Tájékoztatás az Európai Unió új Általános Adatvédelmi Rendeletének (GDPR) szabályairól
2016. április 27. napján kihirdetésre került az EU új, 2016/679 számú Általános Adatvédelmi Rendelete (továbbiakban: a „Rendelet”), amely az eddig hatályos adatvédelmi szabályozáshoz képest jelentős változásokat tartalmaz. A Rendeletet 2018. május 25. napjától kell alkalmazni – ezen türelmi idő alatt minden adatkezelőnek és adatfeldolgozónak összhangba kell hoznia tevékenységét a Rendelet szabályaival, ellenkező esetben súlyos jogkövetkezményekre számíthatnak.
Az alábbi összefoglalónkban röviden bemutatjuk a Rendelet fontosabb szabályait, illetve a jelenleg hatályos szabályozáshoz képesti változásokat.
- A RENDELET ALKALMAZÁSI KÖRE
Tárgyi hatály
A Rendelet szabályait lényegében az olyan személyes adatok kezelésére vonatkozóan kell alkalmazni, amelyeket részben vagy egészben automatizált módon kezelnek. Ezen felül a Rendelet szabályai alkalmazandóak az olyan nem automatizáltmódon történő adatkezelésre, amely valamely nyilvántartási rendszer részét képezi, vagy amelyet egy nyilvántartási rendszer részévé kívánnak tenni. A Rendelet a személyes adat definiálására meglehetősen tág meghatározást alkalmaz, amely szerint személyes adatnak minősül minden olyan információ, amely azonosított vagy azonosítható természetes személyre („érintett”) vonatkozik.
Területi hatály
A Rendeletet főszabály szerint az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett adatkezelésekre kell alkalmazni, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
- AZ ADATKEZELÉS JOGSZERŰSÉGE
Adatkezelés jogalapja
A Rendelet szerint az adatkezelés kizárólag abban az esetben jogszerű, ha az alábbi feltételek közül legalább az egyik teljesül: a) az adatkezeléshez érintett személy hozzájárulását adta, b) az adatkezelés szerződés vagy jogi kötelezettség teljesítéséhez szükséges, c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelme miatt szükséges, e) az adatkezelés közérdeket szolgál, f) az adatkezelés az adatkezelőre ruházott közhatalmi jogosítványának gyakorlásával összefüggésben végzett feladat végrehajtásához szükséges; vagy g) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Az adatkezelés egyik leggyakrabban előforduló jogalapja az érintett hozzájárulása. A hozzájárulásnak főszabály szerint továbbra sem feltétele, hogy írásba foglalják, azonban az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, így javasolt, hogy az adatkezelő beszerezze a hozzájáruláson alapuló adatkezelés előtt az érintett írásbeli hozzájárulását. A hozzájárulásnak, önkéntesnek és visszavonhatónak kell lennie.
Elszámoltat- hatóság elve
Az elszámoltathatóság elve alapján az adatkezelő felelős az adatkezelés elveinek betartásáért, és ezt megfelelően igazolnia is tudnia kell. Ennek keretein belül adatkezelő köteles teljes körűen dokumentálni az adatkezelés jogszerűségét.
- AZ ÉRINTETT JOGAI
Tájékoztatás, helyesbítés, korlátozás, törlés
Azon személy, akinek személyes adatait kezelik, jogosult a kezelt személyes adatokról tájékoztatást kérni, illetve kérheti azok helyesbítését, valamint a Rendeletben meghatározott feltételek fennállása esetén a személyes adatainak törlését, valamint az adatkezelés korlátozását.
Automatizált adatkezelésen alapuló döntés hatálya
A Rendelet újonnan bevezetett szabályai alapján az érintett jogosult arra is, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul („profilalkotás”), és amely rá nézve joghatással jár vagy őt jelentős mértékben érinti (pl. online hitelkérelem automatikus elutasítása, online munkatoborzás).
Adathordoz-hatósághoz való jog
Az érintett jogosult arra, hogy a Rendeletben meghatározott feltételek fennállása esetén a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
- AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ KÖTELESSÉGEI
Adatkezelési tevékenységek nyilvántartása
Főszabály szerint az adatkezelők és az adatfeldolgozók az adatkezelési tevékenységükről kötelesek lesznek a Rendelet szerint előírt tartalommal belső adatvédelmi nyilvántartást vezetni. A Rendeletben meghatározott feltételek teljesülése esetén a 250 főnél kevesebb személyt foglalkoztató vállalkozások mentesülhetnek ezen kötelezettség alól
Adatvédelmi hatásvizsgálat
Abban az esetben, ha az adatkezelés vélelmezhetően magas kockázattal járna az érintett személyek jogaira nézve, úgy az adatkezelő köteles az adatkezelést megelőzően adatvédelmi hatásvizsgálatot végezni. Az adatvédelmi hatásvizsgálatnak ki kell terjednie arra, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Az adatvédelmi hatásvizsgálattal kapcsolatban a Rendelet akár az adatvédelmi hatósággal való kötelező egyeztetést is előírhatja.
Adatvédelmi Tisztviselő
Az adatkezelők, illetve az adatfeldolgozók kötelesek adatvédelmi tisztviselőt kijelölni, amennyiben fő tevékenységi köreik olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. Ezen felül adatvédelmi tisztviselőt kell kijelölnie a különleges adatokat (pl.: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok) kezelő szervezetnek is.
Tájékoztatási kötelezettség, adatvédelmi incidens
Az adatkezelőt az adatkezelés körülményeiről szigorú tájékoztatási kötelezettség terheli az érintett felé, amelynek nem teljesítése esetén az adatkezelés jogszerűtlennek minősülhet. A Rendelet egyik jelentős újítása, hogy adatvédelmi incidens bekövetkezése esetén azt az adatkezelő legkésőbb az incidens tudomására jutásától számított 72 órán belül köteles bejelenteni az adatvédelmi hatóságnál. A Rendelet alkalmazásában adatvédelmi incidensnek minősülnek az olyan esetek, amelyek a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezik.
Közös adatkezelés, Bírság
Amennyiben két vagy több szervezet közösen határozza meg az adatkezelés célját és módját, úgy közös adatkezelőknek minősülnek. A közös adatkezelők együtt határozzák meg, hogy milyen módon teljesítik az adatvédelmi kötelezettségeiket, ugyanakkor az érintett természetes személyek bármelyik adatkezelővel szemben gyakorolhatják jogaikat. Az adatvédelmi kötelezettségek megszegése esetén az adatkezelő, illetve az adatfeldolgozó súlyos bírságra számíthat. A bírság maximális összege 10.000.000 euró, vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-ának megfelelő összeg, míg súlyos jogsértés esetén ezek a határok 20.000.000 euróra, vagy a vállalkozás év teljes éves világpiaci forgalmának 4%-ának megfelelő összegre nőhetnek.
*
A fenti összefoglaló a figyelemfelkeltést szolgálja és nem tekinthető jogi tanácsadásnak.
Természetesen bármely kérdés esetén készséggel állunk rendelkezésre.