CMS: 2014 az unió adatvédelmi reformjának új céldátuma

A CMS Cameron McKenna LLP Ügyvédi Iroda szakértői szerint az Európai Parlament Állampolgári Jogok, Bel- és Igazságügy Bizottsága (LIBE) által közzétett – az eredeti tervezethez képest mintegy négyezer módosítást tartalmazó! – jogszabályszöveg valódi áttörés az adatvédelmi reform során, ugyanakkor az lassítja a jogalkotási folyamatot, hogy a közzétett nyilatkozatok szerint az ezt követő tárgyalásokon az érdekelt felek továbbra sem tudtak megegyezni egyes részletszabályokban.

Ilyen részletszabály például a „one-stop-shop” tartalmának pontos meghatározása, melynek alapján egy cég adatkezeléseivel kapcsolatban 28 különböző nemzeti adatvédelmi hatóság helyett egy EU ország hatósága lehetne illetékes.

Dr. Petrányi Dóra elmondta: a „one-stop-shop” jelentősen megkönnyítené az EU-s szinten működő cégcsoportok működését, de nem jelenti azt, hogy a rendelet elfogadását követően megszűnne a nemzeti hatóságok felügyeleti szerepe. A fogyasztók továbbra is kereshetnek a saját országukban adatvédelmi jogorvoslatot, és a „vezető” hatóság a helyi szervekkel szoros együttműködésben fogja kivizsgálni az ügyeket.

Vihar a „Biztonságos Adatkikötőben”

A rendelettervezet szerint az EU területére szolgáltató cégeknek – például e-kereskedelmi, vagy számítási felhő (cloud computing) szolgáltatóknak – szintén be kell majd tartaniuk az új adatvédelmi szabályokat.

Az USA nem rendelkezik az EU-hoz hasonló egységes adatvédelmi jogszabállyal, ezért az EU mindig is többlet-védelmet írt elő az USA-ba továbbított személyes adatok tekintetében. Az adatokat kezelő amerikai cégek ezt például úgy tudják biztosítani, hogy megfelelnek az EU és az USA Kereskedelmi Minisztériuma által meghatározott „Safe Harbor” (Biztonságos Adatkikötő) adatvédelmi alapelveknek.

A „Safe Harbor” rendszer használatával kapcsolatban az EU-s döntéshozók az elmúlt év lehallgatási ügyei után komoly kritikákat fogalmaztak meg, és a rendelettervezet legújabb változata szerint az EU-n kívüli hatóságok számára történő adatátadás előtt be kellene szerezni az illetékes európai adatvédelmi hatóság jóváhagyását.

Dr. Domokos Márton hangsúlyozta: a politikai aggályok ellenére a „Safe Harbor” egy több mint tíz éve működő rendszer, aminek a végrehajtását az amerikai Szövetségi Kereskedelmi Bizottság (Federal Trade Commission - FTC) folyamatosan figyelemmel kíséri.

Az FTC nemrég például 12 amerikai céget marasztalt el, mert elmulasztották időben megújítani „Safe Harbor” tanúsítványukat, és így az általuk vállalt adatbiztonsági feltételekkel kapcsolatban megtévesztették a fogyasztókat. Fontos lenne, hogy az új adatvédelmi rendelet megfelelően beépítse az elmúlt évtized gyakorlati tapasztalatait, és minden aggályt eloszlasson az USA-ba történő nemzetbiztonsági és bűnüldözési célból történő adattovábbítások biztonságával összefüggésben, valamint ne hátráltassa az ilyen megoldásokat többlet-adminisztrációs igényekkel.

Adatvédelmi pecsét, privacy ikonok és Big Data - további újdonságok a rendelettervezetben

További újdonság a rendelettervezetben, hogy „Európai Adatvédelmi Pecséttel” (European Data Protection Seal) rendelkező cégek számára szabadon lehetne adatot továbbítani, cserébe azonban az illetékes hatóságok és akkreditált szervezetek mindenkor ellenőrizhetnék adatkezelésük jogszerűségét.

Jelentősen megkönnyítené az ugrásszerűen fejlődő piacot jelentő „Big Data” adatelemzéseket végző cégek működését, hogy a rendelet engedélyezné az úgynevezett „pszeudonim” adatok (melyek csak önmagukban, azaz más adatok nélkül nem tennék lehetővé az „adatgazda” azonosítását – sokszor ilyen adatokat kezelnek például az egészségügyi szektorban) felhasználását profilalkotás, adatelemzés céljából.

Szintén érdekes újdonság, hogy az adatkezelési tájékoztatókhoz „adatvédelmi ikonokat” kellene mellékelni, melyek felhasználóbarát formában ábrázolnák például, hogy a cég továbbít-e személyes adatokat, vagy milyen titkosítást használ. Dr. Domokos Márton elmondta: a felhasználók így egyszerűen áttekinthetik egy cég adatkezelési gyakorlatát, és nem feltétlenül kell majd évente több száz részletes adatvédelmi tájékoztatót végigolvasniuk.

Az adatkezelési műveletek átláthatóságát szintén növeli majd a compliance szabályzatok és eljárások kétévente történő kötelező felülvizsgálata, valamint éves szinten több mint 5.000 magánszemély adatát kezelő cégek számára a belső adatvédelmi felelős kötelező kinevezése.

Már most érdemes felkészülni

A rendelettervezet véglegesítése 2014-ben folytatódik, és most az Európai Tanácson a sor, hogy előálljon egy olyan végső szöveggel, amit az Európai Parlament és az Európai Bizottság megtárgyalhat. Dr. Petrányi Dóra hangsúlyozta: a tervezett szabályok valamilyen formában biztosan visszaköszönnek majd a végleges szövegben, így a cégeknek már most érdemes elkezdeniük megismerkedni a jogszabállyal, és előkészíteni belső eljárásrendjeiket a változásokra.

Ez már csak azért is fontos, mert a LIBE legutóbbi javaslata szerint jelentősen emelkedne a rendelet alapján kiszabható adatvédelmi bírságok összege: legsúlyosabb esetekben ez akár elérheti a cég éves világszintű bevételének 5 százalékát, illetve a 100 millió eurót. Mivel a rendelet közvetlenül alkalmazandó a tagállamokban, felváltaná a jelenlegi nemzeti adatvédelmi törvényeket is – mutattak rá végül a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.