A témához kapcsolódó korábbi közleményeink:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Kellő tudatossággal, megfelelő felkészültséggel, jól kezelt adatvagyonnal a GDPR végrehajtása nem kényes teher, hanem komoly üzleti előnyt jelenthet az adatkezelők és adatfeldolgozók részére dr. Hargittay Szabolcs irodavezető ügyvédnek (képünkön, felül) és Selyem Tóth Sándora adatvédelmi szakértőnek (képünkön, alul) a Világgazdaságban közzétett véleményeszerint. Például a hatalmas adatvagyonnal rendelkező, és azt tudatosan használó big data, illetve technológiai vállalatok részére a közös adatkezelés biztosít költségcsökkentési lehetőséget. De a lehetőségek kiaknázását a digitális személyazonosság létrehozásával, mesterkulcs alkalmazásával és szuperplatform megteremtésével üzleti előnnyé is lehet kovácsolni.

Már eddig is volt...

A hasonlóságok kapcsán a szakértők kiemelték, hogy a GDPR 5. cikkében írt hét alapelv mindegyike pontosan megfelel az infotörvény 4. és 7. paragrafusának elveivel. Ezek

  • a jogszerűség,
  • a tisztességes eljárás,
  • az átláthatóság,
  • a célhoz kötöttség,
  • az adattakarékosság,
  • a pontosság,
  • a korlátozott tárolhatóság,
  • az integritás és
  • a bizalmas jelleg, valamint
  • az elszámoltathatóság

elvei, amelyeknek érvényesülniük kell a kötelezettségek teljesítése során. Az adatvédelmi incidens fogalmához, az adatbiztonság jogellenes sérelméhez már 2015 óta kísértetiesen hasonló definíció is létezik a magyar jogban.

A rendelet végrehajtásának sikeréhez - a szakértők szerint - elengedhetetlen tagállami szinten a jogszabályon alapuló adatkezelések egységesítése, például:

  • a foglalkoztatással összefüggő adatkezelés,
  • az egészségügyi adatok kezelése,
  • a mikrovállalkozások mentességi szabályainak pontosítása.

A bírságok rendszere

A bírságok rendszerének megalkotása ugyanígy szükséges, mindezzel azonban egyelőre adós a jogalkotó. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásba vételi feladata az új GDPR szabályozással jelenlegi formájában azonban okafogyottá válhat, erre vonatkozóan sem ismert a jogalkotó szándéka. Pedig a NAIH aktív szereplője az adatvédelmi „piacnak”. Honlapján tájékoztatást ad, a hatásvizsgálat elkészítéséhez támogatást nyújt, ellenőrzést végez, végső esetben bírságol az adatvédelmi hatóság – jegyezték meg.

A bírság intézménye és túlzónak ható felső határa a szakértők szerint szintén aggodalomra adhat okot, de a rendelet alapján a bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie. A NAIH bírságolási gyakorlatát az EU munkacsoportjának iránymutatásai is segítik. Sokat árul el a várható gyakorlatról, hogy a BKK Zrt. online jegyértékesítési rendszerének elhíresült hibáiból bekövetkezett adatvédelmi incidens miatt a 20 millió forintos felső határ helyett mindössze 10 milliós bírságot szabtak ki. Ennek fényében nehéz értelmezni a 10 millió eurós vagy az éves árbevétel 2 százalékát elérő bírságot, ami súlyosabb esetekben akár ennek kétszerese, 20 millió euró vagy a forgalom 4 százaléka is lehet.

Az érintettek jogai

Az érintettek jogait egyértelműen meghatározták a GDPR rendeletben. Az érintett jogosult

  • az adatai kezeléséhez hozzáférni,
  • az adatait helyesbíteni,
  • azokat elfeledtetni,
  • korlátozhatja az adatkezelést,
  • tiltakozhat az adatkezelés ellen, illetve
  • az adatait olvasható formában kikérheti az adatkezelőtől (adathordozás).

Lényeges változás az adatkezelési hozzájárulásban, hogy ezentúl nem elegendő az előre pipált rubrika vagy a hozzájáruló gomb, hanem az érintett tevékeny beleegyezése szükséges, mégpedig az adatkezelés céljaihoz külön-külön. Az érintettek a jogaik és adataik sérelme esetén az adatvédelmi hatóság eljárásának kezdeményezésén túl kártérítési és sérelemdíj iránti igénnyel is élhetnek.

Technikai és szervezeti intézkedések

Az adatkezelőknek is megfelelő technikai és szervezeti intézkedésekkel kell biztosítaniuk a személyes adatok védelmét és az érintettek jogait. Az adatkezelők tájékoztatási kötelezettsége kettős, egyrészt előzetesen tájékoztatást kell nyújtaniuk az adatkezelés körülményeiről (adatkezelő, adatfeldolgozó megnevezése, elérhetőségei, az adatkezelés célja és jogalapja, adattovábbítás, tárolás tartama, az érintett jogai), másrészt az érintett kérésére is tájékoztatást kell adni az adatkezelés eseményeiről. A rendelet általános kötelezettségként írja elő az adatvédelmi szabályzat készítését, az adatkezelési nyilatkozat megfelelő alkalmazását, adatkezelési nyilvántartás vezetését, adatvédelmi tisztviselő megbízását, illetve hatásvizsgálat elvégzését, azonban kivételeket is megfogalmaz.

Mikor nem kötelező?

Az adatvédelmi nyilvántartás vezetése bizonyos esetekben nem kötelező:

  • 250 fő foglalkoztatotti létszám alatt, amennyiben az adatkezelés nem jár valószínűsíthető kockázattal,
  • alkalmi jellegű, illetve
  • nem terjed ki különleges vagy büntetőjogi adatra.

De megfelelő adatvagyonleltár nélkül a kötelezettségeknek, különösen az elszámoltathatóság elvének való megfelelés nehezen érvényesíthető.

Adatvédelmi tisztviselő?

Adatvédelmi tisztviselő alkalmazása vagy megbízása továbbra sem általános előírás, akkor kötelező, ha az adatkezelést közfeladatot ellátó szervek végzik, vagy az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése szükséges, vagy különleges, illetve büntetőjogi adatok nagy számban történő kezelése történik. Az adatvédelmi hatásvizsgálat alól is mentességeket ad a GDPR, de megfelelő kockázatelemzés és stresszteszt elvégzése nélkül a kötelezettségek fennállása és tartalma nem megállapítható.

Kiterjesztett területi hatály

Fontos változás a kiterjesztett területi hatály, ami nemcsak az Európai Unió területén tevékenységi hellyel rendelkező adatkezelőkre és adatfeldolgozókra vonatkozik, hanem minden más, az EU-ban tartózkodó érintett személyes adatának kezelésére is kiterjed. Adattovábbítás harmadik országba szintén a védelem GDPR-rel azonos szintjének biztosítása mellett lehetséges, így megvalósul a globális adatvédelem az unióban tartózkodók számára.