Gyakori kérdések a GDPR kapcsán

Összegyűjtöttünk az alábbiakban néhány érdekes témát, kérdés a GDPR kapcsán, amivel jó tisztában lenni.

A 28 tagállam által megalkotott adatvédelmi jogszabályt mindeddig át kellett ültetni a tagállami jogrendszerekbe, ezen túl azonban közvetlenül hivatkozható és alkalmazandó az Európai Unió minden tagállamában. Ez a rendelet immár összefésüli a 28 uniós tagállam adatvédelmi jogszabályait, így a vállalkozásoknak ugyanazokat a rendelkezéseket kell követniük és betartaniuk, illetve ugyanazokkal a jogkövetkezményekkel is számolhatnak az Európai Unió egész területén, amennyiben elégtelenül tesznek ennek eleget.

Köztudott, hogy a jogszabályi elvárásokat nem mindig lehet összehangolni a mindennapi tevékenységgel. Magyarul, az egy dolog, mit kér egy jogszabály, az pedig egy másik, hogy mindebből a vállalkozások mit tartanak be. Az adatvédelem tipikusan az a jogterület, ahol a valós gyakorlattól élesen szétválnak a megfogalmazott célok és a jogelvek.

Az ENSZ Emberi Jogok Egyetemes Nyilatkozata a magánszféra védelmét, illetve az adatvédelmet már 1948-ban védőszárnyai alá vette. Erre szükség is volt, mivel a modern technika és technológia szélsebes fejlődése (gondoljunk csak olyan találmányokra, mint a drón, a facebook vagy a vénaszkennel) egyre inkább lehetővé teszi, hogy üzleti okokból a személyes adatokkal visszaéljenek. Magánszféránk egyre inkább elérhető, piaci értéke pedig egyre csak fokozódik.

Mostanra szinte áthidalhatatlan a szakadék a jogalkotók patetikus céljai, elvei és elvárásai, illetve a piaci szereplők gyakorlata között. Ezt a szakadékot próbálja áthidalni május 25-étől kezdve az a 20.000.000 euró összegű bírság, mely az elszámoltathatóság elvét kívánja visszavezetni.

A GDPR-ban (General Data Protection Regulation) az újdonság mindössze annyi, hogy ezen túl immár ki tudják kényszeríteni a piaci szereplőktől a szabályok betartását, a megfelelőséget, azaz a jogszerű működést – ezt pedig dokumentummal kell bizonyítani. Amennyiben egy vállalkozás nem felel meg az adatvédelmi elvárásoknak, azt könnyűszerrel leállíthatják, mivel működésképtelenné teszi a vállalkozást a jogszabálysértésre kiszabott nagymértékű bírság – a vállalkozás méretétől függetlenül. Az egyes nemzetállamokban ugyanolyan összegű bírságot szabnak ki, azaz Franciaországban ugyanakkora lesz, mint Magyarországon. Az összeg nem függ attól, hogy egyéni vállalkozóról vagy multinacionális cégről van-e szó. Az egyetlen adat, amelyet figyelembe vesznek, az az adatvédelmi szabálysértés mértéke.

Nagy előnyre tesznek szert azok a vállalatok, ahol már komoly erőforrásokat áldoztak fel arra, hogy például adatvédelmi tisztviselőt alkalmaznak, illetve külön figyelmet szentelnek az adatvédelmi szabályzatok betartására és betartatására. Ezeknek a vállalatoknak csupán kisebb erőfeszítést kell tenniük ahhoz, hogy alkalmazkodjanak a megváltozott körülményekhez, bár az alkalmazkodás így is eltarthat pár hónapig is. Azonban még így is hatalmas előnyt élveznek azokkal a vállalkozásokkal szemben, akik mindeddig az adatvédelmi jogszabályokkal kellő mélységeiben nem foglalkoztak.

A vállalkozások vezetőinek kell elsősorban tájékozódniuk a jogszabályszegés pénzügyi és jogi kockázatairól, valamint az – amely talán meglepően hangzik – előnyeiről.

Mivel komoly anyagi és személyi ráfordítást igényel a vállalattól, hogy felkészüljön a megváltozott jogszabályi elvárásokra, ezért első lépésként át kell tekinteni hogyan, lehet a meglevő erőforrásokat átcsoportosítani.

Át kell gondolni, ki lenne a legmegfelelőbb a koordinátori feladatokra, akinek a feladata az adatvédelmi felkészülés lesz. Az a személy a legalkalmasabb erre, akinek mély ismeretei vannak a vállalkozás egyes szakterületeiről, képzett informatikai ismeretekből, és elsajátította az adatvédelmi jogszabályokat. Optimális esetben ő lesz később a vállalat adatvédelmi tisztviselője.

Amennyiben a vállalat döntéshozói áttanulmányozták a GDPR elvárásait, átcsoportosították a szükséges személyi és anyagi erőforrásokat, megtalálták a legideálisabb adatvédelmi koordinátort, akkor mindezek után létre kell hozni egy projekt csapatot, ugyanis adatvédelemmel kapcsolatos kérdések bármely szekcióban megjelenhetnek. A vállalat mindennapi működése során felmerülhetnek adatvédelmi kérdések, amelyek ezelőtt akár teljesen természetes napi rutinok is lehettek. Át kell tekinteni, hogy a vállalat miként rögzít, oszt meg, kezel, tesz elérhetővé vagy töröl személyes adatokat. Ez igen nagyfokú kooperatív munkát igényel.

Adatvédelem szempontjából azok számítanak kiemelt részlegnek, akik személyes adatok kezelését hajtják végre, ezért fontos, hogy a projektcsapatban ezen részlegek mindegyike képviselve legyen.

A gyakorlatban erre a kérdésre nem is olyan egyszerű választ adni. A személyes adatra a rendeletben megadott definíció így hangzik:

azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”

Tekintsük át, mit is jelent ez.

Mit jelent az, hogy azonosítható? Az a természetes személy azonosítható, aki a következő tényezők alapján azonosítható közvetlen vagy közvetett módon: elsősorban név, azonosító, szám, online azonosító vagy helymeghatározó adat, illetve a fiziológiai, testi, szellemi, genetikai, szociális, kulturális és gazdasági tényezők alapján azonosítható természetes személy. Tehát nem csak az alapján azonosítható valaki, ha ismert a lakcíme, születési helye és ideje, illetve az anyja neve. Úgy is lehet, ha csak annyi adatot ismerünk, hogy az Üllői úton élő alacsony szemüveges nő. Az USA-ban az irányítószám, a nem és a születési idő alapján igen nagy valószínűséggel be tudnak azonosítani egy természetes személyt. Így a személyes adat gyakorlatilag bármi lehet, ami csak egy természetes emberhez köthető, mint az éttermi fogyasztás, a gépjármű márka, az alkalmassági teszt eredménye, a gépjármű fogyasztása, a cookie, az IP cím stb.

Amennyiben a személyes adatok kezelése otthoni vagy személyes tevékenység során történik, a rendeletet nem kell alkalmazni. Ugyanígy kivételt képeznek azok az esetek, amikor az adatok nem természetes személyekre, hanem cégekre, jogi személyekre vonatkoznak.

A GDPR adatkezelés alatt a következőt érti: „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”

Összefoglalva mindazon tevékenység, mely a személyes adat kezelésével foglalkozik, tehát az is, ha valaki elolvassa, vagy csak ránéz.

A vállalkozásnak fontos tudatosítani, hogy amikor személyes adatokkal dolgozik, adatfeldolgozást vagy adatkezelést végez-e.

Adatkezelő – „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Adatfeldolgozó – „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

Így első ránézésre sokszor talán nehéz eldönteni, hogy melyik jogi kategóriába sorolná a vállalkozás egyes tevékenységeit, azonban segítséget adhat az uniós és a nemzeti hatóságok, valamint a közösségi és tagállami bíróságok joggyakorlata. Érdemes figyelembe venni, hogy attól függően, hogy mely tevékenységet folytatunk, különbözőek lesznek az adminisztratív terhek. Érdemes előre tisztázni, hogy ki lesz a felelős az adatkezelési hibákból eredő károkért vagy incidensekért.

Hogy biztosak legyünk abban, hogy jogszerűen járunk-e el, ismernünk kell az alapvető adatvédelmi jogi elveket. Melyek ezek?

  1. jogszerűség, tisztességes eljárás és átláthatóság”

Tehát az érintett számára transzparens módon kell eljárni. Mit jelent itt az átláthatóság? Ez azt jelenti, hogy az érintett számára az adatfeldolgozás minden egyes szakasza (gyűjtés, törlés, továbbítás stb.) ismert, és minden fél (hatóság, adatkezelő és érintett) tudatában van a személyes adatokra vonatkozó információnak (ki, milyen célból, hol, milyen jogalappal tárolja, hozzáférést hogyan védi, mikor törli etc.).

  1. célhoz kötöttség”

Az adatgyűjtés jól meghatározott, jogszerű célból történhet, a kitűzött célokkal össze nem egyeztethető módon nem lehet ezeket kezelni.

  1. adattakarékosság” vagy „adatminimalizálás”

Csakis az igazán szükséges adatokat tároljuk. Ne az férjen hozzá a személyes adatokhoz, akinek erre jogosultsága van, hanem az, aki a vállalaton belül kimondottan ezzel foglalkozik, és az adatkezelésre feltétlenül szüksége van.

  1. pontosság”

Az adatoknak a valósággal megegyezőnek kell lennie, ellenkező esetben mindent meg kell tenni annak érdekében, hogy az adatokat korrigálják vagy töröljék.

  1. korlátozott tárolhatóság”

Az adatok addig legyenek elérhetőek, tehát az érintetteket csak addig lehessen beazonosítani, míg a személyes adatok kezelésének célját el nem értük.

  1. integritás és bizalmas jelleg”

A személyes adatok tárolását oly módon kell végrehajtani, hogy védve legyenek jogosulatlan vagy jogellenes kezeléstől, illetve ne lehessen elveszteni, megsemmisíteni vagy károsítani.

  1. elszámoltathatóság”

A GDPR nagy újítása az elszámoltathatóság bevezetése. Az adatkezelőnek a fentebb részletezett pontoknak köteles megfelelni, és megfelelőségét dokumentumokkal alátámasztani. Tehát itt fordított bizonyítási kényszer áll fenn, azaz nem az adatvédelmi hatóságnak, üzleti partnernek, érintettnek kell bizonyítania, hogy jogszerűtlen kezelés történt, hanem a vállalkozásoknak kell az egyes adatkezelésükről dokumentumot vezetni, melyet kötelesek az adatvédelmi hatóság vagy a beszállító kérésére átadni. Így bizonyítja a vállalat az adatvédelmi megfelelést. A hatóságok külön figyelmet fordítanak az adatkezelés jogalapjára és céljára, valamint a címzettek körére, illetve az alkalmazott védelmi (technikai és szervezési) intézkedésekre. Az elszámolhatóság elve a gyakorlatban úgy teljesül, hogy egy aktában átnyújtjuk az ügyfelek, adatvédelmi hatóság és az érintettek részére mindazon jegyzőkönyvet, nyilvántartást és egyéb dokumentumokat, amelyek bizonyítják jogszerű eljárásunkat.

Már a tervezés során be kell építeni az adatbiztonságot és az adatvédelmet a beépített adatvédelem értelmében (Privacy by design). Az üzleti folyamatokba és a műszaki termékekbe beépített titkosítás, álnevesítés stb. a szolgáltatás teljes életciklusa alatt kell, hogy érvényesüljön.

Ezzel szemben az alapértelmezett adatvédelem (Privacy by default) elve azt hivatott szolgálni, hogy a termék igénybevételéhez vagy a szolgáltatás nyújtásához csupán a minimálisan szükséges személyes adatot kezelje a vállalkozás.

Az adatkezelők tevékenységének transzparensnek kell lennie az érintettek számára, akik az adataik felett közvetlenebb módon rendelkezhetnek, így hozzáférhetnek, korrigáltathatnak vagy törölhetnek.

Átlátható, egyértelmű tájékoztatás

A természetes személy jogosult személyes adatáról átlátható, tömör, könnyen hozzáférhető és közérthető tájékoztatást kapni, különösen az alábbiakról.

  • az adatkezelő elérhetősége és kiléte

  • az adatvédelmi tisztviselő elérhetőségei

  • az adatkezelés jogalapja, illetve a személyes adatok tervezett kezelésének célja

  • az adatkezelés okai

  • a személyes adatok címzettjei

  • az EU-n kívülre történő adattovábbítás esetén a biztosított garanciák

  • az adatkezelés tervezett időtartama

  • az érintett azon jogairól szóló dokumentum, amely részletezi, hogy az érintett kérelmezheti az adatkezelőtől az érintettre vonatkozó személyes adatokhoz való hozzáférést, valamint azok helyesbítését, kezelésének korlátozását vagy törlését

  • tiltakozhat a személyes adatok kezelése ellen,

  • tájékozódhat az érintett adathordozhatósághoz való jogáról,

  • rendelkezik a felügyeleti hatósághoz címzett panasz benyújtásának jogával,

  • arról, hogy a szerződés megkötésének előfeltétele-e az adatainak megadása, illetve arról, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás megtagadása vagy elmaradása,

  • legvégül az automatizált döntésekről, beleértve a profilalkotást is.

Amennyiben az adatkezelő az eredeti céltól eltérő vagy további célt fogalmaz meg, a tevékenységek megkezdése előtt tájékoztatni kell erről az érintettet. Abban az esetben, ha a személyes adatokat nem közvetlenül az érintettől szerezték meg, erről tájékoztatni kell az érintettet, meg kell adni az adatok forrását, akkor is, ha az adatok nyilvánosan hozzáférhetőek.

Hozzáférési jog

Az adatkezelő köteles másolatot készíteni a személyes adatokról az érintett számára, mely történhet videofelvétel, feljegyzés stb. formájában. Ezt köteles ingyenesen rendelkezésére bocsátani. Amennyiben az érintett további másolatokat kíván igénybe venni, az adatkezelő az adminisztratív költségekért ésszerű mértékű díjat számíthat fel.

Ha elektronikusan történik az adatigénylés, úgy az adatkezelő széles körben használt formátumban bocsáthatja rendelkezésre az információkat. Ügyelni kell mindeközben arra, hogy a másokra vonatkozó információkat hozzáférhetetlenné kell tenni.

Ennek a jognak az újdonsága abból áll, hogy az érintettnek nem csak arra van joga, hogy tájékozódjon arról, hogy milyen adatokat kezelnek róla, hanem arra is, hogy elkérje a személyes adatot tartalmazó adathordozót és annak másolatát.

Helyesbítéshez való jog

Az érintett kérésére korrigálni kell indokolatlan késedelem nélkül az érintettre vonatkozó személyes adatokat.

Törléshez való jog

Az érintett akkor jogosult arra, hogy töröltesse az adatokat indokolatlan késedelem nélkül, ha

  • már a személyes adatokra nincs szükség abból a célból, amelyre eredetileg azokat gyűjtötték

  • az érintett visszavonja adatkezelési hozzájárulását, így az adatkezelésnek nincs jogalapja

  • az érintett adatkezelése ellen tiltakozik, és nincs más jogszerű ok az adatkezelés elvégzésére

  • a személyes adatok jogellenesen lettek kezelve

Adatkezelés korlátozásához való jog

Az érintett akkor kérheti, hogy adatkezelését korlátozzák, ha

  • vitatja személyes adatainak pontosságát

  • jogellenes az adatkezelés, az érintett viszont ellenzi az adatainak törlését

  • többé már nincs szüksége az adatkezelőnek az adatokra, azonban az érintett a jogi igényeinek érvényesítéséhez megőrizné

Adathordozhatósághoz való jog

Az érintettnek joga van arra, hogy az adatkezelő által kibocsátott személyes adatait széles körben használt formátumban megkapja, amennyiben a személyes adatainak kezelése szerződésen vagy hozzájáruláson alapul, illetve az adatkezelés automatizált.

Automatizált adatkezelés

Az érintettnek joga van arra, hogy őrá ne terjedjen ki a kizárólag automatizált adatkezeléssel történő döntés hatálya.

Amennyiben az érintett úgy ítéli meg, hogy a személyes adatainak kezelése nem tartja be a rendeletben foglaltakat, joga van arra, hogy panaszt tegyen – különösen a feltételezett jogsértés helye szerinti vagy a munkahelye, tartózkodási helye szerinti tagállamban, az adatvédelmi hatóságnál.

Hatékony bírósági jogorvoslatra jogosult minden természetes és jogi személy a hatóság rá vonatkozó, illetve jogilag kötelező erejű döntésével szemben. Valamennyi érintett jogosult hatékony bírósági jogorvoslatra, ha úgy ítéli meg, hogy személyes adatait nem megfelelően kezelték, és így sértették jogait.

Kártérítésre jogosult minden olyan személy, aki vagyoni vagy nem vagyoni kárt szenvedett a GDPR megsértése eredményeként. Amennyiben több adatfeldolgozó vagy adatkezelő érintett ugyanabban az ügyben, az egyes adatfeldolgozó vagy adatkezelő egyetemleges felelősséggel tartozik az okozott kárért.

Az adatfeldolgozó és az adatkezelő köteles adatvédelmi tisztviselőt kijelölni, amennyiben a legfőbb feladatuk olyan műveletek, mint az érintettek rendszeres és nagymértékű megfigyelése vagy pedig különleges személyes adatok nagymértékű kezelése. Ezen kötelezettségen kívül bármely vállalkozás kinevezhet adatvédelmi tisztviselőt. Ha a vállalatnak nincs ilyen jogszabályi kötelezettsége és úgy dönt, hogy nem szükséges adatvédelmi tisztviselőt kinevezni, mert nem jár üzleti előnnyel, vagy túl nagy pénzügyi terhet jelentene, akkor ezt dokumentálnia kell a releváns tényekkel, indokokkal és szempontokkal, hogy a hatóságnak ez be tudja mutatni. Így teljesül ugyanis az elszámoltathatóság elve.

Az új adatvédelmi rendelet életbe lépésével már nem kell bejelenteni adatkezelésüket az adatvédelmi nyilvántartásba.

Most már minden egyes vállalkozásnak saját magának kell vezetnie, kibővített tartalommal. Fel kell térképezni, hogy a vállalat milyen személyes adatokat, milyen jogalappal kezel, honnan származnak és milyen céllal szerezték be, amennyiben továbbítja, akkor kinek, milyen technikai és szervezési eszközökkel védi, és végül, hogy mikor törli.

Az adattérkép és az adatregiszter két különböző fogalom. Az adatregiszter (az adatkezelési tevékenységek nyilvántartása) elkészítése kötelezető, azonban az adattérkép nem. Excel táblázatban érdemes vezetni az adatregisztert, tehát viszonylag egyszerű kezelést igényel. Ezzel ellentétben az adattérkép elkészítése már ennél bonyolultabb, az egyes lépéseket áttekinthetőbben kell bemutatni.

Az adatkezelés elvégzéséhez szükség van megfelelő jogalapra, amennyiben ez nem áll rendelkezésre, el sem lehet kezdeni a tevékenységet. Amennyiben a tevékenység közben szüntetik meg a jogalapot, akkor azonnal be kell fejezni az adatkezelést is, és törölni kell a személyes adatokat vagy anonimmá kell tenni.

A személyes adatokat akkor kezelik jogszerűen, ha a következők közül legalább az egyik teljesül:

  • az érintett megadta hozzájárulását ahhoz, hogy a személyes adatait kezeljék;

  • az adatkezelés olyan szerződéshez szükséges, melyben az egyik fél az érintett;

  • az adatkezelés ahhoz szükséges, hogy az adatkezelőre vonatkozó jogi kötelezettségek teljesüljenek;

  • az adatkezelés ahhoz szükséges, hogy az érintett létfontosságú érdekeinek védelmét biztosítsa;

  • az adatkezelés ahhoz szükséges, hogy közérdekű feladatokat hajtsanak végre;

  • harmadik fél vagy az adatkezelő jogos érdeke érvényesítéséhez szükséges.

 

Amennyiben több jogalap áll rendelkezésünkre, választani kell közülük. A választás komoly hatással lehet az adatkezelésre. Például, a hozzájárulás bármikor visszavonható, a szerződés viszont nem.

Többlet adminisztrációval járhat az az eset, amikor az adatkezelő jogos érdekre hivatkozva kezel személyes adatot. Ilyenkor érdekmérlegelési tesztet kell készíteni. Ezzel meg lehet állapítani, hogy a cél jogszerű-e (jogszerűség-vizsgálat). Amennyiben igen, akkor következőként meg kell állapítani, hogy tényleg szükség van-e az adatkezeléshez a cél eléréséhez (szükségesség-vizsgálat). Abban az esetben, ha jelentős anyagi ráfordítás nélkül is elérhető a célunk az adatkezelés nélkül, akkor természetesen nem szükséges az adatkezelés, tehát már nem jogszerű az adatkezelés jogos érdekekre hivatkozva. Azonban, ha jogszerű az adatkezelés célja, és az ehhez szükséges adatkezelés is, meg kell vizsgálni, hogy a jogi érdekünk milyen arányban áll a személyes adat védelméhez kapcsolódó joggal (arányosság-vizsgálat). Ha a vállalkozás választása a jogos érdek jogalapja, akkor a legnagyobb mértékű szabadságot választja az adatkezelő számára, ugyanis nem köti a szerződés érvényessége, hatályossága az érintett hozzájárulása, a jogszabályi felhatalmazás megléte, azonban ez jár a legnagyobb adminisztratív kötelezettséggel. Az egyes vizsgálatok több tíz oldal mennyiségű kérdéssel és azok kiértékelésével hajthatóak végre. Ennek ellenére igen valószínű, hogy ez lesz az egyik legnépszerűbb jogalap, ezért érdemes tájékozódni ennek részletszabályozásáról is, illetve megismerkedni ennek piaci gyakorlatával.

Hozzájáruláson alapuló jogalap alkalmával az adatkezelőnek tudnia kell bizonyítani, hogy az érintett hozzájárulását szabadon adta meg, és jól el kell különíteni a hozzájárulási kérelmet a többi adattól.

A rendelet külön kitér arra, hogy mikor megengedett a személyes adatoknak az eredeti céltól eltérő más célból történő kezelése.

 

Direkt marketingbe tartoznak azok a reklámok, amelyek közvetlenül keresik meg potenciális ügyfeleiket. Ez történhet elektronikus úton, telefonhívással, postán keresztül stb. Minden egyes módszerre speciális szabályok is érvényesek. Az érintett itt a reklám címzettje lesz, azaz az a személy, akihez a reklám eljut, illetve irányul. Az érintett személyes adatait pl. egy honlap vagy webáruház üzemeltetője kezelheti.

A következő szabályok érvényesek direkt marketing esetében:

  1. Az érintett személyes adatait csak akkor lehet kezelni, ha hozzájárult az adatkezeléshez, amelynek előzetesen meg kell történnie. Ez azt jelenti a gyakorlatban, hogy még a hírlevél kiküldése előtt el kell kérni.

  2. A hozzájárulásnak aktív cselekvésnek kell lennie, tehát például kattintás vagy checkbox kipipálás. A ráutaló magatartás, vagy a hozzájárulás meg nem tértele értelemszerűen nem minősül hozzájárulásnak.

  3. A hozzájárulás önkéntes, és bármikor visszavonható. Az érintettnek tényleges választási lehetőséggel kell, hogy éljen.

  4. A hozzájárulás nem lehet előfeltétele a szolgáltatás igénybevételének, kivéve azt az esetet, ha hozzájárulás szükséges a szolgáltatásnyújtáshoz. (Így például az érintett ruhájának mérete egy ruházati webáruházban).

  5. A hozzájárulás csupán az adott szolgáltatásra irányulhat, nem lehet összekapcsolni egyéb hozzájárulással. (Tehát az érintett rendel egy ételt egy internetes étteremben, ehhez megadja személyes adatait. Amennyiben nyereményjátékon vehet részt, s azt más szervezi, akkor hozzájárulását kell kérni, ahhoz, hogy az étterem továbbíthassa adatait. Továbbá, az érintett megnyeri a nyereményjátékot, de ezek után visszavonja hozzájárulását, akkor őt nem érheti hátrány).

  6. A hozzájárulás visszavonása ugyanúgy egyszerű feltételek mellett történjék, mint ahogy az érintett hozzájárult. Tehát nem lehet személyes lemondást előírni abban az esetben, ha pl. e-mailen történt a hozzájárulás.

  7. A lemondásról szóló tájékoztató tartalmazzon egy e-mail címet és egy postai címet is. Az adatkezelési tájékoztató a honlapon külön szerepeljen, így például nem lehet a szerződési feltétel része.

A GDPR-ban új jogalap a jogos érdek, azaz a személyes adatok üzletszerzési célú kezelése a vállalat jogos érdeke.

A jelenlegi magyar szabályozás a személyes adatok üzletszerzési célú kezelésére vonatkozóan igen szigorú, mert nem teszi lehetővé, hogy a vállalkozás a saját ügyfelének a sikeres vásárlást követően hasonló termékét vagy szolgáltatását direkt marketing formájában reklámozza. Az EU közvetlen hatállyal bíró e-Privacy rendelete (melynek elfogadása 2018. május 25-re várható) ezt lazítaná és lehetővé tenné abban az esetben, ha az érintett számára biztosítják a leiratkozás lehetőségét.

A GDPR szigorúan védi az adatvédelmi tisztviselő feladatkörét és személyét, aki teljes szakmai függetlenséget élvez, utasításokat pedig senkitől sem fogadhat el feladatai ellátására vonatkozóan. Az adatfeldolgozó vagy az adatkezelő az adatvédelmi tisztviselőt feladataira hivatkozva nem sújthatja szankcióval és nem bocsáthatja el. Az adatvédelmi tisztviselő közvetlenül a legfelső vezetésnek tartozik felelősséggel. Vállalkozási szerződés alapján is elláthatók feladatai kiszervezett tevékenységként és munkavállalóként.

Minimum a következő feladatokat látja el az adatvédelmi tisztviselő:

  • Adatvédelmi kérdésekben tájékoztat és tanácsot ad az adatfeldolgozó vagy az adatkezelő, illetve az ezeket a munkálatokat végző alkalmazottak részére.

  • Ellenőrzi, hogy a munkálatok megfelelnek-e az adatvédelmi szabályzatnak, ideértve az adatfeldolgozás és adatkezelés teljes szakaszát, úgy, mint a feladatkörök kijelölését, a munkavállalók képzését, és az ezekhez a feladatkörökhöz tartozó auditokat.

  • Az adatvédelmi hatásvizsgálat elvégzését nyomon követi, és ezzel kapcsolatban szakmai tanácsot ad.

  • A felügyeleti hatósággal együttműködik.

  • Kapcsolattartó a felügyeleti hatóság felé, illetve konzultációt folytat a hatósággal.

Akkor köteles az adatvédelmi tisztviselő hatásvizsgálatot készíteni, amennyiben igen magas kockázattal jár az érintettek jogaira és szabadságára nézve az adatkezelés. Ilyen eset lehet pl. a különleges adatok igen nagy számban való kezelése.

Az adatvédelmi incidensek elkerülése végett a GDPR szigorú határidőket és szabályokat állapít meg. Az adatkezelő egyik legfontosabb feladata, hogy észlelje az estleges incidenst, meghatározza, pontosan miért problematikus a kezelési mód, milyen hatással lehet a vállalkozásra, és az érintettre mekkora súllyal bírhat.

Amennyiben az adatkezelő elmulasztja az incidensek észlelését, kiértékelését és jelentését, esetleges enyhítését, vagy nem megfelelőképp jár el, úgy a rendelet a legmagasabb összegű bírságot szabja ki.

Mi is pontosan az adatvédelmi incidens?

A biztonság azon sérülése, mely a személyes adatok jogellenes vagy véletlen megsemmisítését, megváltoztatását, elvesztését, jogosulatlan közlését, vagy jogosulatlan hozzáférést eredményezhet vagy eredményezi. Az adatkezelő köteles az adatvédelmi incidenst bejelenteni az adatvédelmi hatóságnak késedelem nélkül, legkésőbb 72 óra elteltével azután, hogy tudomására jutott. Kivételt képez ez alól az az eset, amikor az adatvédelmi incidens nem veszélyezteti az érintettek szabadságát és személyes jogait.

Bejelentés esetén a dokumentumnak a következőket kell tartalmaznia:

  • Részletezni kell az incidens jellegét, amennyiben lehetséges, az érintettek számát és kategóriáit, továbbá az érintett adatok számát és kategóriáit.

  • Fel kell tüntetni az adatvédelmi tisztviselő vagy a kapcsolattartó nevét, elérhetőségét.

  • Fel kell tüntetni az adatvédelmi incidens jogorvoslására tett vagy tervezett intézkedéseket, a hátrányos következmények enyhítésére végrehajtandó intézkedéseket.

A munkavállalóknak tisztában kell lenniük az alapvető adatvédelmi fogalmakkal, illetve a saját felelősségükkel, csak így lehet elérni és üzemeltetni hatékony és jól működő adatvédelmi rendszert. Többféle módszer áll rendelkezésre ezen tudás megszerzésében, mint például e-learning anyagok, előadások, tesztek rendszeres időközönkénti alkalmazása.

A rendelet meghatározza a szerződés kötelező elemeit, mely az adatkezelők és az adatfeldolgozók között köttetik. Az adatfeldolgozóknak újbóli kötelezettségeket kell teljesíteniük. Az adatkezelők csak olyan adatfeldolgozókat kérhetnek fel, akik teljesíteni tudják a GDPR-nak megfelelő szervezési és technikai intézkedéseket.

A szerződésnek minimum a következőkre kell kitérni:

  • Az adatfeldolgozó kizárólag olyan utasításokat hajthat végre, amelyek írásban rögzítettek.

  • Titoktartás kötelezi a személyes adatok kezelésével foglalkozó munkavállalókat.

  • Az adatbiztonság garantálása érdekében az adatfeldolgozó végrehajtja a szervezési és technikai intézkedéseket.

  • Az adatfeldolgozó segíti az adatkezelőt abban, hogy teljesítse kötelezettségeit.

  • Az adatfeldolgozó az adatkezelő döntése alapján minden személyes adatot visszajuttat az adatkezelőnek vagy töröl, törli a meglévő másolatokat, egy kivétellel, ha a tagállami vagy az uniós jog az adatok tárolását írja elő.

  • Az adatfeldolgozó elősegíti és lehetővé teszi az adatkezelő által vagy az általa megbízott ellenőr segítségével végzett auditokat, helyszíni vizsgálatokat.

 

Amennyiben az adatfeldolgozó további adatfeldolgozó segítségét veszi igénybe, úgy őrá ugyanazok a kötelezettségek vonatkoznak, mint amelyek eredetileg a szerződés által létrejöttek az adatfeldolgozó és az adatkezelő között.

Mivel az adatkezelőnek bizonyítania és biztosítania kell, hogy az adatvédelmi jogszabályoknak eleget tesz, megfelelő szervezési és technikai intézkedéseket kell végrehajtania. Ehhez szükséges egy belső adatvédelmi szabályzat kialakítása, egy általános érvényű magatartási kódexhez való csatlakozás, illetve a tanúsítási mechanizmushoz való csatlakozás.

A jogsértés típusától, illetve a GDPR-ban található szabályoktól függ az adatvédelmi bírság mértéke. A rendelet szabályai szerint maximálisan 20 millió eurót lehet kivetni, vagy az adott vállalat előző pénzügyi évének teljes éves világpiaci forgalmának mintegy 4%-át teheti ki az összeg, a kettő közül azonban a magasabbat kell kiszabni. A tagállamoknak jogában áll adatvédelmi jogsértések esetén további büntetőjogi szankciókat kiszabni.

A GDPR által megfogalmazott szabályoknak való megfelelés nagyban függ a különböző szakértők (információbiztonsági, szervezeti, jogi stb.) együttműködésétől.

A GDPR rendelete azt a célt tűzte ki, hogy erősítse ezek betartását, ugyanis a rendeletet nem lehet megfelelő szervezeti és technikai intézkedések nélkül betartani.

Bár a vállalkozás számára jelentős mennyiségű erőforrás befektetését igényli, azonban már középtávon is értékteremtő lehet a rendelet betartása. Az információbiztonság nem képez önálló területet, hiszen ott találjuk a nem termelő jellegű és a termelő folyamatokban. Ez a tény magával vonja azt, hogy azok a vállalkozások, amelyek eddig nem foglalkoztak információbiztonsággal, a GDPR bevezetése után komolyan meg kell kezdeni az információbiztonság kialakítását, amivel azonban a vállalat csökkenti az egyéb kockázatait is.

Vegyünk egy példát. Ha egy kisvállalat ezek után külön figyelmet fordít arra, hogy az irodában kizárólag az arra jogosult személyek tartózkodjanak, ami abból a szempontból fontos, hogy a személyes adatokba illetéktelen ne nyerjen betekintést, akkor egyúttal az adatkiszivárogtatás és a lopás kockázatát is csökkenti. A DLP (Data Loss Prevention) adatkiszivárogtatás ellen védő rendszer pl. nagyon sokat segíthet nem csak abban, hogy az adatok ne kerüljenek idegen kezekbe, hanem abban is, hogy a kritikus üzleti adatok is biztonságban maradjanak.

Rendkívül különbözőek lehetnek az adatkezelési gyakorlatok, így nehéz körvonalazni a konkrét közös pontokat a szervezeti és technikai intézkedések terén, ami a vállalatok számára kötelező érvényű lenne. Azonban néhány alapintézkedésre külön figyelmet kell fordítani. Általában a vállalat valamennyi erőforrását mozgósítani kell a rendeletnek való megfelelés érdekében.

Az információbiztonsági szabályzat kialakítása, áttekintése és frissítése is jelentős előrelépést jelenthet, azonban a szabályzat kialakítása önmagában még nem elég. Rendszeres kommunikáció szükséges a munkavállalók és valamennyi érintett felé, hogy olajozottan működjön a gyakorlatban is az információbiztonság.

Következő fontos lépés, hogy vállalati szinten be kell vezetni azt, hogy a fontos információk el legyenek zárva, tiszta képernyő és tiszta asztal szükséges a jogosulatlan betekintések ellen. Indíthat a vállalat belső körlevelet is ennek elsajátítását célozva, így pl. csökken az esélye annak, hogy a bérszámfejtő egy harmadik országba továbbítson adatokat, vagy rákattintson egy vírus által küldött mellékletre.

A vállalatoknak talán könnyebbséget jelent, hogy vannak olyan intézkedések is, amelyek a meglévő infrastruktúra átgondolását és kiaknázását igénylik. Azok a vállalatok, amelyek aktívan dolgoznak informatikai eszközökkel, általában egy központi szervert használnak. Ha a vállalat egy egységes szabályzatot vezetett be az eszközökre vonatkozóan, akkor ezeket be lehet tartatni a felügyeleti eszközökön keresztül, így a számítógépek és mobiltelefonok jelszavas védelemmel rendelkezhetnek, a tárolt adatok titkosítva lehetnek, a képernyőket pedig automatikusan le lehet zárni, csökkentve ezzel az adatkiszivárogtatás és a jogosulatlan hozzáférés lehetőségét.

Ha az adatokat az Európai Gazdasági Térségen (EGT) kívülre kívánják továbbítani, akkor sem sérülhetnek az érintetteknek adatvédelmi jogai, a védelem szintjének ugyanakkorának kell maradni. Így az adattovábbítás akkor lesz jogszerű, ha ezt a megfelelő jogi garanciák biztosítják. A GDPR ennek garantálására két új jogi garanciát vezetett be, a tanúsítványt és a magatartási kódexet.

Csak akkor kerülhetnek személyes adatok az EGT-n kívüli területre, ha a harmadik ország megfelelő védelmi szintet képes biztosítani. Ennek képességét a Bizottság állapítja meg. Amennyiben az ország rendelkezik a megfelelő szinttel, úgy az adattovábbításhoz már nem szükséges külön engedély, ugyanis jogilag ugyanúgy kell rá tekinteni, mint ha a személyes adatok az Európai Unión belül maradtak volna. A biztonságosnak tekinthető országok listáját a Bizottság honlapján lehet megtekinteni.

Az USA-ba történő adattovábbítás esetén további feltételeknek kell teljesülni. Ugyanis személyes adat csupán akkor továbbítható, ha az adott vállalat biztosítja, hogy betartja a Privacy Shield megállapodásban lefektetett feltételeket. Amennyiben a vállat ennek biztosításával nem rendelkezik, úgy a következő feltételek esetén továbbítható a személyes adat:

  • a felek az Európai Bizottság által elfogadott adatvédelmi szerződés által meghatározott kikötéseket alkalmazzák vagy;

  • az adatvédelmi hatóság által jóváhagyott kötelező erejű vállalati szabályokat alkalmaznak a felek (Binding Corporate Rules, BCR) vagy;

  • olyan vállalkozásnak kerül továbbításra, mely már csatlakozott egy jóváhagyott magatartási kódexhez vagy;

  • a vállalkozás jóváhagyott tanúsítási mechanizmussal rendelkezik.

 

Amennyiben ezek a garanciák nem állnak rendelkezésre, úgy az Európai Unión kívülre csak úgy lehet személyes adatot továbbítani, hogyha

  • megfelelően tájékoztatják a továbbításról, illetve a garanciák és határozat hiányából fakadó kockázatról az érintettet, mely után az érintett kifejezett hozzájárulását adja vagy;

  • a szerződés teljesítésének feltétele az adattovábbítás vagy;

  • az adattovábbítása jogi igények érvényesítése, előterjesztése és védelme miatt szükséges vagy;

  • létfontosságú érdek az adattovábbítás az érintett számára, és az érintett jogilag vagy fizikailag képtelen a hozzájárulás megadására vagy;

  • a nyilvánosság tájékoztatását szolgálják a személyes adatok a tagállami vagy uniós jog értelmében.

Miben segíthetünk?

GDPR Kisokos

GDPR KISOKOS

Átfogó GDPR KISOKOS
+ Ajándék GDPR megfelelési checklista!

GDPR Kisokos letöltése