GDPR – amit az Általános Adatvédelmi Rendeletről tudni érdemes

Adatvédelem

Két éves türelmi időt követően, 2018. május 25. napján lép hatályba az Európai Parlament és a Tanács 2016/679 számú általános adatvédelmi rendelete, röviden a GDPR (General Data Protection Regulation), amellyel a személyes adatok védelme egy egységes, minden tagállam számára kötelezően alkalmazandó szabályozás alá kerül. Tekintettel arra, hogy gyakorlatilag minden vállalkozást érint az új jogszabály, ebben a cikkben összefoglaljuk a rendelettel kapcsolatos legfontosabb tudnivalókat.

A rendelet kettős hatása, hogy egyrészről biztonságossá és ellenőrizhetővé válik a személyes adatok kezelésével érintett személyek (a továbbiakban: érintett) adatainak a kezelése, másrészről pedig a rendelet által előírt adatvédelmet alkalmazó adatkezelők és adatfeldolgozók felé megnő a vevői, fogyasztói bizalom, ugyanis a GDPR betartása garantálja, hogy a vállalkozás nem él vissza a személyes adataikkal.

Hogy mit is jelentenek pontosan a fenti fogalmak? Foglaljuk össze röviden.

Személyes adat: bármely, a természetes személlyel kapcsolatba hozható adat és az adatból levonható, az érintettre vonatkozó következtetés. Különösen név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális és szociális azonosságára vonatkozó információ. Az Európai Unió Alapjogi Chartája rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

Adatkezelő: az a személy vagy szervezet, amely az adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Adatkezelés alatt az alkalmazott eljárástól függetlenül az adatokon végzett műveleteket értjük.

Adatfeldolgozó: az a személy vagy szervezet, amely az adatkezelővel kötött szerződése alapján az adatok feldolgozását, azaz az adatkezeléshez kapcsolódó technikai feladatokat elvégzi.

Az vonatkozó hazai jogszabály, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) a GDPR hatálybalépését megelőző időszakban is szabályozta az érintettek személyes adatainak a védelmét. Az Infotv. alapján az adatkezelést végző vállalkozásoknak bejelentési kötelezettsége volt, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé, amelyben az adatkezelés tényét, célját, az érintettek körét kellett megjelölniük. Az általános tapasztalat, hogy a vállalkozások jelentős része ezt nagyvonalúan figyelmen kívül hagyta, azonban a jó hír, hogy 2018. május 25. után ez a kötelezettségük meg is szűnik. A GDPR hatálybalépésétől azonban bejelentési kötelezettség terheli a vállalkozásokat az adatvédelmi incidensek alkalmával, ekkor indokolatlan késedelem nélkül, de legkésőbb 72 órával a tudomásszerzést követően be kell jelenteniük az incidenst az illetékes felügyeleti hatóság, tehát a NAIH felé.

Kötelező viszont a vállalkozások számára a GDPR-nak megfelelő adatkezelési szabályzat készítése, vagy készíttetése, amelyekkel kapcsolatban a lentiekben találja a kulcsfontosságú tudnivalókat.

Az adatkezelési szabályzat

Az adatkezelést megelőzően kötelező az adatkezelés céljára, az kezelt személyes adatok körére, az adatkezelés jogalapjára és az érintett jogaira vonatkozó szabályzat megismertetése, és az abban foglaltak megismeréséről és elfogadásáról szóló nyilatkozat kitöltetése az érintettekkel akár az online, akár az offline térről beszélünk.

A lenti táblázat bemutat néhány esetet, amelynél a korábbi szabályozáshoz képest szigorodnak a GDPR előírásai arra vonatkozóan, hogy a vállalkozás milyen módon kaphat hozzájárulást az érintettől a személyes adatok kezeléséhez, pl. online hírlevél küldés esetén.

GDPR hatálybalépését követően

Korábbi szabályozás

Az érintett kipipálja az erre vonatkozó check-box-ot

A vonatkozó check-box előre ki van pipálva

Az érintett aláírja az adatkezelésre vonatkozó hozzájárulási nyilatkozatot

Az érintett hallgatása

Az érintett egy online szolgáltatás igénybe vétele során erre vonatkozó technikai beállítást hajt végre

Az érintett nem cselekvése

Az adatkezelési szabályzatból az érintettnek elsősorban az alábbi információkat kell megismernie:

  • az adatkezelő adatai
  • az adatkezelés jogalapja
  • az adatkezelés célja
  • a kezelt adatok köre
  • az adatkezelés időtartama
  • amennyiben az adatkezelő alkalmaz, úgy az adatvédelmi tisztviselő személye
  • az érintett jogairól való tájékoztatás
  • kioktatás az érintett jogorvoslati lehetőségeiről

A vállalkozások kötelezettsége továbbá, hogy a tájékoztatáson túl biztosítsák is az érintettek jogainak a maradéktalan érvényesülését. A GDPR alapján az érintettek legfőbb jogai a következők:

  • a rá vonatkozó személyes adatokhoz való hozzáférés, amelynek alapján az érintett tájékoztatást kérhet arról, hogy történik-e az ő személyes adatait érintő adatkezelés, és ha igen, akkor mely adatait kezelik;
  • a rá vonatkozó személyes adatok helyesbítése, amelynek alapján az érintett jelezheti, hogy az adatkezelő által kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre;
  • a rá vonatkozó személyes adatok törlése, amelynek alapján az érintett kérheti az adatai törlését az adatkezelőtől;
  • a rá vonatkozó személyes adatok kezelésének korlátozása, amelynek alapján bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását az adatkezelőtől;
  • a profilalkotás és az automatizált adatkezelés elleni tiltakozás, amelynek alapján az érintett jogosult arra is, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár;
  • az adathordozhatósághoz való jog, amelynek alapján az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, olvasható formátumban megkapja, és egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő.

Az adatvédelmi tisztviselő

A GDPR bevezeti az adatvédelmi tisztviselő fogalmát, aki egy olyan személy az adatkezelő oldalán, aki tisztában van az adatvédelemmel kapcsolatos jogszabályokkal, a kapcsolódó gyakorlattal, továbbá szakmai tanácsadással, ellenőrzéssel, valamint az illetékes hatósággal és az érintettekkel történő kapcsolattartással segíti az adatkezelő működését. Az adatvédelmi tisztviselő kijelölését azonban nem minden vállalkozás számára kötelező. Nézzünk, hogy mely kötelező eseteket nevezi meg a GDPR:

  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Fontos kiemelni, hogy konkrét végzettségi, vagy képzettségi előírás nem szerepel a GDPR-ban az adatvédelmi tisztviselőkre vonatkozóan.

Alaptalan rémhírkeltés, vagy földindulásszerű változás?

A fenti kérdésre a helyes válasz: mindkettő. Azok a vállalkozások, amelyek eddig is ügyeltek arra, hogy megfeleljenek a hazai adatvédelmi jogszabályoknak és a NAIH vonatkozó előírásainak, 2018. május 25. napját követően sem kényszerülnek gyökeres változtatásokra, tekintettel arra, hogy az Info tv. az egyik legszigorúbb adatvédelmi törvény az Európai Unióban.

Fontos kiemelni, hogy a vállalkozásoknak nem kizárólag az GDPR rendelkezéseinek kell megfelelniük, hanem a vonatkozó hazai jogszabályoknak is, azonban Magyarországon egyelőre nem kerültek elfogadásra a GDPR hatálybalépésével szükségessé váló kiegészítő jogszabályok. A GDPR rendelkezésinek megsértése esetén ugyan a kiszabható bírság mértéke elérheti akár a húszmillió eurót, vagy a vállalkozáscsoport előző pénzügyi évben elért, teljes világpiaci forgalmának 4 százalékát is, azonban a magyar kiegészítő szabályozás hiányában nem kapcsolódik a GDPR-hoz hatósági végrehajtás, ennek megfelelően pedig bírságolásra sem lesz egyelőre lehetőség, hanem a rendelkezéseket kizárólag bírósági úton lehet érvényesíteni.