GDPR

Adatvédelem mindenkinek / Data protection for everyone

Alakuló joggyakorlat a GDPR alapján

2018. október 25. 11:30 - poklaszlo

Öt hónap telt el május 25., az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válása óta. Az adatkezelők és a feldolgozók sokat küszködtek, hogy készen álljanak a GDPR szabályainak alkalmazására, azonban a GDPR számos olyan rendelkezést tartalmaz, amelyek tág teret engednek az értelmezésnek. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránytűként ahhoz, hogy a GDPR rendelkezéseit miként lehet, illetve kell értelmezni.

Természetesen időbe telik, amíg az első döntések és ítéletek a GDPR alapján megszülethettek, de mostantól egyre több döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakíthatják.

A GDPR egyik leggyakrabban említett újdonsága az adminisztratív bírságok rendkívül magas összege volt, amelyet a nemzeti hatóságok az adatvédelmi szabályok megsértése esetén szabhatnak ki. Emiatt nagy várakozás övezi az adatkezelőkre és a feldolgozókra kiszabott bírságokról szóló első határozatokat. Úgy tűnik, lassan, de biztosan elérkezik az idő, hogy a GDPR alapján kiszabott bírságokra vonatkozó határozatok megjelenjenek.

Az osztrák adatvédelmi hatóság meghozta első határozatát, amely bírságot szabott ki a GDPR alapján egy vállalkozóval szemben, aki CCTV kamerát alkalmazott a telephelyen, ugyanakkor a kamera látószöge a járda jelentős részét is befogta. Ezenkívül megállapításra került, hogy az átláthatósági rendelkezéseket is megsértették, mivel a videós megfigyeléssel kapcsolatos figyelemfelhívó jelzések nem voltak megfelelően elhelyezve. A bírság összege 4 800 euró volt ebben az esetben.

A GDPR elfogadásának egyik oka az EU-n belüli adatvédelmi szabályok egységes alkalmazásának elősegítése volt. A rendelet közvetlenül alkalmazandó a tagállamokban, és az Európai Adatvédelmi Testületet is azért hozták létre, hogy hozzájáruljon a GDPR következetes alkalmazásához az egész EU-ban (egységességi mechanizmus). A Testület kötelező határozatokat is hozhat az adatvédelmi hatóságok közötti viták rendezésére.

Úgy tűnik azonban, hogy a GDPR alkalmazásának következetességére irányuló erőfeszítések ellenére, a szabályok tagállamok közötti eltérő értelmezése a jövőben is feladatot biztosít majd. Az olasz és az osztrák legfelsőbb bíróságok a közelmúltban különböző következtetéseket vontak le az "összekapcsolt" hozzájárulások értelmezésével kapcsolatban (GDPR 7. cikk (4) bekezdése). Az osztrák Legfelsőbb Bíróság szerint az "összekapcsolt" hozzájárulások tilalma alól nem lehet kivételeket elfogadni. Másfelől az olasz Legfelsőbb Bíróság megállapította, hogy az "összekapcsolt" hozzájárulások elfogadhatóak lehetnek, ha az érintettek ugyanazokat a szolgáltatásokat elérhetik más szolgáltatóknál is, vagyis szabadon választhatnak a további adatkezeléssel együtt járó vagy az anélkül biztosított szolgáltatások között.

Abban bízhatunk, hogy a jövőben csökken majd az egymásnak ellentmondó döntések száma, de ez még időbe telik, és az Európai Adatvédelmi Testület és az Európai Bíróság számos döntésére lesz még szükség az európai adatvédelmi szabályok következetes alkalmazásának elérése érdekében.