Magánszemélyek védelme az uniós intézmények, szervek, hivatalok és ügynökségek által feldolgozott személyes adatok tekintetében
ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:
(EU) 2018/1725 rendelet a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról
MI A RENDELET CÉLJA?
A rendelet:
- megállapítja azokat a szabályokat, hogy miként kezeljék az uniós intézmények, szervek, hivatalok és ügynökségek a személyes adatokat*, amelyek magánszemélyekről a birtokukban vannak;
- fenntartja a magánszemély alapvető jogait és szabadságjogait, különös tekintettel a személyes adatok védelméhez fűződő és a magánélethez való jogra;
- összehangolja az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó szabályokat az általános adatvédelmi rendelet (GDPR), valamint az (EU) 2016/680 irányelv (a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv) szabályaival, amely 2018 májusa óta alkalmazandó;
- hatályon kívül helyezi a 45/2001/EK rendeletet, amely korábban tartalmazta a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek által végzett kezelésének szabályait, és biztosítja, hogy ezek megfelelnek a GDPR-ban meghatározott, ugyanennyire szigorú standardoknak;
- hatályon kívül helyezi az 1247/2002/EK határozatot, amely az európai adatvédelmi biztosra vonatkozik.
FŐBB PONTOK
A személyes adatok:
- kezelése jogszerű, tisztességes és átlátható módon történik;
- gyűjtésének célja konkrét, meghatározott és legitim;
- megfelelőek, lényegesek és a szükségesre korlátozódnak;
- pontosak, és azokat szükség esetén naprakészen tartják;
- tárolásuk oly módon történik, hogy az érintett egyének azonosítása csak addig legyen lehetséges, ameddig arra szükség van;
- feldolgozásuk kellő titoktartás mellett történik.
Az adatkezelő* felel a megfelelőségért; az adatkezelőnek képesnek kell lennie arra, hogy bizonyítsa valamennyi fent említett adatkezelési elv betartását.
Továbbá:
- személyes adatok az Unión belül csak kiegészítő biztosítékok mellett továbbíthatók olyan címzettnek, amely nem uniós intézmény, szerv, hivatal vagy ügynökség;
- személyes adatok az Unión kívül csak szigorú feltételek teljesülése mellett továbbíthatók;
- a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai adatok, biometrikus adatok, az egészségre vagy a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok kezelése különleges esetek kivételével nem megengedett;
- a személyes adatok tekintetében szükség van megfelelő biztosítékokra, ha azokat közérdekből vagy tudományos, történelmi vagy statisztikai célokból archiválják.
Az egyén beleegyezése iránti kérelmeket – adataik felhasználását illetően – érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel kell megfogalmazni. A beleegyezésnek egyértelmű, megerősítő cselekedetnek kell lennie az egyén részéről.
Az egyének (akikre a jogszabályok „érintettek” megnevezéssel hivatkoznak) a következőkre jogosultak:
- beleegyezésüket bármikor visszavonhatják, ugyanolyan könnyen, ahogyan azt megadták;
- tudhatnak arról, hogy adataikat kezelik-e vagy sem, és azokhoz hozzáférhetnek;
- gondoskodhatnak bármiféle pontatlan személyes adat helyesbítéséről;
- bizonyos feltételek teljesülése esetén bármely személyes adat kezelését törölhetik vagy korlátozhatják;
- az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatják, és azokat egy másik adatkezelő részére továbbíthatják;
- egyedi helyzetükre hivatkozva tiltakozhatnak a rájuk vonatkozó adatok közérdekből történő kezelése ellen;
- mentesülnek a kizárólag automatizált adatkezelésen alapuló, számukra jogi következményekkel járó döntések hatálya alól;
- panaszt tehetnek az európai adatvédelmi biztosnál, amennyiben úgy érzik, hogy adataikat olyan módon kezelik, ami a rendeletet megsérti;
- kártérítést kaphatnak bármely, általuk egy uniós intézmény, szerv, hivatal vagy ügynökség cselekményei miatt elszenvedett vagyoni vagy nem vagyoni kárért;
- megbízhatnak egy non-profit szervezetet, hogy nyújtson be panaszt az európai adatvédelmi biztosnak címezve.
Az adatkezelők:
- a személyes adatok gyűjtése során kötelesek az érintetteket egyszerű nyelvet használva és tényszerű információkat közölve – például kapcsolatfelvételi adatokkal és a feladat céljának megnevezésével – tájékoztatni;
- kötelesek megválaszolni az érintettek bármely – például a személyes adataikhoz való hozzáféréssel vagy azok helyesbítésével kapcsolatos – kérését, amint az lehetséges, de legfeljebb 1 hónapon belül;
- kötelesek megfelelő technikai és szervezeti intézkedéseket alkalmazni, ideértve az álnevesítést*, annak biztosítására, hogy a személyes adatok kezelése a rendeletnek megfelel;
- csak olyan adatfeldolgozókat vehetnek igénybe, amelyek teljesítik az uniós követelményeket;
- részletes nyilvántartást vezetnek a felelősségi körükbe tartozó adatkezelésről;
- együttműködnek az európai adatvédelmi biztossal;
- bármiféle adatvédelmi incidensről a lehető leghamarabb értesítik az európai adatvédelmi biztost és bizonyos esetekben az érintett magánszemélyt is;
- adatvédelmi hatásvizsgálatot végeznek bizonyos olyan esetekben, amikor a személyes adatok feldolgozása nagy kockázatokkal jár;
- gondoskodnak elektronikus kommunikációs hálózataik titkosságáról és biztonságáról;
- tájékoztatják az európai adatvédelmi biztost a személyes adatok kezelésére vonatkozó közigazgatási intézkedések vagy belső szabályok kialakításáról.
A jogszabály létrehozza az európai adatvédelmi biztosi tisztséget, amely egy alkalommal megújítható, 5 éves időtartamra szól. A tisztséget betöltő személy Brüsszelben dolgozik, és:
- teljes függetlenséggel jár el;
- minden bizalmas információt szakmai titoktartási kötelezettséggel kezel;
- figyelemmel kíséri, hogyan alkalmazzák a jogszabályt az uniós intézmények, szervek, hivatalok és ügynökségek;
- elősegíti, hogy a közvélemény megértse a személyes adatok kezelését és tisztában legyen azzal;
- kezeli a panaszokat és vizsgálatokat folytat;
- az adatkezelőket figyelmezteti, illetve szankcionálja;
- problémák esetén a Bírósághoz fordul, amely a jogszabályokkal kapcsolatos vitákat kezeli;
- éves jelentéseket küld az Európai Parlamentnek, a Tanácsnak és az Európai Bizottságnak;
- együttműködik a nemzeti adatvédelmi felügyeleti hatóságokkal.
Az európai adatvédelmi biztosra vonatkozó eljárási szabályzat
Egy 2020. május 15-i határozat elfogadja az európai adatvédelmi biztosra vonatkozó eljárási szabályzatot. A szabályzat részletesen meghatározza a következőket:
- az európai adatvédelmi biztos küldetése, alapelvei és szervezete;
- a rendelet alkalmazása nyomon követésének és biztosításának módja;
- jogalkotási konzultációjára, technológia-monitoringra, kutatási projektekre és bírósági eljárásokra vonatkozó eljárások; valamint
- a nemzeti felügyeleti hatóságokkal való együttműködésre és a nemzetközi együttműködésre vonatkozó eljárások.
Az uniós intézményekre, hivatalokra és szervekre vonatkozó külön szabályok
Azokra az uniós intézményekre, hivatalokra és szervekre, amelyek műveleti vonatkozású személyes adatokat* kezelnek bűnüldözési célból (pl. Eurojust), külön szabályok vonatkoznak. Ezekkel a rendelet külön fejezete foglalkozik. Ennek a fejezetnek a szabályai összhangban állnak a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvvel. Ezen túlmenően e szervek, hivatalok és ügynökségek alapító jogi aktusaiban további konkrét szabályok határozhatók meg különleges jellemzőik figyelembevétele érdekében.
A rendelet hatálya nem terjed ki a személyes adatoknak az Europol és az Európai Ügyészség által végzett kezelésére; az ilyen adatkezelést az Europolt és az Európai Ügyészséget létrehozó jogi aktusok egyedi rendelkezései szabályozzák. A rendelet hatálya viszont kiterjed a személyes adatok e szervek által végzett adminisztratív jellegű kezelésére (ilyen például a személyzeti kérdések kezelése).
Adatvédelmi tisztviselők
Az adatkezelők 3–5 éves időtartamra adatvédelmi tisztviselőt neveznek ki, hogy:
- független tanácsadást biztosítson a személyes adatok feldolgozása tárgyában;
- figyelemmel kísérje az adatvédelmi szabályokat.
Jelentések
Az Európai Bizottság 2022. április 30-ig köteles benyújtani első jelentését a rendelet hatásáról.
MIKORTÓL ALKALMAZANDÓ A RENDELET?
A rendelet 2018. december 11. óta hatályos, kivéve a személyes adatok Eurojust általi kezelését, amelyre nézve a rendelet 2019. december 12. óta hatályos.
HÁTTÉR
A 8. cikk az Európai Unió Alapjogi Chartájában kimondja, hogy mindenkinek joga van a személyes adatok védelméhez. Az EU működéséről szóló szerződés 16. cikke továbbfejleszti ezt a jogot. Ez a cikk képezi a jogi alapot bármely, az adatvédelemmel kapcsolatos uniós jogszabályhoz.
További információk:
KULCSFOGALMAK
Személyes adatok. Bármely információ egy azonosított vagy azonosítható magánszemélyről.
Adatkezelő. Bármely uniós intézmény, szerv, hivatal vagy ügynökség, vagy szervezeti egység, amely a személyes adatok kezelésének módját és célkitűzéseit meghatározza.
Álnevesítés. Személyes adatok olyan módon történő kezelése, amikor a magánszemély nem azonosítható valamilyen másutt tárolt, kiegészítő információ nélkül.
Műveleti vonatkozású személyes adatok. Minden olyan személyes adat, amelyet jogérvényesítési feladatok elvégzése céljából dolgoznak fel.
FŐ DOKUMENTUM
Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39–98. o.)
Az (EU) 2018/1725 rendelet későbbi módosításait belefoglalták az eredeti szövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.
KAPCSOLÓDÓ DOKUMENTUMOK
A Bizottság (EU) 2020/969 határozata (2020. július 3.) az adatvédelmi tisztviselőre, az érintettek jogainak korlátozására és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó végrehajtási szabályok megállapításáról és a 2008/597/EK bizottsági határozat hatályon kívül helyezéséről (HL L 213., 2020.7.6., 12–22. o.)
Az európai adatvédelmi biztos határozata (2020. május 15.) az európai adatvédelmi biztos eljárási szabályzatának elfogadásáról (HL L 204., 2020.6.26., 49–59. o.)
Az európai adatvédelmi biztos 2019. április 2-i határozata az európai adatvédelmi biztos által folytatott tevékenységek keretében a személyes adatok feldolgozásával kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról (HL L 99I, 2019.4.10., 1–7. o.)
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89–131. o.)
Lásd az egységes szerkezetbe foglalt változatot.
utolsó frissítés 14.01.2022