Milyen jogokat ad nekem az Általános Adatvédelmi Rendelet?

 Valóban nem lehet az adataimat a hozzájárulásom nélkül használni? Vagy legalább mindig tudnom kell, hogy mi történik az adataimmal?

A hozzájárulás (vagy beleegyezés) nem az egyetlen, nem is a legfőbb alap arra, hogy személyes adatokat kezeljen valaki, kivéve az érzékeny adatokat (különleges adatok kategóriája, ilyenek az egészségre, etnikai eredetre, vallásra, politikai véleményekre, szexuális orientációra vonatkozó adatok), de ezek esetében is lehet őket kezelni  meghatározott indokok esetén, például az érintett személy életét fenyegető veszély elhárítása érdekében.

Itt érdemes tisztázni két fogalmat: adatkezelésnek nevez a jogszabály majdnem minden tevékenységet, amelyet a személyes adatokkal végeznek, az érintett személy pedig az, aknek az adatait kezelik.

Az adatvédelmi szabályok két ellentétes filozófia között kell megtalálják a megfelelő kompromisszumot: sokan tartják az adatvédelmet felesleges tehernek, szerintük nekik semmi titkolnivalójuk nincsen, a "titkolózás" csak a bűnözőket, a stikliket elkövetőket védi. Ez egy kicsit "amerikai" felfogás, ahol ugyan létezik a magánélet védelme, de ez inkább annak a joga, hogy az egyént "békén hagyják", az aktív beavatkozás ellen véd (ezért lehet ott a magánélet védelme alapján alkotmányellenes az abortusz tiltásatiltásag) - amelybe beletartozik a megfigyelés, az adatok gyűjtése is, de ennél sokkal radikálisabb az európai filozófia: a személyes adatok az egyén tulajdonát képezik, és az azok feletti rendelkezés jogát csak indokolt esetben lehet elvitatni tőle. Érdekes módon a magyar Alkotmánybíróság az első értelmezés mellett tört lándzsát  3110/2013. (VI. 4.) döntése 88. paragrafusában, amikor a magánszférába történő aktív behatolás nélkül, tehát nem megfigyelés útján folytatott adatgyűjtést nem tekintette a magánszférához való jog megsértésének.

Azért az első - "nincs titkolnivalóm" - filozófia vajon azt is jelenti, hogy  egy független fiatal - aki esetleg több partnerrel is kapcsolatot tart - egyik partnerének meg kell tudnia, hogy egy másikkal  hol volt annak érdekében, hogy egy parkolási díjat (nem bírságot) behajtsanak tőle?

A szükségesség és az arányosság fontos szerepet játszanak annak meghatározásában, hogy egy adatkezelés indokolt-e vagy sem.

Az elvek tehát (zárójelben kissé egyszerűsítve tartalmuk legfontosabb elemei; fontos, hogy egyesek alól indokolt esetben kivételek lehetnek, például indokolt lehet, hogy az érintett személy ne tudjon adatai kezeléséről pl. egy vizsgálat esetén):

jogszerűség, tisztességes eljárás és átláthatóság (megfelelő jogalap kell és az érintett személynek tudnia kell az adatkezelésről és annak módjáról)

célhoz kötöttség (adatot kezelni csak meghatározott, egyértelmű és jopgszerű célból lehet)

adattakarékosság (a szükségesre kell korlátozódniuk)

pontosság (az adatoknak pontosnak és naprakésznek kell lenniük)

korlátozott tárolhatóság (csak a szükséges ideig tárolhatóak)

integritás és bizalmas jelleg (az adakothoz illetéktelenek nem férhetnek hozzá, azokat nem módosíthatják)

Az adatfeldolgozást indokolhatja:

az érintett hozzájárulása

ha az adatkezelés szerződés teljesítéséhez szükséges

az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ha ezzel szemben az érintett személy alapvető jogainak érvényesítése nem élvez elsőbbséget, különösen igaz ez a korlátozás gyermek esetén.

Visszatérve ezután a hozzájárulásra: az új rendelet tisztázza, hogy amennyiben ez az adatkezelés alapja, egyrészt a szükséges információ birtokában,másrészt kifejezetten, aktívan kell történnie. Amennyiben például egy kocka vagy kör bejelölésével jelezzük, a kocka vagy kör nem lehet előre bejelölve, vagy azzal, hogy egy szolgáltatást használok, implicite nem adok hozzájárulást.

A transzparencia, vagyis jogom a tájékoztatáshoz minden esetben fennáll, csak nagyon korlátozott kivételekkel nem kell tudnom adataim kezeléséről és annak módjáról. Megnyugtatandó azokat, akik szerint az adatvédelem a bűnözőket védi: a bűncselekmények felderítése és üldözése szerepel ezek között a kivételeo között, sőt, a bűnüldözés és szankcionálás területén egy másik irányelv szabályozza a személyes adatok kezelését - irányelv lévén, keretei között a tagállamok szabadon határozhatnak meg szabályokat.

Megfogalmazásában új az elfeledtetés joga (így fordították, nyelvtanilag precízen). Már régóta folynak viták arról, hogy helyes-e, hogy ami egyszer felkerült az internetre, örökre megtalálható lehet. Aztán egy spanyol úr megtámadta a Google-t - sikeresebben, mint don Quijote a szélmalmokat -, hogy távolítsa el a találatai közül egy régebbi ballépésének nyomát. Az ügy az Európai Bíróság elé került, amely az akkor hatályos adatvédelmi irányelv alapján is megalapozottnak találta az érvelést, hogy az információ idővel elvesztette jelentőségét. Így aztán az új európai adatvédelmi rendeletben is megjelent ez a jog. Tartalma azonban nem azonos - a Google ügyben csak a névre végzett keresések eredményei közül kellett eltávolítani az információt, az eredeti internetes közzététel érintetlen maradt. A rendelet azonban az információ eltávolítását írja elő - értelemszerűen a feltételek is szigorúbbak. Világos azonban, hogy az információt el kell távolítani, ha nem szükséges többé - ez csak egy kokrétabb megfogalmazása az elvnek, hogy csak a szükséges információt és csak a szükséges ideig szabad kezelni -, de lehetővé teszi egyrészt a hozzájárulás egyszerű visszavonását, különösen, ha valaki gyerekként kezdett egy információs társadalomi szolgáltatást igénybe venni, másrészt lehetővé teszi (amrégi szabályoknak megfelelően, hogy egy személy speciális körülményeire hivatkozva kérje személyes adatai eltávolítását (tehát hiába jogszerű általában az adatok megtartása, az adott személy adatait indokolt lehet eltávolítani).

Azokban az esetekben, ha az adatkezelés alapja az érintett beleegyezése vagy a vele kötött szerződés, kérhető, hogy az adatokat géppel olvasható formában rendelkezésére bocsássák, illetve egy másik adatkezelőnek átadják. Ennek jelentősége szolgáltatóváltáskor van, és kiterjedhet például az e-mail fiókban tárolt levelezésre vagy a mobiltelefonos híváslistákra is. Legalábbis erre utal a jelenlegi irányelv 29. cikke alapján a tagállamok adatvédelmi hatóságai által létrehozott munkacsoport (amely jövő májusban átalakul a jóval nagyobb hatáskörű Adatvédelmi Tanáccsá) által közzétett útmutatás, amly persze felveti, hogy ennek során a híváslistában vagy e-mailekben szereplő más személyek jogait is figyelembe kell venni. Hogy ez hogy fog működni, az a gyakorlatban fog kiderülni, az útmutatás önmagában nem bír joghatállyal, de ezért említettem, hogy a testület jogutódja több hatáskörrel fog bírni.

További jogokról és egyéb gyakorlati szempontokról a következő részekben lesz szó.

Megjegyzések

Népszerű bejegyzések ezen a blogon

Kelle adatvédelem vírusjárvány idején?

Adattovábbítás - az EDPB megszólalt; az ürügy az Európán kívüli, de a GDPR alá eső adatkezelők adattovábbítása

Eljött a nagy nap (2018 május 25.)