Blog

Azt mostanra bizonyára sokan tudják, hogy az Európai Unió („EU”) új adatvédelmi rendelete („GDPR”) 2018. május 25-étől alkalmazandóvá válik valamennyi EU tagországban. A GDPR azonban nemcsak ezen országok adatvédelmi rendszerében jelent majd változást, hatása ugyanis túlnyúlik az EU határán. Ennek oka a GDPR ún. kiterjesztett területi hatálya. De mit is jelent ez, és milyen következményekkel jár a nem-EU tagországokra?

A GDPR területi hatálya három elemből tevődik össze:

• kiterjed az EU területén tevékenységi hellyel (pl. fiókteleppel vagy jogi személyiséggel bíró leányvállalattal) rendelkező adatkezelőre és adatfeldolgozóra, függetlenül attól, hogy maga az adatkezelés az EU területén történik-e;
• az EU-ban tevékenységi hellyel nem rendelkező adatkezelőre és adatfeldolgozóra, ha az adatkezelés termékeknek vagy szolgáltatásoknak az EU-ban tartózkodó érintettek részére történő nyújtásához kapcsolódik;
• valamint az EU-ban tevékenységi hellyel nem rendelkező adatkezelőre és adatfeldolgozóra, ha tevékenységük érintettek EU-n belüli magatartásának megfigyeléséhez kapcsolódik (tipikusan ilyen az internetes profilozás).

Ennek megfelelően azoknak az EU-n kívül működő vállalkozásoknak, amelyeknek az adatkezelése bármelyik fenti módon kiterjed az EU területére is, ugyanúgy fel kell készülniük a GDPR alkalmazására, mint az EU-tagállamokban működő társaiknak. Ám míg az EU tagországaiban a GDPR átültetés nélkül közvetlenül alkalmazandóvá válik, addig ez az EU területén kívül nem így van. Annak érdekében, hogy adatvédelmi rendszerük a GDPR rendelkezéseinek megfeleljen, a különböző államok eltérő utakat választottak. A jelen cikkben a teljesség igénye nélkül vizsgáljuk meg azt, hogy néhány, általunk szubjektív módon kiragadott, EU-n kívüli állam milyen intézkedéseket tervez a GDPR átültetésére. Egyelőre tudomásunk szerint elfogadott jogszabályok még egyik államban sincsenek.

Az EFTA tagállamok – az EU-val fennálló szoros, gazdasági kapcsolatukra tekintettel – a GDPR átültetését tervezik, ami részben felváltja majd, részben kiegészíti a jelenlegi adatvédelmi rendelkezéseiket.

Svájc például a hatályos adatvédelmi törvényének (Bundesgesetz über den Datenschutz; „DSG”) módosításáról döntött, így többek között a GDPR szerinti alapelvek és több, a GDPR-éhoz hasonló konkrét rendelkezések DSG-be történő beemeléséről. Az új adatvédelmi törvény kormányzat által közzétett tervezetében azonban jelentős különbség a GDPR-hoz képest, hogy a kiszabható adatvédelmi bírságokat alacsonyabb összegben állapítja meg, ugyanakkor büntetőjogi szankciót is lehetővé tesz. Az átültetetéskor a svájci jogalkotónak annyiban egyszerű a feladata, hogy már a DSG alapjául is egy uniós jogszabály, nevezetesen a GDPR-ral felváltásra kerülő 95/46/EK rendelet, szolgált, így a teljes adatvédelmi rendszer újragondolására nincs szükség. A módosított DSG várhatóan 2018 augusztusában fog hatályba lépni.

Egy másik EFTA-tagállam, Norvégia, a svájci megoldásnál még egy lépéssel továbbmegy. A norvég jogalkotó a jelenlegi adatvédelmi törvényét (Lov om behandling av personopplysninger) hatályon kívül helyezve egy új adatvédelmi törvény elfogadását tervezi, ebbe építve egy utaló rendelkezést, amely a teljes GDPR-t átülteti a norvég jogba. Ennek érdekében a minisztériumok, együttműködve a norvég adatvédelmi hatósággal (Datatilsynet), elkészítették a GDPR norvég fordítását is – annak használatát segítő tartalomjegyzékkel együtt –, ami az új adatvédelmi törvény mellékletét képezi majd. A GDPR néhány esetben lehetőséget ad arra az EU tagállamoknak, hogy a saját nemzeti jogukban a GDPR-ban foglalt szabályoknál szigorúbbakat állapítsanak meg, vagy valamely adatkategóriára, érintettre vagy adatkezelésre nézve speciális rendelkezéseket vezessenek be. A norvég jogalkotó ezt kihasználva fenn kívánja tartani a jelenlegi munkahelyi ellenőrzéssel kapcsolatos adatkezelésre vonatkozó, valamint a hivatalos szervek általi adatkezelésekre vonatkozó speciális, nemzeti rendelkezéseket, amelyek a tervezet alapján bekerülnek az új adatvédelmi törvénybe is. A norvég jogalkotó továbbá felülvizsgálná a többi speciális adatkezelési szabályát is (pl. a bankkártya-információkra vonatkozó adatkezeléssel kapcsolatos szabályokat). Az új norvég adatvédelmi törvény előreláthatólag a GDPR alkalmazandóvá válásával egyidejűleg lép majd hatályba.

Az Egyesült Államokban az előbbi országokkal ellentétben általános adatvédelmi szabályozás nem létezik, jogszabályban rögzített adatvédelem kizárólag az adatkezelés egyes ágazataiban valósul meg (pl. az egészségügyi adatok vagy a marketing célú adatkezelés). A fő feladat a jogalkotó helyett sokkal inkább az egyes nemzetközi vállalatokra hárul, amelyeknek a GDPR szabályrendszerének megfelelően át kell dolgozniuk saját belső szabályzataikat. Változatlanul fontos szerep jut az ún. Privacy Shieldnek, amely az EU és az Egyesült Államok közti azonos szintű adatvédelmi rendszert hívatott biztosítani. Az amerikai vállalkozások a Privacy Shieldhez való önkéntes csatlakozással vállalnak garanciát arra, hogy az EU-s adatvédelmi szabályok betartásával működnek. A csatlakozó vállalatok adatkezelését a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission) ellenőrzi.

A fentiek szerint kialakulóban lévő, GDPR-nak megfelelő szabályrendszerek remélhetőleg biztosítják majd, hogy a norvég, svájci és amerikai adatkezelőknek ne kelljen egy számukra teljesen idegen adatvédelmi szabályozást alkalmazniuk, ha például magyar érintettek személyes adatait kezelik. Ez az érintettek számára is nagyobb biztonságot jelenthet majd. Ugyanígy egy magyar adatkezelőnek sem kell majd megismerkednie egy teljesen új szabályozással, ha adatkezelése ezen országok állampolgárait is érinti.

A GDPR egyik fő célkitűzése, hogy a személyes adatok az EU egész területén hatékony védelemben részesüljenek, továbbá, hogy ezen védelemtől sehol se lehessen őket megfosztani. Ezen célkitűzés szerinti, egységes szintű adatvédelmi rendszer megteremtése irányába tett kezdőlépések mindenképp biztatóak.

Dr. Póczek Aliz

Photo credit: pexels.com