Általános adatvédelmi rendelet

Az általános adatvédelmi rendelet, hivatalosan Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről[1] (angolul: General Data Protection Regulation, röviden: GDPR) az Európai Unió rendelete, amely az Európai Gazdasági Térség területén tartózkodó természetes személyek személyes adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról.

A rendelet 2016. május 24-én lépett hatályba, és kétéves türelmi időszak után 2018. május 25-től kell alkalmazni.

Érdekessége, hogy a nemzetközi jogi gyakorlatban eddig nem megszokott módon, kiterjesztő hatályú rendelet, tehát nem EGT-tagállamban működő szervezetekre is kötelező lehet.

Története

Európában az egyik legfontosabb alkotmányos érték az emberi méltóság.[* 1] Minden alapjogot, így a személyes adatok védelméhez való jogot ebből vezetnek le. A második világháború után kezdett a nemzetközi jogban megjelenni az adatvédelem valamilyen formában. 1948-ban fogadták el az Emberi Jogok Egyetemes Nyilatkozatát, mely először tesz említést a személyes adatok védelméről. Két évvel később került elfogadásra az Emberi Jogok Európai Egyezménye, ez azonban nem katalogizálta igazán a jogokat, ennek igénye csak az 1999-es kölni Európa Tanács ülésen merült fel. Az Unió szervei erre reagáltak az Alapjogi Charta kihirdetésével a 2000 decemberében tartott nizzai csúcstalálkozón, ami kötelező erőt csak a Lisszaboni szerződés 2009. december 1-i hatályba lépésével nyert.

Az Európa Tanácsnak volt ugyan 1981-ben elfogadott adatvédelmi egyezménye, mely Magyarországon 1988 óta a jog része,[* 2] de az csak a személyes adatok gépi feldolgozásával foglalkozott. Az Európa Parlament és a Tanács 1995. október 24-én fogadta el a 95/46/EK irányelvet, mely a GDPR rendelet előzménye, és amely jelen rendelettel hatályát is veszti. Ez az irányelv a magyar jogban az Infotörvény[2] néven ismert jogszabályban képeződött le.

2009-ben konzultáció indult, mert felismerték, hogy az irányelv nem váltotta be a hozzáfűzött reményeket. A magánszféra-szkeptikusok azért támadták, mert szerintük nem valósult meg az európai szintű jogbiztonság. A technológiai fejlődés is új kihívásokat hozott magával. Ennek eredményeként 2012-ben megindult a rendes jogalkotási eljárás. Ennek lezárulásával az Európai Parlament és a Tanács 2016. április 27-én fogadta el. 2016. május 4-én hirdették ki az Európai Unió Hivatalos Lapjában, és a kihirdetést követő huszadik napon lépett hatályba. Kétéves türelmi időszak után 2018. május 25-től kell teljes egészében kötelezően és közvetlenül alkalmazni valamennyi EGT-tagállamban.

Az uniós adatvédelmi reform részeként az Európai Parlament és a Tanács 2016. április 27-én elfogadta a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelvet,[3] közismertebb nevén a bűnügyi irányelvet is. Ezt az irányelvet a tagállamoknak 2018. május 6-ig kellett átültetniük nemzeti jogszabályaikba.

Alapfogalmak

Személyes adat: Azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Különleges személyes adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelő: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.

Érintett: Az adatkezelés alanya, bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Alapelvek

A rendelet 5. cikkében a személyes adatok kezelésére vonatkozóan 7 alapelvet fogalmaz meg, melyek a következők:

  • Jogszerűség, tisztességes eljárás és átláthatóság
  • Célhoz kötöttség
  • Adattakarékosság
  • Pontosság
  • Korlátozott tárolhatóság
  • Integritás és bizalmas jelleg
  • Elszámoltathatóság

Érintettek jogai

Az érintettek jogait a rendelet 12–22. cikkei tartalmazzák. Ezek a következők:

  • Átlátható tájékoztatáshoz való jog
  • Hozzáféréshez való jog
  • Helyesbítéshez való jog
  • Törléshez és elfeledtetéshez való jog
  • Korlátozáshoz való jog
  • Adathordozhatósághoz való jog
  • Tiltakozáshoz való jog
  • Automatikus döntéshozatal elutasításához való jog

Jegyzetek

  1. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
  2. net.jogtar.hu/info-tv – 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
  3. Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról

Kapcsolódó szócikkek

Megjegyzések

  1. Itt tehát az egyénről kialakított nyilvános kép sérülésétől tartanak, amire nem csak az állam jelenthet veszélyt. Ezzel szemben amerikai alkotmányosságban ez az alapérték az emberi szabadság, amire a legnagyobb veszélyt az állam jelenti.
  2. 1988. évi VI. törvény

Források

  • Az Európai Parlament és a Tanács 2016/679 rendelete. Az Európai Unió Kiadóhivatala, 2018. május 4. (Hozzáférés: 2021. március 12.)
  • Efrén Díaz Díaz: The new European Union General Regulation on Data Protection and the legal consequences for institutions. (angolul) Church, Communication and Culture, I. évf. 1. sz. (2016) 206–239. o. Hozzáférés: 2018. május 7. doi:10.1080/23753234.2016.1240912
  • Paul Voigt, Axel von dem Bussche. The EU General Data Protection Regulation (GDPR) – A Practical Guide (angol nyelven). Cham, Svájc: Springer (2017). ISBN 9783319579580 
  • Európai adatvédelmi jogi kézikönyv. Európai Unió Alapjogi Ügynöksége, Európa Tanács. DOI: 10.2811/55214 (2019). ISBN 9789294742919 
  • Az Infotörvénytől a GDPR-ig; szerk. Szabó Endre Győző; Ludovika Egyetemi Kiadó, Budapest, 2021
  • Magyarázat a GDPR-ról; szerk. Péterfalvi Attila, Révész Balázs, Buzás Péter; 2. átdolg. kiad.; Wolters Kluwer Hungary, Budapest, 2021