Az Európai Unió adatvédelmi reformja folyamatban van, melynek egyik fontos állomásáról közel egy éve már mi is jelentettünk.
A Statewatch polgárjogi szervezetnek köszönhetően idén december elején került nyilvánosságra egy európai adatvédelmi rendelet tervezete, amelyet bizottsági szinten eredetileg 2012. január 25-én terveztek közzétenni és ami az immár elavult 95/46/EK számú adatvédelmi irányelvet hivatott felváltani. A rendelet elfogadásának célja a magasabb harmonizáció, illetőleg koherens általános európai adatvédelmi szabályozás megteremtése. A rendeleti forma választása folytán az adatvédelmi jog közvetlenül hatályosulna az egyes tagállamokban, ami tényleges teljes harmonizációt eredményezne az EU adatvédelmi szabályozásában.
A rendelettervezetet meghaladóan a GD Justice egy irányelv tervezetét is elkészítette, ami rendőrségi és igazságügyi adatkezelésekkel kapcsolatosan rögzítene harmonizált adatvédelmi szabályokat az Európai Unió területén. A rendelet- és az irányelvtervezet még jelenleg is konzultációs szakaszban van.
Az általános adatvédelmi rendelet megtartja az adatvédelmi irányelv bevált szabályozási megoldásait, azonban komoly, lényegi változásokat helyez kilátásba, melyek közül az alábbiakat emeljük ki:
– a rendelettervezet értelmében az EU adatvédelmi jogának alkalmazása/hatálya az adatalanyokhoz is kötődne. Az EU adatvédelmi joga ugyanis abban az esetben is irányadó lenne egy adatkezelésre, amennyiben azt nem egy adatkezelő EU-ban található telephelye tevékenységeinek keretében végzik (lásd irányelv 4. cikk (1) bekezdés) a)), azonban az adatkezelés EU-ban található adatalanyok személyes adataira irányul vagy ilyen adatalanyok magatartásának megfigyelésére szolgál;
– adatkezelők / adatfeldolgozók az EU teljes területén azonos adatvédelmi szabályoknak lennének alávetve; amennyiben egy adatkezelő /adatfeldolgozó több tagállamban letelepedett, úgy ebben az esetben az adatkezelő /adatfeldolgozó központi letelepedési helye szerinti adatvédelmi hatóság felügyelne valamennyi más EU tagállam területén megvalósuló adatkezelési / adatfeldolgozási cselekményt;
– különleges személyes adatok fogalmát kiterjesztik biometrikus és humángenetikai adatokra is;
– a hozzájárulás fogalmának meghatározásába belefoglalnák a „kifejezettség” (explicit) követelményét az „egyértelműség” (unambiguous) helyett, ami ezáltal az ún. hallgatólagos beleegyezést (implied consent) jogalapként a jövőben nem fogadná el;
– a tervezet magába foglalja a „felejtés jogát” (right to be forgotten), ami a személyes adat törlésére vonatkozó követelmények részletes szabályozását jelenti;
– a rendelettervezet bevezeti a felelősség elvét; továbbá a beépített adatvédelem követelményeit (privacy by design és privacy by default) is rögzítené;
– közös adatkezelők egyetemlegesen felelnének a rendeletben rögzítendő követelmények betartásáért, amennyiben nem szabályozzák szerződésben egymás irányába a kapcsolatukat;
– rendelettervezet a rendkívüli költségeket és adminisztratív terheket okozó adatvédelmi nyilvántartási / bejelentési kötelezettségeket megszüntetné. Az illetékes adatvédelmi hatóság részére történő bejelentési (ún. konzultációs) kötelezettséget olyan szűk körben tartaná fenn, amennyiben adatvédelmi hatásvizsgálat alapján az adatkezelő különleges kockázatokat azonosít. Engedély (prior authorization) csak külföldi adattovábbításhoz és abban az esetben lenne szükséges, amennyiben ún. ad hoc szerződési feltételek útján történik adattovábbítás vagy amennyiben valamely külföldi hatóság vagy bíróság írná elő az adattovábbítást.
– a rendelettervezet bevezeti az általános adatsértési értesítés kötelezettségét, ami az e-Privacy irányelv 2009-es módosításából ismert. Személyes adatok kezelésének megsértése esetén haladéktalan, de legkésőbb 24 órán belül teljesítendő értesítést ír elő a rendelettervezet az illetékes adatvédelmi hatóság, továbbá az érintett adatalanyok felé is;
– adattovábbítások vonatkozásában (szemben az új magyar adatvédelmi törvénnyel) a rendelettervezet elismeri a kötelező erejű vállalati szabályokat, mint adattovábbítási mechanizmust;
– 250 főnél több munkavállalót foglalkoztató adatkezelőknek és a közszférához tartozó adatkezelőknek kötelező lesz belső adatvédelmi felelős kinevezése;
– a rendelettervezet rendelkezéseinek megsértése esetére rendkívül szigorú, akár a jogsértő vállalat világszintű forgalmának 5 %-ig terjedő bírság kiszabását teszi lehetővé;
– a 29. cikk szerinti adatvédelmi munkacsoportot átkeresztelnék “Európai Adatvédelmi Testület”-re (European Data Protection Board), ami komoly szerepet kapna az EU-adatvédelmi szabályok végrehajtásában és az európai nemzeti adatvédelmi hatóságok közötti kooperációban.
Megjegyzendő, hogy bizonyos esetekre nézve – ideértve különösen a munkavállalói személyes adatok kezelését és egészségügyi célú adatkezeléseket – a rendelettervezet lehetővé teszi a tagállami jog érvényesülését, továbbá tagállami jog alapján lehetővé teszi az érintett jogainak korlátozását is. A rendelet ezt követően számos jogalkotói felhatalmazást tartalmaz az EU Bizottság részére.
A rendelettervezet hozzáférhető a következő cím alatt:
http://www.statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf