GDPR – mire számítsunk az új európai adatvédelmi szabályozás kapcsán? (2. Rész)
Az új, egységes európai adatvédelmi szabályozással kapcsolatban írtunk már egy tájékoztató írást, de a téma hosszúsága és a következményei annyira szerteágazóak, hogy nem tudtunk minden információt egyetlen bejegyzésbe sűríteni, így hát haladjunk tovább a megkezdett úton. Nézzük, milyen további jogokkal rendelkezik az érintett, és milyen kötelezettségei vannak még az adatkezelőnek?
Figyelem: Az alábbi cikk nem minősül hivatalos jogi állásfoglalásnak. Minden adatkezelő saját maga kell, hogy felülvizsgálja saját adatkezelési gyakorlatának jogszerűségét szakemberek segítségével. A GDPR szabályozás bár közvetlenül alkalmazandó, a magyar jogi előírások végleges formája némileg eltérő rendelkezéseket fogalmazhat meg 2018. május 25-ig.
Mit jelent az adathordozhatósághoz való jog?
Az „elfeledtetés” jogáról már írtunk az egységes európai adatvédelemmel foglalkozó cikkünk első részében, de talán az egyik legfontosabb újdonságról még nem esett szó, az adathordozhatósághoz való jogról. E joga alapján az érintett jogosult arra, hogy az adatkezelő rendelkezésére bocsátott személyes adatait géppel olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa. Az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is.
Hogyan értelmezi a gyermekek jogait a GDPR?
Az EU általános adatvédelmi rendelete hangsúlyt fektet a gyerekek által adott hozzájárulások feltételeire is. Ebben talán a legfontosabb szabály az, hogy 13 éves kor alatt semmilyen esetben sem fogadható el egy gyermek online szolgáltatások igénybevételére vonatkozó hozzájárulása. Ez azt jelenti, hogy a közösségi oldalak, e-mail fiókok és egyéb internetes oldalak esetében a korhatár alattiak nem adhatnak érvényes hozzájárulást, tehát nem is vehetik igénybe azokat. Érvényes hozzájárulást 16. életévét betöltött személy adhat, a két korhatár között, pedig szülői hozzájárulás szükséges a gyermek legális adatkezeléséhez.
Milyen szabályszegésért, milyen bírságra számíthatunk?
Ha az adatkezelő vagy adatfeldolgozó az érintettnek kárt okoz, kártérítés megfizetésére kötelezhető. Ez alól csak akkor mentesülhet, ha bizonyítja, hogy a kár bekövetkezéséért nem felelős. Amennyiben azonban egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, úgy minden egyes adatkezelő vagy adatfeldolgozó a teljes kárért felelősséggel tartozik. Természetesen hozzá tartozik, hogy ha egyikük a kárt teljes egészében megfizeti, akkor azt követően viszontkereseti eljárást indíthat az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.
A GDPR gyakorlásától (2018.05.25.) bírság és kártérítés kiszabására kell számítania azoknak a vállalatoknak, amelyek nem felelnek meg a rendelet előírásainak. A bírság meghatározása az alábbiak szerint történik:
Az adatkezelőkre vagy adatfeldolgozókra vonatkozó rendelkezések megsértéséért maximálisan 10 millió euró vagy a vállalkozás globális árbevétele 2%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).
Az adatkezelés (pl. hozzájárulás), az adatkezelt ügyfél jogainak, illetve a jóváhagyott adattovábbítási mechanizmusok alapelveinek megsértéséért maximálisan 20 millió euró vagy a vállalkozás globális árbevétele 4%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).
Hogyan segíthet megfelelni az egységes adatvédelmi nyilatkozatnak az „álnevesítés”?
A GDPR tartalmaz egy új fogalmat is, amely a névhasználatra vonatkozik. Az adatok olyan módon történő kezelését, mely következtében további információk hiányában többé már nem állapítható meg, hogy az adatok mely konkrét személyhez tartoznak, álnevesítésnek hívja a GDPR. Az álnevesítés akkor jogszerű, ha a természetes személy beazonosításához szükséges további információkat külön tárolják és technikai és szervezeti intézkedésekkel biztosított, hogy az azonosított vagy azonosítható érintettekhez ezt a személyes adatot nem lehet kapcsolni. Ez az eljárás sokszor célravezető lehet, például statisztikai adatok gyűjtésénél, vagy akár akkor, ha valaki nagyobb fokú biztonságra törekszik a saját rendszerében. A rendelet több helyen is az álnevesítést említi, mint jogszerű és célszerű adatkezelési megoldást. Ezek mellett pozitív hozadéka az álnevesítésnek, hogy az érintettek számára is csökkenti a kockázatot, így hajlamosabbak lehetnek hozzájárulni az adatkezeléshez.
Mikor érdemes és mikor szükséges az előzetes adatvédelmi hatásvizsgálat?
A GDPR kitér arra is, hogy bizonyos esetekben az adatkezelőnek az adatkezelés megkezdése előtt adatvédelmi hatásvizsgálatot kell folytatnia. A magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Ezek lehetnek magas kockázattal járó adatkezelési műveletek: nagyszámú érintett, nagy mennyiségű személyes adat, gyermekek adatkezelése, profilalkotás, viselkedés vagy mozgás követése.
Mely vállalatok esetében lesz kötelező egy adatvédelmi tisztségviselő kinevezése?
A jelenleg hatályban lévő magyar adatvédelmi törvénynél a GDPR szélesebb adatkezelői körben teszi kötelezővé a belső adatvédelmi felelősök kinevezését. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő, illetve feldolgozó szervek esetében kötelező belső adatvédelmi felelős kinevezése. Ezek mellett még olyan vállalatok esetében lehet indokolt, ahol a fő tevékenységek olyan adatkezelési műveletekkel járnak, melyek jellegüknél, hatókörüknél vagy céljaiknál fogva az érintettek rendszeres, nagymértékű megfigyelését igénylik.
Mit vár az Európai Unió az egységes adatvédelmi szabályozás érvénybe kerülésétől?
Az Európai Unió a GDPR hatására sokkal magasabb fokú tudatosságot remél (és vár el) az adatokat kezelők és feldolgozók részéről, mely segítségével megelőzhetőek vagy könnyebben és gyorsabban kezelhetőek lesznek az ezzel kapcsolatos visszaélések. Éppen ezért szabtak meg ilyen magas bírságokat, hogy a legnagyobb nemzetközi multinacionális cégektől egészen a közép- és kisvállalatokig mindenki számára elég nyomós érv legyen a biztonsági intézkedések bevezetésére és folyamatos felügyeletére.
Bízunk benne, hogy mire cikkünk végéhez ért, sikerült rávilágítanunk azokra a kötelességekre, melyek 2018. május 25-től terhelik az adatkezelőket, így az Ön vállalata is megfelelhet a rendeletben foglaltaknak.
források:
https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html
Az Ügyvédvilág című szaklap 2016/4. száma
https://jogaszvilag.hu/rovatok/szakma/2018-tol-jon-a-modernebb-de-szigorubb-adatvedelem