GDPR – Mire számítsunk az új európai adatvédelmi szabályozás kapcsán? (1. rész)

Szinte minden e-kereskedelmi piaci szereplő értesült már arról, hogy az Európai Unió egységesítette az adatvédelmi és adatkezelési szabályokat, de mit is jelent ez a gyakorlatban? Kétrészes cikkünkben bemutatjuk, hogy milyen jogokkal rendelkeznek az érintettek adatkezelésük kapcsán, és milyen kötelezettségei lesznek az adatkezelőknek illetve az adatfeldolgozóknak.

Figyelem:Az alábbi cikk nem minősül hivatalos jogi állásfoglalásnak. Minden adatkezelő saját maga kell, hogy felülvizsgálja saját adatkezelési gyakorlatának jogszerűségét szakemberek segítségével. A GDPR szabályozás bár közvetlenül alkalmazandó, a magyar jogi előírások végleges formája némileg eltérő rendelkezéseket fogalmazhat meg 2018. május 25-ig.

Mi volt az Európai Unió célja az új, egységes európai adatvédelmi szabályozás megalkotásával?

Az eddig érvényben lévő szabályozás nem felelt már meg a rohamosan fejlődő online környezetnek, hiszen több mint húsz évvel ezelőtt alkották meg, éppen ezért a felelős szakemberek elérkezettnek látták az időt egy új, modern adatvédelmi jogszabály megalkotására.

Fontos szempontként számoltak azzal, hogy növeljék a magánszemélyek online szolgáltatásokba vetett bizalmát, ezzel is elősegítve az iparág további dinamikus fejlődését. Ehhez pedig szükség volt egy átláthatóbb, egységesebb adatvédelmi szabályozásra, hogy az online szolgáltatást felhasználók vagy online vásárlók könnyebben tájékozódhassanak megadott adataik további sorsáról.

Mikor lép életbe és pontosan kiket érint a GDPR?

A GDPR (General Data Protection Regulation) már jelenleg is hatályban van, alkalmazni azonban csak 2018.05.25-től kezdik, vagyis akkor lesznek gyakorlatban is érvényesek a szabályok. Addig maradt időnk felkészíteni az adatkezelésünket, hogy megfeleljen a GDPR által támasztott elvárásoknak.

Az adatvédelmi szabályozás mindenkire érvényes, aki Európai Uniós polgárok adatait kezeli, attól függetlenül, hogy milyen székhelyű vállalatról van szó. Ez azt jelenti, hogy az Európán kívül székelő vállalatok éppúgy érintettek a módosításokban, mint a hazai KKV szektor; ugyanúgy kötelesek megfelelni az előírásoknak.

Hogyan kell tájékoztatni az érintettet az adatkezelés megkezdéséről, hogy megfeleljünk a GDPR szabályainak?

A jelenleg hatályban lévő törvényünk is megköveteli az érintett hozzájárulását az adatok kezeléséhez. Ezen az elven a GDPR sem fog változtatni, de szigorúbb lesz a szabályozása. A hozzájárulás feltételei tekintetében kimondja: a hozzájárulás az érintett akaratának önkéntes, konkrét és egyértelmű kinyilvánításával lehetséges, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ez azt jelenti, hogy a személynek tevékenynek kell lennie, vagyis nem szabályos a „hallgatás  = beleegyezés” forma, illetve az előre kipipált „hozzájárulok” felirattal ellátott jelölőnégyzet sem.

Az adatkezelés tényéről és céljáról az érintettet megilleti a tájékoztatáshoz való jog. Előzetesen, vagyis az adatkezelés megkezdése előtt és az adatkezelés során, egészen annak megszűnéséig lehetőséget kell biztosítani az adatalanynak, hogy információt kapjon az adatkezelés módjáról. Az átláthatóság elve miatt a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatásnak, tömörnek és könnyen hozzáférhetőnek kell lennie.

Mit jelenet az új európai adatvédelmi szabályozás keretein belül az „elfelejtéshez való jog”?

Adataink módosítására, törlésére eddig is lehetőségünk volt, így ez nem újdonság. A rendelet viszont kibővíti ezt egy nagyon fontos rendelkezéssel, amely szerint, ha az adatkezelő nyilvánosságra hozta a személyes adatokat, de az érintett bármilyen okból a törlését kéri, akkor az adatkezelő köteles minden ésszerűen elvárható (az elérhető technológiát és a megvalósítás költségeit figyelembe vevő) lépést megtenni annak érdekében, hogy az érintett szóban forgó személyes adatait és annak minden másodpéldányát, illetve a rá mutató hivatkozásokat is véglegesen törölje.

Azonban fontos megjegyezni, hogy az „elfelejtéshez való jog” alól kivételt képez az az eset, amikor az adatkezelő eltérő jogalappal is rendelkezik az adatok feldolgozására, kezelésére. Ha az adatkezelő bizonyítani tudja, hogy jogos érdeke elsőbbséget élvez, az érintett személy kifogása ellenére is folytathatja a tevékenységét.

Mit jelent az automatizált döntéshozatal elleni tiltakozás lehetősége?

Az új egységes európai adatvédelmi szabályozás alapján az érintett jogosult arra is, hogy a kizárólag automatizált adatkezelésen, a rá vonatkozó személyes jellemzők kiértékelésén alapuló döntés hatálya ne terjedjen ki rá (pl.: online hitelelbírálás/munkaerőtoborzás). Ilyen adatkezelésnek minősül a „profilalkotás” is, különös tekintettel az érintett munkahelyi teljesítményére, anyagi helyzetére, egészségi állapotára, személyes preferenciáira, érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére, illetve helyváltoztatásai elemzésére és előrejelzésére.

Ezt a típusú adatkezelést csakis megfelelő garancia mellett végezhetjük, melybe beletartozik az érintett külön tájékoztatása és ahhoz való joga, hogy magyarázatot kérjen és kapjon az ilyen értékelés alapján hozott döntésről és az is, hogy megtámadja a döntést.

Mi a teendő adatvédelmi incidens esetén?

A jelenleg hatályban lévő szabályozás nyilvántartás-vezetési kötelezettséget állapít meg, ez a GDPR esetében bejelentési kötelezettséggé módosul. Ha tudomásunkra jutott személyes adat jogellenes kezelése vagy feldolgozása, akkor indokolatlan késedelem nélkül – ha lehetséges 72 órán belül – kötelességünk bejelenteni a felügyelő hatóság (NAIH) felé. Kivételt képeznek a bejelentés alól azok az esetek, amikor az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve.

Hamarosan érkező második részben folytatjuk az érintettek jogainak és az adatkezelők kötelességeinek bemutatását, illetve felvázolunk pár lehetőséget arra, hogy hogyan tudunk felkészülni a GDPR által támasztott elvárásoknak.