Milyen kötelezettségekkel jár a GDPR?

Az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete („GDPR” vagy „Rendelet”) 2016. május 25-én lépett hatályba, rendelkezéseit a kétéves felkészülési időszakot követően, 2018. május 25-től kell alkalmazni. A GDPR, mint számos szakértői anyagból már kiderült, jelentős változásokat hoz. Az unió egész területén egységes adatvédelmi szabályozást alakít ki, és rendelkezései közvetlenül alkalmazandók valamennyi tagállamban. De mivel jár mindez ez pontosan?

Kíváncsi rá, hogyan befolyásolják a világpolitikai viharok az Ön pénztárcáját?
Csatlakozzon azokhoz, akik nemcsak figyelik,
hanem értik is, mi történik a világban - és a tőkepiacokon!

Klasszis Befektetői Klub

2025. május 27. 17:00, Budapest

Részletek és jelentkezés

dr. Párkányi Rita

A GDPR egyik kiemelkedő újdonsága, hogy bevezeti az adatvédelmi tisztviselő jogintézményét, amely felváltja a jelenleg hatályos ún. belső adatvédelmi felelősi pozíciót. A jogalkotói cél egy szélesebb körű feladatokkal és nagyobb felelősséggel rendelkező, független pozíció kialakítása, melynek rendeltetése a cégen belüli adatbiztonsági követelmények és az érintettek jogainak a megerősítése és minél magasabb szintű érvényesülésének biztosítása. A szabályokat dr. Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere ismerteti.

  1. Az adatvédelmi tisztviselő kötelező kijelölése
A GDPR szerint az adatkezelő és az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni minden olyan esetben, amikor:

a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek (ez utóbbiak közé tartoznak például a közlekedési, vízmű-, energetikai és útfenntartó vállalatok, közszolgálati műsorszolgáltatók) végzik (kivéve a bíróságokat);

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A fenti három kategóriából a középső szorul a legtöbb magyarázatra. Az adatkezelő/adatfeldolgozó főtevékenysége alatt alapvetően azt a tevékenységet kell érteni, amely az adatkezelő vagy adatfeldolgozó céljainak eléréséhez szükséges. Azonban az adatkezelés nemcsak úgy kapcsolódhat a főtevékenységhez, hogy a tevékenység kifejezetten erre irányul, hanem úgy is, ha az a főtevékenység végzéséhez elengedhetetlenül szükséges (például a kórházak főtevékenységének minősül az is, hogy az egészségügyi tevékenység végzéséhez betegadatokat kezelnek).

Valamennyi cég kezel adatokat a munkavállalói tekintetében; így különösen a bérek kifizetése vagy az informatikai szolgáltatások biztosítása kapcsán. Ezek elengedhetetlenül szükségesek a vállalkozás fő tevékenységének a végzéséhez, azonban „kisegítő” funkciónak tekinthetőek, és nem főtevékenységnek, ezért az ilyen adatkezelés nem teszi kötelezővé az adatvédelmi tisztviselő kinevezését.

Az adatvédelmi tisztviselő kijelölésének kötelezettsége alá eső adatkezelés másik kritériuma az érintettek nagymértékű megfigyelésének szükségessége. Pontos számadattal nem határozható meg, hogy mely adatkezelés tekinthető nagymértékűnek. Helyette különböző szempontokat kell figyelembe venni az adott adatkezelési művelet volumenének vizsgálatakor (így különösen az érintett adatalanyok számát, a kezelt adatok mennyiségét és típusát, az adatkezelés idejét, állandóságát; az adatkezeléssel érintett földrajzi terület nagyságát).

Az alábbi esetekben az adatkezelés általában „nagymértékűnek” minősül:

  • egészségügyi intézmények, kórházak esetében a páciensek adatainak kezelése;
  • tömegközlekedési vállalatok esetében az utasok utazási adatainak kezelése (például a bérlet használata alapján);j
  • geolokációs technológiát alkalmazók (pl. gyorsétterem-lánc statisztikai célú adatkezelése);
  • bankok és biztosítók ügyfeleinek adatkezelése;
  • viselkedés alapú reklámozást alkalmazók, valamint
  • telefon- és internetszolgáltatók adatkezelése (tartalom, forgalom, helyszín).
A harmadik kritérium végezetül az érintettek rendszeres és szisztematikus megfigyelésének szükségessége. Rendszeresnek tekinthető a megfigyelés, ha az folyamatos, vagy meghatározott időpontokban ismétlődik. Szisztematikusnak pedig akkor minősül, ha az rendszerezetten, előre megszervezetten fordul elő, illetve ha egy terv vagy stratégia részeként történik.

„Rendszeres és szisztematikus megfigyelésnek tekinthető különösen az adatalanyok viselkedésének nyomon követése és profilalkotása az interneten, valamint a viselkedés alapú reklámok. Fontos azonban kiemelni, hogy a megfigyelés értelmezése nem korlátozódik kizárólag az online környezetre, az inkább csak egy kiemelt esetkörnek tekinthető. A rendszeres és szisztematikus megfigyelések körébe esnek jellemzően a távközlési szolgáltatások, a retargeting szolgáltatások, az adat alapú marketingtevékenységek, a kockázatelemző rendszerek működtetése (pl. hitelképesség elbírálása, visszaélés-megelőzési és pénzmosás-figyelő rendszerek), a lokációfigyelés, a hűségprogramok, az egészségügyi állapot megfigyelése, valamint az összekapcsolt rendszerek (pl. okos mérők, okos otthonok és közlekedési eszközök)” – tájékoztat a KCG Partners ügyvédje.

Ha az adatkezelő/adtafeldolgozó a fentiek alapján nem köteles adatvédelmi tisztviselőt kijelölni, akkor célszerű ezt dokumentálni. Ennek indoka, hogy a későbbiekben az elszámoltathatóság jegyében az adatkezelő/adatfeldolgozó a hivatal felé bizonyítani tudja, hogy a Rendelet szerinti szempontokat figyelembe véve állapították meg, hogy nem kötelesek adatvédelmi tisztviselőt kijelölni.

A szervezetek természetesen önkéntes alapon is jelölhetnek adatvédelmi tisztviselőt, akik nagyban segíthetik a GDPR alkalmazására való felkészülést. A szervezetek természetesen alkalmazhatnak külön külső szakértőket, akik tanácsadóként járnak el, ekkor azonban egyértelműen meg kell jelölni, hogy ők nem adatvédelmi tisztviselők.

A vállalkozáscsoportok közös adatvédelmi tisztviselőt is kijelölhetnek, feltéve, hogy az minden vállalkozás számára könnyen elérhető és megközelíthető. A hozzáférhetőség jelenti azt, hogy az adatvédelmi tisztviselőnek kapcsolattartónak kell lennie nemcsak a felügyeleti hatóság irányába, hanem a vállalatcsoporton belül is.

  1. Az adatvédelmi tisztviselő feladatai és jogállása
Az adatvédelmi tisztviselő különösen az alábbi feladatokat látja el:
  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó részére adatvédelmi kérdésekben;
  • ellenőrzi az adatvédelmi jogszabályoknak, valamint az adatkezelő/adatfeldolgozó belső szabályainak való megfelelést;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi annak elvégzését;
  • együttműködik és tarja a kapcsolatot a felügyeleti hatósággal.
Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, de szolgáltatási szerződés alapján külső személy vagy szervezet is elláthatja e feladatokat.

Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szüksége szakértelemmel. A szakértői ismeretek szükséges szintjét az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján, egyedileg kell megállapítani; figyelembe véve az adott adatkezelési folyamatokat, azok komplexitását és mennyiségét.

Ha nem módosul a törvénytervezet, versenyhátrányt jelenthet a GDPR bevezetése
Az Igazságügyi Minisztérium 2017. augusztus 29-én bocsátotta társadalmi egyeztetésre a jelenlegi magyar adatvédelmi törvény, azaz az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) módosításáról szóló tervezetét. A módosítást az indokolja, hogy a magyar adatvédelmi jogot, így többek között az Infotv.-t is összhangba kell hozni az EU általános adatvédelmi rendeletével (GDPR). Mivel 2018. május 25-étől a GDPR közvetlenül alkalmazandó lesz az EU tagállamaiban, így Magyarországon is, ezért az Infotv. adatvédelmi rendelkezéseinek jelentős része feleslegessé válik.
Az adatvédelmi tisztviselő feladatai ellátása körében nem utasítható. Nem kaphat instrukciót arra vonatkozóan, hogy a feladatait hogyan végezze, milyen eredményt kell elérnie, hogyan vizsgáljon meg egy panaszt, mikor kell konzultálnia a hatósággal, valamint nem lehet rá hatást gyakorolni arra vonatkozóan sem, hogy egy bizonyos adatvédelmi problémát hogyan értelmezzen. Egyúttal biztosítani kell, hogy különvéleményét a legfelső vezetésnek kifejthesse, amennyiben az adatkezelő vagy -feldolgozó nem kívánja figyelembe venni szakmai véleményét.

Szintén az adatvédelmi tisztviselő függetlenségét hivatott biztosítani a rá vonatkozó speciális felmondási védelem (ha munkavállalóról van szó). Ugyanis a törvényben meghatározott feladatai ellátásával összefüggésben nem bocsátható el, és nem lehet büntetésben részesíteni (sem közvetlen, sem közvetett módon, például előléptetés, karrierfokozat, prémium elmaradásával).

Az önellenőrzés és az önfelügyelet összeférhetetlen az adatvédelmi tisztviselői státusszal. Ez azt jelenti, hogy nem lehet adatvédelmi tisztviselő az a személy, akinek a szervezeten belüli egyéb feladatai miatt saját maga ellenőrzését kellene ellátnia. Továbbá az adatvédelmi tisztviselő nem tölthet be a szervezeten belül olyan pozíciót, amelyekben az adatkezeléssel kapcsolatban döntéseket hozhat; így különösen meghatározhatja az adatkezelés célját és eszközeit.

„Következésképp, álláspontunk szerint – megfelelő garanciák nélkül – az adatvédelmi tisztviselői funkcióval összeférhetetlenséget eredményeznek a széles hatáskörű felső vezetői pozíciók (pl. vezérigazgatói, jogi, pénzügyi, marketing, HR-, IT igazgatói pozíciók), de a szervezet alacsonyabb szintjein elhelyezkedő olyan pozíciók is, amelyek az adatkezelési folyamatok meghatározásában szerepet kaphatnak” – zárja dr. Párkányi Rita.

Adatvédelem Adatvédelmi felelős Adatvédelmi tisztviselő Gdpr Jogi kisokos

Véleményvezér

A Harcosok Klubja regény szerzője ukrán származású, vállaltan meleg és LMBTQ szimpatizáns

A Harcosok Klubja regény szerzője ukrán származású, vállaltan meleg és LMBTQ szimpatizáns 

Nem olcsó mulatság az adófizetőknek a Harcosok Klubja.
Elsöprő többség támogatja Magyarország uniós tagságát

Elsöprő többség támogatja Magyarország uniós tagságát 

A putyinista Orbán Viktor hatalmas kisebbségben van az uniós tagság kérdését illetően.
A békepárti Fidesz rendhagyó harci napot tartott óvodásoknak

A békepárti Fidesz rendhagyó harci napot tartott óvodásoknak 

Óvodások gázálarcban, ennél már szebb nem is lehet.
A szuverenitásvédelmi törvénytervezet minden vállalkozást fenyeget

A szuverenitásvédelmi törvénytervezet minden vállalkozást fenyeget 

A Fidesz lebontaná a jogállamot.
Amikor a Szuverenitásvédelmi Hivatal vezetője pislog, mint hal a szatyorban

Amikor a Szuverenitásvédelmi Hivatal vezetője pislog, mint hal a szatyorban 

Egyoldalú Szuverenitásvédelmi Hivatal.
Nőket abuzáló, korrupt politikust jelölt a Fidesz alkotmánybírónak

Nőket abuzáló, korrupt politikust jelölt a Fidesz alkotmánybírónak 

Az alkotmánybíróság lassan olyan lesz, mint egy fideszes menhely kivénhedt politikusainak.

TOP24 mfor

Érkeznek a Wizz Air új gépei – mérföldkőhöz ért a légitársaság 

A TV2 úgy őrzi vezető helyét, mint a magyar mennydörgő az aranytojást 

Nyugdíjkatasztrófa vár a magyarok egy részére 

Történelmi fogása volt a NAV-nak, ilyet még sosem láttak Magyarországon 

Most Erdélyben írt ki önmagának pályázatot az Erzsébet Alapítvány 

TOP24 privátbankár

A nap képe: villámgyorsan lecserélték a zászlót Orbán Viktorék mellett 

Újabb lemondást jelentett be a bukott román miniszterelnök 

Nőnek a magyar bérek, de van egy komoly bökkenő  

Zelenszkij fontos bejelentést tett 

Putyin nem lesz boldog – kellemetlen hírt küldött Európa 

Info & tech

Elakadt az önvezető autók forradalma, pedig 10 balesetből 9 emberi hibából következik

Elakadt az önvezető autók forradalma, pedig 10 balesetből 9 emberi hibából következik 

Egy erős jelszó már nem véd meg az interneten?

Egy erős jelszó már nem véd meg az interneten? 

Lehull a lepel, mit gondolnak a magyarok a mesterséges intelligenciáról

Lehull a lepel, mit gondolnak a magyarok a mesterséges intelligenciáról 

Mégsem lélegezhetnek fel a vállalkozások?

Új világ kezdődött az exportőröknél

Inspiráló vezetők és AI – új fejezet a biztosítási iparágban

Cégvezetés & irányítás

Nem mertek szigorítani a home office-on a munkáltatók

Nem mertek szigorítani a home office-on a munkáltatók  

Hamarosan minden kollégája megtudhatja, mennyit keres

Hamarosan minden kollégája megtudhatja, mennyit keres  

Fontos változás jön a cégek energiaszámláiban

Fontos változás jön a cégek energiaszámláiban  

Bezuhant az autóiparban dolgozó kölcsönzött munkavállalók száma

Elképesztően nő a banki követeléskezelés szerepe a magyar gazdaságban

Repülőrajt helyett tovább csökkent a társas vállalkozások száma

Piac & marketing

Egy korszak vége: lecserélik a vonalkódokat

Egy korszak vége: lecserélik a vonalkódokat 

Olyat újított a Spar, amit garantáltan minden vevő észrevesz

Olyat újított a Spar, amit garantáltan minden vevő észrevesz  

Brutális vám jön a műanyagokra, az EU-sem menekülhet Kína keménykedésétől

Brutális vám jön a műanyagokra, az EU-sem menekülhet Kína keménykedésétől  

Képtelenség letaszítani a trónról: megint ez lett a legértékesebb márka Kínában

Terjednek a sötét mintázatok – és gyakoribb ellenük a hatósági fellépés is

Megfigyelte az embereket a Google

Magyar Brands, Superbrands, Bisnode, Zero CO2 logo