A személyes adatok Európai Unión belüli védelmének átfogó megközelítése

Az európai adatvédelmi irányelv (95/46/EK) felülvizsgálata hosszú ideje napirenden van. E folyamat 2010. november 4. napjával fontos állomásához jutott, mivel az Európai Bizottság ekkor tette közzé az európai adatvédelmi irányelv módosításával kapcsolatos koncepcióját.

A Bizottság szigorúbb jogérvényesítést, adatvesztések tényének kötelező közzétételét, az irányelv implementációjának egységesebbé tételét, továbbá adatvédelmi jogsértésekre tekintettel büntető szankciók kötelező alkalmazását javasolja és 2011-ben konkrét jogszabályi javaslatot kíván ezzel kapcsolatosan előterjeszteni.

A felülvizsgálatot számos körülmény indokolja, közöttük az, hogy az irányelv szövegét tizenöt éve, 1995-ben fogadták el, míg az adatkezeléssel kapcsolatos gyakorlatok azóta komoly változásokon estek át. Itt említendő az Internet tömegessé válása, az internetes keresők megjelenése, a tartalommegosztásra épülő Web 2.0: a közösségi oldalak térhódítása vagy akár a számítási felhők (cloud computing) alkalmazása. A nemzetközi adattranszferek pedig mindennapossá váltak, gyakorlatilag irrelevánsnak tekinthető az adat kezelésének fizikai helye, mivel ugyanazon szervezet egyidejűleg több országban található szerveren is tárol személyes adatokat.

A Bizottság legfontosabb törekvése, hogy a továbbiakban is fenntartsa az Európai Unió adatvédelemhez fűződő jog érvényesítésével kapcsolatos vezető szerepét, ami sikertörténetnek tekinthető, ugyanis világszinten az adatvédelmi, illetve magánélethez fűződő jogokkal kapcsolatos konvergenciát eredményezett. Itt említendő az Európai Emberi Jogi Egyezmény, továbbá a Lisszaboni Szerződéssel kötelező erejűvé vált Alapjogi Charta. Ez utóbbi 8. cikke önálló jogként nevesíti az adatvédelemhez való jogot és a végrehajtás felügyeletéről is rendelkezik. Az adatvédelemhez fűződő jog mégsem önállóan áll, hanem a digitális korszakban legalább olyan fontos véleménynyilvánítás szabadságával való összefüggésben kell azt szemlélni és megfelelő egyensúlyt kell teremteni a különböző, versenyző alapjogok között.

A Bizottság az Irányelvbe foglalt alapelvek fenntartásának és az alapjogok megfelelő érvényesítésének szükségességének elismerése mellett nem új Irányelvet kíván elfogadni, hanem a kor követelményihez kívánja igazítani annak rendelkezéseit, hangsúlyozva azt, hogy az Irányelv technológia semleges megközelítését fenn kell tartani. A Bizottság javaslatait az alábbiakban – pontokba szerve foglaltuk össze:

1. Az adatalanyok jogainak erősítése

1.1 A Bizottság az adatvédelmi irányelv fogalmainak koherens alkalmazását kívánja megerősíteni, mivel az irányelv fogalmainak rugalmas alkalmazása több esetben bizonytalansághoz vezetett, mind az adatalany jogok, mind pedig az adatkezelői kötelezettségek vonatkozásában.

1.2 Növelni szükséges az adatkezelési tevékenységek átláthatóságát, illetőleg meg kell teremteni annak kötelezettségét, hogy az adatalanyok részére a tájékozást egyértelműen és érthető, egyszerű nyelven adják meg, ideértve különösen a gyerekek személyes adataival kapcsolatos tájékoztatásokat. A Bizottság megfontolja a transzparencia elvének bevezetését, továbbá standard adatvédelmi tájékoztatók alkalmazásának lehetőségét.

1.3 A Bizottság ezt meghaladóan megfontolja az adatvesztéssel kapcsolatos kötelező tájékoztatás (data breach notification) bevezetését. A Bizottság erősíteni kívánja az adatelkerülés elvének hatékony alkalmazását, az adatalany jogok gyakorlására vonatkozó konkrét jogosultságok (hozzáférés, helyesbítés, törlés) határidőkhöz és formához kötött gyakorlását, törléshez való jog hatékony érvényesítésének lehetőségét is.

1.4 A Bizottság a tájékozott önkéntes belegyezés feltételeinek egységes megteremtését is el kívánja érni, mivel ezeket a követelményeket szintén eltérően értékelik az egyes tagállamokban.

1.5 Harmonizálásra és további pontosításra szorulnak a különleges személyes adatok kezelésével kapcsolatos feltételek.

1.6 Végül a Bizottság súlyos adatvédelmi jogsértések esetére büntetőjogi szankciók alkalmazását javasolja.

2. A belső piaci dimenzió erősítése

2.1 Az európai adatvédelemnek rendkívül erős Belső Piaci dimenziója van, mivel a tagállamok között a személyes adatok szabad áramlását is biztosítania kell. A Bizottság hivatkozott az Európai Bíróság Lindqvist ügyben meghozott határozatára (C-101/01), ami megerősíti, hogy az európai adatvédelmi jog teljes harmonizációt valósít meg a tagállamok viszonylatában. Ennek ellenére számos komoly eltérés tapasztalható a tagállami adatvédelmi jogok között, melynek egyik oka, hogy a jog, az irányelv komoly manőverezési lehetőséget ad a tagállamoknak, másrészről a tagállamok sokszor hibásan ültették át az irányelv rendelkezéseit, ami nemzetközi társaságok számára jelentős adminisztratív terheket okoz. Éppen ezért elkerülhetetlen a további harmonizáció biztosítása.

2.2 A magas és csökkentendő adminisztratív költségek között említendőek a tagállami bejelentési kötelezettségek, melyeket nemzetközileg aktív adatkezelőknek minden egyes országban teljesítenie szükséges és amelynek értelme finoman szólva is megkérdőjelezhető. Ennél fogva a Bizottság a bejelentési rendszer egységesítése és további egyszerűsítését kezdeményezi, esetlegesen egységes uniós regisztrációs nyomtatvány kialakításával.

2.3 A Bizottság fontosnak tekinti az irányelv hatályával kapcsolatos kérdések tisztázása, hogy melyik felügyeleti hatóság felelős az adatkezelés felügyeletéért. Az eltérő tagállami jogszabályi követelmények ugyanis konfliktushoz vezetnek különösen több tagállamban letelepedett adatkezelők vonatkozásában és sokszor lehetetlen az alkalmazandó jog megállapítása. Így magyar vonatkozású kitekintésként említendő, hogy a magyar adatvédelmi törvény az adatkezelés helyét (lásd Avtv 1/A §. (1) bek), míg az irányelv 4. cikke az adatkezelő letelepedésének helyét veszi alapul a hatály megalapozásának vonatkozásában. Ezt tovább bonyolítja a globalizáció és a technikai fejlődés, mivel megállapítható, hogy az Internet korában gyakorlatilag jelentőségét vesztette az adatkezelés tényleges helye, mivel az gyakran meg sem állapítható. A Bizottság a jelzett problémák megoldására a kölcsönös elismerés elvének bevezetését, továbbá nemzetközi adatkezelők egyetlen tagállam adatvédelmi jogának történő alávetését javasolja, azonban ez sem akadályozhatná az adatalanyokat a saját joguk alapján megillető jogosultságok igénybevételét.

2.4 A Bizottság az adatkezelők felelősségnek megerősítését a felelősség elvének bevezetésével, magánélet-barát technológiák (Privacy Enhancing Technologies = PET) támogatásával, továbbá a beépített adatvédelem (Privacy by Design) megkövetelésével valósítaná meg.

2.5 A Bizottság fontos szerepet szánna az öntanúsítási rendszereknek, illetve az önszabályozásnak, ami hozzájárul az adatvédelmi szabályok hatékonyabb érvényesítéséhez.

3. Az adatvédelem nemzetközi dimenziójának erősítése

3.1 A nemzetközi adattovábbítással kapcsolatos szabályok azért jelentősek, mert a „megfelelő szintű védelem” megléte esetén gyakorlatilag megnyitja a lehetőséget a személyes adatok szabad forgalma előtt. A probléma a megfelelő szintű védelemmel elismerésével kapcsolatosan ennek kritériumai a Bizottság részére nincsenek pontosan rögzítve. Így a Bizottság mellett a tagállamok is jogosultsággal rendelkeznek ennek megítélésében, ami tagállamonként eltérő gyakorlatot is jelenthet. A másik probléma, hogy a Bizottság adattovábbítási szerződési csomagjai (Model Clauses) nem alkalmazhatóak nem szerződéses szituációkban, így mikor hatóság részére szükséges személyes adatokat továbbítani. Végül a Kötelező Erejű Vállalati Szabályok (BCR) – mint adattovábbítási mechanizmus – további megerősítése és egyszerűsítése lehet szükséges.

3.2 A Bizottság kiemelt fontosságúnak tartja, hogy nemzetközi szinten fenntartsák az Európai Unió vezető szerepét a személyes adatok védelmének nemzetközi biztosításában.

3.3 Az adatvédelmi szabályok hatékonyabb végrehajtása érdekében az adatvédelmi hatóságok szerepének és függetlenségének megerősítésére törekszik. Bizottság az adatvédelmi hatóságok közötti együttműködés és koordináció megerősítése törekszik.

Következtetések

Az Európai Bizottság 2011-ben jogszabályi javaslatot kíván előterjeszteni a fent jelzett problémák és követelmények érvényesítése céljából. A Bizottság a közleményét vitaanyagnak tekinti, konzultációt kezdeményez és várja a megjegyzéseket a közzétett szakmai anyaggal kapcsolatosan.