„A Bizottság adatvédelmi csomagjának legfőbb eleme egy általános adatvédelmi rendelet. Az adatvédelmi rendelet naprakésszé teszi és korszerűsíti az 1995. évi adatvédelmi irányelv alapelveit. Meghatározza az egyén jogait, valamint megállapítja azoknak a kötelezettségeit, akik az adatokat kezelik, illetve akik felelnek az adatok kezeléséért. Emellett rögzíti az előírásoknak való megfelelést biztosítani hivatott módszereket, valamint a szabályok be nem tartása esetén alkalmazandó szankciókat is.
Az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága a 2015. december 17-i rendkívüli ülésén állást foglalt a Tanács, az Európai Parlament és a Bizottság közötti háromoldalú egyeztető tárgyalások során elfogadott szövegről. Az Állandó Képviselők Bizottsága (Coreper) 2015. december 18-án jóváhagyta ezt a kompromisszumos szöveget. A Tanács 2016. február 12-én politikai megállapodásra jutott a szöveggel kapcsolatban, megerősítve ezzel a Coreperben született megállapodást.
Részletek
A rendelettervezet foglalkozik több alapvető kérdéssel.Az érintettek jogai
A rendelet felsorolja, milyen jogok illetik meg az érintettet, vagyis azt a személyt, akinek adatait kezelik. Ezek a megerősített jogok lehetővé teszik az egyének számára, hogy nagyobb mértékű ellenőrzéssel rendelkezzenek a személyes adataik felett, többek között az alábbiak révén:
- az egyéneknek egyértelmű hozzájárulást kell adniuk a személyes adatok kezeléséhez
- az érintettek könnyebben férhetnek hozzá a személyes adataikhoz
- az érintettek rendelkeznek a személyes adatok helyesbítéséhez, tárolásának megszüntetéséhez (a „feledéshez”) és törléséhez való joggal
- az érintettek rendelkeznek az adatkezelés kifogásolásához való joggal, többek között a személyes adatok „profilalkotás” céljából történő felhasználására vonatkozóan
- az érintettek rendelkeznek az adatok szolgáltatók közötti hordozhatóságára vonatkozó joggal
A rendelet emellett kimondja, hogy az adatkezelők (az adatok kezeléséért felelős személyek) kötelesek átlátható és könnyen hozzáférhető információkat nyújtani az érintettek számára a személyes adataik kezelésével kapcsolatban.
Megfelelés
A rendelet részletesen ismerteti az adatkezelőkre és a nevükben személyes adatokat kezelőkre (az adatfeldolgozókra) háruló kötelezettségeket. Ezek magukban foglalják olyan megfelelő biztonsági intézkedések végrehajtásának a kötelezettségét is, amelyek megfelelnek az elvégzett adatkezelési műveletekkel járó kockázatnak (kockázatalapú megközelítés). Az adatkezelőknek továbbá bizonyos esetekben be kell jelenteniük a személyes adatok biztonságának sérülését. Minden hatóságnak ki kell neveznie egy adatvédelmi tisztviselőt. Ez a kötelezettség vonatkozik azokra a vállalkozásokra is, amelyek kockázatos adatkezelési műveleteket végeznek.Nyomon követés és kártérítés
A rendelettervezet megerősíti a tagállamok azon, jelenleg is érvényes kötelezettségét, hogy nemzeti szinten működő, független felügyeleti hatóságot hozzanak létre. Célja továbbá olyan mechanizmusok kialakítása, amelyek az EU egészében biztosítják az adatvédelmi jogszabályok koherens alkalmazását. Konkrétan az olyan fontos tagállamközi ügyekben, amelyekben több nemzeti felügyeleti hatóság is érintett, egyetlen felügyeleti határozatot hoznak. Ez az egyablakos mechanizmus elve, amely azt jelenti, hogy azoknak a vállalkozásoknak, amelyek több tagállamban rendelkeznek leányvállalattal, csak a székhelyük szerinti tagállam adatvédelmi hatóságával kelljen együttműködniük.A megállapodástervezet rendelkezik egy európai adatvédelmi testület létrehozásáról is. Ez a testület a 28 tagállam független felügyeleti hatóságainak képviselőiből állna, és a jelenleg működő, 29. cikk szerinti bizottság helyébe lépne.
A tervezet elismeri az érintettek azon jogát, hogy panaszt nyújtsanak be a felügyeleti hatósághoz, valamint elismeri a jogorvoslathoz, a kártérítéshez és a felelősség elismeréséhez való jogukat. Annak biztosítása érdekében, hogy az érintetteket érintő határozatok meghozatala tekintetében érvényesüljön a földrajzi közelség elve, a tervezet biztosítja az érintettek számára a jogot arra, hogy az adatvédelmi hatóságuk által hozott határozatot a nemzeti bíróságukkal felülvizsgáltassák. Mindezt függetlenül attól, hogy az érintett adatkezelő székhelye melyik tagállamban található.
A tervezet nagyon szigorú szankciókat határoz meg az adatvédelmi szabályokat megsértő adatkezelőkkel vagy adatfeldolgozókkal szemben. Az adatkezelőkre kiróható büntetés akár a 20 millió EUR-t vagy teljes éves árbevételük 4%-át is elérheti. Ezeket a közigazgatási szankciókat a tagállami adatvédelmi hatóságok szabják ki.
Adattovábbítás harmadik országok részére
A rendelet szabályozza a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását is. A rendelet felhatalmazza a Bizottságot, hogy értékelje a harmadik ország adott régiójában vagy adatkezelő ágazatában biztosított adatvédelmi szintet. Amennyiben a Bizottság az előbbiek vonatkozásában nem hoz az adatvédelem szintjének megfelelőségéről szóló határozatot, a személyes adatok továbbítására csak különleges esetekben, illetve megfelelő biztosítékok (standard adatvédelmi rendelkezések, kötelező erejű vállalati szabályok, szerződéses rendelkezések) megléte esetén kerülhet sor.Következő lépések
A szövegről most a Tanács első olvasatban kialakított álláspontot fog elfogadni, amelyet azután jóváhagyás céljából megküldenek az Európai Parlamentnek.A rendelet valószínűleg 2016 tavaszán lép majd hatályba, és 2018 tavaszától lesz majd alkalmazandó.”
Forrás:
Az általános adatvédelmi rendelet; Európai Tanács
A Tanács álláspontja első olvasatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló EURÓPAI PARLAMENTI ÉS TANÁCSI RENDELET elfogadása céljából (általános adatvédelmi rendelet); Európai Tanács; 2016. április 6. (pdf)
Lásd még: A bűnüldözési célból kezelt személyes adatok védelme
