Dr. Péterfalvi Attila. Az új Európai Adatvédelmi Szabályozás és a magyar vonatkozásai

Átírás

1 Dr. Péterfalvi Attila Az új Európai Adatvédelmi Szabályozás és a magyar vonatkozásai

2 Bevezetés Alapvetés az információs önrendelkezési jogról Kezdet: USA, 1890 (Brandeis és Warren), a Háborítatlansághoz való jog megjelenése is technikához kötődik (a fényképezőgép elterjedése) Első generációs jogszabályok: Nyugat-Európa, 1970-es évek, számítástechnikai fejlődés adatfeldolgozás és adattárolás korlátlan lehetőségei (elsősorban állami körben), ennek milyen negatív következményei lehetnek a polgárok magánéletére? számítógépes vagy automatizált nyilvántartásokra vonatkozó jogi dokumentumok (például: Az Európa Tanács 1981-es Egyezménye az Egyének Védelméről Személyes Adatok Gépi Feldolgozása Során) Második generációs jogszabályok: es évek, a jogalkotás már nem a technikára, hanem az adat mögött álló személyre összpontosít információs önrendelkezési jog és integrált információrendszerekben nyilvántartások korlátlan összekapcsolásának tilalma (német alkotmánybíróság december 15-i ún. népszámlálási-ítélete - Volkszahlungsurteil) (például: 1995-ös Adatvédelmi Irányelv) Harmadik generációs jogszabályok: uniós bővítések és globális technológiai trendek jogi standardizálási törekvés, információáramlás mérete és minősége miatt információs önrendelkezési jogról hangsúly áttevődik az adatkezelési jogalapok kidolgozására és a tisztességes adatkezelés elvére (például: készülő e-privacy Rendelet) 1.

3 Az adatvédelem hazai alapjai Magyarország Alaptörvénye (2011. április 25.) VI. cikk (1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. (2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (Infotv.) A törvény az információs önrendelkezési jog és az információszabadság biztosítása érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgáló szabályokról rendelkezik. Célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák. 2.

4 Az uniós jog forrásai Az Európai Unió elsődleges joga Az unió első alapító szerződései Egységes Európai Okmány A Maastrichti Szerződés Nizzai Szerződés Lisszaboni Szerződés Alapjogi Charta Az Európai Unió másodlagos joga Rendeletek Általános hatállyal bírnak, teljes egészében kötelezőek és közvetlenül alkalmazandók. A címzetteknek (magánszemélyeknek, tagállamoknak, uniós intézményeknek) maradéktalanul be kell tartaniuk őket. Hatálybalépésüktől kezdve az összes tagállamban közvetlenül alkalmazandók, anélkül, hogy át kellene ültetni őket a nemzeti jogba. Irányelvek Az irányelvek az elérendő célokat tekintve kötelezőek a címzett tagállam (vagy tagállamok, illetve az összes tagállam) számára, a célkitűzések megvalósításának formáját és eszközeit azonban a tagállamok választhatják meg. A nemzeti jogalkotónak átültető jogszabályt (más kifejezéssel nemzeti végrehajtási intézkedést ) kell elfogadnia, amellyel a nemzeti jogszabályokat az irányelvekben megállapított célkitűzésekhez igazítja. Határozatok, ajánlások és vélemények 3.

5 Az Európai Parlament és a Tanács április 27-én fogadta el az új uniós adatvédelmi csomagot, amelynek két eleme az adatvédelem általános keretét meghatározó rendelet (2016/679/EU rendelet GDPR) és a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv bűnügyi irányelv). Míg a GDPR május 25-től EU-szerte közvetlenül alkalmazandó, addig az irányelvet a tagállamoknak május 6-ig kell átültetniük nemzeti jogszabályaikba. A reform célja a 95/46/EK adatvédelmi irányelvben, valamint a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló 2008/977/IB tanácsi kerethatározatban lefektetett szabályok korszerűsítése. A bűnüldözés során a tagállamok hatóságainak a nemzetközi bűnözés és terrorizmus elleni küzdelem részeként egyre gyakrabban kell személyes adatokat feldolgozniuk és továbbítaniuk. Ebben az összefüggésben az érintett hatóságok közötti együttműködés javításához elengedhetetlenül fontos, hogy az adatvédelemre uniós szinten világos és koherens szabályozás vonatkozzon. 4.

6 GDPR (Az Európai Parlament és Tanács (EU)2016/679 Rendelete) Általános adatvédelmi rendelet május 25-től alkalmazni kell (már hatályos)! A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását (Preambulum (6)) Szilárd, következetesebb jogi keret, erős kikényszeríthetőség, információs önrendelkezési jog, jogbiztonság, gyakorlati biztonság. 5.

7 GDPR szabályozási pontok 1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme 2. Kiterjesztett és mellérendelt jogalapok 3. Érintetti jogok ( elfeledtetéshez, adatkezelés korlátozásához, adatok hordozhatóságához, automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) 4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok, biometrikus adatok 5. Beépített és alapértelmezett adatvédelem 6. Közös adatkezelők 7. Adatfeldolgozók (részletes szabályozás!) 8. Adatvédelmi incidens, az érintett tájékoztatása 9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy profilalkotás esetében) 10.Előzetes konzultáció 11.Adatvédelmi tisztviselő 12.Magatartási kódexek 13.Tanúsítás 14.Adattovábbítás harmadik országba (részletes szabályozás!) 15.Adatvédelmi hatóságok együttműködése (one-stop-shop) 6.

8 Elszámoltathatóság Adatkezelő feladatai 24. cikk Elvek 5. cikk Magatartási kódex 40. cikk Hatásvizsgálat 35. cikk Adatvédelmi tisztviselő 37. cikk Adatkezelés nyilvántartása 30. Cikk BCR 47. cikk PET audit Beépített és alapértelmezett adatvédelem 25. cikk Tanúsítvány 42. cikk Incidens bejelentés 33. cikk stb. 7.

9 Elszámoltathatóság 4. cikk (1) A személyes adatok: a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni ( jogszerűség, tisztességes eljárás és átláthatóság ); b) c) d) e) f) (2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására ( elszámoltathatóság ). 8.

10 Profilalkotás Személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. 9.

11 Magatartási kódex lényege A Rendeletnek való megfelelés elősegítése iparági szempontok figyelembevételével 10.

12 11.

13 12.

14 Magatartási kódexnek való megfelelés ellenőrzése és kikényszerítése a HATÓSÁG által AKKREDITÁLT ELLENŐRZŐ SZERVEZET független nincs összeférhetetlenség a kódex tárgyában szakértelemmel bír rendszeres időközönként felül tudja vizsgálni a kódex működését ellenőrizni tudja, hogy az adatkezelő alkalmasak-e a kódex alkalmazására ellenőrizni tudja, hogy az adatkezelő betartja a kódexet a nyilvánosság számára átlátható módon kezelni tudja a kódex megsértésével, illetve alkalmazásával kapcsolatos panaszokat 13.

15 Rendelet egységes alkalmazása Természetes személyek védelme Személyes adatok szabad áramlása Együttműködés a hatóságok között 14.

16 Hatásvizsgálat lényege Az adatkezelések előzetes kontrollja kockázatok feltárása kockázatok mérséklésére intézkedés 15.

17 16.

18 17.

19 nagy mennyiségű személyes adat ha kiszolgáltatott személyek személyes adatai (pl. gyermek) profilalkotás viselkedés vagy mozgás követése az érintettek nem gyakorolhatják jogaikat és szabadságaikat nagyszámú érintett valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve preambulum (75) különleges adatok kezelése bizalmasság megsértése az érintettek nem rendelkezhetnek saját személyes adataik felett hátrányos megkülönböztetés személyazonossággal való visszaélés a jó hírnév sérelme pénzügyi veszteség fizikai, vagyoni vagy nem vagyoni károkhoz vezet 18.

20 Nem kell hatásvizsgálatot lefolytatni 1. Ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; Ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják 2. Hatósági lista 19.

21 Előzetes konzultáció Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal. Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette -, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. 20.

22 Adatvédelmi incidens bejelentése, cikk Az incidens-nyilvántartás három szintje: Belső nyilvántartás Hatóság tájékoztatása Érintett tájékoztatása Eljárási szabályok a rendeletben 21.

23 Tanúsítás, cikk Tanúsítvány kibocsátása Kérelemre induló eljárás Tanúsító szervezetek akkreditációja a Testület által meghatározott szempontok szerint 22.

24 Adatvédelmi hatóságok hatásköre és eljárásai 23.

25 Hatáskörök Vizsgálati Korrekciós Engedélyezési és tanácsadási Bírósági jogorvoslat Bírósági eljárásban való részvétel További hatáskörök tagállami szabályozástól függően 24.

26 Egyablakos ügyintézés 60. cikk Panasz Határon átnyúló adatkezelés? Hatóságok közötti egyeztetés fő és érintett felügyeleti hatóság Konszenzusos döntéshozatal Vitarendezés a Testület előtt 25.

27 Egyablakos ügyintézés 60. cikk A határozat az EU egész területén érvényesítendő Jogorvoslat: a döntéshozatal helye szerinti bíróság előtt 26.

28 Az Európai Adatvédelmi Testület Egységességet szolgáló vélemények Vitarendezési eljárás Közös informatikai platform 27.

29 Az Európai Adatvédelmi Testület véleménye, 64. cikk Egységes alkalmazást szolgálja Tartalma kötelező a tagállamra nézve Véleménytől eltérő tagállami döntés esetén vitarendezési eljárás indul 28.

30 GDPR Irányelv - hazai jogalkotás Személyes adatok védelmének joga Infotv. GDPR Meg kell teremteni az összhangot a GDPR és a hazai jogszabályok között új hazai jogszabályok, és meglévő jogszabályok módosítása, hatályon kívül helyezése Bűnügyi irányelv Az Irányelv nemzeti jogba ültetése 29.

31 Infotv. módosítás irányai 1.) GDPR : teljes jogegységesítés - deregulációs kötelezettség a GDPR hatálya alá tartozó jogterületeken - pozitív jogalkotási kötelezettség elsősorban az intézményi és eljárásjogi keretek biztosítására vonatkozik (NAIH kijelölése, eljárásrendjének kialakítása) 2.) büntetős irányelv: nemzeti jogok harmonizációja Egyes közrendvédelmi-közbiztonsági, bűnmegelőzési, bűnfelderítési, bűnüldözési, büntetőeljárási és büntetés-végrehajtási tevékenységet (ideértve a szabálysértésekkel összefüggő tevékenységet) végző szervezetek adatkezelési jogviszonyai tekintetében át kell ültetni a magyar jogba az irányelv szabályait. GDPR miatt deregulált szabályok helyére kerülnek az Infotv.-ben az új szabályok Az irányelv hatálya a kerethatározathoz képest szélesebb, ugyanis a bűnüldözési célú (beleértve a terrorizmus, a szervezett bűnözés és a számítástechnikai bűnözés elleni küzdelmet is) adatkezelés + a közbiztonságot fenyegető cselekmények elleni védelemre és azok megelőzésére, valamint + a nem állami, de bűnüldözési célból adatokat kezelő gazdasági társaságokra, szervezetekre (pl. magánüzemeltetésű börtönök) is kiterjed. 3.) Információszabadságra vonatkozó joganyagot nem érinti a módosítás. 30.

32 Infotv. (2018. május 25.) Az Infotv. hagyományosan egy normában tartalmaz minden általánosan, horizontálisan alkalmazandó adatvédelmi szabályt. Az Infotv május 25. után továbbra is irányadó marad minden olyan adatkezelési jogviszonyra, amely nem tartozik a GDPR hatálya alá, így a tartalma az alábbiak szerint alakul: 1.) büntetős irányelv hatálya alá tartozó jogviszonyok szabályozása 2.) GDPR végrehajtásához szükséges, azt kiegészítő szabályok 3.) uniós jog hatálya alá nem tartozó jogviszonyok szabályai (ide tartoznak egyrészről a nemzetbiztonsági és a honvédelmi célú, másrészről pedig a papír alapú, nem nyilvántartási célú adatkezelések) 4.) információszabadság 5.) szervezeti szabályok és eljárásjog 31.

33 Infotv. (2018. május 25.) A NAIH jogállása változatlan (az eddigi szabályozás már megfelelt az uniós elvárásoknak) - hatáskör módosul: az eddigi adatvédelmi nyilvántartást új nyilvántartások váltják fel, és új hatáskörök jelennek meg (pl. hatásvizsgálattal kapcsolatos pozitív és negatív lista kiadása, előzetes konzultáció, új engedélyezési hatáskörök, tanúsítás) - Infotv. a GDPR és a büntetős irányelv szabályainak megfelelően kifejezetten rendelkezik arról, hogy a NAIH hatásköre nem terjed ki a bírósági döntés meghozatalára irányuló peres és nem peres eljárásokban, az azokra vonatkozó előírások alapján a bíróság által végzett adatkezelési műveletekre erre a bírósági szervezetrendszerbe ágyazott megoldást nyújt majd a szabályozás (NAIH konzultáció) 32.

34 Infotv. (2018. május 25.) NAIH eljárásait érintő módosítások I. 1.) vizsgálat - bejelentésre és hivatalból is indítható - információszabadság területén is megmarad - speciális formája: bűnüldözési célú adatkezelések esetén az érintett a NAIH vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az adatkezelő az érintetti jogainak (pl. hozzáféréshez, helyesbítéshez vagy törléshez való jog) érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja 2.) adatvédelmi hatósági eljárás - indulhat: az érintett kérelmére, ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet (GDPR 77. cikk) hivatalból - az Ákr. szabályait kell alkalmazni az Infotv.-ben írt eltérésekkel (nemzetközi együttműködési mechanizmus érvényesülése) 33.

35 Infotv. (2018. május 25.) NAIH eljárásait érintő módosítások II. 3.) új adatkezelési engedélyezési eljárások - Ákr. szabályait kell alkalmazni az Infotv.-ben meghatározott eltérésekkel (többszöri egyeztetési lehetőség) - magatartási kódex jóváhagyása - magatartási kódexnek való megfelelés ellenőrzésére irányuló tevékenység engedélyezése - tanúsítvány alapjául szolgáló tanúsítási szempontok jóváhagyása - 3. ország és nemzetközi szervezet részére személyes adatok továbbítására vonatkozó szerződéses rendelkezések engedélyezése - kötelező erejű vállalati szabályok jóváhagyása 34.

36 Infotv. (2018. május 25.) NAIH eljárásait érintő módosítások III. 4.) új adatvédelmi hatósági nyilvántartás: megújult tartalom a) azon NAIH határozatok nyilvántartása, amelyek nyilvánosságra hozatalát a NAIH elrendelte [Infotv. 61. (2) bekezdése] b) engedélyezési jogkörben hozott határozatok nyilvántartása c) adatvédelmi tisztviselő elérhetőségeinek nyilvántartása 5.) szakhatósági közreműködés a tanúsító szervezetek akkreditációja során a Nemzeti Akkreditáló Hatóság (NAH) eljárásában 35.

37 Költségvetési kiadások összesen: Kiemelt előirányzatok megnevezése Összeg (eft) Összeg (eft) Személyi juttatások + járulékok Beruházások + dologi kiadások Összesen: Létszám 73 fő 114 fő (2019) KÖFOP pályázat Összeg (eft) Személyi juttatás + járulékok Szoftver

38 Köszönöm a figyelmet! Dr. Péterfalvi Attila, elnök c. egyetemi tanár H-1125 Budapest, Szilágyi Erzsébet fasor 22/c. H-1530 Budapest, Pf. 5. Tel.: Fax: elnok@naih.hu ugyfelszolgalat@naih.hu