Az alábbiakban a 29. számú adatvédelmi munkacsoport 2010. július 10-én közzétett, felelősség elvéről szóló állásfoglalásának rövidített szövegét adjuk közre:
A 29. számú adatvédelmi munkacsoport az adatvédelmi irányelv felülvizsgálata mellett foglalt állást.
A munkacsoport az adatvédelem jövőjéről szóló munkadokumentumában (WP 168) kifejtette, hogy a jelenlegi jogszabályi háttér nem volt képes biztosítani az adatvédelmi követelmények gyakorlatban is hatékony mechanizmusokká történő átformálását. Az adatvédelemnek pedig az elmélettől a gyakorlat felé kell fordulnia, továbbá a jogi követelményeket valódi, effektív adatvédelemmé szükséges alakítani. A munkacsoport ezért azt javasolta az Európai Bizottság részére, hogy a felelősség elvét ültessék át a felülvizsgálandó adatvédelmi irányelvbe.
A „felelősség elve” dióhéjban azt jelenti, hogy az adatkezelő az irányelvbe foglalt alapelveknek és követelményeknek megfelelő és hatékony intézkedések útján eleget tegyen, illetőleg az ennek való megfelelést felhívásra igazolja az adatvédelmi hatóság felé. Ez gyakorlatilag olyan intézkedések meghozatalát foglalja magába, ami az adatvédelmi elvek gyakorlati átültetését valósítják meg.
A tényleges, effektív adatvédelem célját több tényező is indokolja. Ide tartozik a kezelt adatok tömegének, illetve a kommunikációs és információs rendszerek növekedése, ami az adatvesztés kockázatát is növelik;
a személyes adatok értéke növekszik, ezzel együtt pedig az adatalanyok is felismerik személyes adataik szociális értékeit, illetve ezek védelmének fontosságát; az adatvesztés, a személyes adattal visszaélés az adatkezelő számára katasztrofális következményekkel járhat, ideértve különösen az adatkezelő jó hírnevét; éppen ezért a kockázat minimalizálása és a fogyasztói bizalom fenntartása minden adatkezelő számára alapvető érdekké vált.
A fentiekre tekintettel a felelősség-alapú adatvédelmi mechanizmusok létrehozása és ezek ún. felelősség elvén keresztül történő biztosítása különös haszonnal járhat, mivel ez biztosíthatja a létező adatvédelmi elvek hatékony érvényesülését.
A munkacsoport álláspontja szerint a felelősség elvének jogszabállyá történő átültetése két szinten valósítható meg. Az első szint – ami mindenki számára kötelező – megfelelő eljárások létrehozása és ezek igazolása, míg a második szint az önkéntesen biztosított, magasabb szintű védelem biztosítását jelenti.
A felelősség elve az adatkezelő szintjén megkövetelné, hogy (i) konkrét és gyakorlati intézkedések útján ültesse át az adatvédelmi elveket, továbbá (ii) ezen intézkedések igazolható megtételére az adatkezelő lenne köteles, melynek keretében a bizonyítási teher az adatkezelőt terhelné.
A munkacsoport álláspontja szerint a konkrét intézkedéseket nem lenne szükséges rögzítenie a jogszabálynak, mivel az utólag, nemzeti adatvédelmi hatóságok, az Európai Bizottság vagy akár a munkacsoport részéről- konkrét helyzet függvényében – utólag is meghatározhatóak, hogy mi tekinthető „megfelelő” intézkedésnek. Ennek egyik példája az adatvédelmi elveket átültető és jogszabályi rendelkezéseket tükröző belső szabályzatok létrehozása lehet. Az átültetés egyik módja a felelős személyek kijelölése, továbbá a személyzet oktatásának biztosítása lehet vagy ide sorolható a belső adatvédelmi felelősök kijelölése is, ami szintén támogatandó törekvés.
Az alkalmazott/átültetett intézkedések hatékonyságát pedig szintén ellenőrizni szükséges, melyhez segítségül szolgálnak a belső, illetve külső auditok, továbbá a felügyelet is.
A fent kifejtettekre tekintettel a munkacsoport a következő rendelkezés irányelve történő felvételére tesz javaslatot:
„X. cikk –Adatvédelmi elvek érvényesítése
1. Az adatkezelő a jelen Irányelvben foglalt elveknek és kötelezettségeknek történő megfelelés céljából köteles megfelelő és hatékony intézkedések megtételére.
2. Az adatkezelő a felügyelő hatóság kérésére köteles igazolni, hogy első bekezdésben foglaltaknak
megfelel.”
A munkacsoport elismeri, hogy a felelősség elve nem jelent újítást az irányelv rendszerében, mivel az adatkezelők jelenleg is kötelesek az irányelvben foglalt elvek és kötelezettségek betartására. Azonban meg kellene követelni, hogy az adatkezelők az adatvédelemmel kapcsolatos eljárásokat hozzanak létre, illetve ezek létezését igazolják. A felelősség elve tehát nem új elvként kezelendő, hanem a jelenleg létező elvek hatékony érvényesítésére törekszik.
A felelősség elve tehát az irányelvben rögzített elveknek és kötelezettségeknek megfelelő eszközök/eljárások definiálását és alkalmazását, továbbá ezek időszakos minősítését/auditálását várja el az adatkezelők részéről.
A megfelelő eljárás tekintetében a munkacsoport a következő példákat adta:
- belső eljárások létrehozása újabb személyes adatok kezelését megelőzően (pl. belső audit);
- adatvédelmi szabályzatok kialakítása, melyeket közzé kell tenni az adatalanyok részére;
- adatvédelmi felelős, illetve más adatvédelemért felelős személyek kinevezése szervezeten belül;
- adatvédelmi oktatás;
- tájékoztatásra, törlésre és helyesbítésre vonatkozó nyilvános szabályzat létrehozása
- belső és külső auditok bevezetése, etc.
Ezt meghaladóan a munkacsoport azt hangsúlyozza, hogy adatkezelőnként egyéni, illetve kockázat alapú megközelítésre van szükség, figyelembe véve a kezelt személyes adatok természetét. Ennek megfelelően nagy adatkezelőknek szigorúbb intézkedéseket lenne szükséges bevezetniük, míg egyszerűbb adatkezelések esetén (pl. munkaügyi jellegű adatkezelések), az igazolásra vonatkozó kötelezettségnek is egyszerűbben lehetne eleget tenni (pl. egyszerű leírás nyújtásával). Ezeket meghaladóan pedig az adatkezelés átláthatósága/transzparenciája szintén a felelősség elvének megvalósítását segíti elő, melyet adatvédelmi szabályzatok közzétételével, panasztételi eljárások átláthatóságának növelésével lehet megteremteni.
A munkacsoport javaslatának fontos részét képezi a felügyelő hatóságok szerepének meghatározása a felelősség elvének érvényesítésével kapcsolatosan, akik felügyelik a vonatkozó kötelezettségek végrehajtását. Ennek egyik eleme a megfelelő szankciók bevezetése.
Végül megjegyzendő, hogy a felelősség elve tanúsítási/akkreditációs programok kialakítását is elősegítheti, ennek megfelelően a tanúsítási szolgáltatások szabályozására is szükség lehet, melyben az adatvédelmi hatóságok kulcsszerepet játszhatnak.
A fenti intézkedéseket pedig mind a magán, mind pedig a közszférára ki kellene terjeszteni.
