Az Európai Bizottság, a Tanács és a Parlament hosszas háromoldalú tárgyalások után 2015. december 15-én állapodott meg az Általános Adatvédelmi Rendelet (angolul General Data Protection Regulation, rövidítve GDPR, a továbbiakban Rendelet) végleges szövegében.
A Rendelet szövege gyakorlatilag végleges, de egyelőre még nem került kihirdetésre az EU hivatalos lapjában. Ennek megtörténtét követő két év múlva kell majd alkalmazni, ami azt jelenti, hogy ténylegesen 2018 elejétől lesz majd közvetlenül alkalmazandó az EU minden tagállamában.
A legfontosabb változások a jelenlegi adatvédelmi szabályozáshoz (95/46/EK irányelv) képest dióhéjban a következők: közvetlen hatály az egyes tagállamokban, az adatkezelők és adatfeldolgozók jobb elszámoltathatósága, az érintettek erősebb jogosultságai, a nemzeti adatvédelmi hatóságok megerősített végrehajtási hatásköre, az EU területén kívüli kiterjesztett joghatóság. Utóbbi azt jelenti, hogy a Rendelet azokra az EU-n kívüli szervezetekre is vonatkozik, akik EU lakosoknak értékesítenek, vagy akik EU lakosokat követnek nyomon és kötelezi őket a beépített és alapértelmezett adatvédelemre (data protection by design and default).
A Rendelet közvetlenül nem rendezi az EU és az USA közötti adattovábbításokra vonatkozó Safe Harbor egyezmény Európai Unió Bírósága által történő érvénytelennek nyilvánításával előállt helyzetet.
Kiterjesztett joghatóság
A Rendelet alkalmazandó lesz minden olyan esetben, amikor EU lakosok adatait kezelik áruk értékesítésével és szolgáltatások felkínálásával összefüggésben, vagy EU lakosok viselkedését követik nyomon az EU területén belül (3. Cikk 2. bekezdés). E körbe tartozik az internet-felhasználók nyomon követése a fogyasztói választások és magatartások előrejelzése,profilalkotás céljából. Ez abban az esetben is alkalmazandó lesz, ha az adatkezelő vagy -feldolgozó szervezet nem lesz közvetlenül jelen az EU-ban. Amennyiben egy szervezet a Rendelet kiterjesztett joghatósága alá tartozik majd, úgy köteles az EU területén belül kijelölni egy képviselőt.
Milyen típusú adatokra vonatkozik majd a Rendelet?
Minden olyan adatra kiterjed a Rendelet hatálya, amely egy természetes személyt azonosít, illetve amely által egy természetes személy azonosítható. A 29-es Munkacsoport (WP29) által ajánlott és számos tagállam adatvédelmi hatósága által jelenleg is alkalmazott „minden olyan módszer, amit az adatkezelő, vagy más személy valószínűleg felhasználna” teszt a továbbiakban is alkalmazandó lesz.
Az irányelv (26) preambulumbekezdése különös figyelmet szentel az „azonosítható” kifejezésnek, amikor kimondja, hogy „mivel annak meghatározására, hogy egy személy azonosítható-e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására”. Ez azt jelenti, hogy az egyén kiválasztásának csupán hipotetikus lehetősége nem elég ahhoz, hogy a személyt „azonosíthatónak” tekintsük. Ha figyelembe véve „minden olyan módszert … amit az adatkezelő, vagy más személy valószínűleg felhasználna”, e lehetőség nem létezik, vagy elhanyagolható, a személyt nem lehet „azonosíthatónak” tekinteni, és az információ nem számít „személyes adatnak”. A „minden olyan módszer … amit az adatkezelő, vagy más személy valószínűleg felhasználna” feltételénél különösen figyelembe kell venni valamennyi szóban forgó tényezőt. Az azonosítás végrehajtásának költsége egy tényező, de nem az egyetlen. A szándékolt célt, a feldolgozás módjának strukturáltságát, az adatkezelő által várt előnyt, az egyének szóban forgó érdekeit, a szervezés működési zavarainak kockázatát (pl. a titoktartási kötelezettségek megsértése), valamint a műszaki meghibásodásokat mind-mind figyelembe kell venni. [WP29 4/2007 vélemény a személyes adat fogalmáról (WP 136, 2007. június 20.), 17. oldal, Az azonosítás eszközei cím alatt]
A Rendelet rávilágít a tényre, hogy egyes olyan online adatkategóriák is személyes adatnak minősülhetnek, mint például az online azonosítók, az eszközazonosítók, a cookie ID-k és az IP címek. Az IP címek személyes adat jellegével kapcsolatos jelenlegi bizonytalanságokat remélhetően valamilyen mértékben megszünteti majd az Európai Unió Bírósága (EUB), a Breyer v. Németország ügyben (C-582/14) ugyanis a német Szövetségi Legfelsőbb Bíróság éppen ezzel kapcsolatos két kérdést tett fel előzetes döntéshozatali eljárásban az EUB számára:
1) Úgy kell-e értelmezni a [95/46/EK irányelv, azaz az adatvédelmi irányelv] 2. cikkének a) pontját, hogy a szolgáltató által az internetes honlapjának felkeresésével összefüggésben tárolt internetprotokoll-cím (IP-cím) a szolgáltató számára már akkor is személyes adatot képez, ha valamely harmadik személy (a jelen ügyben: a hozzáférés-szolgáltató) rendelkezik az érintett azonosításához szükséges pluszinformációval?
2) Ellentétes-e az adatvédelmi irányelv 7. cikkének f) pontjával az olyan nemzeti jogi rendelkezés, amely szerint a szolgáltató csak akkor gyűjtheti és használhatja fel a felhasználó személyes adatait annak beleegyezése nélkül, ha ez az elektronikus médium adott felhasználó általi konkrét igénybevételének lehetővé tételéhez és elszámolásához szükséges, és amely szerint az elektronikus médium általános működőképessége biztosításának célja nem indokolhatja a felhasználást a konkrét használat befejeztét követően?
A különleges adatok fogalma megmaradt és annak köre bővült is egyben. Ezentúl a genetikai és biometrikus adatok is ide tartoznak. A jelenleg hatályban lévő adatvédelmi irányelvhez hasonlóan a különleges adatokra szigorúbb szabályozás vonatkozik. Ilyen adat csak az érintett kifejezett hozzájárulásával kezelhető.
Álnéven szereplő adatok
A Rendelet az álnévhasználat (pszeudonimizáció) új koncepcióját vezeti be: az álnévhasználat olyan a magánszféra háborítatlanságát szolgálni hivatott technika, mely lehetővé teszi azon információ külön kezelését, amely alapján az adat egy meghatározott személyhez rendelhető, valamint technikai és szervezeti intézkedések biztosítják azt, hogy ne lehessen ilyen adatot egy meghatározott személyhez rendelni.
Bár az álnéven szereplő adat továbbra is személyes adatnak tekintendő, alkalmazása mégis sokszor kifizetődő lehet. Így például jó megoldásnak bizonyulhat akkor, amikor a személyes adatok egy meghatározott célú kezelése nem egyeztethető össze azzal az eredeti céllal, amellyel kapcsolatban az adatokat gyűjtötték és kezelték.
A pszeudonimizáció alkalmas lehet továbbá a beépített és alapértelmezett adatvédelem biztosítására, valamint az adatok biztonságának növelésére is. Tudományos, illetve statisztikai célra történő adatkezelés esetén is ez lehet az egyik megfelelő megoldás.
Kifejezett vagy egyértelmű legyen a hozzájárulás?
Az adatvédelmi irányelv a személyes adatok esetében az egyértelmű (unambiguous), míg a különleges adatok esetében a kifejezett (explicit) jelzőt tartalmazta, már ami az ilyen adatok kezeléséhez történő hozzájárulást illeti. A Rendelet végső szövege ehhez hasonló elvárásokat támaszt, azaz a “sima” személyes adatok esetében elegendő az egyértelmű (unambiguous) hozzájárulás, míg az ennél szigorúbb, kifejezett (explicit) hozzájárulásra csak különleges adatok esetében lesz szükség.
A hozzájárulásnak szabad elhatározásból adottnak, specifikusnak, megfelelő tájékoztatáson alapulónak és tevőlegesnek kell lennie. Ez történhet technikai beállítások útján, vagy egyéb nyilatkozat vagy magatartás formájában, amely egyértelműen a hozzájárulást jelöli. Nem tevőleges magatartás, hallgatás, előre kipipált check-box, inaktivitás azonban nem elegendő.
A hozzájárulás bármikor visszavonható kell, hogy legyen. A hozzájárulás nem köthető szerződéskötéshez vagy szolgáltatás igénybevételéhez, kivéve amennyiben az adatfeldolgozás elengedhetetlen az ilyen szolgáltatás nyújtásához. Ezt azonban nem lehet kiterjesztőleg értelmezni, ugyanis a szabad elhatározás vizsgálatakor különös körültekintéssel kell majd figyelembe venni, ha egy szerződés teljesítését olyan személyes adatok megadásához kötik, amely nem feltétlenül szükséges a szerződés teljesítéséhez. Az adatkezelőknek továbbra is külön hozzájárulást kell beszerezniük a különböző adatkezelési célokhoz.
Természetesen nem a hozzájárulás lesz az egyetlen lehetséges jogalapja a személyes adatok kezelésének, ugyanis a Rendeletben is megjelennek az adatvédelmi irányelv 7. cikkében szereplő jogalapok, úgy mint a szerződés teljesítése/megkötése, az adatkezelőre vonatkozó jogi kötelezettség teljesítése, az érintett létfontosságú érdekei védelme, közérdek/hivatali hatáskör, valamint az adatkezelő vagy harmadik személy jogos érdekének érvényesítése (kivéve ha ezeknél az érdekeknél magasabb rendűek az érintett védelmet igénylő érdekei vagy alapvető jogai és szabadsága, különösen gyermekek esetében).
Gyermekek adhatnak hozzájárulást?
13 év alatti gyermekek semmilyen esetben sem adhatják hozzájárulásukat az online szolgáltatások igénybevételéhez szükséges személyes adataik kezeléséhez (ilyenek például az e-mail vagy a közösségi hálózatok fiókjaihoz szükséges adatok). A 16. életévüket betöltő gyermekek már adhatnak ilyen hozzájárulást. E két korhatár között lévő gyermekek esetében pedig főszabály szerint szülői hozzájárulás szükséges, de a tagállamoknak jogukban áll a törvényhozás útján e korhatárt csökkenteni. Offline adatkezelésre vonatkozóan nem tartalmaz a Rendelet előírást. Ez esetben a tagállami szabályozás alkalmazandó.
Elszámoltathatóság, hatástanulmány és belső adatvédelmi felelősök
Nem lesz elég pusztán megfelelő a Rendelet előírásaik, tudni kell majd igazolni is a megfelelést, adott esetben belső és külső szabályzatok elkészítésével és azok igazolt betartatásával. Ennek egy lehetséges módja mind adatkezelők, mind adatfeldolgozók számára a már jóváhagyott megatartási kódexek betartása, illetve az azokhoz való csatlakozás.
Új technológiák alkalmazása esetén, ahol az érintettek adatainak védelme veszélyben lehet, az adatkezelők kötelesek lesznek részletes adatvédelmi hatástanulmányt (Privacy Impact Assessment, PIA) készíteni, amelyben feltérképezik a lehetséges kockázatokat és e kockázatok csökkentésének lehetséges módjait. Amennyiben a hatástanulmány azt mutatja, hogy adatvédelmi szempontból az érintettek nagy veszélynek vannak kitéve, úgy az adatkezelő köteles lesz konzultálni az illetékes adatvédelmi hatósággal és kikérni a véleményét.
Minden adatkezelőnek és adatfeldolgozónak minősülő közfeladatot ellátó szerv vagy meghatározott különleges tevékenységet folytató adatkezelő és adatfeldolgozó köteles lesz belső adatvédelmi felelőst kijelölni. Társaságok csoportja jogosult lesz arra is, hogy egy közös felelőst jelöljön ki.
Átláthatóság
A szervezeteknek részletes információkat kell nyújtaniuk az érintettek számára személyes adataik kezelésének minden lényeges körülményéről. A Rendelet mintegy hat oldalon keresztül sorolja fel azokat az információkat, amelyeket meg kell adni az érintettek számára, tömör, átlátható, közérthető és könnyen elérhető formában. Ezen feltételeknek való együttes megfelelés minden bizonnyal kihívást fog jelenteni. A korábbi javaslatokban megjelent logók vagy ikonok, mint lehetőség szerepelnek a Rendelet végleges szövegében is, azzal, hogy ezek bevezetésére az Európai Bizottság további jogalkotására van bízva.
Az érintettek erősebb jogai – a felejtéshez való jog
Az érintettek számára változatlanul biztosított lesz a tájékoztatáshoz és helyesbítéshez fűződő jog, azzal, hogy ezeket csak bizonyos ésszerű határok között érvényesíthetik, ami az adatkezelők jogos érdekét védi.
A Rendelet tartalmazza a felejtéshez való jogot (right to be forgotten). Azoknak az adatkezelőknek, akik személyes adatot hoztak nyilvánosságra, megfelelő lépéseket kell tenniük annak érdekében, hogy felhívják mások figyelmét arra, ha az érintett személyes adat törlése iránti kérelmet terjeszt elő. A felejtéshez való jog azonban nem abszolút jogosultság: az adatkezelő az érintett kifogása ellenére is kezelheti a személyes adatokat, amennyiben erre más érvényes jogalappal bír.
Az érintetteknek joga lesz tiltakozni bizonyos típusú adatkezelések ellen. Ez azonban ismételten nem abszolút jogosultság, az adatkezelő érdekei adott esetben felülkerekedhetnek az érintett érdekein. Ugyanakkor abszolút jogként került rögzítésre a direkt marketing célú adatkezelések (pl. e-mail hírlevelek küldése) elleni tiltakozás, amelybe beleértendő a profilalkotás ellen történő tiltakozás is, amennyiben az a direkt marketinghez kapcsolódik.
A teljesen automatizált adatfeldolgozással történő döntéshozatal, ideértve a profilalkotást is, szűk határok közé lesz szorítva. Amennyiben az ilyen módon hozott döntés joghatást vált ki, vagy lényeges hatással van az érintettre, akkor az érintett joga, hogy ne legyen tárgya ilyen döntéshozatali eljárásnak. Ez azt jelenti, hogy erre csak az érintett kifejezett hozzájárulásával kerülhet sor vagy akkor, ha ez szerződéskötéshez vagy szerződés teljesítéséhez szükséges. Ezekben az esetekben biztosítani kell, hogy az érintett kifejtse a véleményét vagy kifogást emeljen a döntés ellen, illetve hogy kérje az emberi beavatkozást az adatkezelőtől. Automatizált adatfeldolgozással történő döntéshozatalra sor kerülhet továbbá tagállami jogszabályi felhatalmazás alapján is, ugyanakkor az ilyen jogszabálynak egyúttal megfelelő garanciákat is kell biztosítania. Különleges adatokat érintő automatizált döntések meghozatala csak bizony feltételekkel megengedett.
Megjelenik az adatok hordozhatósághoz való jog. Ez azt jelenti, hogy az érintettek kérhetik a szolgáltatójukat, amelynek korábban adataikat megadták, hogy az adataikat adja át egy másik szolgáltatónak, feltéve, ha ez technikailag kivitelezhető. Az azonban nem világos, hogy ez a jog hogyan fog működni a gyakorlatban, különösen a beépített és alapértelmezett adatvédelem követelményével összevetve.
Adatkezelők és adatfeldolgozók
Habár nem változik a korábbi hozzáállás, miszerint az adatkezelők felelősek az adatfeldolgozók cselekményeiért, de egyes területeken (pl. adattovábbítás) közvetlenül az adatfeldolgozókra is telepít felelősséget a Rendelet.
Az adatfeldolgozót kijelölő szerződésnek ezentúl részletesebbnek kell lennie. Az adatfeldolgozónak további adatfeldolgozó igénybevételéhez és személyes adatok EGT-n kívüli területekre való továbbításához meg kell szereznie az adatkezelő hozzájárulását. A Rendelet nevesíti az adatkezelők jogát az adatfeldolgozók ellenőrzésére.
Amennyiben két szervezet közösen határozza meg az adatkezelés célját és módját, úgy közös adatkezelőknek minősülnek. Közösen határozzák meg, hogy miként felelnek meg kötelezettségeiknek, ugyanakkor az érintettek bármelyik adatkezelővel szemben gyakorolhatják jogaikat.
Kártérítés és bírság
Az érintettek kártérítésre lesznek jogosultak azokért a materiális vagy immateriális károkért melyeket az adatkezelő vagy az adatfeldolgozó okozott. Ugyanakkor az adatfeldolgozók csak azokért a sérelmekért vagy károkért felelnek, amelyek a Rendelet rájuk vonatkozó rendelkezéseinek megsértéséből adódtak, vagy amennyiben az adatkezelők jogszerű utasításaitól eltérő magatartást tanúsítanak. A bizonyítási teher az adatkezelőkön és adatfeldolgozókon lesz, így nekik kell majd bizonyítaniuk, hogy nem felelősek azért az eseményért, amely a kárhoz vagy sérelemhez vezetett.
Abban az esetben, ha több adatkezelő vagy adatfeldolgozó vesz részt az adatok kezelésében, és bármelyikük, akár részben is felelős a károkozásért, úgy az érintett felé a kár egész összegével felel, azzal, hogy természetesen a többi adatkezelővel, illetve adatfeldolgozóval szemben megtérítési igénnyel léphet fel.
A felügyeleti hatóságok jogosultak bírság kiszabására, amelynek mértéke alapvetően attól függ, hogy a Rendelet mely rendelkezését sértették meg. A mérlegelés során a súlyosító és enyhítő körülményeket is figyelembe veszik majd. A maximálisan kiszabható bírság a vállalkozás előző évi globális árbevételének a 4%-a. A Rendelet több, de nem alapvető fontosságú rendelkezésének megsértése esetén a bírság legkisebb mértéke a vállalkozás előző évi globális árbevételének a 2%-a.
“Egyablakos ügyintézés” (one-stop shop)
A Rendelet forradalmasítani kívánja az adatvédelmi jogszabályok érvényesítését. Bizonyos esetek kivételével azon tagállam hatósága fog fellépni vezető hatóságként, amelyik tagállamban van az adott szervezet fő vagy egyetlen létesítménye (“establishment”). A hatóságok közötti együttműködés szabályait is tartalmazza a Rendelet, ahogyan arról is rendelkezik, hogy mi a megfelelő eljárás a hatóságok közötti egyet nem értés esetén. Erre és egyéb feladatokra is tekintettel – a 29-es Munkacsoport utódjaként – létrejön az Európai Adatvédelmi Tanács (European Data Protection Board, EDPB), mely egyedi határozatokkal kapcsolatos véleményeket is kibocsát majd. Az EDPB a tagállami hatóságok egy-egy képviselőjéből áll fel és részt vesz majd benne az Európai Bizottság képviselője szavazati jog nélkül. Az adatkezelőknek és adatfeldolgozóknak maguknak kell majd felmérni, hogy esetükben melyik hatóság lesz a vezető hatóság. A szervezet fő létesítményének meghatározásához az egyik irányadó szempont lehet az adatkezeléshez kapcsolódó kérdésekben döntő szervezeti egységek helye. Fontos lesz jó munkakapcsolatot kiépíteni a vezető hatósággal.
Nyilvántartási rendszer
Bár a jelenlegi rendszer, amelyben az adatkezeléseket nyilvántartásba kell vetetni a különböző adatvédelmi hatóságoknál, megszűnik, de mind az adatkezelők mind az adatfeldolgozók kötelezettsége lesz az adatkezeléssel vagy az adatfeldolgozással kapcsolatos belső nyilvántartás létrehozása. Kivételt képeznek ez alól a 250 főnél kevesebb munkavállalót foglalkoztató kis- és középvállalkozások (KKV). Nem élvezik a kivételt azok a KKV-k, melyek kockázatos adatfeldolgozást végeznek, különleges adatot kezelnek vagy abban az esetben, ha az adatfeldolgozás nem eseti jelleggel történik. Utóbbi rendelkezés azt jelenti, hogy számos online startup kényszerül majd az adatkezelési, adatfeldolgozási tevékenységek nyilvántartására.
Adatvédelmi incidens bejelentése
Az adatvédelmi incidensről az adatkezelőknek értesíteniük kell egyfelől a hatóságokat, másfelől az érintetteket.
A hatóságokat indokolatlan késedelem nélkül, amennyiben lehetséges az incidensről való tudomásszerzést követő 72 órán belül. Az értesítésre több szakaszban is sor kerülhet. Azonban nem szükséges jelenteni az incidenst, amennyiben az nagy valószínűség szerint nem ró kockázatot az érintettekre; ettől függetlenül az ilyen adatvédelmi incidensekről is kell belső nyilvántartást vezetni, amely alapján a hatóságok adott esetben ellenőrizni tudják a megfelelést. Az értesítésnek tartalmaznia kel az incidens jellegének és terjedelmének adatait, így az adatok fajtáit és az érintettek/rekordok számát is, valamit ismertetni kell a várható következményeket az érintettekre nézve és az ezek enyhítésére tett lépéseket.
Az érintetteket akkor kell közvetlenül értesíteni, ha az incidens valószínűsíthetően magas kockázattal jár rájuk nézve. Ebben az esetben az értesítést indokolatlan késedelem nélkül közérthető formában kell megküldeni és tartalmaznia kell a következmények enyhítéséhez szükséges lépéseket, valamint a további információk eléréséhez megadott kapcsolattartót. Nem kell az érintetteket értesíteni, amennyiben az incidenssel kapcsolatos kockázatot mérsékelték (pl. az adatok titkosítva voltak vagy az adatkezelő az incidenst követően más lépéseket tett ennek érdekében). Egyes esetekben az értesítés nyilvános közlemény formájában is kiadható.
Az adatfeldolgozókat csupán az adatkezelők irányában terheli értesítési kötelezettség.
Adattovábbítások
E téren a jelenleg hatályos rendszer lesz meghatározó továbbra is, pár újítással kiegészülve. Az adattovábbítás jelenleg fennálló módjait (kivéve Safe Harbor) megtartja a Rendelet. Az általános szerződési feltételek (SCCs) és a Bizottság listáján szereplő országok továbbra is megfelelő szintű védelmet jelentenek, ugyanakkora Bizottság köteles folyamatosan felülvizsgálni e státuszukat. Hasonlóképpen a kötelező szervezeti szabályozás (Binding Corporate Rules, BCRs) is megjelenik a Rendeletben, amelyek ezzel immár jogszabályi szinten lesznek szabályozva. Ez abban a néhány tagállamban jelent majd előrelépést, melyek még mindig nem ismerik el a kötelező szervezeti szabályozásokat. Magyarországon egyébként az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 2015. október elsejével tette lehetővé kötelező szervezeti szabályozások használatának lehetőségét (lásd erről szóló korábbi bejegyzésünket).
A Rendelet ugyanakkor eltörli az általános szerződési feltételek (SCCs) hatóságok részére történő bejelentését, illetve azok által történő jóváhagyását.
Újdonság, hogy az adatátruházások engedélyezése a Rendelet 39. Cikkében meghatározott tanúsítványok kibocsátásával történik majd, mely szerint az adatkezelők és adatfeldolgozók kötelező erejű és kikényszeríthető vállalásokat tesznek az adatvédelmi intézkedések és az érintettek jogainak biztosítása érdekében.
A Rendelet egyértelművé teszi, hogy nem minősül jogszerűnek a személyes adatok EU-n kívüli továbbítása, amennyiben arra harmadik ország jogszabályi előírásainak történő megfelelésre hivatkozva kerül sor.
Eltérő nemzeti szabályok
A Rendelet általánosságban megengedi, hogy a tagállamok nemzetbiztossági okokból, bűncselekmények megelőzése és felderítése céljára és egyéb meghatározott esetekben eltérő szabályokat alkalmazhassanak. Az Európai Unió Bírósága irányadó joggyakorlata alapján azonban ezeknek az eltéréseknek tiszteletben kell tartaniuk az adatvédelem alapértékeit, és szükségesnek és arányosnak kell lenniük. Egészségügyi kutatás céljából sor kerülhet személyes adatok hozzájárulás nélküli kezelésére is, amennyiben az közérdekű célból történik, és ha ezt EU-s vagy a tagállami jog lehetővé teszi. Tudományos kutatás és statisztikai célú adatkezelések esetében szintén van lehetőség hozzájárulás nélkül adatokat kezelni, szintén ha EU-s vagy a tagállami jog lehetővé teszi ezt. Továbbá, a tagállamok számára biztosított annak a lehetősége, hogy további (valószínűleg megengedőbb) feltételeket vagy korlátokat határozzanak meg genetikai, biometrikus vagy egészségügyi adatok vonatkozásban.
A Rendelet és az Infotv. viszonya
Az Európai Uniós rendelet egy olyan jogalkotási aktus, mely az EU egész területén közvetlenül és teljes egészében alkalmazandó. Az irányelvekkel ellentétben, rendeletek esetén a tagállamoknak nem kell új jogszabályokat elfogadniuk vagy módosítaniuk, hiszen a közvetlen hatályból fakadóan a rendelet e nélkül is alkalmazandó. Sőt mi több, tilos átültetni a rendeleteket a nemzeti jogrendbe, elkerülvén a szabályozás lerontásának lehetőségét. Mivel az EU rendelet a jogforrási hierarchiában megelőzi a tagállami törvényeket, így a rendelettel ellentétes tagállami jogszabályi rendelkezés nem érvényesül.
dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000