Személyes adatok védelme

A személyes adatok védelme tekintetében az európai szintű referenciaszöveg a 95/46/EK irányelv. Olyan szabályozási keretrendszert hoz létre, amelynek célja az egyének magánéletének magas szintű védelme és a személyes adatok Európai Unión (EU) belüli szabad áramlása közötti egyensúly megteremtése. Ennek érdekében az irányelv szigorúan korlátozza a személyes adatok gyűjtését és felhasználását, és minden tagállam számára előírja egy, a személyes adatok feldolgozásához kapcsolódó tevékenységek felügyeletéért felelős független nemzeti szerv létrehozását.

JOGI AKTUS

Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról [Lásd a módosító jogszabályokat].

ÖSSZEFOGLALÓ

Ezt az irányelvet az automatizált módon feldolgozott adatokra (pl. ügyfelek adatainak számítógépes adatbázisa), valamint azon adatokra kell alkalmazni, amelyek valamely nem automatizált nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni (hagyományos papíralapú dokumentumok).

Az irányelv nem alkalmazandó az adatfeldolgozás alábbi formáira:

• a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás;
• a közösségi jog hatályán kívül eső tevékenységek, mint például a közbiztonság, a védelem és a nemzetbiztonság keretében végzett feldolgozási műveletek.

Az irányelv célja, hogy a személyes adatok feldolgozása vonatkozásában biztosítsa az egyének jogainak és szabadságainak védelmét azáltal, hogy megállapítja a jogszerű feldolgozás fő feltételeit, valamint az adatok minőségére vonatkozó elveket.

Az adatfeldolgozás kizárólag akkor jogszerű, ha:

• az érintett ahhoz egyértelmű hozzájárulását adta; vagy
• az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél; vagy
• az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy
• feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy
• az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy
• az adatfeldolgozás az adatkezelő vagy a harmadik fél jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az alapvető jogokhoz és a szabadságjogokhoz fűződő, védelmet élvező érdekei.

Az adatok minőségére vonatkozó elvek, amelyeket valamennyi jogszerű adatfeldolgozó tevékenységre alkalmazni kell, a következők:

• a személyes adatok feldolgozását tisztességesen és törvényesen kell végezni, és gyűjtésük csak meghatározott, egyértelmű és törvényes célból történhet. Ezenfelül az adatoknak megfelelőeknek, relevánsaknak és nem túlzott mértékűeknek, pontosaknak, és ha szükséges, időszerűeknek kell lenniük; az adatok csak a szükséges ideig és gyűjtésük céljainak megfelelően tárolhatók;
• az adatfeldolgozás különleges kategóriái: tilos az olyan személyes adatok feldolgozása, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak. Ez a rendelkezés fenntartásokkal alkalmazandó például akkor, ha az adatfeldolgozásra az érintett létfontosságú érdekeinek védelméhez, illetve megelőző egészségügyi és orvosi diagnosztikai célból van szükség;

Az érintett, vagyis az a személy, akinek az adatait feldolgozzák, az alábbi jogokat gyakorolhatja:

• az információkérés joga: az adatkezelőnek bizonyos információkról (az adatfeldolgozó személye, az adatfeldolgozás célja, az adatok címzettjei stb.) tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjti;
• az érintett adathozzáféréshez való joga: minden érintett számára biztosítani kell a jogot, hogy az adatkezelőtől:
• az adatfeldolgozás elleni tiltakozás joga: az érintett számára biztosítani kell, hogy jogos érdekből tiltakozhasson a rá vonatkozó adatok feldolgozása ellen. Ezenfelül biztosítani kell számára, hogy kérelemre és térítésmentesen tiltakozhasson az olyan adatok feldolgozása ellen, amelyek célja közvetlen üzletszerzés. Végezetül az érintettet tájékoztatni kell személyes adatainak harmadik személyeknek közvetlen üzletszerzés céljából történő közlése előtt, valamint számára az ilyen közlés elleni kifogás jogát biztosítani kell;

Az adatfeldolgozás egyéb releváns szempontjai:

• az érintett jogaihoz kapcsolódó mentességek és korlátozások: az adatok minőségére, az érintett tájékoztatására, a hozzáférési jogra és az adatfeldolgozási műveletek nyilvánosságára vonatkozó elvek hatálya korlátozható többek között a nemzetbiztonság, a honvédelem, a közbiztonság, a bűncselekményekkel kapcsolatos eljárások lefolytatása, valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, illetve az érintett védelme érdekében;
• azadatfeldolgozás titkossága és biztonsága : bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat. Továbbá az adatkezelőnek végre kell hajtania a megfelelő intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése elleni védelme érdekében;
• felügyelőhatóság értesítése az adatfeldolgozásról: az adatkezelőnek az adatfeldolgozást megelőzően értesítenie kell a nemzeti felügyelőhatóságot. A felügyelőhatóság az értesítés kézhezvételét követően előzetesen felméri az érintettek jogait és szabadságait fenyegető esetleges kockázatokat. Biztosítani kell az adatfeldolgozási műveletek nyilvánosságát, a felügyelőhatóságoknak pedig nyilvántartást kell vezetniük a bejelentett műveletekről.

Mindenki számára biztosítani kell a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára. Ezenfelül azok a személyek, akik személyes adataik jogellenes feldolgozása eredményeképpen kárt szenvedtek, az elszenvedett károkért kártérítésre jogosultak.

A személyes adatok a tagállamokból továbbíthatók olyan harmadik országba, amely megfelelő védelmi szintet tud biztosítani. Bár megfelelő szintű védelem garanciájának hiányában nem történhet adattovábbítás, az irányelv megfogalmaz néhány kivételt ez alól a szabály alól, pl. ha az érintett beleegyezik adatainak továbbításába, ha szerződéskötésről van szó, ha a közérdek szükségessé teszi azt, illetve akkor is, ha az adott tagállam kötelező erejű vállalati szabályok vagy általános szerződési feltételek alkalmazását teszi lehetővé.

Az irányelv szorgalmazza olyan nemzeti és közösségi eljárási szabályzatok kidolgozását, amelyek célja, hogy elősegítsék a nemzeti és a közösségi rendelkezések helyes végrehajtását.

Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott rendelkezéseknek a területén történő alkalmazását valamely független hatóság vagy hatóságok felügyeljék.

Létrejön a személyes adatok feldolgozásának vonatkozásában az egyének védelmével foglalkozó munkacsoport, amely az egyes nemzeti felügyelőhatóságok képviselőiből, a közösségi intézmények és szervek felügyelőhatóságainak képviselőiből, továbbá a Bizottság egy képviselőjéből áll.

KAPCSOLÓDÓ OKMÁNYOK

VÉGREHAJTÁSI JELENTÉS

A Bizottság 2007. március 7-i jelentése az Európai Parlamentnek és a Tanácsnak az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram nyomon követéséről [ COM(2007) 87 végleges - A Hivatalos Lapban még nem tették közzé].

Ez a közlemény a 95/46/EK irányelv végrehajtásáról szóló első jelentésben szereplő, az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram keretében végzett munkát vizsgálta. A Bizottság úgy ítélte meg, hogy a végrehajtás terén haladás érzékelhető, hiszen minden tagállam átültette az irányelvet. Megállapította, hogy az irányelvet nem kell módosítani.

A Bizottság megjegyezte továbbá, hogy:

• továbbra is együttműködik a tagállamokkal, és szükség esetén hivatalos jogsértési eljárást indít;
• értelmező közleményt ad ki az irányelv néhány rendelkezésével kapcsolatban;
• folytatja a munkaprogram végrehajtását;
• amennyiben egy adott ágazatban jelentős technológiai fejlődés megy végbe, EU-szintű ágazatspecifikus jogszabályokat fog kidolgozni;
• továbbra is együttműködik majd külföldi partnereivel, elsősorban az Egyesült Államokkal.

A Bizottság 2003. május 15-i jelentése – Első jelentés az adatvédelmi irányelv (95/46/EK) végrehajtásáról [ COM(2003) 265 végleges – A Hivatalos Lapban még nem tették közzé].

A jelentés összefoglalta a kormányok, az intézmények, a vállalkozási és fogyasztóvédelmi szövetségek, valamint a polgárok közreműködésével a 95/46/EK irányelv értékeléséről folytatott bizottsági konzultációk eredményét. E konzultációkból az derült ki, hogy kevés közreműködő kérte az irányelv felülvizsgálatát. Továbbá a tagállamokkal folytatott konzultációt követően a Bizottság tudomásul vette, hogy többségük, valamint a nemzeti felügyelőhatóságok többsége is úgy ítélte meg, hogy jelenleg nincs szükség az irányelv módosítására.

A végrehajtás során tapasztalt késedelmek és hiányosságok ellenére az irányelv elérte fő célját, vagyis felszámolta a személyes adatoknak a tagállamok közötti szabad áramlása előtt álló akadályokat. A Bizottság továbbá úgy vélte, hogy megvalósult a Közösségen belüli magas szintű védelem biztosítására irányuló célkitűzés, mivel az irányelv világviszonylatban is az egyik legszigorúbb adatvédelmi előírásokat fogalmazta meg.

A belső piaci politika egyéb céljainak megvalósítása ugyanakkor kevésbé volt eredményes. Az adatvédelmi jogszabályok terén az egyes tagállamokban továbbra is komoly eltérések figyelhetők meg, márpedig ezek megakadályozzák, hogy a multinacionális szervezetek összeurópai adatvédelmi eljárásokat dolgozzanak ki. Éppen ezért a Bizottság bejelentette, hogy minden szükséges lépést megtesz a helyzet javítása érdekében, és ennek során lehetőség szerint elkerüli, hogy hivatalos eljárást kelljen indítania.

Az uniós adatvédelmi jogszabályoknak való általános megfelelést illetően három probléma vár megoldásra:

• hiányoznak a végrehajtásra szánt források;
• az adatkezelők igen különböző mértékben tartják be az előírásokat;
• az érintettek a jelek szerint kevéssé vannak tisztában saját jogaikkal, ami az előző jelenséget is magyarázhatja.

Az adatvédelmi irányelv jobb végrehajtását biztosítandó, a Bizottság elfogadott egy olyan munkaprogramot, amely számos – e jelentés elfogadásától 2004 végéig megvalósítandó – intézkedést tartalmazott. Ezek az intézkedések az alábbi kezdeményezéseket foglalják magukban:

• tárgyalások folytatása a tagállamokkal és az adatvédelmi hatóságokkal nemzeti jogszabályaik azon módosításairól, amelyekre az irányelvben foglalt követelmények maradéktalan teljesítéséhez szükség van;
• a tagjelölt országok bevonása az irányelv magasabb színvonalú és egységesebb végrehajtását célzó erőfeszítésekbe;
• az irányelvet átültető valamennyi jogi aktus bejelentésének javítása;
• a nemzetközi adattovábbítás feltételeinek egyszerűsítése;
• a magánélet fokozott védelmét szolgáló technológiák előmozdítása;
• az önszabályozás és az európai eljárási szabályzatok kidolgozásának ösztönzése.

„ELEKTRONIKUS HÍRKÖZLÉSI ÉS ADATVÉDELMI IRÁNYELV”

Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről („Elektronikus hírközlési adatvédelmi irányelv”) [Hivatalos Lap L 201., 2002.7.31.].

Ezt az irányelvet 2002-ben fogadták el, a hírközlési ágazatot szabályozó új jogszabályi keretrendszerrel egy időben. Az irányelv számos, többé-kevésbé érzékeny témát érint, úgymint az internetkapcsolat adatainak tagállami megőrzése rendőri ellenőrzés céljából (adatmegőrzés), nem kívánt elektronikus üzenetek küldése, azonosításra szolgáló kódsorok („cookie-k”) használata és a személyes adatok feltüntetése a nyilvános előfizetői névjegyzékekben.

A 611/2013/EU rendelet szabályokat határoz meg a személyes adatok megsértésére vonatkozó bejelentéssel kapcsolatban a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatók részére, arra az esetre, ha ügyfeleik személyes adatai elvesznek, illetve eltulajdonítják vagy más módon megsértik azokat.

Személyes adatok megsértése és biztonságuk sérelme esetén a szolgáltatók a 2002/58/EK irányelv értelmében kötelesek arról értesíteni az illetékes nemzeti adatvédelmi hatóságot, továbbá bizonyos esetekben az érintett előfizetőket és magánszemélyeket is. A 611/2013/EU rendelet „műszaki végrehajtási intézkedéseket” vezet be, amelyek tisztázzák az e kötelezettségeknek való megfelelés módját.

A szolgáltatók egyebek mellett kötelesek:

• a személyes adatok megsértésének észlelésétől számított 24 órán belül bejelenteni az esetet az illetékes nemzeti hatóságnak, hogy a sérelem hatókörét a lehető legnagyobb mértékben korlátozni lehessen;
• figyelembe venni a sérült adatok típusát annak meghatározásakor, hogy értesíteniük kell-e az előfizetőket és a magánszemélyeket, pl. abban az esetben, amikor az adat pénzügyi információkat, e-mailben szereplő információkat, internetes naplófájlokat, webböngésző előzményeket stb. tartalmaz;
• tájékoztatni az illetékes nemzeti hatóságot, illetve az érintett előfizetőket vagy magánszemélyeket az incidens részleteiről, az adatok típusáról, valamint a következmények orvoslása érdekében tett lépésekről.

AZ ADATOK HARMADIK ORSZÁGOKBA IRÁNYULÓ TOVÁBBADÁSÁRA VONATKOZÓ ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

A Bizottság 2004/915/EK határozata (2004. december 27.) a 2001/497/EK határozat módosításáról a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános szerződési feltételek bevezetéséről [Hivatalos Lap L 385., 2004.12.29.].

Az Európai Bizottság új általános szerződési feltételeket fogadott el, amelyeknek köszönhetően a vállalkozások kellő biztosítékokat nyújthatnak a személyes adatoknak az EU-ból harmadik országokba irányuló továbbadásához. Ezek az új szerződési feltételek kiegészítik a 2001. júniusi bizottsági határozat (lásd fent) értelmében már meglévő feltételeket.

A Bizottság 2001/497/EK határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről [Hivatalos Lap L 181., 2001.7.4.].

Ez a határozat meghatározza azokat az általános szerződési feltételeket, amelyek biztosítják az EU-ból harmadik országokba továbbított személyes adatok megfelelő szintű védelmét. A határozat értelmében a tagállamok kötelesek elismerni, hogy a személyes adatok harmadik országba irányuló továbbításával kapcsolatos szerződésekben ilyen általános feltételeket előíró társaságok vagy szervezetek „megfelelő szintű adatvédelmet” biztosítanak.

A Bizottság 2010/87/EU határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről [Hivatalos Lap L 39., 2010.2.12.].

Bizottsági határozatok, amelyek a 25. cikk (6) bekezdése alapján harmadik országok számára igazolják a személyes adatok megfelelő védelmi szintjének meglétét: a Bizottság mindezidáig a következő államok vonatkozásában ismerte el a személyes adatok védelmének megfelelő szintjét: Andorra, Argentína, Ausztrália, Kanada (kereskedelmi szervezetek), Svájc, Feröer-szigetek, Guernsey, Man-sziget, Jersey, Új-Zéland, Uruguay és az Egyesült Államok Kereskedelmi Minisztériumának biztonságos kikötő adatvédelmi elvei.

A SZEMÉLYES ADATOK KÖZÖSSÉGI INTÉZMÉNYEK ÉS SZERVEK ÁLTALI VÉDELME

Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről , valamint az ilyen adatok szabad áramlásáról [Hivatalos Lap L 8., 2001.1.12.].

E rendelet célja az, hogy az Európai Unió intézményei és szervei keretében biztosítsa a személyes adatok védelmét. A szöveg a következőket írja elő:

• a közösségi intézmények vagy szervek által feldolgozott személyes adatok magas szintű védelmét biztosító rendelkezések;
• az e rendelkezések alkalmazásának ellenőrzéséért felelős független ellenőrző hatóság létrehozása.

utolsó frissítés 08.03.2014