Az Európai Unió jogharmonizációja jelentős változásokat hozott az adatvédelem és a fogyasztóvédelem területén. Különösen a bizonyítási teher vonatkozásában számos új előírás lépett életbe, amelyek érintik mind az áruk adásvételére, mind a digitális szolgáltatásokra vonatkozó szavatossági szabályokat, valamint a személyes adatok kezelését.
Az adatvagyon kezelése és maga az adatbiztonság is új értelmezést nyert napjainkban, így az Európai Unió a változásokat felismerve új adatvédelmi szabályozás (GDPR) életbelépését sürgette. A jogalkotók felismerték, hogy az informatikai megoldások használatából fakadó kockázat miatt, a személyes adatok védelme érdekében egy korszerű, jogi szabályozást kell létrehozni. A digitalizáció gyorsulása, az IT technológiai innovációk elterjedése és az informatikai alkalmazások mindennapi használata fokozott információ- és adatgenerálással jár.
A bizonyítási teher változásai a fogyasztóvédelemben
Az európai uniós jogharmonizáció miatt változtak az áruk adásvételére és a digitális szolgáltatásokra vonatkozó szavatossági szabályok. Ennek keretében 2022. január 1. napjától hatályba lépett a fogyasztó és vállalkozás közötti, az áruk adásvételére, valamint a digitális tartalom szolgáltatására és digitális szolgáltatások nyújtására irányuló szerződések részletes szabályairól szóló 373/2021. (VI. 30.) Korm. rendelet, illetve változott a Polgári Törvénykönyvről szóló 2013. évi V. törvény 6:159. §-a.
Az egyik legfontosabb változás, hogy árukra és digitális szolgáltatásokra vonatkozó szavatosság esetében a korábbi 6 hónapról 1 évre nő az időszak, amikor a termékkel kapcsolatos minőségi kifogás esetén a vállalkozás oldalán van a bizonyítási teher, azaz a vásárlástól számított 1 évig a vállalkozásnak, webshopnak kell bizonyítania a hiba okát, majd a következő egy évben a fogyasztónak.
A vásárló továbbra is a kijavítás, kicserélés, árleszállítás, illetve a vételár visszatérítése igényekkel élhet, ha a termék meghibásodott, azonban a fogyasztó és vállalkozás közötti - ingó dolognak minősülő áru adásvételére, digitális tartalom szolgáltatására vagy digitális szolgáltatások nyújtására irányuló - szerződés esetén a kellékszavatossági jogai gyakorlása keretében a hibát a vállalkozás költségére maga nem javíthatja ki, illetve mással sem javíttathatja ki azt.
Minden webshopnak 2022. január 1-től, tehát a fenti jogszabályi változásokra figyelemmel szükséges eljárnia mind a szavatossági és jótállási igények intézése, mind a weboldalon, az ÁSZF-ben nyújtott - ezen jogokkal kapcsolatos - tájékoztatása tekintetében.
GDPR és az adatvédelem bizonyítási terhe
Az Európai Unió általános adatvédelmi rendelete (GDPR) szintén jelentős változásokat hozott a bizonyítási teher tekintetében, különösen az adatkezelők számára.
Átláthatóság és az érintettek jogai
Rendkívül fontos, hogy nyíltabbak és átláthatóbbak legyenek az adatkezelések, a transzparencia egy sarkalatos pontja a rendeletnek. Minden természetes személynek joga van megismerni, hogy mi történik az adataival, ez a fajta irány az, amit a rendelet képvisel. Nem elhanyagolható kérdés továbbá az sem, hogy mik is lesznek pontosan az új követelmények: a transzparencián kívül az érintettek jogai erősödnek, sőt, lesznek új jogaik is ezeken felül. A bizonyítási teher így megfordul tehát, ezt a hatóságok is kiemelik, ez szolgál alapelvként a GDPR rendelet számára.
A magyar szabályozás a 20 millió forintos bírságmaximummal eddig sem volt könnyen teljesíthető a KKV szektornak, a nagyvállalatok azonban gyakran bekalkulálták azt az éves budget-be. Az új uniós rendelet fő szigorításai elsősorban ennek megakadályozását célozzák és eredményezik: az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió euróra, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír. Magasabb bírságok várhatóak például az adattakarékosság elvének, az egészségügyi adatok kezelésének megsértése esetén és a személyes adatok harmadik országba történő továbbítása esetén is.
Az adatkezelési tájékoztató és a hozzájárulás
Az adatkezelésről szóló tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, elkülönítve az ÁSZF-től! A tájékoztató megszövegezésekor figyelemmel kell lenni arra, hogy a weboldalt üzemeltető olyan szavakat használjon, amelyek az átlag felhasználó számára is könnyen értelmezhetőek, és a szavak jelentésével tisztában lehetnek.
Amennyiben az adatkezelés az érintett hozzájárulásán alapul (tipikusan ilyen a hírlevelezés), a weboldalnak kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, a vásárló hozzájárult. A weboldal előre megfogalmazott hozzájárulási nyilatkozatról kell, hogy gondoskodjon, amelyet érthető és könnyen hozzáférhető formában kell a felhasználók rendelkezésére bocsátani. A nyilatkozat nyelvezetének világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket.
Adatvédelmi tisztviselő (DPO) és az adatfeldolgozók
A GDPR szerint a weboldalt üzemeltető adatkezelő adatvédelmi tisztviselőt jelöl ki, ha annak fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
Az adatvédelmi tisztviselő lehet az adott weboldalt üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, továbbá a feladatot el lehet látni szolgáltatási szerződés keretében is, pl. megbízni ügyvédet, adatvédelmi szakértőt. Annak a weboldalnak tehát, amely fő tevékenységként alkalmaz viselkedésalapú reklámokat, gondoskodnia kell adatvédelmi tisztviselő kijelöléséről.
A weboldalt üzemeltető cégnek a vele kapcsolatban álló adatfeldolgozók (tárhely-szolgáltató, könyvelő stb.) adatvédelemmel kapcsolatos feladatait szerződésben kell, hogy rendezze. A honlapot üzemeltető cég az adatfeldolgozó tevékenységéért felelősséggel tartozik: ha az adatkezelést a weboldal nevében más végzi, a weboldal kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfeleléséért és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Adatvédelmi incidensek és bejelentési kötelezettség
Az adatvédelmi incidens fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Az adatvédelmi incidenst a cégnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Bizonyos jogsértésekről 72 órán belül tájékoztatási kötelezettsége van a cégnek a hatóság és az érintettek részére.
Adatvédelmi hatásvizsgálat és technikai intézkedések
Újdonság az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment - DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.
A GDPR előírja, hogy a weboldalnak - a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével - megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ennek megfelelően szükséges a weboldalak informatikai, adatbiztonsági rendszerének felülvizsgálata, és annak folyamatos fejlesztése.
Megfelelve a beépített adatvédelem (privacy by design) követelményének, nem csak formálisan, hanem belső folyamataikban is meg kell felelniük a weboldalaknak a GDPR előírásainak. Ennek keretében szükséges a belső adatvédelmi szabályzatok elkészítése.
Adatvédelmi perek és a bizonyítási teher
Olyan helyzetben, amikor az adatvédelmi előírások megsértése miatt minket kárt vagy sérelmet a jogsértővel való - gyakran hosszadalmas - egyezkedés nem vezet eredményre, érdemes lehet az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény által adott lehetőséggel élni, és ún. adatvédelmi peres eljárást indítani. Ezen jogszabály szerint, amennyiben az adatkezelő (illetve az adatfeldolgozó) az adatvédelmi előírások megsértésével kárt okoz, köteles az megtéríteni, illetve az adatvédelmi előírások megsértésével más személyiségi jogának sérelme esetén a sérelmet szenvedett fél sérelemdíjra tarthat igényt.
A bizonyítási teher ezekben az esetekben az adatkezelőn (illetve adatfeldolgozón) van, és abban az esetben mentesül, ha bizonyítja, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az eljárás tehát alapvetően kedvezőbb helyzetbe hozza a kárt, illetve sérelmet szenvedett személyt.
A bírói gyakorlat alapján ilyen típusú perek sokszor személyiségi jog megsértése tárgyában indulnak. Egy érdekes ügyben például azért fordult bírósághoz egy munkavállaló, mert a munkahelyén feszültté vált a légkör, amikor a magasabb bérezéséről korábban volt pletykák megerősítést nyertek és ezért a felperesre nehezteltek egyes munkatársak, a mindennapi munkavégzése kifejezetten kényelmetlenné vált. A bíróság az ügyben megállapította, hogy a munkáltató megsértette a munkavállalójának a magánszférája védelméhez fűződő jogát azzal, hogy nem gondoskodott kellő adatvédelmi intézkedésekről és szabályokról, ezzel lehetővé tette, hogy ezen munkavállalójának a béradatait a munkavállalók egy része jogosulatlanul megismerhesse.
Ugyanakkor természetesen adatvédelmi jogsértés esetén is érdemes szem előtt tartani, hogy kellő gondossággal járjunk el, nem fogják számunkra megtéríteni a kárt, amennyiben az a saját szándékos vagy súlyosan gondatlan magatartásunkból származott. Tehát például megfelelő figyelemmel és technikai eszközökkel védjük jelszavainkat, különösen azon platformok és applikációk esetén, amelyekben rögzítjük a bankkártya-adatainkat, vagy - a fenti példához kapcsolódva - ne hagyjuk elől az asztalunkon a magasabb bérrel kapcsolatos iratokat.
A per eredményeképpen a bíróság a jogsértés tényének megállapítása esetén az adatkezelőt (illetve bizonyos esetekben az adatfeldolgozót) kötelezheti a jogellenes adatkezelési művelet megszüntetésére, az adatkezelés jogszerűségének helyreállítására, valamint az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására, és egyúttal határozhat a kártérítés, sérelemdíj iránti igényről is.
A svéd joggyakorlat a bizonyítási teherről
A svéd jog a bizonyítékok és a bizonyítási eszközök szabad megválasztásának elvén alapul. Az üggyel kapcsolatban felmerült valamennyi elem részletes értékelését követően a bíróság dönt arról, hogy mit tekint bizonyítottnak. A bizonyítékok elfogadhatóságával kapcsolatos bizonyos szabályok az ítélkezési gyakorlat során alakultak ki, például azzal kapcsolatban, hogy a bizonyítási teher kire hárul. A meglehetősen leegyszerűsített főszabály - amely alól számos kivétel van - az, hogy a bizonyítás terhe a valamely állítást megfogalmazó félre hárul. Ha az egyik fél számára könnyebb valamely tényt bizonyítani, a bizonyítási teher gyakran rá hárul. Ha az egyik fél számára nehézséget okoz valamely körülmény bizonyítása, ez szintén jelentőséggel bírhat annak megállapítása során, hogy kire hárul a bizonyítási teher.
Például, ha az egyik fél tartozás megfizetését követeli, bizonyítania kell, hogy az ellenérdekű féllel szemben követelése áll fenn. Ha az ellenérdekű fél azt állítja, hogy a tartozás megfizetése már megtörtént, neki kell bizonyítania, hogy valóban ez a helyzet. Kártérítési felelősségi ügyekben általában arra a félre hárul a bizonyítási teher, aki azt állítja, hogy kárt szenvedett el. Ha a benyújtott bizonyítékok nem kellően megalapozottak, a bíróság a szóban forgó körülményt nem használhatja fel vizsgálata alapjául.
A bizonyító erőre vonatkozó követelmények az adott ügy típusától függnek. Polgári peres ügyekben az az általános követelmény, hogy a szóban forgó tényt igazolni kell. Bizonyos polgári peres ügyekben a bizonyítékokkal szemben enyhébb követelmények is támaszthatók. A bizonyítás a felek feladata. Azokban az ügyekben, amelyekben a felek nem tudnak egyezségre jutni, a bíróságnak lehetősége van arra, hogy a felek kérése nélkül vonjon be új bizonyítékokat az ügybe.
tags: #adatvedelem #bizonyitasi #teher