Mennyiben szigorodik a személyes adatok kezelése a GDPR miatt?

Az EU új adatvédelmi rendelete, a GDPR idén május 25-től közvetlenül alkalmazandó az EU tagállamokban, így Magyarországon is és alapvetően változik a legfontosabb terület, a személyes adatok kezelése.

Az EU új adatvédelmi rendelete, a GDPR idén május 25-től közvetlenül alkalmazandó az EU tagállamokban, így Magyarországon is – függetlenül attól, hogy az adatvédelmet szabályozó magyar jogszabály, az Infotörvény vagy a szektorális jogszabályok módosítása még nem született meg. A GDPR alkalmazása egyúttal azt is jelenti, hogy – függetlenül a magyar jogalkotás lemaradásától – aki ezen időpontig adatkezelését nem hangolja össze a GDPR-ral, akár 20 millió eurós vagy (vállalkozások esetében) az előző pénzügyi év teljes világpiaci forgalmának 4%-áig terjedő bírsággal is sújtható.

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.
Az adatkezeléssel kapcsolatos kötelezettségek az adatkezelőket terhelik. Adatkezelő lehet bármely természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Ennek megfelelően adatkezelőnek minősül tehát mindenki, aki az általa meghatározott célok alapján és eszközökkel mások személyes adatait kezeli. A meghatározásból jól látszik, a személyek és szervezetek igen széles köre köteles betartani a GDPR szabályait.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Kép: Pixabay

A GDPR megértéséhez, a kötelezettségek teljesítéséhez szem előtt kell tartani a legfontosabb alapelveket. Személyes adatot csak célhoz kötötten, meghatározott, egyértelmű és jogszerű célból lehet kezelni. Az adattakarékosság elvét szem előtt tartva, a személyes adatok kezelésének a szükségesre kell korlátozódniuk. Ez más megközelítésből az ún. készletező adatgyűjtés tilalma, amelyet az adatvédelmi hatóság akár az adatok törlésére kötelezéssel és bírsággal is szankcionálhat. Ha tehát egy vállalkozás olyan személyes adatokat is kezel, amelyek az adatkezelés szempontjából nem indokoltak, úgy az általa folytatott adatkezelés jogellenes, és az eset körülményeinek függvényében bírságolást vonhat magával. A GDPR egyik legfőbb újdonsága az alapelvek szintjén mégis az elszámoltathatóság, amely gyakorlatilag az adatkezelőkre telepíti a GDPR elveinek való megfelelés igazolhatóságát.

GDPR: közeledik az igazság pillanata
Nagyon vegyes a kép a vállalatoknál az uniós adatvédelmi szabályokra történő felkészülésben, hiszen sok cég még meg sem kezdte a felkészülést, a határidő pedig már a nyakunkon van – hívta fel a figyelmet Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője.
Főszabály szerint a GDPR csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé az adatkezelést. Némi mozgásteret mégis kap az adatkezelő a korlátozott tárolhatóság kapcsán: megfelelő technikai és szervezési intézkedések mellett a feltétlenül szükségesnél tovább tárolhat adatokat, ha a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor. Ezt azonban mindenképp az érdekek mérlegelésével kell megállapítani, szembeállítva az adatkezelő érdekeit az érintettek jogaival. Ez tehát esetenként, a konkrét feltételek ismeretében vizsgálandó.

A dokumentum- és iratkezelés – akár digitális, akár papíralapú iratok kezeléséről legyen szó – a GDPR alkalmazásával új kihívások elé állítja a vállalkozásokat és egyéb adatkezelőket. A személyes adatok kezeléséhez kapcsolódó érintetti jogokat a GDPR megerősítette és kiterjesztette. Az érintetti jogok közül talán a leglényegesebb a törléshez (elfeledtetéshez) való jog (right to be forgotten). Az adatkezelőnek törölnie kell az érintett személyes adatát, ha az érintett azt kéri, de akkor is – automatikusan –, ha például az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy kezelték. Ez pedig azt rója az adatkezelőkre, hogy azok gyakorlatilag folyamatosan monitorozzák, illetve rezsimet alakítsanak ki annak vizsgálatára, mely adatok kezelésére, mikortól nincs már szükség. Akkor is törölni kell az adatokat, ha az érintett visszavonja az adatkezeléshez korábban adott hozzájárulását – ennek jól ismert esete a hírlevelekben (többnyire) feltüntetett link, amely lehetőséget ad a hírlevélről való leiratkozásra. A törlési kötelezettség és annak „számontartása” nyilvánvalóan nagy terhet ró az adatkezelőkre, különösen azért, mert mindez egyaránt vonatkozik a digitálisan kezelt és a papíralapú dokumentumokra is.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.
Az Infotörvény az adatok törlése tekintetében nem állapít meg konkrét, általánosan alkalmazható időtartamot, ugyanakkor az egyes vállalkozásoknak ismerniük kell a tevékenységükre irányadó szektorális jogszabályokat – azok ugyanis gyakran tartalmaznak az adatok tárolására, megőrzésére vonatkozó szabályokat. Lényeges a szektorális szabályozás például pénzügyi és adójogi, egészségügyi vagy például a munkaviszonnyal kapcsolatos adatkezelések kapcsán. Erre tekintettel az adatkezelőknek alaposan át kell gondolniuk adatkezelésüket, és iratkezelési szabályzatukat (és gyakorlatukat) a GDPR szabályainak megfelelően átformálniuk.

Az előbbiek szerint például a követeléskezelést végző cégek saját (hitel- vagy kölcsönnyújtásból, illetve engedményezés útján szerzett) követeléseiknek vagy a megbízóik követeléseinek behajtása során kezelhetnek személyes adatokat. Az engedményezés a jogszerű adattovábbítás egyik jogalapja, amely során az adós adatai az engedményes birtokába kerülnek. Az engedményező részéről az engedményes részére a szerződés megkötésével egyidejű adattovábbítás adatvédelmi szempontból nem kifogásolható. Mint ahogyan a kötelezett hozzájárulása nem szükséges magához az engedményezéshez, nem szükséges azon adatok átadásához sem, amelyeken az engedményezés alapul. Az előbb említett készletező adatgyűjtés tilalmából következően az adatkezelő (követeléskezelő) csak azt az adatot kezelheti, amely közvetlenül kapcsolódik az érintettel (adóssal) való jogviszonyához, s ezen adatok is csak a szükséges mértékben kezelhetők. Kifejezetten tilos tehát az adatok jogalap nélküli kezelése, így például az adatkezelők nem vezethetnek általános nyilvántartást esetleges jövőbeni gazdasági célok megvalósításához, marketing céljából sem.

Más példával élve: egy pénzügyi intézmény köteles például törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az érintett hozzájárulása már nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap. Fontos megjegyezni: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján az ún. „logikai törlés” (azaz az adatbázisban szereplő adatok elérhetetlenné tétele, amellyel a mező inaktívvá válik, de előfordulhat, hogy valójában mégsem törlik az adatokat) nem tekinthető megfelelő eljárásnak a törlési kötelezettség teljesítéseként.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.
Többnyire a szektorális jogszabályok határozzák meg, milyen adatot mennyi ideig lehet, illetve kell megőrizni, és a meghatározott idő elteltével az adatokat törölni kell, a papír alapú dokumentumokat pedig meg kell semmisíteni. A munkáltatók számára lényeges, a NAIH iránymutatásaiból is egyértelmű kötelezettség, hogy a munkáltató a fel nem vett jelentkezők önéletrajzait kizárólag kifejezett, egyértelmű és önkéntes hozzájárulás alapján őrizheti meg. Jogellenes a munkáltató részéről úgy eljárni, hogy a jelentkezést elutasító válaszlevélben a jelentkezőt tájékoztatja a pályázat kedvezőtlen elbírálásáról, valamint ezzel egyidejűleg arról, hogy az önéletrajzot a jövőben megnyíló pozíciókról történő értesítés céljából megőrzi. Ebben az esetben ugyanis hiányzik a kifejezett, egyértelmű és önkéntes hozzájárulás a pályázó részéről.

A NAIH véleménye szerint az önéletrajz elküldése nem jelenti egyben azt is, hogy a pályázó az önéletrajzának megőrzéséhez is hozzájárul. Ha a pályázó nem járul hozzá adatai tárolásához, azokat vagy vissza kell neki küldeni, vagy meg kell semmisíteni. Ezzel összhangban tehát a fejvadász cégek is csak a jelentkező által engedélyezett időtartam alatt továbbíthatják az önéletrajzokat a munkáltatóknak.

Összefoglalóan megállapíthatjuk, hogy a GDPR jelentősen kiterjeszti az érintettek jogait, fokozott terhet ró az adatkezelőkre és az eddiginél sokkal magasabb bírságokat vezet be. Az új előírásoknak való megfeleléshez és a rekord mértékű bírság elkerüléséhez pontos tájékozódásra és alapos felkészülésre van szükség, miközben szem előtt kell tartani, a határidő rohamosan közeleg.

Szerző:

Dr. Dömők Adrienn

jogász,

CHSH Dezső és Társai Ügyvédi Iroda

Véleményvezér

Kísértetszállodát talált Hadházy Ákos

Kísértetszállodát talált Hadházy Ákos 

Különös pénzosztások az idegenforgalmi beruházások körül.
A korrupció rontja a boldogságindexet

A korrupció rontja a boldogságindexet 

Ötvenhatodik helyen a magyarok.
Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért

Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért 

Lombkoronasétány helyett ezúttal nádkoronasétány épült.
Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval

Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval 

A jogállamiság helyreállítása sok pénzt hozna.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo