Az adatkezelések érintettjeinek védelme azt a célt szolgálja, hogy az érintettek ne csak tárgyai, hanem alanyai legyenek az adatkezelésnek. Fontos, hogy megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekkel kapcsolatban és kellően fel legyenek vértezve az adataikkal való esetleges visszaélések esetére.
Az adatkezelőkkel szemben alapvető elvárás, hogy az adatkezelés műveletek végzése során biztosítsák az érintettek számára az őket megillető jogok gyakorlását. Ennek egyik előfeltétele, hogy az adatkezelés folyamatának átláthatónak kell lennie (lásd erről részletesen a 29-es Cikk szerinti Munkacsoport iránymutatását). A Rendelet preambuluma (39) az alábbi követelményeket határozza meg az átláthatósággal kapcsolatban:
A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
A NAIH egy, 2019-ben hozott határozatában (NAIH/2019/167/13.) is hangsúlyozta, hogy az átláthatóság biztosításának kiemelt szerepe van az adatkezelés kapcsán (lásd a Határozat 43. pontját):
Az átláthatóságnak az adatkezelés teljes folyamata során érvényesülnie kell. Az átláthatóság elve szerint az érintettek számára átláthatónak kell lennie, hogy mely személyes adataikat, mely adatkezelők, hogyan kezelik. Az erről való meggyőződés egyik módja a hozzáférési jog gyakorlása, amelynek keretében az érintettek ellenőrizni tudják az adatkezelés jogszerűségét.
Milyen jogokat biztosít tehát a Rendelet az érintettek részére?
A Rendeletben az alábbi érintetti jogok kerültek meghatározásra:
- tájékoztatáshoz való jog (13. és 14. cikk)
- hozzáféréshez való jog (15. cikk)
- helyesbítéshez való jog (16. cikk)
- törléshez való jog („az elfeledtetéshez való jog”, 17. cikk)
- adatkezelés korlátozásához való jog (18. cikk)
- adathordozhatósághoz való jog (20. cikk)
- tiltakozáshoz való jog (21. cikk)
- jogosultság arra, hogy az érintettre ne terjedjen ki a kizárólag automatizált adatkezelésen (beleértve a profilalkotást is) alapuló döntés hatálya (22. cikk),
- jogorvoslathoz való jog (77-82. cikkek).
De mi változott a GDPR előtti időkhöz képest?
Egymás mellé helyezve a Rendeletben biztosított érintetti jogokat az Infotv.-ben - a 95/46/EK adatvédelmi irányelv alapján - szereplő jogokkal, akkor első ránézésre nem tűnik nagyon jelentősnek a változás:
GDPR |
GDPR előtt |
Tájékoztatás (érintettől v. nem az érintettől gyűjtik az adatokat) |
Előzetes tájékoztatás |
Hozzáférés |
Tájékoztatás |
Helyesbítés |
Helyesbítés |
Törlés + elfeledtetés |
Törlés |
Korlátozás |
Zárolás |
Adathordozhatóság |
- |
Tiltakozás |
Tiltakozás |
Automatizált adatkezeléshez (beleértve a profilalkotást is) kapcsolódó jogok |
Automatizált adatfeldolgozással hozott döntéssel kapcsolatos jogok |
Jogorvoslathoz való jog |
Jogorvoslathoz való jog |
A változás tehát nem az érintettek részére biztosított jogok tekintetében érhető leginkább tetten, sokkal inkább abban, ahogy ezek a jogok érvényesítésre kerülnek a gyakorlatban. A GDPR eddigi gyakorlata azt mutatja, hogy a hatóságok kiemelt figyelmet fordítanak az érintetti jogok érvényesülésére.
A technológia fejlődésével, az adatvédelmet érintő új kihívásokra tekintettel (pl. big data, mesterséges intelligencia alkalmazása) az érintetti jogok felülvizsgálata is indokolt lehet (lásd pl. Wachter, Sandra - Mittelstadt, Brent: A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI, "a magánszférába történő ésszerű beavatkozáshoz való jog", azaz "right to reasonable interferences").
Tájékoztatáshoz való jog
Az érintettek adatkezelésre vonatkozó előzetes tájékoztatásának a GDPR előtt is szigorú követelményeknek kellett megfelelni. A GDPR is részletesen meghatározza, hogy miről kell az adatkezelőknek tájékoztatást adniuk, a korábbiakhoz képest újdonság, hogy egyértelműen különbséget tesz a Rendelet aszerint, hogy az érintettől vagy nem az érintettől gyűjtik az adatokat.
Elfeledtetéshez való jog
Nevesítetten jelent meg az elfeledtetéshez való jog, amely tulajdonképpen a törlés jogának online környezetben történő alkalmazása: ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. (Az Európai Bíróság Google Spain ügyben 2014-ben hozott határozatának a megjelenése a jogszabályban.)
A törléshez való jog gyakorlása kapcsán is hozott már határozatokat a NAIH, amelyben bírságot szabott ki az érintett igényék nem tejesítése miatt.
Adathordozhatóság
Újdonság az adathordozhatóság jogának megjelenése. Az adathordozhatóság joga alapján - bizonyos feltételek fennállása esetén - az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
A fentieken túlmenően az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Vélhetően a közvetlen adattovábbításra szolgáló platformok kialakulása még némi időt fog igénybe venni a Rendelet alkalmazandóvá válását követően.
Az adathordozhatóság joga akkor gyakorolható, ha
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
Az érintettre vonatkozó, az érintett által az adatkezelő rendelkezésére bocsátott adatokra vonatkozik. A 29-es Cikk szerinti Munkacsoport az adathordozhatóság kapcsán korábban közzétett egy iránymutatást.
Hozzáférési jog
A hozzáférési jog kettős természetű: egyrészt az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz a GDPR-ban meghatározott információkhoz hozzáférést kapjon, másrészt az érintett kérheti az adatkezelés tárgyát képező személyes adatai másolatának a rendelkezésére bocsátását.
Ahogy a bevezetőben is látszik, a hozzáférési jog az átláthatóság biztosításának egyik fontos eszköze. A NAIH több határozatában is foglalkozott a kérdéssel (lásd pl. itt és itt, valamint itt).
Tiltakozáshoz való jog
A tiltakozáshoz való jog elsősorban a jogos érdeken alapuló adatkezeléshez kapcsolódóan biztosít jogot az érintettek részére. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Automatizált döntéshozatallal kapcsolatos jogok
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ez a rendelkezés nem alkalmazandó abban az esetben, ha a döntés:
- az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
- meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
- az érintett kifejezett hozzájárulásán alapul.
Az automatizált döntések esetén, amikor a fentiek miatt (az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges vagy az érintett kifejezett hozzájárulásán alapuló adatkezelés) az érintett nem tudja kikerülni az automatizált döntéshozatalt, akkor az érintettnek biztosítani kell legalább azt jogot, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.