GDPR, fogalmak és kötelességek

1. Az adatkezelő és adatfeldolgozó fogalmak elhatárolása
2. Személyes adatok definíciója
3. Személyes adatok feldolgozásának definíciója
4. Adatkezelő és adatfeldolgozók kötelességei
5. Személyes adatok biztonsága
6. Személyes adatok továbbítása más országokba
7. Szankciók
8. Felügyelő testület

A GDPR az EU által kiadott rendelet rövidítése – General Data Protection Regulation (magyarul : általános adatvédelmi rendelet). Ez egy új jogszabály, amelyet annak érdekében fogadtak el, hogy a lehető legnagyobb mértékben megvédje az uniós polgárok adatait, beleértve a személyes adatokat is a jogosulatlan kezeléssel szemben. A GDPR minden vállalkozásra és intézményre vonatkozik, de érinti az egyéneket és az online szolgáltatásokat is, amelyek feldolgozzák a felhasználói adatokat.

A személyes adatok védelme az utóbbi években nagyon érzékeny és az egyik fő témájává vált az EU-nak. A GDPR tehát szigorú szankciókkal kapcsolja össze az újonnan bevezetett kötelezettségek megsértését a személyes adatok védelmének területén, ez sok esetben felszámolási jellegű lehet a GDPR-t megszegő szervezet számára.

A GDPR felváltja a jelenlegi adatvédelmi jogszabályokat és kiegészíti a hozzá kapcsolódó információs önrendelkezési jogról szóló 2011. évi CXII. törvényit. A személyes adatok védelméről szóló törvény módosítása után már csak néhány szempontot (pl. létrehozás, szervezés) módosíthat a Személyi adatvédelmi hivatal, valamint néhány részkérdést, amelyek szükségesek a teljes adatvédelmi keret teljesítéséhez, amelyeket a GDPR nem módosít, vagy amelyeket a GDPR nemzeti szinten tesz módosíthatóvá..

Fontos megjegyezni, hogy bár a GDPR számos új szabályt vezet be, annak érvényességét és betartását az adatkezelőknek és adatfelhasználóknak kell biztosítaniuk a feldolgozás során, ez azonban nem egy teljesen új jogi konstrukció, a GDPR-ben szereplő mechanizmusok java már ismeretes a hatályos jogszabályokból. A GDPR-t 2016 április 27.-én hagyták jóvá, és 2018 május 25.-én lépett hatályba..

1. Az adatkezelő és adatfeldolgozó fogalmak elhatárolása

A GDPR adatkezelő és adatfeldolgozó definícióját nem változtatja.

Adatkezelő

Az adatkezelő egy olyan személy (a jogi forma nem határozza meg), amely meghatározza a személyes adatok feldolgozásának céljait és eszközeit, és elsősorban felelős a feldolgozásért. Az adatkezelő a személyes adatokat a tevékenységéhez kapcsolódóan kezeli (pl. törvényi kötelezettségek, szerződések)

Az adatkezelő bármilyen entitás lehet. Az adatkezelő természetes személy is lehet, ha a személyes adatok feldolgozása oly módon történik, hogy ez a módszer már nem zárja ki a személyes vagy háztartási tevékenységekre vonatkozó kivétel alkalmazását, illetve, ha olyan személyes adatok kezelésére vonatkozik, amelyek még mindig nem felelnek meg a feldolgozás definíciójának.

Adatfeldolgozó

Az adatfeldolgozó az az entitás, melyet az adatkezelő bérel fel, hogy a személyes adatokon feldolgozási műveleteket végezzen. Más szóval az adatfeldolgozó az adatkezelő részére személyes adatokat dolgoz fel. Az adatfeldolgozó abban különbözik z adatkezelőtől, hogy az adatkezelő megbízásából kifolyólag csak olyan feldolgozási műveleteket végezhet, mellyel az adatkezelő megbízta, vagy olyan tevékenységek eredménye, amelynél az adatfeldolgozót az adatkezelő felhatalmazta. Meg kell jegyezni, hogy az adatfeldolgozó csak az adatkezelő által nyújtott személyes adatokkal kapcsolatban adatfeldolgozó, nem pedig az általa közvetlenül feldolgozott személyes adatokat (pl. alkalmazottai személyes adatainak adatkezelője).

Ahogy az adatkezelő esetében, úgy az adatfeldolgozónál sem meghatározó a jogi forma.

2. Személyes adatok definíciója

A GDPR nagyon széles körben definiálja a személyes adatokat (a meglévő jogszabályokhoz hasonlóan), amikor személyes adatokként ítéli meg az azonosított vagy azonosítható természetes személyhez kapcsolódó összes információt. A GDPR a következő személyes adatok kategóriáit különbözteti meg:

1. Általános adatok: A GDPR az általános személyes adatok közé a következőket sorolja: név, nem életkor és születési dátum, személyes státusz, fényképes felvétel, de ide veszi az adott személy internetes aktivitásait a cookiest is beleértve, IP-címeket és egyéb hálózati azonosítókat.


2. Szervezeti adatok: míg a GDPR az üzleti tevékenységeket folytató természetes személyekre is vonatkozik, a GDPR a személyes adatokként veszi az úgynevezett szervezeti adatokat is, melyek közé a következőket sorolja: e-mail cím, telefonszám vagy az állam által kibocsátott különböző azonosító adatokat (pl.: azonosító szám, adószám, személyi igazolvány szám, vezetői engedély száma, útlevél száma, stb. ).


3. Érzékeny adatok: etnikai hovatartozásr, politikai véleményekről, vallási vagy filozófiai meggyőződésekről, szakszervezeti tagságokról, egészségi állapotról (minden egészségügyi vonatkozású, fizikai vagy mentális egészségre utaló adatról), szexuális orientációról, bűncselekményről vagy jogerős ítéletekről szóló adatok tartoznak ide.
   
   Az érzékeny adatok kategóriájába a rendelet újonnan a genetikai, biometrikus adatokat (pl. arc, ujjlenyomat, aláírás és az utolsó esetjog) és a gyermekek személyes adatait is beépíti. Az érzékeny személyes adatok feldolgozásának sokkal szigorúbb rendszere van, mint az általános adatoknak. Az érintetteknek kifejezetten hozzá kell járulniuk az érzékeny adatok feldolgozásához.

A GDPR hatóköre alól ki vannak zárva az anonimizált adatok, az elhunyt személyek adatai és a kizárólag személyes természetűek, melyek kereskedelmi és szervezeti jellegtől mentesek. Ez olyan adatokra vonatkozik, melyek saját felhasználásra vannak feldolgozva és senkivel sincsenek megosztva.

3. Személyes adatok feldolgozásának definíciója

A személyes adatok feldolgozása a GDPR szerint minden olyan művelet vagy műveletek sorozata, amely személyes adatokkal vagy személyes adatfájlokon hajtódnak végre, ezek automatizált eljárásokkal vagy anélkül történek például: gyűlés, jegyzőkönyv, rendezés, rendszerezés, tárolás, testreszabás vagy módosítás, kikeresés, hozzáférés, felhasználás, hozzáférés átvitellel, terjesztés vagy bármilyen más közzététel, elrendezés, kombinálás, korlátozás, törlés vagy megsemmisítés.

A GDPR szerinti feldolgozás azonban nem értendő bármilyen személyes adatkezelésnek. A személyes adatok feldolgozását olyan kifinomultabb tevékenységnek kell tekinteni, amelyet az adatkezelő bizonyos célból kezel, és bizonyos szemszögből szisztematikusan cselekszik.

4. Adatkezelő és adatfeldolgozók kötelességei

Általános alapvető kötelezettségek, melyek a GDPR által lettek bevezetve az adatkezelők és adatfeldolgozók részére, ezek a technikai, szervezeti és eljárási intézkedések elfogadása, GDPR elveinek való megfelelés igazolása, méretükre, alkalmazottjaik, adatfeldolgozóik, adatkezelőik számára való tekintet nélkül.

Két alapelv említhető, melyen a GDPR épül:

A. Felelősség elve- az adatkezelő felelősége a feldolgozás elveinek betartása, ahol a személyes adatok a következőképen kell kezelnnie:

• helyes, jogszerű és átlátható módon történő feldolgozás
• konkrét, egyértelműen kifejezett és törvényes célokra összegyűjtött
• arányosak, relevánsak és csak feldolgozás céljához szükséges mértékben
• pontos és szükség esetén aktualizált, minden ésszerű intézkedést meg kell tenni annak biztosítására, hogy azok a személyes adatok, amelyek pontatlanok arra a célra tekintve, mely által feldolgozásra kerültek, azonnali törlésre vagy javításra kerüljenek
• olyan formában vannak tárolva, mely pont olyan ideig teszi lehetővé az érintettek azonosítását, mint amire a feldolgozás céljára szükség van (a személyes adatok hosszabb ideig tárolódhatnak, ha kizárólag közérdekű archiválásra, tudományos vagy történelmi kutatási célokra illetve statisztikai célokra vannak használva)
• olyan módon dolgozzák fel, amely biztosítja a személyes adatok megfelelő biztonságát, ideértve a megfelelő technikai vagy szervezési intézkedéssel való védelmet a jogosulatlan vagy jogellenes feldolgozással, valamint a véletlen adatvesztéssel, megsemmisítéssel vagy megkárosítással szemben

Az adatkezelő felelős a fenti elvek betartásáért, és képesnek kell lennie arra, hogy az ennek való megfelelést bármikor bizonyítsa.

A felsorolt GDPR irányelvek alátámasztása többek között kód által (egyesületek vagy egyéb szervek képviseletében álló különböző kategóriákat képviselő adatkezelők és adatfeldolgozók lesznek képesek ezt közzétenni), igazolás által (képes lesz akkreditált téma kiadására, ahol jelenleg folyamatban van, hogy megállapítsa az akkreditáció formáját és folyamatát, és igazolást adjon ki az akkreditált szervek részéről) és a feldolgozási tevékenységek nyilvántartása révén történik.

B. Kockázat elve - azt jelenti, hogy az adatkezelő már a személyes adatok megfogalmazásának kezdetétől fogva figyelemmel kell lennie a jellegére, terjedelmére, kontextusára és a feldolgozás céljára. Figyelembe kell venni a lehetséges jogi és szabadságjogi kockázatokat a természetes személyeknél és ehhez kell igazítania a személyes adatok biztonságát.

További kötelezettségek:

A feldolgozási tevékenységek nyilvántartása (GDPR 30 cikk.)

Ez csak akkor alkalmazandó, ha érzékeny adatok feldolgozására kerül sor - pl. aláírás, gyermekek személyes adatai, stb.). A GDPR meghatározza, hogy milyen konkrét adatokat kell tartalmaznia az ilyen dokumentációnak – (az adatkezelő neve és elérhetősége, a feldolgozás céljai, a feldolgozott személyes adatok mértéke, a személyes adatok címzettjeire vonatkozó információk, az adatok harmadik országokba történő továbbításáról, az egyes adatkategóriák törlésének határideje).

A személyes adatok védelmére vonatkozó hatásvizsgálat (GDPR 35 cikk.)

Ez csak abban az esetben esedékes, ha érzékeny adatok nagy mennyiségben kerülnek feldolgozásra. Ez egy szisztematikus leírás a tervezett feldolgozásról, kockázatfelmérés a jogok és az alanyok szabadságának szempontjából, az arányossági teszt végrehajtása, beleértve az értékelést, hogy szükséges-e a feltüntetett feldolgozással kapcsolatban.

Az adatkezelőnek továbbá egyértelműen meg kell határoznia a hatásvizsgálatban meghozott biztonsági intézkedéseket és garanciákat, melyeknek hozzá kell járulniuk ahhoz, hogy egy előredefiniált magas kockázat az elfogadott intézkedésekkel el legyen távolítva, így biztosítva a személyes adatok megfelelő védelmét a rendeletnek megfelelően.

Korábbi egyeztetések (GDPR 36 cikk.)

Az adatkezelő köteles a személyes adatok feldolgozását érintően témákban egyeztetni az Adatvédelmi hivatallal, ha a személyes adatok védelmére vonatkozó hatásvizsgálat azt mutatja, hogy az adatkezelő nem hozott megfelelő intézkedéseket a kockázat enyhítésére. Az előzetes konzultáció célja, hogy korrigálja a fenyegető magas kockázatot.

Személyes adatok biztonsági sértésének jelentése (GDPR 33 cikk.)

A személyes adatok biztonságának esetleges megsértése esetén az adatkezelő köteles haladéktalanul és lehetőség szerint az észrevételtől számított 72 órán belül jelenteni az Adatvédelmi hivatalnak, kivéve, ha valószínűtlen, hogy a jogsértés az egyének jogait és szabadságait veszélyezteti.

Értesítés az érintet személyes adatok adatvédelmi jogsértési esetekről

Ha valószínű, hogy a személyes adatok védelmének megsértése nagy kockázatot jelent az egyének jogaival és szabadságával szemben, akkor az adatkezelő köteles késedelem nélkül jelenteni ezt a sértést.

Adatvédelmi tisztviselő kijelölése személyes adatok védelmére

Ez csak olyan adatkezelőket vagy adatfeldolgozókat érint, amelyek fő tevékenységei olyan feldolgozási műveletek, amelyek jelegüknél, terjedelmüknél vagy céljaiknál fogva részletes, rendszeres és szisztematikus ellenőrzést igényelnek az adatalanyokon, vagy az adatkezelő fő tevékenységén, vagy az adatfeldolgozóé adatkategóriák részletes feldolgozása.

5. Személyes adatok biztonsága

Az adatkezelőnek figyelemmel kell kennie a technikai és szervezeti feldolgozás természetére, terjedelmére és céljára, hogy tudja biztosítani és dokumentálni, hogy a feldolgozás a GDPR szerint történik. Minden adatkezelőnek el kell fogadnia a megfelelő biztonsági intézkedéseket, és minden adatkezelőnél ez az intézkedés eltérő lehet a feldolgozás jellegének, hatályának és céljának figyelembevételével.

A személyes adatok bebiztosításának egyik eleme például az álnevesítés vagy a titkosítás.Ezek az elemek azonban nem kötelezőek.Ezek önkéntes bevezetése az adatkezelőnek akár felmentést okozhat például az érintett személyes adatok biztonsági megsértéséről szóló esetek értesítés kötelezettségénél.

Ezért tanácsos az adatkezelőknek javasolni, hogy a személyes adatok feldolgozása lehetővé teszi a számukra az adatokat titkosított vagy álneves formában elmenteni (feldolgozni), amire a GSPR is buzdítja őket.

6. Személyes adatok továbbítása más országokba

Érvényes az elv, hogy a személyes adatok szabad áramlása az Európai Unióban a természetes személyek védelmére tekintve nincs korlátozva vagy tiltva a személyes adatok feldolgozásával kapcsolatban. Ezt az előfeltétel azonban nem tekinthető jogi oknak a személyes adatok átadásához az adatkezelőknek vagy bárki másnak. A személyes adatok korlátozás nélkül történő továbbításának lehetősége az Európai Unióban s szervezeti biztonságot érinti, vagyis kifejezi, hogy az Európai Unió államaiban a személyi adatvédelem jogi kereteinek ugyanolyan magas színvonala érvényes a személyes adatok feldolgozásánál. Másik adatkezelőnek történő átadáskor az adatkezelőnek jogi okkal kell rendelkeznie, mivel az átadás az egyik feldolgozási tevékenység. Az adatkezelőnek akkor is jogi okkal kell rendelkeznie, mikor a személyes adatokat az Európai Unión kívüli országokba továbbítja, amikor még teljesítenie kell a személyes adatok átadási feltételeit is az szervezeti biztonságuk szempontjából is.

7. Szankciók

A bírságok kiszabásának feltételei

A közigazgatási bírságok minden egyes eset körülményeihez képest vannak kiszabva, és ezt az egyéb GDPR-ben feltüntetett intézkedés mellett vagy helyett szabják ki. Fontos, hogy nem minden GDPR sértést kell bírságolni, de például az elején az adatkezelő figyelmeztetést kaphat, hogy a tervezett feldolgozási műveletek valószínűleg sértik a GDPR-t. Ha az adatkezelő által végzett feldolgozási műveletek sértették a GDPR-ben foglaltakat, akkor figyelmeztetést kaphat, vagy elrendelhetik, hogy tegyen eleget a kérelemnek. Az adatkezelőktől többek közt megkövetelhető, hogy a feldolgozás összhangban legyen a GDPR-rel.

A bírság összege

A bírságok összege két csoportra osztható, az adatkezelő által elkövetett jogsértésnek megfelelően. A bírság összege legfeljebb 10 000 000 EUR lehet (vagyis a cég teljes éves világpiaci forgalom legfeljebb 2% -a vállalkozás esetén), vagy legfeljebb 20 000 000 EUR (vagyis a cég világ teljes éves forgalmának legfeljebb 4% -a).

A két csoportra való felosztás tükrözi a megszegett kötelezettségek fontosságát, a magasabb költségekkel járó csoportban olyan kötelezettségek vannak, amelynek megszegése várhatóan nagyobb mértékben befolyásolja a személyes adatok védelméhez való jogot, amit a GDPR nyújt. Az alacsonyabb költségekkel járó csoportba például olyan rendelkezések megszegése tartozik, melyek a feldolgozásra vonatkozó nyilvántartásokat vagy a személyes adatok védelmére vonatkozó hatásvizsgálatokat érintik. A magasabb költségekkel járó csoportba tartozik például a kötelezettségszegés, mely a feldolgozás elveit és a jogszerűséget szabályozza, a személyes adatok feldolgozásához való hozzájárulás feltételei és a személyes adatok speciális kategóriájának feldolgozására vonatkozó feltételek.

Enyhítő és súlyosbító körülmények

Az enyhítő és súlyosbító körülményeket a GDPR 83. cikke sorolja fel. A megfontolásnál szerepet játszik a sértés jellege, súlyossága és időtartama, mely figyelembe veszi a feldolgozás jellegét, terjedelmét, célját, adatok kategóriáját, szándékos vagy gondatlanságból elkövetett sértésről volt-e szó, az adatkezelő által végrehajtott lépéseket, együttműködést a Személyi adatvédelmi hivatallal, stb..

8. Felügyelő testület

Eddig az adatvédelem területén a fő magyar szabályzó hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság, mely marad is ebben a helyzetben. Új hatáskörei is lesznek, melyek tükrözik az új reform komolyságát, és részben az Európai Adatvédelmi Bizottság (EDPB) alárendeltje lesz. Ha kétségek merülnek fel a magyar szabályzó határozattal kapcsolatban, mindig lehetőség nyílik a fellebbezésre az EDPB-nél.

------------

*álnevezés – a személyes adatok feldolgozása olyan módon történik, hogy már nem rendelhetőek hozzá egy adott személyhez további információk felhasználása nélkül, ezek külön vannak tárolva, és védve vannak az eredeti adatokhoz való újbóli hozzárendeléssel szemben.