Szükséges vagy nem az adatvédelmi tanácsadás?
Személyes adatok kezelésének alapelvei a rendeletben
Az alapelvek tisztán és világosan vannak megfogalmazva, de sok esetben az alkalmazásukhoz nagy segítség lehet adatvédelmi tanácsadás igénybevétele.
- Jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
- Célhoz kötöttség: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés
- Adattakarékosság: a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk
- Pontosság: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék
- Korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel
- Integritás és bizalmas jelleg: személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve
Egyéb fontos alapelvek a személyes adatok kezelése során
- Eredményesség: az információk relevánsak-e az üzleti folyamatok szempontjából illetve, hogy a megfelelő időben, pontos, egységes, ellentmondásmentes és felhasználható formában állnak–e rendelkezésre
- Hatékonyság: az információk az erőforrások optimális (a lehető leghatékonyabb és leggazdaságosabb) felhasználása révén lettek-e előállítva
- Bizalmasság: a bizalmas és titkos információk engedély nélküli közzétételének megelőzéséhez kapcsolódik
- Sértetlenség, összhang: az információk pontosságához és teljességéhez, valamint az üzleti értékekkel és elvárásokkal összefüggő érvényességéhez kapcsolódik
- Hozzáférhetőség, rendelkezésre állás: az információk rendelkezésre állnak-e az üzleti folyamatok által megkívánt szükséges időben. A szükséges erőforrások és az azokhoz kapcsolódó kapacitások védelmére is kiterjed.
- Szabályszerűség, megfelelőség: az üzleti folyamatokra vonatkozó illetve a kapcsolódó törvényeknek, jogszabályoknak és szerződéses kötelezettségeknek való megfeleléshez kapcsolódik, amelyek alanya az adott szervezet és tevékenysége, az ún. szervezettel szemben kívülről megszabott üzleti feltételek.
- Megbízhatóság: megfelelő információkat kap-e a vezetés a szervezet működtetéséhez és a pénzügyi és egyéb kötelező jelentések elkészítéséhez
Tévhitek
A tévhitek rossz irányba terelhetnek egy adatvédelmi felkészülést vagy megfelelést. Szükség esetén forduljon szakértőhöz és kérjen adatvédelmi tanácsadást.
1. tévhit: A GDPR rendeletre nincs elég idő felkészülni
A rendelet 2018. május 25-én lépett hatályba, így ha még nem végezte el a felkészülést, minél előbb tegye meg.
Pótolja be az elmaradt felkészülést, óvja meg cégét a
- külső fenyegetettségektől, mint például a konkurencia támadásaitól
- a belső fenyegetettségektől, mint a rosszindulatú munkavállalói akcióktól
- fentiek kvetkezményeként a NAIH szankcióktól
- az elmaradt audit okozta anyagi veszteségektől
- és az ebből következő negatív marketingtől, presztízs veszteségtől.
2. tévhit: Sokkal szigorúbb szabályokat ír elő a GDPR rendelet az adatkezelésre
A magyar adatvédelmi jogszabály, rövid nevén az Info törvény eddig is a legszigorúbbak közé tartozott az Európai Unióban. A jelenleg hatályos magyar szabályozás alapjául eleve az uniós adatvédelmi rendelet szolgált, amelyet a magyar kormányzat a lehető legteljesebb mértékben átültetett, és a jogalkalmazásban az adatvédelmi hatóság (NAIH) is az egyik legrigorózusabban járt el, szűk értelmezésben és szigorúan alkalmazva az Európai Bizottság adatvédelmi munkacsoportja, az Article 29 Munkacsoport adatvédelmi véleményeit, amelyek egyébként több helyen is beépítésre kerültek az új uniós rendelet szabályai közé. A magyar szabályozás a 20 millió forintos bírságmaximummal eddig sem volt könnyen teljesíthető a KKV szektornak, a nagyvállalatok azonban gyakran bekalkulálták azt működési költségeikbe. Az új uniós rendelet fő szigorításai elsősorban ennek megakadályozását célozzák és eredményezik:
- az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió euróra, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír.
- az adatvédelmi felelős alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok nagy számban történő kezelését foglalja magában.
- általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást – amely azonban az automatikus adatkezelésről szóló szabályok közt részben helyet kapott már eddig is a magyar jogszabályban.
Ezen túlmenően azonban a rendelet inkább sok helyen enyhít a magyar szabályokhoz képest:
- a különleges adatok kezeléséhez az írásbeli hozzájárulás helyett csak kifejezett (explicit) hozzájárulást követel meg, ami jelentős könnyebbítés;
- az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában;
- meghatároz olyan esetköröket, amikor nem kell törölni az adatokat – ezek eddig a magyar jogban a törlési kötelezettség alá estek;
- az adatkezelés elleni tiltakozási jogot kötelezően csak a közvetlen üzletszerzés érdekében történő adatkezelésre, valamint a közérdekű adatkezelés és jogos érdeken alapuló adatkezelés esetén biztosítja, az egyéb célú adatkezelésre nem biztosít ilyen jogot kötelezően és általánosan, szemben a magyar jogszabállyal;
- nem írja elő a központi állami adatvédelmi nyilvántartásba történő adatkezelési bejelentést az adatkezelés megkezdése előtt, pusztán azt követeli meg, hogy az adatkezelők maguk vezessenek adatkezelési nyilvántartást.
3. tévhit: A GDPR rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját
A magyar Infotörvény és az uniós jogszabály adatkezelésre vonatkozó alapelvei kevés kivétellel szinte teljesen megegyeznek, hiszen mindegyik megköveteli az alábbiakat az adatkezelőtől:
1. személyes adatot csak előre meghatározott célból kezeljen (célhoz kötöttség elve),
2. csak a cél megvalósulásáig (korlátozott tárolhatóság elve),
3. csak a cél megvalósításához feltétlenül szükséges mértékben (adat takarékosság és alapértelmezett adatvédelem elve) kezeljen,
4. az adatkezelésnek meg kell felelnie a tisztesség követelményének (tisztesség elve),
5. jogszerűnek kell lennie (megfelelő jogalappal kell rendelkeznie),
6. a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie (pontosság elve),
7. az adatkezelésnek megfelelő, közérthető, részletes, teljes, könnyen hozzáférhető és előzetes tájékoztatáson kell alapulnia (előzetes tájékoztatás elve)
8. a rendelet alapján az sem változik, hogy az érintetteknek ugyanúgy kérésükre tájékoztatást kell adni adataik kezeléséről, a tájékoztatás adás határideje és tartalma között sincs szignifikáns eltérés az új jogszabályban;
9. a jogosultakat ugyanazok a jogorvoslati jogok illetik meg, mint a magyar törvény alapján: tiltakozhatnak adataik kezelésével szemben (tiltakozás joga), kérhetik azok törlését (feledés joga), helyesbítését és zárolását.
10. ahogy eddig is kellett a magyar vállalkozásoknak az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor az adatbiztonságról gondoskodniuk, úgy ebben a kötelezettségükben ezután sem lesz változás, hiszen a magyar Infotörvény ezt a követelményt is tartalmazta (privacy by design elve);
11. az adatkezelőnek az adatvédelmi incidensekkel kapcsolatban nyilvántartási, értesítési és hatósági bejelentési kötelezettsége van, amely a magyar jogban eddig is létezett a legutolsó Infotörvény-módosítás óta (adatvédelmi incidenskezelés).
Vagyis aki eddig betartotta a magyar jogszabályt, annak az új rendelet alapján sem lesz félnivalója.
4. tévhit: Az új rendelet rengeteg újdonságot hoz
Kétségkívül hozott újdonságokat az adatvédelmi rendelet, de a magyar szabályozáshoz képest rengeteg nóvumról azért nem beszélhetünk, ahogy ezt a fentiekben már említetük is.
A fent felsorolt szigorítások mellett az új rendelet bevezeti az elszámoltathatóság alapelvét, amely alapján az adatkezelő felelős az adatkezelés elveinek betartásáért (ez eddig is így volt), azonban most már ezt ténylegesen igazolnia is tudni kell (a NAIH gyakorlata pedig eleve ezt az elvet követte jogszabályi előírás nélkül is).
Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, a genetikai, biometrikus és egészségügyi adat fogalmát, amely utóbbit a magyar Infotörvény részletesen nem tartalmazta (de magát a fogalmat használta), hanem csak az egészségügyi ágazati jogszabályban kapott definíciót.
A rendelet az önkéntes, tájékozott hozzájáruláson és a jogszabályi engedélyen alapuló adatkezelés mellé egy harmadik adatkezelési jogalapot is bevezet: a jogos érdeken alapuló adatkezelést, ami alapján az adatakezelés jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Igazi újdonság viszont a rendeletben az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a felügyeleti hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.
5. tévhit: A felkészüléshez csak a rendelet szabályainak kell megfelelni
A legtöbb sajtóban megjelent összefoglaló, az adatkezelőknek tartott felkészítő kurzus, tanfolyam nem említi, hogy a rendelet egyes témaköröket tagállami hatáskörben tart, vagy legalábbis megengedi, hogy a tagállamok kiegészítő vagy esetleg szigorúbb, illetve eltérő szabályokat állapítsanak meg. Ez azt jelenti, hogy nem elegendő a vállalkozásoknak az új rendelet szövegének megfelelni, figyelemmel kell kísérni az adott tagállami jogalkotást is, amely pedig – legalábbis Magyarországon – nem kapkod, és még nem véglegesek a rendelet hatályba lépésével szükségessé váló vagy éppen ezen lehetőséget kihasználni törekvő kiegészítő jellegű jogszabály módosítások.
A tagállamok szabályozási hatáskörében maradnak például az alábbi témakörök:
- foglalkoztatással összefüggő adatkezelési kérdések (munkaviszonnyal kapcsolatos adatkezelés)
- gyermekek személyes adatainak információs társadalommal összefüggő szolgáltatásokkal kapcsolatos adatkezelési szabályai (például a kiskorúak mobilapplikációk által kezelt adatai)
- az adatvédelmi felelős alkalmazásának rendeletben nem szabályozott egyéb kötelező esetkörei
- genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozó további szabályok és feltételek (ami például az mHealth applikációk fejlesztőit is érinthetik)
- általánosságban minden olyan kérdésben, amelyet nem szabályoz a rendelet.