Magánszemélyek védelme az uniós intézmények, szervek, hivatalok és ügynökségek által feldolgozott személyes adatok tekintetében

 

ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

(EU) 2018/1725 rendelet a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról

MI A RENDELET CÉLJA?

A rendelet:

• megállapítja azokat a szabályokat, hogy miként kezeljék az uniós intézmények, szervek, hivatalok és ügynökségek a személyes adatokat*, amelyek magánszemélyekről a birtokukban vannak;
• fenntartja a magánszemély alapvető jogait és szabadságjogait, különös tekintettel a személyes adatok védelméhez fűződő és a magánélethez való jogra;
• összehangolja az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó szabályokat az általános adatvédelmi rendelet (GDPR), valamint az (EU) 2016/680 irányelv (a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv) szabályaival, amely 2018 májusa óta alkalmazandó;
• hatályon kívül helyezi a 45/2001/EK rendeletet, amely korábban tartalmazta a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek által végzett kezelésének szabályait, és biztosítja, hogy ezek megfelelnek a GDPR-ban meghatározott, ugyanennyire szigorú standardoknak;
• hatályon kívül helyezi az 1247/2002/EK határozatot, amely az európai adatvédelmi biztosra vonatkozik.

FŐBB PONTOK

A személyes adatok:

• kezelése jogszerű, tisztességes és átlátható módon történik;
• gyűjtésének célja konkrét, meghatározott és legitim;
• megfelelőek, lényegesek és a szükségesre korlátozódnak;
• pontosak, és azokat szükség esetén naprakészen tartják;
• tárolásuk oly módon történik, hogy az érintett egyének azonosítása csak addig legyen lehetséges, ameddig arra szükség van;
• feldolgozásuk kellő titoktartás mellett történik.

Az adatkezelő* felel a megfelelőségért; az adatkezelőnek képesnek kell lennie arra, hogy bizonyítsa valamennyi fent említett adatkezelési elv betartását.

Továbbá:

• személyes adatok az Unión belül csak kiegészítő biztosítékok mellett továbbíthatók olyan címzettnek, amely nem uniós intézmény, szerv, hivatal vagy ügynökség;
• személyes adatok az Unión kívül csak szigorú feltételek teljesülése mellett továbbíthatók;
• a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai adatok, biometrikus adatok, az egészségre vagy a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok kezelése különleges esetek kivételével nem megengedett;
• a személyes adatok tekintetében szükség van megfelelő biztosítékokra, ha azokat közérdekből vagy tudományos, történelmi vagy statisztikai célokból archiválják.

Az egyén beleegyezése iránti kérelmeket – adataik felhasználását illetően – érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel kell megfogalmazni. A beleegyezésnek egyértelmű, megerősítő cselekedetnek kell lennie az egyén részéről.

Az egyének (akikre a jogszabályok „érintettek” megnevezéssel hivatkoznak) a következőkre jogosultak:

• beleegyezésüket bármikor visszavonhatják, ugyanolyan könnyen, ahogyan azt megadták;
• tudhatnak arról, hogy adataikat kezelik-e vagy sem, és azokhoz hozzáférhetnek;
• gondoskodhatnak bármiféle pontatlan személyes adat helyesbítéséről;
• bizonyos feltételek teljesülése esetén bármely személyes adat kezelését törölhetik vagy korlátozhatják;
• az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatják, és azokat egy másik adatkezelő részére továbbíthatják;
• egyedi helyzetükre hivatkozva tiltakozhatnak a rájuk vonatkozó adatok közérdekből történő kezelése ellen;
• mentesülnek a kizárólag automatizált adatkezelésen alapuló, számukra jogi következményekkel járó döntések hatálya alól;
• panaszt tehetnek az európai adatvédelmi biztosnál, amennyiben úgy érzik, hogy adataikat olyan módon kezelik, ami a rendeletet megsérti;
• kártérítést kaphatnak bármely, általuk egy uniós intézmény, szerv, hivatal vagy ügynökség cselekményei miatt elszenvedett vagyoni vagy nem vagyoni kárért;
• megbízhatnak egy non-profit szervezetet, hogy nyújtson be panaszt az európai adatvédelmi biztosnak címezve.

Az adatkezelők:

• a személyes adatok gyűjtése során kötelesek az érintetteket egyszerű nyelvet használva és tényszerű információkat közölve – például kapcsolatfelvételi adatokkal és a feladat céljának megnevezésével – tájékoztatni;
• kötelesek megválaszolni az érintettek bármely – például a személyes adataikhoz való hozzáféréssel vagy azok helyesbítésével kapcsolatos – kérését, amint az lehetséges, de legfeljebb 1 hónapon belül;
• kötelesek megfelelő technikai és szervezeti intézkedéseket alkalmazni, ideértve az álnevesítést*, annak biztosítására, hogy a személyes adatok kezelése a rendeletnek megfelel;
• csak olyan adatfeldolgozókat vehetnek igénybe, amelyek teljesítik az uniós követelményeket;
• részletes nyilvántartást vezetnek a felelősségi körükbe tartozó adatkezelésről;
• együttműködnek az európai adatvédelmi biztossal;
• bármiféle adatvédelmi incidensről a lehető leghamarabb értesítik az európai adatvédelmi biztost és bizonyos esetekben az érintett magánszemélyt is;
• adatvédelmi hatásvizsgálatot végeznek bizonyos olyan esetekben, amikor a személyes adatok feldolgozása nagy kockázatokkal jár;
• gondoskodnak elektronikus kommunikációs hálózataik titkosságáról és biztonságáról;
• tájékoztatják az európai adatvédelmi biztost a személyes adatok kezelésére vonatkozó közigazgatási intézkedések vagy belső szabályok kialakításáról.

A jogszabály létrehozza az európai adatvédelmi biztosi tisztséget, amely egy alkalommal megújítható, 5 éves időtartamra szól. A tisztséget betöltő személy Brüsszelben dolgozik, és:

• teljes függetlenséggel jár el;
• minden bizalmas információt szakmai titoktartási kötelezettséggel kezel;
• figyelemmel kíséri, hogyan alkalmazzák a jogszabályt az uniós intézmények, szervek, hivatalok és ügynökségek;
• elősegíti, hogy a közvélemény megértse a személyes adatok kezelését és tisztában legyen azzal;
• kezeli a panaszokat és vizsgálatokat folytat;
• az adatkezelőket figyelmezteti, illetve szankcionálja;
• problémák esetén a Bírósághoz fordul, amely a jogszabályokkal kapcsolatos vitákat kezeli;
• éves jelentéseket küld az Európai Parlamentnek, a Tanácsnak és az Európai Bizottságnak;
• együttműködik a nemzeti adatvédelmi felügyeleti hatóságokkal.

Az európai adatvédelmi biztosra vonatkozó eljárási szabályzat

Egy 2020. május 15-i határozat elfogadja az európai adatvédelmi biztosra vonatkozó eljárási szabályzatot. A szabályzat részletesen meghatározza a következőket:

• az európai adatvédelmi biztos küldetése, alapelvei és szervezete;
• a rendelet alkalmazása nyomon követésének és biztosításának módja;
• jogalkotási konzultációjára, technológia-monitoringra, kutatási projektekre és bírósági eljárásokra vonatkozó eljárások; valamint
• a nemzeti felügyeleti hatóságokkal való együttműködésre és a nemzetközi együttműködésre vonatkozó eljárások.

Az uniós intézményekre, hivatalokra és szervekre vonatkozó külön szabályok

Azokra az uniós intézményekre, hivatalokra és szervekre, amelyek műveleti vonatkozású személyes adatokat* kezelnek bűnüldözési célból (pl. Eurojust), külön szabályok vonatkoznak. Ezekkel a rendelet külön fejezete foglalkozik. Ennek a fejezetnek a szabályai összhangban állnak a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvvel. Ezen túlmenően e szervek, hivatalok és ügynökségek alapító jogi aktusaiban további konkrét szabályok határozhatók meg különleges jellemzőik figyelembevétele érdekében.

A rendelet hatálya nem terjed ki a személyes adatoknak az Europol és az Európai Ügyészség által végzett kezelésére; az ilyen adatkezelést az Europolt és az Európai Ügyészséget létrehozó jogi aktusok egyedi rendelkezései szabályozzák. A rendelet hatálya viszont kiterjed a személyes adatok e szervek által végzett adminisztratív jellegű kezelésére (ilyen például a személyzeti kérdések kezelése).

Adatvédelmi tisztviselők

Az adatkezelők 3–5 éves időtartamra adatvédelmi tisztviselőt neveznek ki, hogy:

• független tanácsadást biztosítson a személyes adatok feldolgozása tárgyában;
• figyelemmel kísérje az adatvédelmi szabályokat.

Jelentések

Az Európai Bizottság 2022. április 30-ig köteles benyújtani első jelentését a rendelet hatásáról.

MIKORTÓL ALKALMAZANDÓ A RENDELET?

A rendelet 2018. december 11. óta hatályos, kivéve a személyes adatok Eurojust általi kezelését, amelyre nézve a rendelet 2019. december 12. óta hatályos.

HÁTTÉR

A 8. cikk az Európai Unió Alapjogi Chartájában kimondja, hogy mindenkinek joga van a személyes adatok védelméhez. Az EU működéséről szóló szerződés 16. cikke továbbfejleszti ezt a jogot. Ez a cikk képezi a jogi alapot bármely, az adatvédelemmel kapcsolatos uniós jogszabályhoz.

További információk:

• Adatvédelem az EU-ban (Európai Bizottság).

KULCSFOGALMAK

FŐ DOKUMENTUM

Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39–98. o.)

Az (EU) 2018/1725 rendelet későbbi módosításait belefoglalták az eredeti szövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

KAPCSOLÓDÓ DOKUMENTUMOK

A Bizottság (EU) 2020/969 határozata (2020. július 3.) az adatvédelmi tisztviselőre, az érintettek jogainak korlátozására és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó végrehajtási szabályok megállapításáról és a 2008/597/EK bizottsági határozat hatályon kívül helyezéséről (HL L 213., 2020.7.6., 12–22. o.)

Az európai adatvédelmi biztos határozata (2020. május 15.) az európai adatvédelmi biztos eljárási szabályzatának elfogadásáról (HL L 204., 2020.6.26., 49–59. o.)

Az európai adatvédelmi biztos 2019. április 2-i határozata az európai adatvédelmi biztos által folytatott tevékenységek keretében a személyes adatok feldolgozásával kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról (HL L 99I, 2019.4.10., 1–7. o.)

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89–131. o.)

Lásd az egységes szerkezetbe foglalt változatot.

utolsó frissítés 14.01.2022