Személyes adatok védelme

A személyes adatok védelme tekintetében az európai szintű referenciaszöveg a 95/46/EK irányelv. Olyan szabályozási keretrendszert hoz létre, amelynek célja az egyének magánéletének magas szintű védelme és a személyes adatok Európai Unión (EU) belüli szabad áramlása közötti egyensúly megteremtése. Ennek érdekében az irányelv szigorúan korlátozza a személyes adatok gyűjtését és felhasználását, és minden tagállam számára előírja egy, a személyes adatok feldolgozásához kapcsolódó tevékenységek felügyeletéért felelős független nemzeti szerv létrehozását.

JOGI AKTUS

Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról [Lásd a módosító jogszabályokat].

ÖSSZEFOGLALÓ

Ezt az irányelvet az automatizált módon feldolgozott adatokra (pl. ügyfelek adatainak számítógépes adatbázisa), valamint azon adatokra kell alkalmazni, amelyek valamely nem automatizált nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni (hagyományos papíralapú dokumentumok).

Az irányelv nem alkalmazandó az adatfeldolgozás alábbi formáira:

Az irányelv célja, hogy a személyes adatok feldolgozása vonatkozásában biztosítsa az egyének jogainak és szabadságainak védelmét azáltal, hogy megállapítja a jogszerű feldolgozás fő feltételeit, valamint az adatok minőségére vonatkozó elveket.

Az adatfeldolgozás kizárólag akkor jogszerű, ha:

Az adatok minőségére vonatkozó elvek, amelyeket valamennyi jogszerű adatfeldolgozó tevékenységre alkalmazni kell, a következők:

Az érintett, vagyis az a személy, akinek az adatait feldolgozzák, az alábbi jogokat gyakorolhatja:

Az adatfeldolgozás egyéb releváns szempontjai:

Mindenki számára biztosítani kell a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára. Ezenfelül azok a személyek, akik személyes adataik jogellenes feldolgozása eredményeképpen kárt szenvedtek, az elszenvedett károkért kártérítésre jogosultak.

A személyes adatok a tagállamokból továbbíthatók olyan harmadik országba, amely megfelelő védelmi szintet tud biztosítani. Bár megfelelő szintű védelem garanciájának hiányában nem történhet adattovábbítás, az irányelv megfogalmaz néhány kivételt ez alól a szabály alól, pl. ha az érintett beleegyezik adatainak továbbításába, ha szerződéskötésről van szó, ha a közérdek szükségessé teszi azt, illetve akkor is, ha az adott tagállam kötelező erejű vállalati szabályok vagy általános szerződési feltételek alkalmazását teszi lehetővé.

Az irányelv szorgalmazza olyan nemzeti és közösségi eljárási szabályzatok kidolgozását, amelyek célja, hogy elősegítsék a nemzeti és a közösségi rendelkezések helyes végrehajtását.

Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott rendelkezéseknek a területén történő alkalmazását valamely független hatóság vagy hatóságok felügyeljék.

Létrejön a személyes adatok feldolgozásának vonatkozásában az egyének védelmével foglalkozó munkacsoport, amely az egyes nemzeti felügyelőhatóságok képviselőiből, a közösségi intézmények és szervek felügyelőhatóságainak képviselőiből, továbbá a Bizottság egy képviselőjéből áll.

HIVATKOZÁSOK

Jogi aktus

Hatálybalépés

Az átültetés határideje a tagállamokban

Hivatalos Lap

95/46/EK irányelv

1995.12.13.

1998.10.24.

HL L 281., 1995.11.23.

Módosító jogszabályok

Hatálybalépés

Az átültetés határideje a tagállamokban

Hivatalos Lap

1882/2003/EK rendelet

2003.11.20.

HL L 284., 2003.10.31.

A 95/46/EK irányelv későbbi módosításait és helyesbítéseit belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

KAPCSOLÓDÓ OKMÁNYOK

VÉGREHAJTÁSI JELENTÉS

A Bizottság 2007. március 7-i jelentése az Európai Parlamentnek és a Tanácsnak az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram nyomon követéséről [ COM(2007) 87 végleges - A Hivatalos Lapban még nem tették közzé].

Ez a közlemény a 95/46/EK irányelv végrehajtásáról szóló első jelentésben szereplő, az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram keretében végzett munkát vizsgálta. A Bizottság úgy ítélte meg, hogy a végrehajtás terén haladás érzékelhető, hiszen minden tagállam átültette az irányelvet. Megállapította, hogy az irányelvet nem kell módosítani.

A Bizottság megjegyezte továbbá, hogy:

A Bizottság 2003. május 15-i jelentése – Első jelentés az adatvédelmi irányelv (95/46/EK) végrehajtásáról [ COM(2003) 265 végleges – A Hivatalos Lapban még nem tették közzé].

A jelentés összefoglalta a kormányok, az intézmények, a vállalkozási és fogyasztóvédelmi szövetségek, valamint a polgárok közreműködésével a 95/46/EK irányelv értékeléséről folytatott bizottsági konzultációk eredményét. E konzultációkból az derült ki, hogy kevés közreműködő kérte az irányelv felülvizsgálatát. Továbbá a tagállamokkal folytatott konzultációt követően a Bizottság tudomásul vette, hogy többségük, valamint a nemzeti felügyelőhatóságok többsége is úgy ítélte meg, hogy jelenleg nincs szükség az irányelv módosítására.

A végrehajtás során tapasztalt késedelmek és hiányosságok ellenére az irányelv elérte fő célját, vagyis felszámolta a személyes adatoknak a tagállamok közötti szabad áramlása előtt álló akadályokat. A Bizottság továbbá úgy vélte, hogy megvalósult a Közösségen belüli magas szintű védelem biztosítására irányuló célkitűzés, mivel az irányelv világviszonylatban is az egyik legszigorúbb adatvédelmi előírásokat fogalmazta meg.

A belső piaci politika egyéb céljainak megvalósítása ugyanakkor kevésbé volt eredményes. Az adatvédelmi jogszabályok terén az egyes tagállamokban továbbra is komoly eltérések figyelhetők meg, márpedig ezek megakadályozzák, hogy a multinacionális szervezetek összeurópai adatvédelmi eljárásokat dolgozzanak ki. Éppen ezért a Bizottság bejelentette, hogy minden szükséges lépést megtesz a helyzet javítása érdekében, és ennek során lehetőség szerint elkerüli, hogy hivatalos eljárást kelljen indítania.

Az uniós adatvédelmi jogszabályoknak való általános megfelelést illetően három probléma vár megoldásra:

Az adatvédelmi irányelv jobb végrehajtását biztosítandó, a Bizottság elfogadott egy olyan munkaprogramot, amely számos – e jelentés elfogadásától 2004 végéig megvalósítandó – intézkedést tartalmazott. Ezek az intézkedések az alábbi kezdeményezéseket foglalják magukban:

„ELEKTRONIKUS HÍRKÖZLÉSI ÉS ADATVÉDELMI IRÁNYELV”

Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről („Elektronikus hírközlési adatvédelmi irányelv”) [Hivatalos Lap L 201., 2002.7.31.].

Ezt az irányelvet 2002-ben fogadták el, a hírközlési ágazatot szabályozó új jogszabályi keretrendszerrel egy időben. Az irányelv számos, többé-kevésbé érzékeny témát érint, úgymint az internetkapcsolat adatainak tagállami megőrzése rendőri ellenőrzés céljából (adatmegőrzés), nem kívánt elektronikus üzenetek küldése, azonosításra szolgáló kódsorok („cookie-k”) használata és a személyes adatok feltüntetése a nyilvános előfizetői névjegyzékekben.

A 611/2013/EU rendelet szabályokat határoz meg a személyes adatok megsértésére vonatkozó bejelentéssel kapcsolatban a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatók részére, arra az esetre, ha ügyfeleik személyes adatai elvesznek, illetve eltulajdonítják vagy más módon megsértik azokat.

Személyes adatok megsértése és biztonságuk sérelme esetén a szolgáltatók a 2002/58/EK irányelv értelmében kötelesek arról értesíteni az illetékes nemzeti adatvédelmi hatóságot, továbbá bizonyos esetekben az érintett előfizetőket és magánszemélyeket is. A 611/2013/EU rendelet „műszaki végrehajtási intézkedéseket” vezet be, amelyek tisztázzák az e kötelezettségeknek való megfelelés módját.

A szolgáltatók egyebek mellett kötelesek:

AZ ADATOK HARMADIK ORSZÁGOKBA IRÁNYULÓ TOVÁBBADÁSÁRA VONATKOZÓ ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

A Bizottság 2004/915/EK határozata (2004. december 27.) a 2001/497/EK határozat módosításáról a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános szerződési feltételek bevezetéséről [Hivatalos Lap L 385., 2004.12.29.].

Az Európai Bizottság új általános szerződési feltételeket fogadott el, amelyeknek köszönhetően a vállalkozások kellő biztosítékokat nyújthatnak a személyes adatoknak az EU-ból harmadik országokba irányuló továbbadásához. Ezek az új szerződési feltételek kiegészítik a 2001. júniusi bizottsági határozat (lásd fent) értelmében már meglévő feltételeket.

A Bizottság 2001/497/EK határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről [Hivatalos Lap L 181., 2001.7.4.].

Ez a határozat meghatározza azokat az általános szerződési feltételeket, amelyek biztosítják az EU-ból harmadik országokba továbbított személyes adatok megfelelő szintű védelmét. A határozat értelmében a tagállamok kötelesek elismerni, hogy a személyes adatok harmadik országba irányuló továbbításával kapcsolatos szerződésekben ilyen általános feltételeket előíró társaságok vagy szervezetek „megfelelő szintű adatvédelmet” biztosítanak.

A Bizottság 2010/87/EU határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről [Hivatalos Lap L 39., 2010.2.12.].

Bizottsági határozatok, amelyek a 25. cikk (6) bekezdése alapján harmadik országok számára igazolják a személyes adatok megfelelő védelmi szintjének meglétét: a Bizottság mindezidáig a következő államok vonatkozásában ismerte el a személyes adatok védelmének megfelelő szintjét: Andorra, Argentína, Ausztrália, Kanada (kereskedelmi szervezetek), Svájc, Feröer-szigetek, Guernsey, Man-sziget, Jersey, Új-Zéland, Uruguay és az Egyesült Államok Kereskedelmi Minisztériumának biztonságos kikötő adatvédelmi elvei.

A SZEMÉLYES ADATOK KÖZÖSSÉGI INTÉZMÉNYEK ÉS SZERVEK ÁLTALI VÉDELME

Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről , valamint az ilyen adatok szabad áramlásáról [Hivatalos Lap L 8., 2001.1.12.].

E rendelet célja az, hogy az Európai Unió intézményei és szervei keretében biztosítsa a személyes adatok védelmét. A szöveg a következőket írja elő:

utolsó frissítés 08.03.2014