A pánik eloszlatására dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemben jártas ügyvédje segítségével összeszedtük az adatvédelmi rendelettel kapcsolatos tévhiteket, beleértve az új rendelet azon rendelkezéseit, amelyek nem hoznak változást, hiszen eddig is léteztek és be kellett (volna) tartani őket, és azokat is, amelyek valóban újdonságot vagy eltérést fognak jelenteni az EU-s szabályozásban – nem árulunk el nagy titkot azzal, hogy az utóbbiak vannak kisebbségben.
- tévhit: A rendeletre nincs elég idő felkészülni
-
Azért nem árt készülniA rendeletnek való megfelelés nem kizárólag jogszabályi, sokkal inkább technikai kérdés is - hívja fel a figyelmet az EY Magyarország szakértője. Az EY becslése szerint ugyanis a GDPR szabályoknak való megfelelés minimum két hónap, de adott esetben akár egy egész éves folyamatot igényel.
- az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió eurora, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír.
- az adatvédelmi felelős alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok számban történő kezelését foglalja magában.
- általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást – amely azonban az automatikus adatkezelésről szóló szabályok közt részben helyet kapott már eddig is a magyar jogszabályban.
- a különleges adatok kezeléséhez az írásbeli hozzájárulás helyett csak kifejezett hozzájárulást követel meg;
- az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában;
- meghatároz olyan esetköröket, amikor nem kell törölni az adatokat – ezek eddig a magyar jogban a törlési kötelezettség alá estek;
- az adatkezelés elleni tiltakozási jogot kötelezően csak a közvetlen üzletszerzés érdekében történő adatkezelésre, valamint a közérdekű adatkezelés és jogos érdeken alapuló adatkezelés esetén biztosítja, az egyéb célú adatkezelésre nem biztosít ilyen jogot kötelezően és általánosan, szemben a magyar jogszabállyal;
- nem írja elő a központi állami adatvédelmi nyilvántartásba történő adatkezelési bejelentést az adatkezelés megkezdése előtt, pusztán azt követeli meg, hogy az adatkezelők maguk vezessenek adatkezelési nyilvántartást.
- tévhit: A rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját
-
Aki eddig betartotta a magyar jogszabályt, annak az új rendelet alapján sem lesz félnivalója.
- csak a cél megvalósulásáig (korlátozott tárolhatóság elve),
- csak a cél megvalósításához feltétlenül szükséges mértékben (adat takarékosság és alapértelmezett adatvédelem elve) kezeljen,
- az adatkezelésnek meg kell felelnie a tisztesség követelményének (tisztesség elve),
- jogszerűnek kell lennie (megfelelő jogalappal kell rendelkeznie),
- a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie (pontosság elve),
- az adatkezelésnek megfelelő, közérthető, részletes, teljes, könnyen hozzáférhető és előzetes tájékoztatáson kell alapulnia (előzetes tájékoztatás elve)
- A rendelet alapján az sem változik, hogy az érintetteknek ugyanúgy kérésükre tájékoztatást kell adni adataik kezeléséről, a tájékoztatás adás határideje és tartalma között sincs szignifikáns eltérés az új jogszabályban;
- A jogosultakat ugyanazok a jogorvoslati jogok illetik meg, mint a magyar törvény alapján: tiltakozhatnak adataik kezelésével szemben (tiltakozás joga), kérhetik azok törlését (feledés joga), helyesbítését és zárolását.
- ahogy eddig is kellett a magyar vállalkozásoknak az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor az adatbiztonságról gondoskodniuk, úgy ebben a kötelezettségükben ezután sem lesz változás, hiszen a magyar Infotv. ezt a követelményt is tartalmazta (privacy by design elve);
- az adatkezelőnek az adatvédelmi incidensekkel kapcsolatban nyilvántartási, értesítési és hatósági bejelentési kötelezettsége van, amely a magyar jogban eddig is létezett a legutolsó Infotv. módosítás óta (adatvédelmi incidenskezelés).
- tévhit: Az új rendelet rengeteg újdonságot hoz
A fent felsorolt szigorítások mellett az új rendelet bevezeti az elszámoltathatóság alapelvét, amely alapján az adatkezelő felelős az adatkezelés elveinek betartásáért (ez eddig is így volt), azonban most már ezt ténylegesen igazolnia is tudni kell (a NAIH gyakorlata pedig eleve ezt az elvet követte jogszabályi előírás nélkül is).
Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, a genetikai, biometrikus és egészségügyi adat fogalmát, amely utóbbit a magyar Infotv. részletesen nem tartalmazta (de magát a fogalmat használta), hanem csak az egészségügyi ágazati jogszabályban került eddig meghatározásra.
A rendelet az önkéntes, tájékozott hozzájáruláson és a jogszabályi engedélyen alapuló adatkezelés mellé egy harmadik adatkezelési jogalapot is bevezet: a jogos érdeken alapuló adatkezelést, ami alapján az adtakezelés jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Igazi újdonság viszont a rendeletben az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a felügyeleti hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.
- tévhit: A felkészüléshez csak a rendelet szabályainak kell megfelelni
A tagállamok szabályozási hatáskörében maradnak például az alábbi témakörök:
- foglalkoztatással összefüggő adatkezelési kérdések (munkaviszonnyal kapcsolatos adatkezelés)
- gyermekek személyes adatainak információs társadalommal összefüggő szolgáltatásokkal kapcsolatos adatkezelési szabályai (például mobilapplikációk által kezelt kiskorúak adatai)
- az adatvédelmi felelős alkalmazásának rendeletben nem szabályozott egyéb kötelező esetkörei
- genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozó további szabályok és feltételek (ami például az mHealth applikációk fejlesztőit is érinthetik)
- jolly joker szabályként pedig általánosságban minden olyan kérdésben, amelyet nem szabályoz a rendelet.