvédelemmel kapcsolatos különböző jogszabályok, amelyek között megemlíthetjük a 2001/677-es törvényt, a 2004/506-os törvényt, illetve az azt módosító 2012/13-as sürgősségi kormányrendeletet, továbbá a 2002/365-ös törvényt. Utalni kell arra is, hogy az adatkezelési elvek lényegében meg fognak maradni. Az pedig többek között azt is jelenti, hogy annak jogszerűnek, tisztességesnek és átláthatónak kell lennie. Érvényesülni fog továbbra is a célhoz kötöttség alapelve, azaz az adatokat csak meghatározott, egyértelmű és jogszerű célból lehet gyűjteni. Ebben az összefüggésben nyomatékolandó az is, hogy az adatkezelésnek meg kell felelnie a szükségesség-arányosság elveinek, ami azt jelenti, hogy egyetlen entitás sem gyűjthet, szerezhet be más, illetve több adatot, mint amire feltétlenül szüksége van. Ami pedig azok kezelését illeti, az csak addig lehetséges, ameddig azokra a bizonyos adatokra feltétlenül szükség van.
Azt talán mondanunk sem kell, hogy az adatkezelő köteles gondoskodni az általa begyűjtött, illetve a rendelkezésére álló adatok védelméről, és az adatkezelés során bármikor az adatvédelmi rendeletnek megfelelően kell eljárnia.
Kötelezettségek
A holnapi naptól alkalmazandó rendelet kiterjedt tájékoztatási kötelezettséget ró a vállalkozásokra. Az adatkezelőknek, az adatvédelmi tisztségviselőnek tájékoztatnia kell az érintetteket az elérhetőségeiről, az adatkezelés céljáról, jogalapjáról, időtartamáról, a személyes adatok kategóriáiról, a személyes adatok címzettjeiről, azok kategóriáiról, a harmadik országban történő esetleges adattovábbításokról, az érintett jogairól, a magas kockázattal járó adatvédelmi incidensekről, s mindezt átláthatóan, közérthetően, világosan és szabatosan. Ezen túlmenően az adatkezelőnek az adatkezelési tevékenységről nyilvántartást is kell vezetnie, illetve amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár, adatvédelmi hatásvizsgálatnak is készülnie kell.
Ugyanakkor megemlítendő az is, hogy az adatkezelési tevékenység nyilvántartására előírt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általuk végzett adatkezelés az érintettek jogaira és szabadságára nézve valószínűsíthetően kockázattal jár – ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésére.
Apropó „valószínűsíthető kockázat”: igen képlékeny ez a fogalom, s hazai viszonylatban máris felmerültek konkrét kérdések, például az, hogy az érettségi vizsgán elért eredmények személyes adatvédelmi előírás hatálya alá esnek-e, illetve hogy azok nyilvánosságra hozhatók-e? Egyelőre e tekintetben nincs érdembeni állásfoglalás, de már megfogalmazódtak olyan vélemények, miszerint igenis bizalmas adatként kezelendők, akárcsak az egyetemi vizsgákon elért eredmények, amelyekre vonatkozóan már érvényes a „bizalmas jelleg”.
Megemlíthetjük továbbá azt a rendelkezést is, amely szerint adatvédelmi hatásvizsgálatot kell végezni abban az esetben is, amennyiben természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése történik, amelyik automatizált adatkezelésen – ideértve a profilalkotást is – alapul, s amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek.
Hatósági szerepkör
Köztudott, hogy az uniós tagállamok mindenikében léteznek hivatalos szervek, azaz adatvédelmi szakhatóságok, amelyeknek megvan a maguk jól körülírt és törvény által meghatározott szerepkörük. Hazai viszonylatban ez a hivatalos szerv a Személyi Jellegű Adatok Feldolgozását Felügyelő Országos Szakhatóság (ANSPDCP), amely létrehozásáról, megszervezéséről és működéséről a 2005/102-es törvény rendelkezik.
Ezekre az adatvédelmi hatóságokra hárul azon állásfoglalások kibocsátása, hogy milyen követelmények érvényesülnek az egyes adatkezelések vonatkozásában, és ugyanakkor azok hivatottak az adatvédelmi incidensek kivizsgálására, illetve az adatkezelési tevékenység ellenőrzésére.
Amúgy az adatvédelmi incidensekről kötelező módon tájékoztatni kell az adatvédelmi hatóságot is, s amennyiben megállapítást nyer az általános adatvédelmi uniós rendelet előírásainak az áthágása, akkor igen borsos bírság is kiróható, el egészen 20 millió euróig terjedő összegig.
Hecser Zoltán