Irodánk a GDPR rendelkezéseinek  maradéktanul megfelelő adatvédelmi tájékoztató magas színvonalú elkészítését vállalja. További információért vegye fel a kapcsolatot velünk!

 

Az Európai Bizottság a 2016/679 számú, General Data Protection Regulation = Általános Adatvédelmi Rendelet elnevezésű rendelete 2016. április 27-én jelent meg az Európai Unió hivatalos lapjában.

Az Európai Parlament és a Tanács a GDPR megalkotásával létrehozta a világ legszigorúbb adatvédelmi normáját, amelynek kötelező alkalmazását 2018. május 25-től követeli meg.

A GDPR olyan gazdasági társaságok adatkezelési folyamataira vonatkozik, amelyek vagy az EU területén működnek, vagy az EU területén kívül működve nyújtanak szolgáltatásokat EU-s illetőségű magánszemélyek részére.

Adatkezelés a GDPR-ral összhangban

Egy 2018. február elején nyilvánosságra hozott felmérés szerint a megkérdezett vállalatok mindössze 34 %-a ügyel arra, hogy működése összhangban legyen a GDPR rendelkezéseivel. A legnagyobb problémát a személyes adatok kategorizálása jelenti a piacon. Továbbá kiderült, hogy a cégeknek komoly problémát okoz megfelelni az egyre nagyobb kihívást jelentő globális adatvédelmi szabályozásnak.

Alábbi cikksorozatunkkal részletesen áttekintjük a nagy terjedelmű 2016/679 EU rendelet (GDPR) valamennyi releváns szegmentumát, amely elemzéssel irodánk célja a bonyolult norma átláthatóbbá tétele, a változásra történő felkészülés elősegítése érdekében segítség nyújtása, akár személyes tanácsadás útján is.

Miért mondják, hogy a GDPR szigorúbb, következetesebb?

A GDPR jelentős mértékben átalakítja a személyes adatok kezelésére vonatkozó Uniós szabályozást. A természetes személyeknek jóval erősebb jogosultságokat biztosít személyes adataikkal való rendelkezésük tekintetében, a vállalatoknak pedig a továbbiakban sokkal átláthatóbban és átfogóbban szabályozott módon kell az adatkezelést végezniük. Az Uniós adatvédelem megújuló hatósági kereteket kap, amellyel együtt kis mértékben megváltoznak a hatósággal történő kapcsolattartás módjai.

A szigorodott követelményrendszer, valamint azon végrehajtásának következetessége elsőként a GDPR rendeleti jellegében nyilvánul meg. Ez Európai Uniós jogalkotásban ugyanis a rendelet közvetlenül alkalmazandóvá válik valamennyi tagállam jogrendszerében annak eredeti formájában, míg az irányelv a tagállamok részére kötelezően elérendő célkitűzést állapít meg, amelyet aztán a tagállamok saját jogalkotó szervük, parlamentjük révén ültetnek be hazai jogrendjükbe. Hazánkban a GDPR által hatályon kívül helyezett korábbi, 95/46/EK irányelvet az információs önrendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény (Info tv.) ültette be jogrendünkbe. Az Irányelv meghatározza az adatvédelem valamennyi tagállamban érvényesülést követelő minimumát, azonban nem határozza meg az azok érvényesülését garantáló konkrét szabályokat, ennek megfelelően tehát a tagállamok feladata – amely szerepet hazánkban az Info tv. tölti be – az Uniós adatvédelmi célkitűzésnek megfelelő szabályozás kialakítása.

Azzal, hogy a GDPR hatályon kívül helyezi a korábbi irányelvet és rendeleti formában került megalkotásra, az abban foglalt szabályok közvetlenül válnak alkalmazandóvá valamennyi tagállamban a helyi szabályozással szemben is elsőbbséget élvezve, így hazánkban az Irányelvet követő Info tv.-vel szemben is. Ezért az adatkezelésre vonatkozó szabályoknak való megfelelőség során már hazánkban sem elsősorban az Info tv., hanem a GDPR szabályaiból kell kiindulni, amely szempontból lényeges még, hogy annak rendeleti jellege folytán mind a 28 tagállam területén ugyanazokat a normatív rendelkezéseket kell kötelezően alkalmazni 2018 május 25-től – jóllehet több helyen is nyitva hagyja részletszabályok kidolgozását a nemzeti szabályozás előtt.

A GDPR hatálya

A GDPR kiterjeszti területi hatályát és három fő pontba szedve meghatározza, hogy kiknek a tevékenységét szabályozza a rendelet:
– Ha az Unióban tevékenységi hellyel rendelkezik a vállalkozás, illetve személyes adatokat ehhez kapcsolódó tevékenységeivel összefüggésben kezel, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem, a vállalkozás a GDPR hatálya alá tartozik.
– Ha az Unióban tartózkodó érintettek személyes adatait az Unióban tevékenységi hellyel nem rendelkező vállalkozás kezeli, és az adatkezelési tevékenység
o az érintettek – Unión belül tanúsított – viselkedésének megfigyeléséhez kapcsolódik, vagy
o az áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért
a vállalkozásnak alkalmaznia kell a GDPR szabályait.
– Szintén alkalmaznia kell a nem az Unióban tevékenységi hellyel rendelkező vállalkozásnak a rendelet szabályait, amely személyes adatok kezelését olyan országban végzi, ahol a nemzetközi közjog alapján valamely Uniós tagállam joga alkalmazandó.

A GDPR által bevezetett új fogalmak

A GDPR a korábbi irányelvhez képest a személyes adatok körében új adatfajtákat definiál. Idetartozik a helymeghatározó adatonline azonosítógenetikai adat és a biometrikus adat. Mivel utóbbi kettő különleges adatnak minősül, az egészségügyi adatokkal együtt a tagállamoknak további korlátozó feltételek hatályban tartása engedélyezett a kezelésükre vonatkozóan.

A modern adatkezelés lehetőségét teremtik meg a profilalkotás és az álnevesítés fogalmai:

A profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
Az álnevesítés pedig a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

Külön jelentőségre tesz szert a GDPR alkalmazásában a tevékenyég helyétől külön álló, új fogalomként bevezetésre került ‘tevékenységi központ’ fogalma, amely kulcsfontosságú például az adatkezelő felügyeleti hatósága illetékességének meghatározásában.

A tevékenységi központ:

– az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; vagy
– az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak.

A GDPR által bevezetett új fogalmakkal kapcsolatos feladatok

Ha a vállalkozás kezel a személyes adatok körébe a GDPR által újonnan bevont adattípusokat, akkor azokra vonatkozóan az adatkezelést GDPR szabályai szerint kell végeznie.

A vállalkozásnak meg kell vizsgálnia, hogy adatkezelési tevékenysége profilalkotásnak, illetve álnevesítésnek minősül-e, mert ez esetben a GDPR szabályait kell tevékenységére alkalmazni.

Amennyiben a vállalkozás egynél több tagállamban rendelkezik tevékenységi hellyel, meg kell határoznia, mely tevékenységi helyén hozza meg a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket, mert így azt kell tekinteni – a GDPR alkalmazásában sok szempontból releváns – tevékenységi központnak.

GDPR cikksorozatunk 2. része

© 2018 Mihalics Ügyvédi Iroda