Új lehetőségek az adatkezelés terén Datenschutzrecht Dr. Andrea Klára Soós
Einführung 2/1 • Veränderungen des Datenschutzrechts: das Recht der EU wird sich auch verändern • Veränderungen der ungarischen Rechtsumgebung: neues Gesetz und neue Behörde • Besonderheit der ungarischen Lage (die Einwände der Europäischen Kommission) • Rolle der Anwaltskanzleien • Wichtigkeit des Audits
Einführung 2/2 • Eigenartige Beziehung des ungarischen Datenschutzes und des deutschen Datenschutzrechts: • Gleiche dogmatische Grundlagen (Begriff des informationellen Selbstbestimmungsrechts, das Ungarische Verfassungsgericht setzte das deutsche System wissentlich um) • Infringement-Verfahren, Urteil gegen Deutschland, März 2011
Tartalom 1. 2. 3. 4. 5. 6. 7. 8.
Jogi keretek Nemzetközi kitekintés Tartalmi újdonságok A NAIH Az adatvédelmi nyilvántartás Ombudsmani eljárás Hatósági eljárások Bírósági felülvizsgálat
Jogi keretek 3/1 • A kereteket a 95/46/ EK irányelv adja meg • A magyar hátteret az Alaptörvény teremti meg • (Alkotmányjogi háttér) Az irányelv két célja: • a természetes személyek alapjogainak biztosítása (magánszférához való jog); • a személyes adatok tagállamok közötti szabad áramlásának biztosítása
Jogi keretek 3/2 Az irányelv 28.cikke: minden tagállam köteles egy vagy több hatóságot felállítani, amely saját területén az irányelv ellenőrzését biztosítja A hatóságok teljes függetlenséggel kötelesek eljárni Minden tagállam köteles figyelembe venni a hatóság véleményét a jogalkotáskor Egyes konkrét jogalkalmazási és jogvédő feladatai párhuzamosan legyenek a hatóságnak, miközben a bírósági eljárásban való részvétel joga megkívánja az önálló jogi személyiséget is.
1. Jogi keretek 3/3 Minimum jogosítványok: • - vizsgálati jogkör: az adatfeldolgozási műveletek tárgyát képező adatokhoz való hozzáférés joga, adatok gyűjtésének joga); • - tényleges beavatkozási jogosultságok: véleményezés joga, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése, • - bírósági eljárásban való részvétel joga: a jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga. Biztosítani kell, hogy a felügyelő hatóság kifogásolható határozatai bíróság előtt megtámadható legyen.
2. Nemzetközi kitekintés 2/1 • 28. cikk elvárásai számos esetben volt ellenőrzés tárgya Európai Bizottság c/a Németország C-518/2007 sz. ügy
• Szabályozási modellek – Közigazgatási típusú modell (hatóság) – Kvázi hatóság, ombudsmani jogosultságokkal – Ombudsman
Nemzetközi kitekintés 2/2 BG FR
Tanács (8 tagú) CPP Tanács (17 tagú) CNIL
IR
Adatvédelmi biztos
MD
Független hatóság DPDP Független hatóság
Ro
Az elnököt és a bizottság 4 tagját a parlament választja 17 tag: az országgyűlés, a Kormány, a legfelsőbb bíróság delegálja Önálló vizsgálati jogkörökkel rendelkezik Az országgyűlés 5 évre Szenátus választja 5 évre
3. Tartalmi újdonságok 11/1 • Az Alaptörvény VI. cikke: a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. • Indokolás: „alkotmányos szintre emelve ezzel az említett alapjogok ellenőrzésére hivatott szerv függetlenségét”.
3. Tartalmi újdonságok 11/2 • „A ’90-es évek közepén teremtett ombudsmani rendszernél lényegesen hatékonyabb fellépésre van szükség” • Az irányelv nem zárja ki, hogy egy hatóság legyen az adatvédelemre és az információ szabadságra • Magyar modell-választás: közös hatóság
3. Tartalmi újdonságok 11/3 • Fogalmak • Tévedések (az érintett fogalma nem változott) • A személyes adat fogalma • Az adatfeldolgozás fogalma Gyakorlati következmények: elmozdulás
3. Tartalmi újdonságok 11/4 • személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés • A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
3. Tartalmi újdonságok 11/5 • Külön alcím az alapelvekről (de nincs változás) • célhoz kötöttség (adatminimalizálás, készletezés tilalma) • Tisztességes és törvényes adatkezelés • A kezelt adatok minőségének • Az adatbiztonság elve (kötelezettségek)
3. Tartalmi újdonságok 11/6 A célhoz kötöttség jelentése (nem új) • Pontosan meghatározott cél • A cél törvényes legyen (jog gyakorlása vagy kötelezettség teljesítésének előmozdítása érdekében) • A cél teljesüléséhez feltétlenül szükséges mértékben és ideig • Az adatkezelés minden szakaszában vizsgálandó
3. Tartalmi újdonságok 11/7 Az adatkezelővel/adatfeldolgozóval szembeni elvárások: • a jogosulatlan adatbevitel megakadályozása (felelős kijelölése) • automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozása (technikai) • adattovábbítás ellenőrzése: mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe (adattovábbítási nyilvántartás vezetése) • a telepített rendszerek üzemzavar esetén történő helyreállíthatósága (krízisterv) • automatizált feldolgozás során fellépő hibákról jelentéskötelezettség (belső dokumentálás, de visszaélés jelentés nincs)
3. Tartalmi újdonságok 11/8 Új jogalapok 6. § (1) Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. (2) Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.
3. Tartalmi újdonságok 11/9 Szerződések • Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
3. Tartalmi újdonságok 11/10 Visszavonás 6. § (5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
3. Tartalmi újdonságok 11/11 Vélelmek: • Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. • Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy nyilvánosságra hozatalra általa átadott személyes adatok tekintetében. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
4. A NAIH 5/1 • A hatóság autonóm államigazgatási szerv fejezeti jogosítványokkal központi költségvetési szerv (országgyűlés költségvetési fejezete alatt) • 25. pont 38. § (5): a hatóság független, csak a törvénynek van alárendelve, feladatkörében nem utasítható, feladatát más szervektől elkülönülten, befolyásolástól mentesen látja el. A hatóság számára feladatot csak törvény állapíthat meg.
4. A NAIH 5/2 Elnök (ME javaslatára a KE 9 évre)
Elnökhelyettes (Elnök határozatlan időre)
Kabinet
4 Főosztály
Vizsgálók munkaköri feltételei
4. A NAIH 5/3 Ombudsmani eljárás
2 hónap
bárki Állampolgári jogok biztosa
Adatvédelmi hatósági eljárás
2 hónap
Hivatalból
Titokfelügyeleti eljárás
45 nap 60 nap 8 nap
Hivatalból
Nyilvántartási eljárás
Kérelemre (A közigazgatás hallgatása)
4. A NAIH (5/5) Vizsgálati jogosítványok (vö: irányelv) Betekintés, másolatkészítés Írásbeli és szóbeli felvilágosítás-kérés – az adatkezelőtől, – az adatkezelő bármely munkatársától – „bármely személytől vagy szervtől” Az adatkezelő felügyeleti szervének megkérése vizsgálatra
5. Az adatvédelmi nyilvántartás (6/1) Nincs lényegi tartalmi változás Lényeges eljárási változás: díj, hatósági jelleg Az űrlap letölthető a honlapról (azonos a régivel) Egy különbség: az alkalmazott adatfeldolgozási technológia jellege (Elméletben, mindenkinek be kellene újra jelenteni az adatkezelést)
5. Az adatvédelmi nyilvántartás (6/2) A nyilvántartás elmulasztásának szankciói Az adatkezelés „nem kezdhető meg” Bizalomvesztés Bírság (?) Szabálysértési tényállás (?)
5. Az adatvédelmi nyilvántartás (6/3) Kivételek a bejelentési kötelezettség alól (ugyanaz, mint régen) • Ügyfelek • Munkavállalók Értelmezési kérdések Munkavállaló fogalma (ellentmondás)
5. Az adatvédelmi nyilvántartás (6/4) Az ügyfélkapcsolat: – az adatokat közvetlenül az érintettektől veszik fel, – az adatkezelés célja az érintett számára ismert, – a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott, – az adatokat csak az előre meghatározott céllal összefüggésben használják fel, – az adatok nem vagy csak az érintett kifejezett hozzájárulásával kerülnek ki az adatkezelő kezeléséből, – az érintetteket minderről megfelelően tájékoztatják.
5. Az adatvédelmi nyilvántartás (6/5) Be kell jelenteni az ügyfelek adatainak kezelését: pénzügyi szervezetek, közüzemi szolgáltatók, (adójogszabályok) elektronikus hírközlési szolgáltatók
5. Az adatvédelmi nyilvántartás (6/6) Eljárási kérdések: Formanyomtatvány kitöltése Kézhezvételtől (?) számított 8 napon belül kell dönteni A közigazgatási szerv hallgatása (díjvisszafizetés!)
6. Ombudsmani eljárás 3/1 Az ombudsmani eljárás kimenetele • Ombudsmani intézkedés (30 nap) • Hatósági eljárás indítás (új eljárás, 45 nap) • (Jelentés) • Elutasítás
6. Ombudsmani eljárás 3/2 30 nap múlva A felszólított szerv 30 napon belül önkéntes jogkövetés keretében orvosolja a problémát (= nincs bírság) Egyet nem értéséről levélben tájékoztatja a hatóságot Külön eljárás a „felügyeleti szervvel” rendelkezőknek (ajánlás)
5. Ombudsmani eljárás 3/3 Visszautasítás esetén • Jelentés szankció a nyilvánosság, de marasztalás nélküli • Hatósági eljárás indítása (újabb 45 nap) • Bírósági „végrehajtás” (per)
6. Hatósági eljárások 3/1 Adatvédelmi hatósági eljárás Indítás feltétele: Valószínűsíthető a jogellenes adatkezelés és • Személyek széles körét érinti, • különleges adatokat érint, vagy • Nagy érdeksérelmet vagy kárveszélyt idézhet elő Ügyintézési határidő 2 hónap (Ket. szerinti felfüggesztés hozzáadódik)
6. Hatósági eljárások 3/2 Adatvédelmi hatósági eljárás Határozat • Helyesbítés • Zárolás, törlés, megsemmisítés • (! Adathordozó megsemmisítése) • Adatkezelés megtiltása • Külföldre továbbítás megtiltása • Tájékoztatás elrendelése • Bírság (rendbírság és érdemi bírság) • A határozat nem anonim nyilvánosságra hozatala
6. Hatósági eljárások 3/3 A bírság mint szankció • Csak a hatósági eljárásban szabható ki, az eljárás elrendelésének azonban szigorú feltételei vannak. • Feltételezhetően a legtöbb eljárás nem jut el a bírságolás szakaszáig, mert továbbra is a nyilvánosság mint szankció és az önkéntes jogkövetés áll előtérben. • A bírság mértéke: maximum 10.000.000 Ft. • A bírságkiszabás szempontjai (??)
7. Jogorvoslás 2/1 • A legtöbb eljárásra nem vonatkozik a Ket., és nincs önálló jogorvoslat • Nincs szabályozva az elutasítás, a jelentés (vagy annak elmaradása), de még a büntetésből nyilvánosságra hozatal elleni jogorvoslat
7. Jogorvoslás 2/2 • A hatósági eljárást lezáró határozat ellen közigazgatási úton van jogorvoslatnak helye (egyfokú, országos hatáskörű szerv) • Bizonyítási teher: az adatkezelőn van • Lehetséges kifogások: – Eljárás indítás feltételei nem álltak fenn – Tényállás feltárása nem jó kifogás, mert Érdemi, jogértelmezési kérdések (kialakult gyakorlata van az adatvédelmi pereknek) – A bírság mérlegelési szempontjai • A bíróság a hatóság határozatát nem változtathatja meg
Köszönöm szépen a figyelmet!
[email protected]