Kokoly Zsolt, a Sapientia Erdélyi Magyar Tudományegyetem Jogtudományi Intézetének adjunktusa válaszolt az adatvédelmi rendelettel kapcsolatos kérdéseinkre.
Május 25-től hatályba lép az Európai Unió Általános Adatvédelmi Rendelete (GDPR), amely szigorítani fogja a személyes adatokat érintő szabályokat. Melyek azok az adatok, amelyeket személyes adatoknak nevezhetünk?
Az adatvédelmi rendelet fogalommeghatározása értelmében személyes adatnak tekintendő bármely információ, amelynek alapján egy természetes személy közvetlen vagy közvetett módon azonosítható. Az azonosítás történhet például név (családnév és keresztnév), azonosító szám (pl. személyazonossági szám), helymeghatározó adat, online azonosító (pl. IP-cím) vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján. Személyes adatnak minősül a fentiek értelmében tehát például a lakcím, az e-mail, a születési dátum, az anyakönyvi okiratokba foglalt információk, a különböző személyazonosító számok (ideértve a személyazonossági igazolvány vagy kártya számát és sorozatszámát, az útlevélszám számát, a hajtási igazolvány számát, az egészségügyi rendszerbeli biztosítás számát), természetes személy képmása (ideértve mind az arcmást, mind a hangfelvételt) és ujjlenyomata is.
A személyes adatok különleges kategóriájának minősülnek, és kiemelt védelmet élveznek az olyan érzékeny adatok, mint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, illetve szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok, továbbá a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Kikre vonatkozik a GDPR rendelete?
A GDPR-rendelet gyakorlatilag mindenkit érint: egyrészt minden természetes személy rendelkezik személyes adatokkal és a különböző személyes adatait valamilyen szervezet mindenkinek kezeli. Másrészt a rendelet minden olyan szervezetre vonatkozik, amely személyes adatokat kezel és használ fel, beleértve a gyűjtést és tárolást is. A rendelet a természetes személyeket érintetteknek, míg azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatkezelőnek nevezi (az adatkezelő nevében személyes adatokat kezelő természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv megnevezése pedig adatfeldolgozó).
Ha például egy cégnek megadjuk a személyes adataink, bármikor kérhetjük annak törlését? Ha igen, hogyan bizonyítható, hogy az adatainkat valóban törölték?
Amenyiben én egy cégnek adtam meg a személyes adataimat, és ezeket valamely szerződés teljesítése céljából bocsátottam a rendelkezésére, akkor a személyes adatok törlése nem valósítható meg mindaddig, amíg ezekre szükség van ahhoz, hogy az adott szerződést teljesíteni lehessen.
A személyes adatok törlése, azaz az „elfelejthetéshez való jog” gyakorlása ezenkívül is számos problémát vet fel, mivel mind elméleti, mind gyakorlati szinten összetett és esetenként nehezen kivitelezhető feladat. Az eddigi felmérések szerint is, a megkérdezett cégek az adattörlési kérésre vonatkozó kérések teljesítését tartják az egyik legnagyobb kihívásnak.
Jogszabályi szinten az elfeledtethetéshez való jog gyakorlását több tényező is korlátozhatja, ezek között említhetjük meg például a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlását, a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelést, a jogi igények előterjesztését, érvényesítését, illetve védelmét, továbbá a közérdekből végzett adatkezelést (különös tekintettel a népegészségügy területét érintő közérdekre).
Amennyiben nem esik korlátozás alá az elfeledtethetéshez való jog gyakorlása, személyes adattörlésre vonatkozó kérés esetén az adatkezelő köteles ebből a célból lépéseket tenni, beleértve a technikai intézkedéseket is. Ugyanakkor ezek az intézkedések az elérhető technológia és a megvalósítás költségeinek figyelembe vételél történnek, tehát teljes mértékű megvalósításuk nem minden esetben megvalósítható. Az adatkezelő a rendelet értelmében a szóban forgó személyes adatokra mutató linkek, vagy a személyes adatok másolatának, illetve másodpéldányának törlését köteles megvalósítani, azonban a különböző IT-rendszerek akár eltérőképpen is értelmezhetik a törlés funkcióját. Következésképpen még abban az esetben is, hogyha az illető adatkezelő eleget tett a rendeletben megfogalmazott, adattörlési kérésnek, nem lehet biztosan kijelenteni, hogy az érintett adatai az általuk használt rendszerből mindenhonnan és végérvényesen eltűntek.
Az adatkezelő és az adatfeldolgozó köteles adatkezelési tevékenységéről nyilvántartást vezetni, és ennek alapján lehet bizonyítani, hogy az érintett kérésére valamely személyes adat törlése a rendeletben előírt módon megtörtént.
Többször is olvasható volt, hogy Románia még nincs felkészülve erre az intézkedésre. Miért?
Más uniós országokhoz képest Romániában nem történt széleskörű nyilvános konzultáció vagy releváns jogalkotói tevékenység az Általános Adatvédelmi Rendelet hatályba lépése és alkalmazása között eltelt kétéves időszakban: egy 2018 elején végzett felmérés az EU-országok GDPR-re való felkészülését vizsgálta, ekkor pedig még Románia (Bulgária, Görögország, Málta és Portugália mellett) egyik volt azon országoknak, melyek sem törvényt nem fogadtattak el (mint például Németország és Ausztria), sem törvényjavaslatot nem nyújtottak be (mint például Magyarország), sőt még törvényjavaslatot sem fogalmaztak meg. Ez a jogszabályi helyzet mára annyiban változott, hogy márciusban benyújtásra került a törvényjavaslat, azonban mivel a Képviselőház nem járult hozzá a sürgősségi eljárásban való tárgyaláshoz, valószínűsíthető, hogy a május 25-iki határidőre a romániai „GDPR-törvény” még nem születik meg (a szakemberek közül máskülönben a törvénytervezetet többen is kritikával illették).
A romániai szabályozó, felügyelő hatóság (a Személyes Adatok Kezelését Felügyelő Nemzeti Hatóság – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) május elején tett közzé egy adminisztratív intézkedés-tervezetet, mely jelenleg nyilvános konzultációs szakaszban található. Hozzá kell tenni ugyanakkor, hogy a romániai szabályozó hatóság 2016-tól, a rendelet hatálybalépésétől kezdődően több rendezvényt, tájékoztató ülést szervezett (a különböző foglalkoztatási ágak képviselői számára, mind a köz-, mind a magánszférában), hogy megkönnyítse az országszinten egységes alkalmazást.
Ugyanakkor, az előbb említett felmérés nemcsak a törvényhozói szervek, hanem a más közegben létrejött (lobby-csoportok, politikai pártok, különböző szervezetek által benyújtott) munkaanyagok létrejöttét is vizsgálta, és Romániában nem sikerült ilyen háttéranyagokat találnia.
Látható tehát, hogy a rendelet a romániai felügyelő hatóságon kívül 2018 előtt a köz- és magánszférát kisebb mértékben foglalkoztatta a kérdés, a különböző szervezetek részéről leginkább a közelgő határidő és a büntetési tételek megnövekedése, tehát a fenyegetettség-érzése hatott serkentő erővel.
Hozzá kell tennünk ugyanakkor azt is, hogy a romániai intézményeknek, vállalkozásoknak a rendelet kapcsán egyrészt az új fogalmakkal kapcsolatos felkészülési feladatai, másrészt pedig az újragondolt alapelvekkel kapcsolatos feladatai is vannak, ez pedig megnövekedett terheket ró az érintett szervezetekre (mind szervezési, mind jogi, mind infokommunkációs, mind pénzügyi szempontból). Ilyen szempontból magyarázható tehát az elsősorban kis- és középvállalatok részéről tapasztalható „ódzkodás”.
Jelenthet ez a szigorítás nagyobb biztonságot a kiskorúakra nézve?
A kiskorúak személyes adatait fokozottan védi a rendelet, mivel tőlük kevésbé várható el, hogy tisztában legyenek az adatkezelés feltételeivel, ezért a GDPR a gyermekek adatait kezelő adatkezelőkre vonatkozóan speciális rendelkezéseket tartalmaz. A rendelkezések értelmében a kiskorú hozzájárulása alapján csak 16 éves kor felett lehet adatot kezelni, 16 év alatt szülői engedély kell hozzá. A GDPR lehetővé teszi azt is, hogy a tagállamok ezt a korhatárt csökkentsék (de nem 13 év alá), ezzel a lehetőséggel pedig eddig több tagállam is élt. Amennyiben az adatkezelés kiskorúakra vonatkozik, a tájékoztatást számukra is érthető, egyszerűsített módon kell megfogalmazni, az adatkezelőnek pedig „ésszerű erőfeszítéseket” kell tennie, hogy megbizonyosodjon a felhasználó életkoráról, és arról, hogy a hozzájárulást valóban a gyermek felett szülői felügyeletet gyakorló személy adta meg.
A gyermekek személyes adataira vonatkozó különös védelmet főként személyes adataik olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére.
Említettük, hogy a tagállamok eltérő korhatárt állíthatnak fel a gyermekek adatkezelése szempontjából, ez pedig abban az esetben jelenhet problémát, ha egy adatkezelő több tagállam területére irányulóan is kínál közvetlenül gyermekeknek szóló szolgáltatásokat. A rendelet eddig publikált iránymutatásai alapján az adatkezelőnek a különböző tagállami rendelkezéseket figyelembe kell vennie és a határon átnyúló szolgáltatások esetén nem hagyatkozhat kizárólag a származási ország (a tevékenységi központja szerinti tagállam) által meghatározott korhatárra. Így amennyiben a célországban a korhatár 13, a származási országban pedig 16 év a kiskorúak személyes adatkezelésére vonatkozó korhatár, akkor a célországban a 13-16 éves gyermekek esetében szülői beleegyezést kell szerezni.
A rendelethez kiadott iránymutatóban jelenik meg, hogy a gyermekek személyes adatainak kezelése kapcsán ajánlott a rendeletben megfogalmazott adattakarékosság elvét alkalmazni, azaz a lehető legkevesebb adatot begyűjteni és kezelni. Esetenként azt is tanácsos elemezni, hogy milyen kockázati szintet jelent a gyermek személyes adatainak kezelése és ehhez igazítani a szülői beleegyezés validációjának szintjét.
A nagykorúságot elérő érintettnek az elfelejthetéshez való joga, azaz a személyi adatok törléséhez való joga különösen fontos olyan esetekben, amikor a hozzájárulást még gyermekként adta meg az adatkezeléshez.
Hogyan büntetik az új szabályok megszegését vagy figyelmen kívül hagyását?
Kiemelném, hogy a romániai szabályozó hatóság eddig is szankcionálhatott és élt is ezzel a jogával, amennyiben a személyes adatok kezelése során jogellenes magatartást állapított meg (az eddigi gyakorlatban a kiróható büntetési tételek maximuma 50.000 lej, illetve 100.000 lej volt). A május 25-től alkalmazandó adatvédelmi rendelet viszont 20.000.000 euróban maximálja a kiróható közigazgatási bírságot, vagy vállalkozások esetében, az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeget (a kettő közül a magasabb összeget kell kiszabni).
Ugyanakkor fontos megjegyezni azt is, hogy amikor a romániai felügyelő hatóság korrekciós hatáskörében jár el, akkor a közigazgatási bírság kiszabása helyett vagy a bírság mellett más intézkedések foganatosításáról is dönthet, mint például: az adatkezelő figyelmeztetése, az adatkezelés ideiglenes vagy végleges korlátozása, ideértve az adatkezelés megtiltását is egy adott szervezet számára, utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel.
(Kérdezett: Burka Mercedesz)
