Irodánk a GDPR rendelkezéseinek  maradéktanul megfelelő adatvédelmi tájékoztató magas színvonalú elkészítését vállalja. További információért vegye fel a kapcsolatot velünk!

Alapelvek

A GDPR újrafogalmazza a személyes adatok kezelésével kapcsolatos legfontosabb alapelveket és egy passzusba foglalva gyűjti azokat.

Ezek a következők:

–       jogszerűség, tisztességes eljárás és átláthatóság elve,

–       célhoz kötöttség elve,

–       adattakarékosság elve,

–       pontosság elve,

–       korlátozott tárolhatóság elve,

–       integritás és bizalmas jelleg elve,

–       elszámoltathatóság elve.

Az elszámoltathatóság elve teljesen új alapelv, amely alapján az adatkezelőnek a jövőben nem csak az alapelvek tevékenysége során történő megtartását kell biztosítania, de képesnek kell lennie az alapelveknek való megfelelés igazolására is, vagyis elszámoltatható az alapelvek megtartását illetőleg. Szorosan összekapcsolódik a szintén újonnan bevezetett tanúsítás intézményével.

A vállalkozásoknak a jövőben meg kell vizsgálniuk az adatkezelési gyakorlatukat és az újrafogalmazott alapelvekkel összhangban kell a megfelelő módosításokat elvégezniük. Az elszámoltathatóság elvének való megfelelés érdekében a vállalkozásoknak megfelelő adatvédelmi és adatkezelési dokumentációt kell készíteniük. Ez a gyakorlatban belső szabályzatok, iránymutatások és adatkezelési rendszerek megalkotását, valamint írásba foglalását jelenti.

Az adatkezelés jogszerűsége

Segítséget nyújt a rendelet az adatkezelés jogszerűségének taxatív felsorolásával. A rendelet szerint a személyes adatok kezelése akkor és annyiban jogszerű, amennyiben az alábbiak egyike teljesül:

a)     az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)    az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)     az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)    az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)    az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f)      az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A rendelet a tagállamok részére teret enged az adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, hogy a c) és e) pontoknak történő megfelelés céljából konkrét rendelkezéseket vezessenek be vagy tartsanak fenn. Ennek megfelelően az adatkezelés jogszerűségére vonatkozóan a jövőben érdemes lesz megvizsgálnunk hazai jogalkotónk tevékenységét is.

A hozzájárulás feltételei

A hozzájáruláson alapuló adatkezelés esetén az adatkezelőnek képesnek kell lennie arra, hogy igazolni tudja, az érintett személyes adatainak kezeléséhez hozzájárult. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretéven adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely része, amely sérti a GDPR rendelkezéseit, nem bír kötelező erővel.

A GDPR feljogosítja az érintettet, hogy hozzájárulását bármikor visszavonja, amelyet ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. A hozzájárulás visszavonása azonban nem érinti a hozzájáruláson alapuló, visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt erről az érintettet tájékoztatni kell.

A hozzájárulás önkéntességének megállapítása során figyelembe kell venni többek között, hogy a szerződés teljesítésének feltétele-e az olyan személyes adatok kezeléséhez való hozzájárulás, amelyek nem szükségesek a szerződés teljesítéséhez.

A gyermek hozzájárulására vonatkozó feltételek

A GDPR fontos újítása a hozzájárulás terén, hogy kitért a gyermekek által adható hozzájárulásra is. Az adatok kezelése a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában akkor jogszerű, ha az ahhoz hozzájárulását adó gyermek a 16. életévét betöltötte. Alacsonyabb életkor vonatkozásában az adatkezelés csak akkor jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló személy adta meg, illetve engedélyezte. A tagállamok a fenti célokból alacsonyabb, azonban 13. életévnél nem alacsonyabb életkort is megállapíthatnak.

Az adatkezelőnek ésszerű erőfeszítéseket kell tennie a hozzájárulás szülői felügyeleti jogot gyakorló személy által történő megadásának ellenőrzése érdekében. A szerződések érvényességének megtámadását azonban nem lehet a GDPR szerinti nem megfelelő hozzájárulásra alapítani, tehát a tagállami szerződéses jogot a GDPR kifejezett rendelkezése alapján ezen szabályok nem érintik.

Milyen teendők vannak a hozzájárulás megváltozott szabályait illetően?

Amint az fent említésre került, a gyermek hozzájárulásával kapcsolatban a GDPR a jogalkotóra bízza, hogy a rendeletben megadott 16. éves korhatárt lejjebb kívánja-e vinni 13. évre. Azonban ezt a jogalkotói tevékenységet érdemes az adatkezelőknek figyelemmel kísérniük, hiszen kiskorúak számára nyújtott szolgáltatásokkal összefüggésben történő adatkezelés jogszerűségéhez fontos ismerni, hogy az érintett jogosult-e önálló hozzájárulását adni vagy az adatok kezeléséhez szülői felügyeletet gyakorló személy hozzájárulása szükséges.

Az adatkezelést végző vállalkozásoknak ezen felül ki kell alakítaniuk egy olyan jogi- és technológiai rendszert a hozzájárulás-kérési gyakorlatuk vonatkozásában, amely révén a hozzájárulás megadását a vállalkozás később is igazolni tudja majd, továbbá lehetővé kell tenni, hogy az érintettek ugyanolyan egyszerűen visszavonhassák a hozzájárulásukat, mint ahogyan azt megadták.

A hozzájárulásnak önkéntesnek kell lennie, így azt nem kérheti a vállalkozás a szerződés teljesítésének feltételeként.

Végül, de nem utolsó sorban pedig a vállalkozásoknak ki kell alakítaniuk olyan biztonsági mechanizmusokat, amelyek keretében ellenőrizni tudják, hogy a gyermek úgy adta meg a hozzájárulást adatai kezeléséhez, hogy arra – életkora folytán – ő jogosult, vagy a – 13. életév alatti gyermekek esetében – hozzájárulás szülői felügyeleti jogot gyakorló személy engedélyéhez van kötve és a hozzájárulást ezen személy tette meg.

Az elfeledtetéshez való jog a GDPR tükrében

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a GDPR-ban meghatározott indokok valamelyike fennáll. Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt a rendeletben felsorolt indokok alapján törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie minden ésszerűen elvárható lépést – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az elfeledtetéshez való jog kialakuláshoz vezető út

Az adatkezeléssel érintett alanyokat szélesebb körű jogosítványaik között megilleti – a rendelet által már kifejezetten nevesített – ún. elfeledtetéshez való jog, amelyet eddig csak az Európai Unió Bírósága C-131/12. (Google-ítélet) számú ügyében a törléshez való joggal kapcsolatosan fogalmazott meg. Az internethasználattal megjelenő kihívásokkal összhangban vált indokolttá, hogy a rendelet a bírói esetjogot normaszövegbe emelte, amely új jogintézmény a személyes adatok végleges, vissza nem állítható, teljes, az internet egészére kiterjedő törlését célozza.

A fent említett „Google-ítélet” előzményeként a spanyol M. Costeja Gonzales panaszt nyújtott be a spanyol adatvédelmi ügynökséghez, mert nevét tartalmazta egy társadalombiztosítási adótartozás behajtására irányuló lefoglalással kapcsolatos ingatlan-árveréssel összefüggésben említő cikk az egyik Spanyolországban működő napilapban. A panasz a napilap kiadója ellen, illetve a Google Spain és Google Inc. ellen irányult. Gonzales a panaszában azt kérte, hogy kötelezzék a kiadót arra, hogy törölje vagy módosítsa a közleményt oly módon, hogy személyes adatai ne jelenjenek meg. A Google-t pedig azért említette panaszában, hogy ezek az adatok ne jelenjenek meg a keresési találatok között és ne kapcsolódjanak a kiadó linkjeihez, mivel az őt érintő lefoglalás már több éve teljesen rendeződött, emiatt az már nem releváns, számára azonban kárt okoz. Az adatvédelmi ügynökség a kiadó tekintetében elutasította a panaszt, a Google vonatkozásában azonban helyt adott, hogy a keresőmotorok működtetői adatkezelést végeznek, mivel az információs társadalom közvetítőiként tevékenykednek, s így adatkezelőnek minősülnek. A Google keresetet indított az adatvédelmi ügynökség határozata ellen a Spanyol legfelsőbb bíróság előtt, amely előzetes döntéshozatali eljárás keretében azt a kérdést tette fel az Európai Unió Bíróságának, hogy milyen kötelezettségek terhelik a keresőmotorok működtetőit azon érintett személyek adatainak védelmében, akik nem kívánják, hogy korlátozás nélkül hozzáférhetőé tegyék az internetfelhasználók számára harmadik fél honlapján megjelenő adataikat, illetve a Google egyáltalán adatkezelőnek minősül-e.

Az Európai Unió Bírósága szerint mivel a keresőmotorok tevékenysége alkalmas arra, hogy jelentősen érintse a magánélethez fűződő alapvető személyes jogot, a keresőmotor működtetője adatkezelőként egyértelműen felelős azok védelméért. Fontosnak tartja azonban megkülönböztetni a keresőmotorok által végzett személyesadat-kezelést a honlapszerkesztők által végzett adatkezeléstől. Mivel a keresőmotor üzemeltetője a találati listák megjelenítésével a személyes adatok terjesztését végzi, őt nagyobb felelősség terheli a tekintetben, hogy a személyes adatok védelméhez fűződő jogok érvényre juttatását biztosítsa.

Esetünkben tehát Gonzales azzal, hogy kérte személyes adatainak törlését a személyes adatok védelméhez fűződő jog szembekerült az információszabadsághoz és a vélemény nyilvánításhoz fűződő joggal. Fontos hangsúlyozni ezért, hogy az elfeledtetéshez fűződő jog sem abszolút jog, ezért szükséges megteremteni az egyensúlyt az alapjogokkal szemben.

Főszabály szerint az érintettet megillető adatvédelmi jogok megelőzik a tájékoztatáshoz való jogot, ez azonban egyes egyedi esetekben az információ kérdéses jellegétől, illetve attól is függhet, hogy az információ mennyire érzékeny az érintett személy magánélete szempontjából, hogy a nyilvánosságnak milyen érdeke fűződik az ilyen információ megszerzéséhez. Az Európai Unió Bírósága tehát nem emelte az elfeledtetéshez fűződő jogot „szuperjoggá”, amely felülírna olyan alapvető jogokat, mint a véleménynyilvánítás szabadsága, tájékoztatáshoz való jog vagy az információszabadság.

Ennek megfelelően a GDPR maga is megteremti ezt az egyensúlyt és pontosan meghatározza az elfeledtetéshez való jog korlátait.

Az Európai Unió Bíróságának ítélete – ahogy később várhatóan a GDPR alapján kialakuló joggyakorlat is – tükrözi a törekvést az egyensúly megteremtésére: a Bíróság elrendelte a spanyol Gonzalesre vonatkozó információhoz való könnyű hozzáférés törlését, azonban az archivált napilap megváltoztatását elutasította. Ez az intézkedés épp elég volt ahhoz, hogy a spanyol állampolgár magánélete védelemben részesülhessen.

Miben újítja meg a törléshez való jogot a GDPR?

A törléshez való jogot a korábbi irányelv is tartalmazta, azonban igazi normatív tartalmat kifejezetten a rendelet adott neki. Az irányelv alapján a törléshez való jogot tartalmazó Info tv. és a GDPR szabályozásának összehasonlítása során a törlés alapját képező indokok alapvetően nem változtak, azon kívül, hogy utóbbi kifejezetten nevesíti a Google ítéletben használt elfeledtetéshez való jogot, csupán az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatos adatkezeléssel bővült ki.

Miért tekinthető mégis újításnak az elfeledtetéshez való jog írásba foglalása?

• Azért, mert a Rendelet extraterritoriális hatálya biztosítja, hogy a szabályai nem uniós adatkezelőkre vonatkozóan is alkalmazásra kerüljenek, ha uniós polgárok adatait kezelik, attól függetlenül, hogy az adatkezelő szervere hol található. Ennek megfelelően nem mentesülnek az elfeledtetéshez való jog hatálya alól az Egyesült Államokban székhellyel rendelkező adatkezelők sem (pl. keresőmotorok), akik korábban tipikusan mentesültek az Európai szabályozás hatálya alól.
• Továbbá megfordítja a bizonyítási terhet: az adatkezelő vállalkozásnak kell bizonyítania, hogy az adatra még szükség van, az még releváns és ezért nem lehet törölni – könnyebb helyzetbe hozva ezzel az érintett alanyokat.
• A kötelezettséget teremt az adatkezelő számára, hogy megtegye a szükséges intézkedéseket arra vonatkozóan, hogy harmadik személyeket informálja az adatkezelés tényéről. A GDPR hatályba lépése előtt ugyanis az adatkezelés alanyának joga volt kérni, hogy az adatkezelő értesítse az adatokról tudomást szerző harmadik feleket a törlés tényéről, a rendelet hatályba lépése után azonban már az adatkezelőnek kötelezettsége lesz az ésszerűen elvárható lépéseket megtenni arra vonatkozóan, hogy az adatokra mutatkozó linkeket vagy személyes adatok másolatát töröljék.
• Végül a magasabb bírságok is nagyobb ösztönző erővel hathatnak az adatkezelőkre, hogy a jogellenes adatkezelést megszüntessék.