“A digitalizáció és a globalizáció nem ismer határokat, ezért az adatvédelemnek egységesnek és szilárdnak kell lennie” – mondja Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke, hangsúlyozva, “mostantól az adatvédelmet azoknak is sokkal komolyabban kell venni, akik ezt eddig nem tették.” A május 25-dikén hatályba lépő Európai Általános Adatvédelmi Rendeletet (GDPR) kapcsán, annak kihívásairól beszélgettünk.
Mik azok az újdonságok melyeket GDPR vezet be?
Amiben valóban újat hoz a GDPR az két dolog. Az egyik az elszámoltathatóság: az adatkezelőknek nemcsak, hogy meg kell felelniük a jogszerű, tisztességes és átlátható adatkezelés követelményének, hanem ezt igazolniuk is tudni kell. Ez nem azt jelenti, hogy az eljárás során megfordul a bizonyítási teher, viszont az elszámoltatás keretében az adatkezelő mégiscsak köteles prezentálni azokat a dokumentumokat, amelyek a GDPR-nak való megfelelést igazolhatják.
A felkészülés első lépéseként az adatkezelőknek át kell tekinteniük jelenlegi adatkezelésük GDPR-nak való megfelelését. Ezt egyrészt jogi szempontból kell megtenniük (milyen jogalapja van az adatkezelésnek, megfelelő-e az érintettek tájékoztatása, az adatminimalizálás bekövetkezik-e, vagy sem, kezel-e olyan adatokat amelyekre nincs feltétlenül szüksége) másrészt az IT biztonságtechnikai oldalt is ellenőrizniük kell. Ezalatt nemcsak az IT, hanem a fizikai biztonság is értendő.
A másik fő újdonság az a fajta uniós működési mechanizmus, melynek a célja, hogy ne csak egységes jogszabály legyen, hanem az adatvédelem területét leginkább érintő nemzeti szabályozást közvetlenül alkalmazandó uniós szabályozás váltsa fel. Ha ugyanazt a jogszabályt kell alkalmazni, akkor nyilván ugyanolyan joggyakorlatnak kell kialakulni. Természetesen, ennek megvalósításához idő kell, de a végeredmény, hogy végül mindegy lesz majd, hogy egy ügyet melyik ország melyik hatósága bírál el.
Ami talán a legjelentősebb újítása a rendeletnek az az, hogy a hatálya minden adatkezelőre kiterjed, aki az európai unió területén lévő polgárok számára nyújt szolgáltatást, vagy végez megfigyelést – függetlenül attól, hogy az Európai Unióban van-e a székhelye, adatkezelés helye, vagy ott működik-e adatfeldolgozóként. Az Olvasók is figyelemmel kísérhetik a Facebook és a Cambridge Analytica ügyet. Ezeknek a nem európai cégeknek a számonkérése is a GDPR alapján történik majd. A globalizált világban az európai polgárok személyes adatai nemcsak Európában jelennek meg (lehet, hogy éppen nem is tudjuk, hogy hol van az az adat), viszont a rendelet célja, hogy bárhol is van az adat, bárhol történik is az adatkezelés, bárki is az adatkezelő, az európai polgárok magánszféráját és adatait meg kell védeni.
Fotó: Mohai Balázs / Jogi Fórum
Vannak-e új fogalmak a GDPR-ban?
A GDPR fogalmi rendszerével – az adatkezelés elvei, az adatbiztonság követelménye, vagy, az adatkezelés jogalapjai – nem történt olyan lényeges változás, amely felforgatná az adatvédelem eddigi felépítését. Vannak új fogalmak, de az ezek által szabályozott rendelkezéseket mi már alkalmazzuk. Ilyen például a biometrikus adat fogalma, ami nem jelenik meg az infotörvényben (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról – szerk.), ugyanakkor a biometrikus adat kezelésére vonatkozó speciális követelményeket figyelembe vesszük, illetve erre tekintettel véleményezünk – adott esetben egy jogszabályt. Így történt ez a terrorizmus elleni harc jegyében létrejött biometrikus arcképelemző központ működésénél, a garanciális szabályok kialakításakor. Vagy ilyen például a GDPR-ban szereplő incidensjelentési rendszer is.
Szerettük volna az ismert fogalmakat beépíteni az infotörvénybe, de a módosítási javaslat nem ment át az általunk indítványozott formában. Az incidensjelentés kapcsán az a megoldás született, hogy az incidenseket maguk az adatkezelők tartják nyilván. Ez a jogszabálymódosítás nem hozta a várt eredményt, mivel azt tapasztaltuk, hogy nem volt az adatkezelőknél incidens-nyilvántartás. Így a javaslat nem segítette a hatóság felkészülését, és az adatkezelők sem vették igazán komolyan.
A változás tehát az eddig nem kodifikált szabályoknál történt, mint amilyen az említett incidensjelentési rendszer, vagy a felejtéshez való jog, illetve a beépített, vagy az alapértelmezett adatvédelem.
A GDPR csak egy része az európai adatvédelmi reformnak. Mik a további elemek?
Az európai adatvédelmi reformnak három „lába” van. Ebből az Európai Általános Adatvédelmi Rendelet, vagyis a GDPR az első, melyre vonatkozóan a kötelező alkalmazás kezdő időpontja 2018. május 25. A kiegészítő nemzeti szabályoknak is létre kell jönniük eddig az időpontig. A hírek szerint május 8-án ül össze az Országgyűlés, tehát gyakorlatilag a május 8. és május 25. közötti időintervallum áll rendelkezésre, hogy ezek a jogszabályi kiegészítések megszülessenek.
Az európai adatvédelmi reform második eleme a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv) – a bűnügyi irányelv.
Mivel az irányelvnek az a lényege, hogy azt a nemzeti jogba kell átültetni, az infotörvény módosításának az előző két feladaton túl tartalmaznia kell a büntető irányelv implementálását, valamint meg kell határoznia azokat az eljárási szabályokat – illetve anyagi jogi szabályokat is – amelyek a nemzetbiztonsági és a honvédelmi területre érvényesek. Ez a két terület ugyanis nem uniós kompetencia, tehát itt nemzeti szabályokat kell alkalmazni. A büntető irányelv implementálására – mely tehát az uniós adatvédelmi reform második eleme – is a május 25-ei határidő az irányadó.
Fotó: Mohai Balázs / Jogi Fórum
A harmadik elem szintén egy rendelet lesz, mégpedig az e-privacy rendelet. Ez a telekommunikációs adatkelezésre vonatkozó szabályokat tartalmazza, melyekről jelenleg irányelv rendelkezik. Az e-privacy irányelvből eredően vannak olyan hatáskörök, amelyeket ma a Nemzeti Média és Hírközlési Hatóság lát el. (Ilyen például az incidensjelentési rendszer.) Az EU adatvédelmi rendeletnek az egységes és kikényszeríthető jogvédelem a célja, azaz, hogy ne legyenek szétforgácsolva a hatáskörök, hanem az e-privacy rendeletből eredő feladatok is a nemzeti felügyelő hatóságokhoz kerüljenek.
Ez a harmadik elem ma még hiányzik. A Bizottság eredeti terve az volt, hogy ez is hatályba lép május 25-ig, de ez nem fog megtörténni. Jelenleg a bolgár uniós elnökség dolgozik azon, hogy felgyorsítsa a rendelet elfogadásának idejét, mellyel az európai adatvédelmi reform lezárul majd.
Fel lehet készülni a GDPR alkalmazására?
Muszáj felkészülni! Ez mindannyiunk érdeke és egyúttal problémája, az adatkezelőktől kezdve a jogalkotón át a felügyelő hatóságoké is. Nálunk nagyon sok konferencia van, én is hetente többször tartok ismertetőt a GDPR-ról, ami két éve hatályban van. Nem vagyok afelől teljes mértékben nyugodt, hogy az adatkezelők megfelelően felkészültek. A legnagyobb veszélyt a mikro-, kis- és középvállalkozások területén látom. A multinacionális vállalatok – mivel a felkészülés minden tagországban felmerül – sokkal előrébb tartanak. Nemcsak a felkészülésük tart előrébb. Számukra kisebb problémát jelent az anyagi fedezetet megtalálni részben ahhoz, hogy az elszámoltathatóság jegyében a jelen adatkezelésük megfeleltetéséhez szükséges vizsgálatokat, felméréseket elvégezzék, részben az új, vagy módosított infrastruktúra biztosítását is könnyebben tudják kivitelezni.
Mennyiben érintik a változások a Nemzeti Adatvédelmi és Információszabadság Hatóság munkáját?
Az adatvédelmi hatóság tudatosan készül a GDPR-ra. Már az elmúlt évre vonatkozóan kaptunk öt munkatársat, idén pedig 35 fővel bővült a kollektíva. Jelentősen nőni fog az adatvédelmi hatóság munkaterhe. Nagyon szigorú rend szerint folyó egyeztetési mechanizmus lép most életbe. A 29-es Munkacsoportból – ami egy tanácsadó, véleményező testület – létrejön a „Board”, az EU adatvédelmi testülete. Ez a testület érdemi döntési jogkörrel rendelkező szerv lesz. Az egységes jogalkalmazás csak akkor biztosítható, ha egyeztetjük egymással az ügyeket. Ez az egyeztető munka lényeges feladatot ró az adatvédelmi hatóságra is.
Az incidensjelentési rendszer felülete és szoftvere szintén május 25-én lép működésbe. Ezt egy KÖFOP pályázatból valósítjuk meg. A felület tesztelése már folyamatban van. Az adatvédelmi hatóság számtalan új hatáskört is kap. Például engedélyezési jogköröket (külföldre történő adattovábbítás engedélyezése, magatartási kódexek engedélyezése stb.). Nemcsak jogászokra, hanem informatikusokra is szükség van, hiszen az adatvédelmi incidens megítélése nem kizárólag jogi kérdés. Látni kell, hogy az adatszivárgás hogyan történt, milyen informatikai biztonsági rendszere volt az adatkezelőnek, az hol volt támadható – ez pedig nem jogi, hanem informatikai tudást igényel.
Fotó: Mohai Balázs / Jogi Fórum
A munkánk lényegesen változik, ezért a hatóság belső szervezetében is változások történnek. Külön szervezeti egység vizsgálja a GDPR alá tartozó panaszokat, külön szervezeti egység az irányelv illetőleg az infotörvény hatálya alá tartozó – tehát az irányelv honvédelemre és nemzetbiztonságra vonatkozó rendelkezéseit – adatkezeléseket és létrehoztunk egy külön szervezeti egységet, mely az uniós együttműködésből fakadó jogköröket gyakorolja. (Ez a szervezeti egység az egyeztetési mechanizmusban közvetlenül vesz részt).
Ha megnézzük az adatvédelmi hatóság adatvédelmi ügyeinek a statisztikáját – és itt szeretném hozzátenni, hogy ezek az európai adatvédelmet érintő változások az adatvédelmi hatóság adatvédelmi kompetenciáit érintik, az információszabadságot és a titokfelügyeleti jogkört nem – akkor látjuk, hogy évente több száz vizsgálati típusú eljárás indul. Ez az ombudsmani típusú eljárás, amely állásfoglalással, ajánlással zárul. Kevesebb van a hatósági eljárásokból. Van, hogy évente húsz indul. Ezek az eljárások határozattal zárulnak. A GDPR a hatósági ügyeket helyezi előtérbe azzal, hogy az adatvédelmi hatóságnak a benyújtott panaszokat érdemben kell kivizsgálni. Mivel a hatósági eljárásoknak sokkal szigorúbb eljárási szabályai vannak, ez az arányeltolódás szintén megnöveli a munkaterhet, indokolva azt a személyi állomány-többletet, amelyet a költségvetési forrásaink gyarapítása, vagy növelése kapcsán tudunk majd munkába állítani.
Új elem a GDPR-ben az adatvédelmi tisztviselői tisztség. Mely szervezeteknél van szükség ilyen tisztviselőkre? Ki lehet adatvédelmi tisztviselő? Milyen feladatai vannak?
A közhatalmi igazgatásnál az adatvédelmi tisztviselő alkalmazása kötelező, illetőleg bizonyos területeken a magán adatkezelőknél is, amennyiben náluk olyan adatkezelés folyik, ami megfigyeléssel, vagy profilozással jár együtt, vagy ha az adatkezelő fő profilja a személyes adatok kezelése, illetve ha különleges adatokat kezel. Az adatvédelmi tisztviselő nem minden esetben munkaviszonnyal, vagy közszolgálati jogviszony keretében kerülhet alkalmazásra. A GDPR az adatvédelmi tisztviselő szempontjából nem határoz meg egyetemi végzettségi, képesítési követelményeket, hanem a megfelelő szakismeret meglétét írja elő.
Az adatvédelmi tisztviselők feladatai közé nemcsak a jogi védelemmel kapcsolatos hatáskörök gyakorlása tartozik, hanem értenie kell az IT biztonsághoz is. A különböző kamerás megfigyelésekhez, vagy profilozáshoz kapcsolódó kockázatok olyan kérdések, melyeknek technológiai aspektusai is vannak.
Véleményem szerint az adatvédelmi tisztviselőn túl a jövőben az adatkezeléshez értenie kell majd például egy cég által alkalmazott ügyvédnek is. Ha ugyanis a cég rákérdez bizonyos adatkezelési lehetőségekre, neki tudnia kell válaszolnia.
A jövőben – azzal, hogy az egyes tagországok adatvédelme sokkal számonkérhetőbb lesz uniós szinten – az adatvédelem szerepe rendkívül felértékelődik. Nem emlékszem például korábbról olyan esetre, hogy adatvédelmi ügyben a miniszterelnök Brüsszelben megszólalt volna, ami most a Cambridge Analytica ügy kapcsán megtörtént. Ha pedig az adatvédelem eléri ezt a küszöböt, ez azt is jelentheti, hogy valóban megnőtt a magánszféránkra leselkedő veszély. Az adatvédelmet azoknak is sokkal komolyabban kell venni, akik ezt eddig nem tették meg.
Fotó: Mohai Balázs / Jogi Fórum
Új elem a GDPR-ben az adathordozhatósághoz való jog is. Mit jelent ez a gyakorlatban?
Ahogy említettem, a GDPR az adatkezelőkre nagyobb terhet ró, az érintettek védelmét viszont kiszélesíti. Bizonyos esetekben az érintett – hozzájárulásával, vagy szerződéssel – megadja az adatai kezeléséhez való jogot az adtakezelőnek. De, ha az adatkezelőtől át akar térni más szolgáltatóhoz, akkor a digitális formában kezelt adataihoz (fontos az, hogy számítógépen olvasható formátumban) joga van. Azokat tehát elkérheti és elviheti magával. Ez valóban olyan új intézménye a GDPR-nak, ami eddig nem volt benne a magyar jogrendszerben, fel kell tehát készülniük az adatkezelőknek, hiszen ez is egy többletterhet jelent majd.
Az adathordozáshoz való jog is megerősíti azt a szemléletet, hogy az adatvédelem az érintett védelmét jelenti és nem az adatok védelmét. A személyes adatok védelméhez fűződő jog alanya az érintett.
Jó egy ilyen jellegű egységes szabályozás? Miért volt rá szükség?
Igen, ez a reform nagyon fontos! A digitalizáció és a globalizáció nem ismer határokat. Ezért az adatvédelemnek is egységesnek kell lennie. Erre pedig az lehet a megoldás, ha ugyanazt a jogszabályt alkalmazzák mindenhol és kiiktatják azokat a kockázati tényezőket, amelyek a nem egységes jogalkalmazásnak teret engednének.
Az adatvédelem szabályozása a GDPR alapján olyan, mintha Európai Egyesült Államokban élnénk, hiszen a nemzeti szabályozások alól „kihúzza a talajt”. Az új európai adatvédelmi szabályozás és a nemzeti szuverenitás kérdése is igen érdekes téma, bár a reform a nemzeti szuverenitást annyiban nem érinti, hogy a nemzeti kompetenciában maradó kérdésekben (honvédelem, nemzetbiztonság) megmarad a nemzeti szabályozás. Az, hogy ezek vonatkozásában is vannak közös sztenderdek, elvárhatósági szintek, az Európai Unióhoz való tartozásunk része.
Péterfalvi Attila 1981-ben szerezte jogi diplomáját az Eötvös Loránd Tudományegyetem Állam és Jogtudományi Karán. 1983-ban jogi szakvizsgát, 1998-ban külkereskedelmi szakjogászi képesítést, 2014. novemberében pedig a Nemzeti Közszolgálati Egyetem Közigazgatás-tudományi Doktori Iskola keretében PhD-fokozatot szerzett. 1981 és 1983 között előadó volt a Veszprémi Városi Tanács VB. Igazgatási Osztályán, majd 1983-ban jogi előadóként dolgozott a Szentgáli Hunyadi Mgtsz-nél. Ezután 1984 és 1986 között a Veszprémi Közúti Igazgatóság jogi főelőadója volt.
Az Államigazgatási Főiskolán tudományos munkaként a személyiségi jogok és az adatvédelem összefüggéseit vizsgálta. Az 1980-as évek végén a Központi Statisztikai Hivatal felkérése alapján részt vett az első (a rendszerváltás következtében beterjesztésre nem került) adatvédelmi törvény elkészítésében, véleményezésében. 1991-ben egy NATO-ösztöndíjat nyert el Információszabadság – Adatvédelem – Személyiségi jogok címmel. 1996 óta külső szakértőként részt vett az adatvédelmi biztos irodájának munkájában. 2001. december 11-én az Országgyűlés hat évre (2007. decemberéig) megválasztotta adatvédelmi biztosnak. 2008-tól 2011-ig az Országgyűlési Biztos Hivatalának hivatalvezetője volt.
2012 január 1-től Schmitt Pál köztársasági elnök kilenc évre a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökévé nevezte ki.
1986 óta a volt Államigazgatási Főiskolán (ma Nemzeti Közszolgálati Egyetem) tanít nappali, esti, levelező és másoddiplomás BA és MA szakain magánjogot, családjogot, polgári eljárásjogot. 2005 óta a Pázmány Péter Katolikus Egyetemen Jog- és Államtudományi Karán, 2006 óta pedig a Károli Gáspár Református Egyetemen Állam és Jogtudományi Karán is oktat. 2014 óta az ELTE JOTI Adatbiztonsági és adatvédelmi szakjogász képzésért felelős oktató. 2015 óta Pázmány Péter Katolikus Egyetemen Jog- és Államtudományi Kar Deák Ferenc Intézet Médiajogi szakjogász képzésén, valamint 2016 óta a Gábor Dénes Főiskola Adatvédelmi és Információbiztonsági menedzser szakirányú továbbképzési szakán is tanít.
A Károli Gáspár Református Egyetemen 2006-ban tiszteletbeli egyetemi tanári címet, a Pázmány Péter Katolikus Egyetemen 2008-ban címzetes egyetemi tanári kinevezést nyert. Az Ukrán Tudományos Akadémia Kijevi Jogi Egyeteméncek adatvédelmi mesterkurzusán 2010-ben díszdoktori cím.