A 29. cikk szerinti adatvédelmi munkacsoport 2011. április 5. napján fogadta el 1/2011. számú munkadokumentumát az adatsértési értesítés európai keretrendszeréről, illetve ezzel kapcsolatos jövőbeli ajánlásairól.

A munkadokumentum előzménye az ePrivacy Irányelv (2002/58/EK) módosítása, ami a telekommunikációs szektorban szabályozást vezetett be az adatsértési értesítésről (data breach notification). A 2011. május 25-ig átültetendő szabályok értelmében elektronikus hírközlési szolgáltatók kötelesek bejelenteni a személyes adatok megsértését az illetékes nemzeti hatóság részére, továbbá az érintettnek is, amennyiben az adatsértés várhatóan hátrányosan érinti a magánszemély személyes adatait vagy magánéletét.

Az adatsértési értesítés adatkezelés átláthatóságát illetőleg a felelősség elvének érvényre juttatását növeli. Hasonló szabályozás az Amerikai Egyesült Államok számos államában található. Az adatsértési értesítés nem öncél, mivel az értesítés teszi lehetővé, hogy az érintettek, illetőleg a hatóság adatsértést követően megfelelő lépéseket tegyenek a kár elhárítása érdekében (pl. PIN kódok vagy jelszavak módosításával).

A 29. számú adatvédelmi munkacsoport 1/2009. számú véleményében már foglalkozott az e-Privacy irányelv vonatkozó módosításának tervezetével, melyben az adatsértési értesítést illetően azt javasolta, hogy annak kötelezettségét valamennyi információs társadalommal kapcsolatos szolgáltatást nyújtó szolgáltatóra terjesszék ki, illetőleg a biztonság megsértésének valamennyi formájára vonatkozzon.

A módosító irányelv 59. preambulumbekezdése szerint a felhasználóknak az adatsértési tájékoztatásra vonatkozó általános érdeke egyáltalán nem korlátozódik az elektronikus hírközlési ágazatra, éppen ezért közösségi szinten kiemelkedő fontosságúnak kell tekinteni a kifejezett, kötelező és minden ágazatra és az információs társadalommal összefüggő szolgáltatások szolgáltatóira kiterjedő tájékoztatási kötelezettség szükségességét is ideértve. Az e területre vonatkozó európai jogszabályok Bizottság általi felülvizsgálatáig a Bizottságnak – az európai adatvédelmi biztossal konzultálva – haladéktalanul meg kell tennie a megfelelő lépéseket az ePrivacy által meghatározott, az adatok megsértésére vonatkozó tájékoztatási kötelezettség keretében megfogalmazott elveknek más ágazatokban történő alkalmazásának lehetőségeiről, az ágazattól, illetve az érintett adat jellegétől függetlenül.

Az adatvédelmi munkacsoport 1/2011. számú munkadokumentumának célja, hogy az e-Privacy irányelv átültetését elősegítse, továbbá ajánlásokat tegyen az adatsértési értesítés jövőbeli szabályozásával összefüggésben, melybe beletartozik különösen az európai adatvédelmi irányelv felülvizsgálata során eme szabályozás belefoglalása az általános irányelvi rendelkezésekbe.

Az ePrivacy irányelv által nyújtott szabályozás

A módosított ePrivacy irányelv – az EU jogában elsőként – meghatározza az adatsértési értesítés kereteit, amelynek rendelkezései kizárólag elektronikus hírközlési szolgáltatókra vonatkoznak.

A minden tagállamba átültetendő szabályozás közös elemei:

–         Az adatsértés fogalmának meghatározása: ez a biztonság olyan megsértése, amely a Közösségben nyilvánosan elérhető hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elveszítését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

–         Az értesítési kötelezettséget kiváltó adatsértés szintje: minden adatsértés bejelentendő a hatóság részére, míg érintett részére csak abban az esetben, ha az adatsértés várhatóan hátrányosan érinti a magánszemély személyes adatait vagy magánéletét

–         Az értesítés időzítése és tartalma: annak „indokolatlan késedelem nélkül” meg kell történnie, míg annak tartalmaznia kell legalább a személyes adatok megsértésének jellegét és azokat az információs pontokat, ahol az előfizető további felvilágosítást kaphat, továbbá intézkedéseket javasol a személyes adatok megsértése lehetséges hátrányos hatásainak enyhítésére. Az illetékes nemzeti hatósághoz intézett értesítés ezen túlmenően leírja a személyes adatok megsértésének következményeit és az annak orvoslására a szolgáltató által javasolt vagy megtett intézkedéseket.

–         Végül a kivételek köre bizonyos technikai jellegű intézkedések esetében.

Az irányelv számos területen eltérő intézkedéseket tesz lehetővé, így különösen a nemzeti hatóságok számára útmutatók kibocsátására ad felhatalmazást, továbbá a technikai védelmi intézkedések területén is különbségek fenntartását engedélyezi.

Az irányelv átültetési határideje 2011. május 25., azonban a munkacsoport már most megvizsgálta a tagállami átültetések státusát és megállapította,, hogy jelenleg egy tagállam sem fogadott el átültető szabályozást illetőleg a várakozások szerint jelentős számú tagállam nem fogja teljesíteni az implementációs határidőt. Több tagállam már jelenleg is rendelkezik adatsértési értesítési szabályozással és egyes esetekben a tervezetek szigorúan az irányelvi rendelkezéseket követik (és az átültetés csak elektronikus hírközlési ágazatra korlátozódik), míg más esetekben az tervek szerint több szektort is átfed.

Az adatsértési értesítéssel kapcsolatos tapasztalatcsere érdekében a munkacsoport alcsoportot kíván felállítani annak érdekében, hogy az adatsértési értesítési eljárások harmonizációját növelje. Ennek tevékenysége annak kidolgozására fókuszálna, hogy (i) milyen körülmények fennállása esetén szükséges értesítést nyújtani az érintettek részére, (ii) az értesítésre vonatkozó eljárás és annak időzítésére iránymutatás nyújtása, (iii) a technikai intézkedések hatékonyságának mérése.

Másrészről az alcsoportot határokon átnyúló adatsértési eljárások koordinálására is felhasználnák, mivel az adatsértés határokon / tagállamokon átnyúló tényállási elemekkel rendelkezhet.

Ajánlás a jövőre nézve

A munkacsoport számos ajánlást tesz az Európai Bizottság részére, melynek az ePrivacy irányelv alapján arra nézve adtak felhatalmazást, hogy műszaki végrehajtási intézkedéseket fogadjon el a tájékoztatási és értesítési követelményekre alkalmazandó körülményekre, formátumra és eljárásokra vonatkozóan. A munkacsoport ekként azt javasolja, hogy az adatsértési értesítésre vonatkozó valamennyi lényeges elemet / definíciókat harmonizálják és nyújtsanak egységes szabályozást teljes Európában, pl. standardizált értesítési eljárás kialakításával.

Végül a munkacsoport azt javasolja az Európai Bizottság részére, hogy az európai adatvédelmi irányelv felülvizsgálatával összefüggésben – szektor-specifikus megközelítés helyett – kerüljön megfontolásra valamennyi adatkezelőt érintően egy általános adatsértési értesítési kötelezettség bevezetése.

A munkadokumentum teljes szövege hozzáférhető itt:

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp184_en.pdf