Kábítószer volt nálam és elkaptak – mire számíthatok?
október 14, 2024
Miért érdemes büntetőjogászt fogadni?
október 30, 2024
info@avianlegal.hu +3670-389-3614
Dr. Boldizsár Dominik LL.M.
A digitalizáció és az információs technológiák korában egyre több személyes adat kerül feldolgozásra, tárolásra és megosztásra, az adatok pedig egyre nagyobb értéket képviselnek mind az egyének, mind a vállalkozások számára. Az Európai Unió e turbulens helyzet által megteremtett kihívásoknak kívánt megfelelni, amikor 2018-ban hatályba léptette az úgynevezett GDPR (General Data Protection Regulation, magyarul Általános Adatvédelmi Rendelet) Rendeletet. A GDPR célja, hogy egységes adatvédelmi szabályozás megteremtésével magas szintű védelmet valósítson meg a magánszemélyek adatainak kezelésével összefüggésben, ennek érdekében pedig kötelezően betartandó szabályozást ír elő minden olyan adatkezelő és adatfeldolgozó számára, amely működése során valamely Uniós országban tartózkodó személy adatait kezeli.
Kire vonatkozik a GDPR? Alapfogalmak.
A GDPR minden, az Unióban tevékenységi hellyel rendelkező adatkezelőre és adatfeldolgozóra vonatkozik, függetlenül attól, hogy az adatkezelés az Unió területén történik-e vagy sem, továbbá vonatkozik minden olyan az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett adatkezelésre is, amely az Európai Unióban tartózkodóegyének személyes adatainak kezelésével van összefüggésben.
A tisztánlátás végett érdemes tisztázni a legalapvetőbb fogalmakat. Az adatkezelés bármely személyes adat gyűjtését, rögzítését, rendszerezését, tagolását, tárolását, átalakítását vagy megváltoztatását, lekérdezését, betekintését, felhasználását, közlés továbbítását terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolását vagy összekapcsolását, korlátozását, törlését, illetve megsemmisítését jelenti. Adatkezelőnek hívjuk azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Adatfeldolgozó alatt pedig azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet értjük, amely az adatkezelő nevében személyes adatokat kezel. Személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Az előző bekezdés sokaknak művi jogászkodásnak tűnhet, ezért világítsuk meg egy hétköznapi példával is a legalapvetőbb fogalmakat:
Vegyünk példaként egy magyar vállalkozást, amely mondjuk Kft. formában működik, és egy vidéki, ötszobás panziót működtet Eger városa mellett. A gazdasági társaság kezeli az ügyfelek foglalási adatait (pl. név, cím, telefonszám, hitelkártyaadatok), elsődlegesen a foglalások teljesítése végett, alkalomadtán pedig (ha az ügyfél ebbe külön beleegyezett), marketingcélokra is használja a tárolt adatokat. A panzió egy harmadik féltől származó online foglalási rendszert használ, amely feldolgozza és tárolja a foglalási adatokat. A panziót működtető cégnek alkalmazottai is vannak, hiszen szükség van takarítónőre, recepciósra, ügyvezetőre, így a vállalkozás nem csak ügyfél-adatokat, hanem a munkavállalók munkaviszonyának létrehozásához, fenntartásához, esetleges megszüntetéséhez szükséges adatait is kezeli. Ebben a példában a panziót működtető Kft. lesz az adatkezelő, hiszen ő határozza meg a személyes adatok kezelésének céljait és eszközeit, az online foglalási rendszert üzemeltető harmadik fél pedig az adatfeldolgozó lesz, aki az adatkezelő megbízásából ténylegesen kezeli az ügyfél adatait. A munkavállalók adatainak tárolása tekintetében nincs adatfeldolgozó, hiszen ezeket az adatokat a Kft. papíralapon, saját hatáskörben tárolja a Kft. székhelyén. A foglaláshoz és marketinghez rögzített ügyfél-adatok, valamint a munkavállalókra vonatkozó adatok lesznek az adatkezeléssel érintett személyes adatok, hiszen azok rögzítésére és tárolására kerülnek a Kft. gazdasági működése során. Tekintettel arra, hogy a panziót működtető gazdasági társaság tevékenységi helye az Unión belül található, valamint arra, hogy tevékenysége során csak az Unió területén tartózkodó személyek adatait kezeli, vonatkozik rá a GDPR.
Milyen kötelezettségek hárulnak a vállalkozásomra a GDPR alapján?
A GDPR-al kapcsolatos kötelezettségek köre attól függ, hogy a vállalkozás kinek, milyen típusú adatát kezeli. Magától értetődően egy vállalkozás életében az adatkezelés (ahogy az előző bekezdésben is megvilágítottuk), elsődlegesen azokra az ügyfelekre vonatkozóan valósul meg leggyakrabban, akiknek a vállalkozás termékeket vagy szolgáltatásokat kínál. Az adatkezelés második leggyakoribb esetköre a munkavállalókkal kapcsolatos adatkezelés, ami az első esetkörnél akár hangsúlyosabb is lehet egy vállalkozás életében abban az esetben, ha több a munkavállalója a cégnek, mint magánszemély ügyfele. Azonban, hogy más gyakorlati példára is rávilágítsunk a korábban már szemléltetett esetkörön túl, gondoljunk például egy biztonságtechnikai vállalatra, amely egy pláza biztonságának megőrzése érdekében kamerás megfigyelőrendszert használ, vagy egy egyetemre, amely tudományos kutatása során összegyűjtött személyes adatokat használ fel kutatásához. A lényeg tehát az, hogy a két leggyakoribb esetkörön kívül számos olyan szituáció van, ahol megvalósul a személyes adatokra vonatkoztatott adatkezelés.
A kötelezettségek teljesítése szempontjából kiemelten vizsgálandó az is, hogy milyen típusú adatot kezel az adatkezelő, ugyanis az adatoknak több olyan különleges kategóriája van, amelyre speciális szabályokat határoz meg a Rendelet (pl. egészségügyi adatok, biometrikus adatok, politikai nézetre vonatkozó adatok, stb.)
A legfontosabb kötelezettség a kezelt adatokkal kapcsolatban, hogy az adatkezelés érintettjeit megfelelően tájékoztatni kell az adatkezelésről, ideértve az adatkezelés jogalapját, célját, időtartamát, valamint az érintettek jogait és jogorvoslati lehetőségeit is. Az adatkezelés tipikusan csak akkor történhet meg, ha az érintett egyértelmű beleegyezését adja az adatkezeléshez például írásban – beleértve az elektronikus úton történő nyilatkozatot –, vagy szóbeli megerősítéssel.
Mielőtt az adatkezelő kidolgozza adatvédelmi stratégiáját, ajánlott adatvédelmi szakértő vagy jogi tanácsadó segítségét kérni annak érdekében, hogy minden adatvédelmi kérdés számbavételre kerüljön, ezt követően kerülhet sor az adatkezelő adatvédelmi dokumentációjának kidolgozására. Sokan tévesen azt gondolják, hogy a dokumentáció elkészültével kimerítettnek tekinthető a GDPR-nak való megfelelés, azonban ez téves hozzáállás, a megfelelésnek ugyanis folyamatosnak kell lennie, és az magában foglalja az adatvédelmi stratégia továbbfejlesztését, az adatvédelmi incidensek hatékony kezelését, valamint az érintettek kérésére adott pontos és időszerű tájékoztatást is.
A GDPR-nak való megfelelés továbbá a Rendelet által meghatározott fő szabályozási elveknek való megfelelést is jelenti egyben. A legfontosabbak alapelvek közé tartoznak:
- Jogszerűség, tisztességes eljárás és átláthatóság alapelve: Az adatkezelésnek jogszerűnek, tisztességesnek és átláthatónak kell lennie az érintettek számára. Az adatok kezeléséhez szükséges jogalapot egyértelműen meg kell határozni, és a felhasználókat tájékoztatni kell az adatok gyűjtésének és kezelésének céljairól.
- Célhoz kötöttség alapelve: Az adatokat csak meghatározott, egyértelmű és jogszerű célokból lehet gyűjteni és kezelni. Az adatkezelés céljait nem lehet a későbbiekben megváltoztatni, ha az eredeti célokkal nem egyeztethetők össze.
- Adatminimalizálás alapelve: Az adatkezelés során csak a szükséges és releváns adatokat szabad gyűjteni. Az adatkezelőknek arra kell törekedniük, hogy a lehető legkevesebb adatot kérjék el, amely az adott szolgáltatáshoz vagy tevékenységhez szükséges.
- Korlátozott tárolhatóság alapelve: Az adatokat csak addig szabad megőrizni, ameddig az szükséges. Az adatkezelőknek meghatározott időtartamot kell kijelölniük az adatok megőrzésére, és gondoskodniuk kell az adatok törléséről, ha már nincs rájuk szükség.
A GDPR megsértése: mi történik, ha valaki nem tartja be a Rendeletet?
A GDPR-nak való megfelelés elhanyagolása súlyos következményekkel járhat, mind jogi, mind pénzügyi szempontból. Az adatkezelők, amelyek nem felelnek meg a Rendelet támasztotta kötelezettségeknek, komoly bírsággal szembesülhetnek, amely akár 20 millió euróra vagy az előző pénzügyi év árbevételének 4%-ára is rúghat. Az európai adatvédelmi hatóságok, valamint a terület felügyeletét Magyarországon ellátó Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) számos esetben szabtak ki jelentős bírságokat, ami azt is jelzi az érintettek számára, hogy lejárt a türelmi idő, és az érintett adatkezelést végzőknek a gyakorlatban is implementálniuk kell adatvédelmi kötelezettségeiket. A kockázatok közé tartoznak továbbá az adatvédelmi incidenssel érintett személyek által indított jogi eljárások is.
Gyakran Ismételt Kérdések
Kire vonatkozik a GDPR?
A GDPR minden, az Unióban tevékenységi hellyel rendelkező adatkezelőre és adatfeldolgozóra vonatkozik, függetlenül attól, hogy az adatkezelés az Unió területén történik-e vagy sem, továbbá vonatkozik minden olyan az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett adatkezelésre is, amely az Európai Unióban tartózkodóegyének személyes adatainak kezelésével van összefüggésben.
Milyen kötelezettségek hárulnak a vállalkozásomra a GDPR alapján?
A legfontosabb kötelezettségek az adatkezeléssel érintettek tájékoztatása, az adatvédelmi dokumentációk (tájékoztatók, belső szabályzat, érdekmérlegelési tesztek stb.) elkészítése, az adatvédelmi incidensek hatékony kezelése, valamint az érintettek kérésére adott pontos és időszerű tájékoztatás is.
A GDPR megsértése: mi történik, ha valaki nem tartja be a Rendeletet?
A GDPR-nak való megfelelés elhanyagolása súlyos következményekkel járhat, mind jogi (adatvédelmi incidenssel érintett személyek által indított eljárások), mind pénzügyi (felügyeleti szerv által kiszabott bírságok) szempontból.
