Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) Vademecum

Átírás

1 Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) Vademecum

2 Tartalomjegyzék Bevezetés 1 Alkalmási terület. 2 Az adatkezelés jogalapja 3 Az érintettek jogai.. 4 Adatvédelmi irányítási rendszer. 6 Adatfeldolgozói szerződések.. 7 Adatvédelmi incidensek.. 8 Magatartási kódexek és tanúsítványok EU-n kívülre történő adattovábbítás.. 10 Adatvédelmi hatóság. 11 Jogorvoslat, kártérítés, bírság Fogalomtár. 13 Kapcsolat... 15

3 1. Bevezetés Az arany és olaj után adat vált a gdaság legjelentősebb erőforrásává. A világ öt legértékesebb tőzsdén jegyzett vállalata adatokkal gdálkodik. Nem mindegy tehát, hogy a vállalkozások a kincsüket hol és milyen körülmények között kezelik május 25-e új időszámítás adatvédelemben. Ekkortól alkalmandó kötelezően Európai Unió Általános Adatvédelmi Rendelete, angol nevén a General Data Protection Regulation, rövidítve GDPR. A rendelet nem csak egységesíti a 28 uniós tagállam adatvédelmi jogszabályait, hanem jelentős hatást gyakorol a világ adatvédelmi rezsimjeire is. A GDPR-t kell ugyanis alkalmni akkor is, ha ugyan a szolgáltatást nyújtó vállalat nem EU területén működik, de a kínált szolgáltatás Európában tartózkodó személyek számára is elérhető. Az adatvédelmi rendeletnek való megfelelés számos vállalkozásnál jelentős anyagi és személyi erőforrásokat igényelhet. Alábbiakban foglaljuk össze új jogszabály legfontosabb rendelkezéseit, pontokba szedve a mérföldköveket, amelyeket követve a vállalkozások felkészülhetnek a rendelet alkalmására. A tét nem kicsi, új rendelet horrorisztikus, akár 20 millió eurót vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át elérő bírságokat helyez kilátásba ok számára, akik nem új jogszabály szerint kezelik mások személyes adatait. Röviden: nem lehet a továbbiakban a la adatvédelmi gyakorlat veszélyét üzleti folyamatokban beárni. A megfelelésnek a saját jövőjét felelősséggel építő vállalkozásnál nincs alternatívája. Másik oldalról persze a jogszabályi rendelkezésektől függetlenül látjuk, hogy adatszivárgások, illetve a jogszerűtlen adatkezelések felmérhetetlen reputációs károkat okoznak a vállalkozásoknak. Nemrégiben a Yahoo esetében találkozhattunk zal, hogy egy adatvédelmi incidens napvilágra kerülése után mennyit esett a cég piaci értéke. De fogjuk meg előttünk álló feladatok pozitív oldalát: egy vállalkozás komoly versenyelőnyre tehet szert, ha EU új adatvédelmi rendeletére való felkészülése során áttekinti üzleti folyamatait, körültekintető stratégiát készít, szigorú adatvédelmi szabályokat vezet be, és adatvédelmi megfelelőségét a külvilág felé bemutatja. Őszintén reméljük, hogy a jelen Vademecum segítségül szolgálhat a GDPR-hoz vezető utásuk során. Amennyiben kérdésük merül fel, bátran lépjenek kapcsolatba irodánkkal.

4 2. Alkalmási terület 2. és 3. cikkek A rendeletet személyes adatok automatizált módon történő kezelésekor, valamint akkor kell alkalmni, ha személyes adatokat valamely nyilvántartási rendszerben kezelnek. A rendeletnek mind a tárgyi (mikor kell alkalmni), mind a területi (hol kell alkalmni) hatálya szélesebb a korábbi adatvédelmi jogszabályokénál. Tárgyi hatály (mikor kell alkalmni?) A rendeletet mind adatkezelők, mind adatfeldolgozók tevékenységére alkalmni kell. A rendeletet nem kell alkalmni, ha a személyes adatok kezelése személyes vagy otthoni tevékenység során történik. Területi hatály (hol kell alkalmni?) A rendeletet alkalmni kell Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett adatkezelésre; Unióban tartózkodó érintettek személyes adatainak Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha adatkezelési tevékenységek: áruknak vagy szolgáltatásoknak Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy érintettnek fizetnie kell-e okért; vagy érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy Unió területén belül tanúsított viselkedésükről van szó. a kezelt személyes adatok számbavétele, adatregiszter és adattérképek elkészítése; EU-ban lévő, személyes adatokat kezelő tevékenységi helyek feltérképezése; Európán kívüli adatkezelők esetén annak megállapítása, hogy áruknak vagy szolgáltatásoknak Unióban tartózkodó érintettek számára történő nyújtásához vagy viselkedésüknek a megfigyeléséhez kapcsolódóan milyen adatkezelés történik; annak meghatározása, hogy adatkezelés adatkezelőként vagy adatfeldolgozóként történik; annak eldöntése, hogy szükséges-e uniós képviselőt kijelölni;

5 3. Az adatkezelés jogalapja 6. és 7. cikkek adatkezelések jogalapjának vizsgálata; annak felülvizsgálata, hogy érintett hozzájárulása érthető, könnyen hozzáférhető formában, világos és egyszerű nyelvezettel történik-e; érdekmérlegelési teszt elvégzése, ha a jogos érdek adatkezelés jogalapja; eredeti céltól eltérő, egyéb cél esetén dokumentálni adatkezelés indokát; A magyar jogalkalmók számára a legszembetűnőbb változás, hogy a rendelet adatkezelő jogos érdekét is a jogalapok között nevesíti. Ennek a jogalapnak alkalmásakor fontos feladat lesz érdekmérlegelési teszt elkészítése. Az adatkezelés jogszerűsége A személyes adatok kezelése akkor jogszerű, amennyiben legalább alábbiak egyike teljesül: érintett hozzájárulását adta személyes adatainak kezeléséhez; adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben érintett egyik fél; adatkezelés adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; adatkezelés érintett létfontosságú érdekeinek védelme miatt szükséges; adatkezelés közérdekű feladat végrehajtásához szükséges; A hozzájárulásra, a jogos érdekre és egyéb célokra történő adatkezelésekre vonatkozó új szabályok A hozzájáruláson alapuló adatkezelés során adatkezelőnek bizonyítania kell tudnia, hogy érintett szabadon adta meg a hozzájárulását, a hozzájárulás iránti kérelmet más ügyektől egyértelműen megkülönböztethető módon kell előadni. A jogos érdekre történő hivatkozásnál adatkezelő érdekeit és érintett jogait érdekmérlegelési teszt elvégzésével kell összevetni, illetve érintettet tájékoztatni kell arról, hogy adatkezelés adatkezelő jogos érdekén alapul. A rendelet meghatározza a kritériumokat, hogy mikor megengedett adatoknak eredeti céljától eltérő egyéb célból történő kezelése.

6 4. Az érintettek jogai cikkek forrásáról, akkor is ha adatok nyilvánosan hozzáférhető forrásokból szármnak. Az adatkezelők tevékenységének transzparensebbnek kell lennie érintettek számára, akik többlet jogokat kapnak adataik feletti közvetlenebb rendelkezés révén, a hozzáférési jogon, a helyesbítési és a törlési jogon keresztül. Átlátható tájékoztatás A természetes személyek jogosultak a személyes adatik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni, így különösen: adatkezelő kilétéről és elérhetőségéről; adatvédelmi tisztviselő elérhetőségeiről; a személyes adatok tervezett kezelésének céljáról, valamint adatkezelés jogalapjáról; a jogos érdeken alapuló adatkezelés esetén ezen jogos érdekekről; a személyes adatok címzettjeiről; EU-n kívülre történő adattovábbítás esetén a megfelelő garanciákról; adatkezelés tervezett időtartamáról; érintett on jogáról, hogy kérelmezheti adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, ok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat ilyen személyes adatok kezelése ellen, valamint érintett adathordozhatósághoz való jogáról; a felügyeleti hatósághoz címzett panasz benyújtásának jogáról; arról, hogy a szerződés kötésének előfeltétele-e adatok megadása, illetve milyen lehetséges következményeikkel járhat adatszolgáltatás elmaradása; esetleges automatizált döntéshozatalról, ideértve a profilalkotást is. Ha adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell érintettet erről eltérő célról. Ha a személyes adatokat nem érintettől szerezték meg tájékoztatást kell adni a személyes adatok Hozzáférési jog Az adatkezelő adatkezelés tárgyát képező személyes adatok másolatát ingyenesen köteles érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért adatkezelő adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha érintett elektronikus úton nyújtotta be a kérelmet, információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. Mindez nem érintheti hátrányosan mások jogait és szabadságait. A helyesbítéshez való jog Az érintett jogosult arra, hogy kérésére adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. A törléshez való jog Az érintett jogosult arra, hogy kérésére adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha a személyes adatokra már nincs szükség abból a célból, amelyből okat gyűjtötték; érintett visszavonja adatkezelés alapját képező hozzájárulását, és adatkezelésnek nincs más jogalapja; érintett tiltakozik adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok adatkezelésre; a személyes adatokat jogellenesen kezelték.

7 Az adatkezelés korlátozásához való jog Az érintett jogosult arra, hogy kérésére adatkezelő korlátozza adatkezelést, ha érintett vitatja a személyes adatok pontosságát; adatkezelés jogellenes, és érintett ellenzi adatok törlését; adatkezelőnek már nincs szüksége a személyes adatokra, de érintett igényli okat jogi igények érvényesítéséhez. adatvédelmi nyilatkozatok áttekintése; megvizsgálni üzleti folyamatokat érintettek hozzáférési joga szempontjából; adathordózhatósághoz és adatkorlátozáshoz való jognak történő megfelelés vizsgálata; informatikai rendszereknek a törléshez való jog szerinti átalakítása, különös tekintettel a biztonsági mentésekre. Az adathordozhatósághoz való jog Az érintett jogosult arra, hogy a rá vonatkozó, általa adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha adatkezelés hozzájáruláson vagy szerződésen alapul és adatkezelés automatizált módon történik. Automatizált adatkezelés Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen ideértve a profilalkotást is alapuló döntés hatálya, amely őt jelentős mértékben érintené.

8 Adatvédelmi tisztviselő 6. Adatvédelmi irányítási rendszer 24., 25., 30., 32., 35., 37., 40. és 42. cikkek A rendelet által bevezetett új kötelezettséget jelent, hogy elszámoltathatóság elvének megfelelően adatkezelő nemcsak, hogy felelős a GDPR-nak való megfelelésért, hanem képesnek kell lennie e megfelelés igolására is. Mindez elképzelhetetlen megfelelő adatvédelmi irányítási rendszer bevezetése nélkül. Megfelelő technikai intézkedések és szervezési Az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a rendelettel összhangban történik: belső adatvédelmi szabályzatok, magatartási kódexhez való csatlakozás, tanúsítási mechanizmushoz való csatlakozás útján. Beépített és alapértelmezett adatvédelem A beépített adatvédelem (Privacy by design) elve értelmében adatvédelmet és adatbiztonságot a tervezéskor kell beépíteni pl. álnevesítés, titkosítás révén üzleti folyamatokba, műszaki termékekbe. Az alapértelmezett adatvédelem (Privacy by default) elve arra ad biztosítékot, hogy a szolgáltatás nyújtásához, termék igénybevételéhez minimálisan szükséges személyes adatot kezelik a vállalkozások. Adatvédelmi hatásvizsgálat Ha adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (pl. profilalkotáson alapuló döntéshozatal, különleges adatok nagy számban történő kezelése), akkor adatkezelőnek adatkezelést megelőzően hatásvizsgálatot köteles végeznie. Az adatkezelő és adatfeldolgozó adatvédelmi tisztviselőt köteles kijelölni ha fő tevékenységeik olyan adatkezelési műveleteket foglalnak magukban, amelyek érintettek rendszeres és szisztematikus, nagymértékű megfigyelését vagy különleges adatok nagy mértékű kezelését teszik szükségessé. A fentieken túl adatvédelmi tisztviselőt bármelyik vállalkozás kinevezhet vagy külsős szolgáltatóként megbízhat. Adatregiszter, adattérkép Minden adatkezelőnek kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni. A nyilvántartás minimálisan adatkezelő nevét és elérhetőségét, adatkezelés céljait, a személyes adatok kategóriáit, a tervezett törlési határidőket és olyan címzettek kategóriáit tartalmza, akikkel a személyes adatokat közlik. Az adattérkép a bonyolultabb adatkezelési folyamatok vizuális áttekintését segítheti. a management GDPR tudatosságának elérése; a megfelelő személyi és anyagi erőforrások biztosítása adatvédelmi irányítási eszközök létrehozására; a felelősségi körök megállapítása; annak megvizsgálása, hogy kötelező-e vagy szükséges-e adatvédelmi tisztviselőt kinevezni vagy megbízni; a meglévő adatvédelmi, információbiztonsági irányítási eszközök áttekintése és egybevetése üzleti folyamatokkal; ha szükséges, üzleti folyamatok átalakítása;

9 7. Adatfeldolgozói szerződések cikkek A GDPR új kötelezettségeket állapít meg adatfeldolgozók számára. A rendelet meghatározza adatkezelők és adatfeldolgozók között a személyes adatok kezelésére kötött szerződések kötelező tartalmi elemeit. Az adatkezelők és adatfeldolgozók közötti szerződések Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezési intézkedések végrehajtására. Az adatkezelő és adatfeldolgozó között olyan írásbeli szerződést kell kötni, amely minimálisan alábbiakra tér ki: adatfeldolgozó a személyes adatokat kizárólag adatkezelő írásbeli utasításai alapján kezeli; a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak; adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálja; segíti adatkezelőt a kötelezettségeinek a teljesítésében; adatkezelési szolgáltatás nyújtásának befejezését követően, adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha uniós vagy a tagállami jog személyes adatok tárolását írja elő; lehetővé teszi és elősegíti adatkezelő által vagy általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Ha adatfeldolgozó további adatfeldolgozó szolgáltatásait is igénybe veszi, a további adatfeldolgozóra is ugyanokat adatvédelmi kötelezettségeket kell telepíteni, mint amelyek adatkezelő és adatfeldolgozó között létrejött szerződésben vannak. Az adatfeldolgozók kötelezettségei Az adatvédelmi hatóság részére bemutatható módon kell nyilvántartást vezetnie adatkezelő nevében végzett adatkezelési tevékenységéről. Az adatvédelmi incidenst, arról való tudomásszerzést követően haladéktalanul jelentenie kell adatkezelőnek. Ha t a rendelet előírja, adatvédelmi tisztviselőt jelöl ki vagy bíz meg. adatkezelőnek biztosítania kell, hogy valamennyi adatfeldolgozóval kötött szerződése megfelel a rendelet rendelkezéseinek; adatkezelési tevékenységek nyilvántartásának elkészítése adatfeldolgozónál; adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell bevezetnie, ideértve adatvédelmi incidensek esetén alkalmandó eljárásrendet; annak eldöntése, hogy adatvédelmi tisztviselő kinevezése vagy megbízása kötelezőe vagy szükséges-e;

10 8. Adatvédelmi incidensek cikkek Szigorú szabályokat és határidőket állapít meg a rendelet adatvédelmi incidensek kezelésére. Az adatkezelők fontos feladata adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, incidens milyen súlyú, milyen hatással lehet érintettekre. Az incidensek észlelésére, értékelésére, jelentésére, és enyhítésére tett nem megfelelő intézkedések esetén a legmagasabb összegű bírságokat helyezi kilátásba a GDPR. Adatvédelmi incidensek Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy okhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával után, hogy adatvédelmi incidens a tudomására jutott, bejelenti adatvédelmi hatóságnak, kivéve, ha adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi incidensről szóló bejelentésben legalább: ismertetni kell adatvédelmi incidens jellegét, beleértve ha lehetséges érintettek kategóriáit és hozzávetőleges számát, valamint incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell adatkezelő által adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az EU szakosított ügynöksége, Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást fogalmott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg adatvédelmi incidens súlyosságát. adatvédelmi incidensek észlelésére, értékelésére, bejelentésére megfelelő intézkedési terv készítése adatkezelőnél; a munkavállalók képzése a szűk határidők miatt kiemelten fontos; biztosítani a megfelelő eljárásrendet adatfeldolgozónál is;

11 9. Magatartási kódexek és tanúsítványok cikkek A GDPR egyik legfontosabb újdonsága elszámoltathatóság elvének való megfelelés bizonyítására alkalmas két eszköz: a magatartási kódexhez való csatlakozás és a tanúsítvány megszerzése. Magatartási kódexek Egyesületek és egyéb szakmai szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy segítsék vagy pontosítsák a GDPR alkalmását. A magatartási kódexet illetékes adatvédelmi hatósághoz kell benyújtani jóváhagyásra, nyilvántartásba vételre és közzétételre. Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, Európai Adatvédelmi Testület véleménye alapján, Európai Bizottság dönthet arról, hogy a magatartási kódex Unió területén általános érvénnyel rendelkezik. Magatartási kódexnek való megfelelés ellenőrzését olyan szervezet végezheti, amely a kódex tárgya tekintetében megfelelő szakértelemmel rendelkezik, és amelyet illetékes adatvédelmi hatóság erre akkreditál. A kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén érintett adatkezelő vagy adatfeldolgozó felfüggeszthető vagy kizárható a kódex alkalmásából. Ezekről intézkedésekről és ok indokairól illetékes felügyeleti hatóságot tájékoztatni kell. Tanúsítványok Az EU ösztönzi olyan adatvédelmi tanúsítási mechanizmusok, adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a GDPR előírásainak. A tanúsításnak önkéntesnek kell lennie, és átlátható eljáráson keresztül kell elérhetővé tenni. Tanúsítványt tanúsító szervezetek vagy adatvédelmi hatóság állíthat ki. Ha a szempontokat Európai Adatvédelmi Testület hagyja jóvá, ennek eredményeként közös tanúsítvány, európai adatvédelmi bélyegző állítható ki. Tanúsítványt legfeljebb hároméves időtartamra lehet kiállítani. Ha a tanúsításra vonatkozó követelmények már nem teljesülnek a tanúsítványt vissza kell vonni. A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt, illetve jelölést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket. a létező magatartási kódexek, tanúsítványok feltérképezése; a csatlakozási feltételek és a tanúsítási mechanizmusok megismerése; felkészülés a csatlakozásra, a kérelem benyújtása;

12 10. A személyes adatok EU-n kívülre történő továbbítása cikkek A GDPR alapelvként rögzíti, hogy a személyes adatoknak Unión kívülre történő továbbítása esetén sem sérülhet a természetes személyeknek EU-ban biztosított védelem szintje. Az adattovábbítás csak megfelelő jogi garanciák megléte esetén jogszerű. Ilyen új, a rendelet által bevezetett jogi garanciát jelenthet a magatartási kódex és a tanúsítvány. Személyes adatok EU-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. Ilyen döntés nyomán továbbítható személyes adat Egyesült Államokba (Privacy Shield, korábban Safe Harbor). A biztonságos országok listája a Bizottság honlapján megtalálható. A fenti döntés hiányában személyes adat akkor továbbítható Unión kívülre, ha Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmzák a felek; olyan kötelező erejű vállalati szabályokat (BCR) vezet be egy vállalkozás, amelyet adatvédelmi hatóság jóváhagyott; jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra; jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják. A fenti garanciák hiányában Unión kívülre akkor lehet személyes adatot továbbítani, ha érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz t követően, hogy tájékoztatták adattovábbításból eredő a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó esetleges kockázatokról; adattovábbítás szerződés teljesítéséhez szükséges; adattovábbítás fontos közérdekből szükséges; adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges; adattovábbítás érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; a továbbított adatok olyan nyilvántartásból szármnak, amely uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja. EU-n kívülre továbbított adatok feltérképezése; adattovábbítások jogalapjának felülvizsgálata; a BCR felülvizsgálata a GDPR tükrében; új jogalapok, a magatartási kódexek, tanúsítási mechanizmus alkalmása; a bizottsági megfelelőségi döntések folyamatos nyomon követése;

13 11. Adatvédelmi hatóság cikkek A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállamban a rendelet alkalmásának ellenőrzéséért egy vagy több független, széles ellenőrzési és bírságolási hatáskörrel rendelkező adatvédelmi hatóság felel. Egyablakos rendszer Több tagállamban tevékenységet folytató vállalatok esetében a tevékenységi központ helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni. Az adatvédelmi hatóságok joggyakorlatuk kialakítása során szorosan együttműködnek egymással és Európai Bizottsággal. Az Európai Adatvédelmi Testület Az Európai Adatvédelmi Testület, amely jogi személyiséggel rendelkező uniós szerv a W29 Munkacsoport hatáskörét fogja átvenni. A Testület minden tagállam adatvédelmi hatóságának vezetőjéből és európai adatvédelmi biztosból vagy ok képviselőiből áll. A Testület biztosítja a GDPR egységes alkalmását, ennek keretében ellenőrzi és biztosítja a rendelet helyes alkalmását; iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki; ösztönzi a magatartási kódexek kidolgozását, valamint adatvédelmi tanúsítási mechanizmusok és adatvédelmi bélyegzők, illetve jelölések létrehozását; véleményt bocsát ki Európai Bizottság számára a valamely harmadik országban biztosított védelmi szint megfelelőségének megítéléséhez. multinacionális vállalatok esetében illetékes adatvédelmi hatóság meghatározása; Az adatvédelmi hatóság iránymutatásainak nyomon követése; Az Európai Adatvédelmi Testület legjobb gyakorlatának, iránymutatásainak nyomon követése;

14 cikkek egyetemleges felelősséggel tartozik a teljes kárért. Bírságok 12. Jogorvoslat, kártérítés, bírság A GDPR megfelelő alkalmását biztosítandó a rendelet garanciális szabályokat állít a jogszabály megsértése esetére. A jogorvoslati lehetőség, a kártérítéshez való jog és a mammut méretű bírságok mind ezt a célt szolgálják. Jogorvoslatok Minden érintett jogosult arra, hogy panaszt tegyen adatvédelmi hatóságnál különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban, ha érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet. Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait. Felelősség és kártérítés Minden olyan személy, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, elszenvedett kárért adatkezelőtől vagy adatfeldolgozótól kártérítésre jogosult. Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban adatkezelésben, és felelősséggel tartozik adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó érintett tényleges kártérítésének biztosítása érdekében Az adatvédelmi bírság mértékét a GDPRban lefektetett szabályok mentén, a jogsértés típusától függően határozza meg adatvédelmi hatóság. A rendelet szabályainak megsértői maximálisan 20 millió eurót vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összeggel sújthatóak, zal, hogy a kettő közül a magasabb összeget kell kiszabni. Az adatvédelmi jogsértések esetén a tagállamok jogosultak további, így például büntetőjogi szankciókat alkalmni. eljáró hatóságnak és alkalmandó jognak a meghatározása; adatkezelői, adatfeldolgozói szerződések felelősségi szabályainak felülvizsgálata, különös figyelemmel a felelősséget korlátozó vagy kizáró rendelkezésekre; adatvédelmi hatóság által egyes ügyekben kiszabható bírságok mértékének megvizsgálása;

15 Fogalomtár Személyes adat Azonosított vagy onosítható természetes személyre ( érintett ) vonatkozó bármely információ. Azonosítható a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely onosító, például név, szám, helymeghatározó adat, online onosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gdasági, kulturális vagy szociális onosságára vonatkozó egy vagy több tényező alapján onosítható. (Rendelet 4. cikk. 1. pont) Adatkezelés A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. (Rendelet 4. cikk. 2. pont) Adatkezelő Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Rendelet 4. cikk. 7. pont) Adatfeldolgozó Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely adatkezelő nevében személyes adatokat kezel. (Rendelet 4. cikk. 8. pont) Címzett Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. (Rendelet 4. cikk. 9. pont) Az érintett hozzájárulása Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja őt érintő személyes adatok kezeléséhez. (Rendelet 4. cikk. 11. pont) Kötelező erejű vállalati szabályok (Binding Corporate Rules - BCR) A személyes adatok védelmére vonatkozó szabályzat, amelyet Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak ugyanon vállalkozáscsoporton vagy közös gdasági tevékenységet folytató vállalkozások ugyanon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ. (Rendelet 4. cikk, 20. pont)

16 Kapcsolat Dr. Frivaldszky Gáspár ügyvéd szakterülete információbiztonság és adatvédelmi jog ban a Pécsi Tudományegyetem munkajogi szakjogász képzésén munkahelyi adatvédelemből írta a diplomamunkáját. Számos vállalkozás, többek között a Vodafone Shared Services GDPR felkészülésében vesz rész jogi szakértőként. Az Informatikai Vállalkozások Szövetségének és International Association of Privacy Professionals-nek a tagja. Angol, francia és olasz nyelven beszél. info@businesslaw.hu Tel.: Web: gdasagijog.hu