Általános adatvédelmi rendelet

Az általános adatvédelmi rendelet, hivatalosan Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről^[1] (angolul: General Data Protection Regulation, röviden: GDPR) az Európai Unió rendelete, amely az Európai Gazdasági Térség területén tartózkodó természetes személyek személyes adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról.

A rendelet 2016. május 24-én lépett hatályba, és kétéves türelmi időszak után 2018. május 25-től kell alkalmazni.

Érdekessége, hogy a nemzetközi jogi gyakorlatban eddig nem megszokott módon, kiterjesztő hatályú rendelet, tehát nem EGT-tagállamban működő szervezetekre is kötelező lehet.

Története

Európában az egyik legfontosabb alkotmányos érték az emberi méltóság.^{[* 1]} Minden alapjogot, így a személyes adatok védelméhez való jogot ebből vezetnek le. A második világháború után kezdett a nemzetközi jogban megjelenni az adatvédelem valamilyen formában. 1948-ban fogadták el az Emberi Jogok Egyetemes Nyilatkozatát, mely először tesz említést a személyes adatok védelméről. Két évvel később került elfogadásra az Emberi Jogok Európai Egyezménye, ez azonban nem katalogizálta igazán a jogokat, ennek igénye csak az 1999-es kölni Európa Tanács ülésen merült fel. Az Unió szervei erre reagáltak az Alapjogi Charta kihirdetésével a 2000 decemberében tartott nizzai csúcstalálkozón, ami kötelező erőt csak a Lisszaboni szerződés 2009. december 1-i hatályba lépésével nyert.

Az Európa Tanácsnak volt ugyan 1981-ben elfogadott adatvédelmi egyezménye, mely Magyarországon 1988 óta a jog része,^{[* 2]} de az csak a személyes adatok gépi feldolgozásával foglalkozott. Az Európa Parlament és a Tanács 1995. október 24-én fogadta el a 95/46/EK irányelvet, mely a GDPR rendelet előzménye, és amely jelen rendelettel hatályát is veszti. Ez az irányelv a magyar jogban az Infotörvény^[2] néven ismert jogszabályban képeződött le.

2009-ben konzultáció indult, mert felismerték, hogy az irányelv nem váltotta be a hozzáfűzött reményeket. A magánszféra-szkeptikusok azért támadták, mert szerintük nem valósult meg az európai szintű jogbiztonság. A technológiai fejlődés is új kihívásokat hozott magával. Ennek eredményeként 2012-ben megindult a rendes jogalkotási eljárás. Ennek lezárulásával az Európai Parlament és a Tanács 2016. április 27-én fogadta el. 2016. május 4-én hirdették ki az Európai Unió Hivatalos Lapjában, és a kihirdetést követő huszadik napon lépett hatályba. Kétéves türelmi időszak után 2018. május 25-től kell teljes egészében kötelezően és közvetlenül alkalmazni valamennyi EGT-tagállamban.

Az uniós adatvédelmi reform részeként az Európai Parlament és a Tanács 2016. április 27-én elfogadta a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelvet,^[3] közismertebb nevén a bűnügyi irányelvet is. Ezt az irányelvet a tagállamoknak 2018. május 6-ig kellett átültetniük nemzeti jogszabályaikba.

Alapfogalmak

Személyes adat: Azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Különleges személyes adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelő: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.

Érintett: Az adatkezelés alanya, bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Alapelvek

A rendelet 5. cikkében a személyes adatok kezelésére vonatkozóan 7 alapelvet fogalmaz meg, melyek a következők:

• Jogszerűség, tisztességes eljárás és átláthatóság
• Célhoz kötöttség
• Adattakarékosság
• Pontosság
• Korlátozott tárolhatóság
• Integritás és bizalmas jelleg
• Elszámoltathatóság

Érintettek jogai

Az érintettek jogait a rendelet 12–22. cikkei tartalmazzák. Ezek a következők:

• Átlátható tájékoztatáshoz való jog
• Hozzáféréshez való jog
• Helyesbítéshez való jog
• Törléshez és elfeledtetéshez való jog
• Korlátozáshoz való jog
• Adathordozhatósághoz való jog
• Tiltakozáshoz való jog
• Automatikus döntéshozatal elutasításához való jog

Jegyzetek

1. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
2. net.jogtar.hu/info-tv – 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
3. Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról

Kapcsolódó szócikkek

• Adatvédelem
• Információszabadság

Megjegyzések

1. Itt tehát az egyénről kialakított nyilvános kép sérülésétől tartanak, amire nem csak az állam jelenthet veszélyt. Ezzel szemben amerikai alkotmányosságban ez az alapérték az emberi szabadság, amire a legnagyobb veszélyt az állam jelenti.
2. 1988. évi VI. törvény

Források

• Az Európai Parlament és a Tanács 2016/679 rendelete. Az Európai Unió Kiadóhivatala, 2018. május 4. (Hozzáférés: 2021. március 12.)
• Efrén Díaz Díaz: The new European Union General Regulation on Data Protection and the legal consequences for institutions. (angolul) Church, Communication and Culture, I. évf. 1. sz. (2016) 206–239. o. Hozzáférés: 2018. május 7. doi:10.1080/23753234.2016.1240912
• Paul Voigt, Axel von dem Bussche. The EU General Data Protection Regulation (GDPR) – A Practical Guide (angol nyelven). Cham, Svájc: Springer (2017). ISBN 9783319579580
• Európai adatvédelmi jogi kézikönyv. Európai Unió Alapjogi Ügynöksége, Európa Tanács. DOI: 10.2811/55214 (2019). ISBN 9789294742919
• Az Infotörvénytől a GDPR-ig; szerk. Szabó Endre Győző; Ludovika Egyetemi Kiadó, Budapest, 2021
• Magyarázat a GDPR-ról; szerk. Péterfalvi Attila, Révész Balázs, Buzás Péter; 2. átdolg. kiad.; Wolters Kluwer Hungary, Budapest, 2021