GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

Átírás

1 GDPR változó szabályozás, új jogi kihívások Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

2 Mi az Általános Adatvédelmi Rendelet? Az Általános Adatvédelmi Rendelet (General Data Protection Regulation - GDPR) a személyes adatok védelmére vonatkozó új EU-s szabályokat tartalmazza, amelyek május 25. napjától kötelezően alkalmazandók. A Rendelet meghatározza a személyes adatok védelmének szabályait az Európai Unió területén Minden Európai Uniós tagállamban egységesen kötelező lesz Adatkezelőként vagy adatfeldolgozóként gyakorlatilag minden szervezet köteles megfelelni a GDPR-nak A megfelelés hiánya súlyos jogkövetkezményekkel jár Reputációs kockázat Jelentős összegű bírságok Kártérítési felelősség Adatkezelés megtiltása

3 Mit védünk? Személyes adat: az azonosított vagy (bárki által) azonosítható természetes személyre vonatkozó bármely információ Bank Életkor Útvonal Iskola Útvonal Bankszámlaszám Adatkezelő Vásárlás Bankszámlaszám Egészség Kórház Egészség Életkor Utazás

4 Meddig személyes az adat? Anonimizált adat Álnevesített adat Titkosítás Nem személyes Adatfeldolgozás adat: további információ felhasználásával az érintetthez kapcsolható adat: az érintett többé nem azonosítható Személyes Személyes adat: műszaki megoldással az adat csak ideiglenesen veszíti el a személyes jellegét Az álnevesítés a beépített adatvédelem egyik legfontosabb eszköze! Életkor Útvonal Termékfejlesztés, marketing, piackutatás Adatkezelő Bankszámlaszám Egészség Következtetés Életkor Vásárlás Vásárlás Utazás

5 Adatkezelési műveletek A személyes adatokon végzett bármely művelet, pl. gyűjtés, rögzítés, rendszerezés, tárolás, módosítás, betekintés, összekapcsolás, közlés, törlés, módosítás, stb. Hozzáférhetővé tétel HIPA bevallás, hatósági adatszolgáltatás Gyűjtés Check-in formanyomtatvány Összekapcsolás Több forrásból származó adatok egy adatbázisban történő gyűjtése (marketing célból)

6 Adatok különleges kategóriái Szigorúbb szabályok a GDPR-ban Kezelhető különösen kifejezett hozzájárulás alapján, foglalkoztatás, egészségügyi vagy szociális ellátás céljából. Faji, etnikai származás Politikai vélemény Szakszervezeti tagság Vallási, világnézeti meggyőződés Egészségi állapotra vonatkozó adatok Szexuális életre vonatkozó adatok

7 Az adatkezelés jogalapjai Elszámoltathatóság alapelve és a tájékoztatási kötelezettség dokumentált jogalap Jogos érdek Közérdek, közhatalom Hozzájárulás Jogszerű adatkezelés Létfontosságú érdek Szerződés teljesítése Jogi kötelezettség 1. Érintettel kötött szerződés: - Jogi személy kapcsolattartási adatai - álképviselet 2. Hozzájárulás: Konkrét és megfelelő tájékoztatás Aktív cselekedet Hozzájárulás Önkéntesség

8 Az adatkezelés jogalapjai Jogos érdek Közérdek, közhatalom Hozzájárulás Jogszerű adatkezelés Létfontosságú érdek Szerződés teljesítése Jogi kötelezettség 3. Jogos érdek: Érdekmérlegelési teszt: Feltétlenül szükséges az adatkezelés, van alternatív megoldás, amivel a cél elérhető? Jogos érdek pontos meghatározása Érdeksérelem azonosítása Érintett várakozásai Felek közötti kapcsolat Nem szolgálhat automatizált döntéshozatal vagy profilozás alapjául!

9 Adatfeldolgozás - Fogalmi elhatárolás Adatfeldolgozó: aki az adatkezelő nevében személyes adatokat kezel Adatkezelő: aki a személyes adatok kezelésének célját és eszközeit önállóan vagy másokkal együtt meghatározza Vizsgálandó: Ki milyen döntést hoz az adatokon végzett műveletek során? Meddig terjed az adatfeldolgozó döntési kompetenciája? (pl. zárolhatja-e az adatokat?) Gyakorlati dilemmák a globális szolgáltatók igénybevételével kapcsolatban mennyiben érvényesül az adatkezelő utasítási joga a gyakorlatban? GDPR 28. cikk szerinti tartalmi elemek

10 Határon átnyúló adatmozgások A harmadik országba történő adattovábbítás tilos, kivéve, ha Megfelelő védelmi szint a célországban Megfelelő szintű garanciák az adatok védelmére (mintaszerződés, tanúsítvány) Az érintett kifejezett hozzájárulását adta Valamely kivétel alkalmazandó (pl. élet-halál helyzetek) A leggyakoribb megoldások: megfelelőségi határozat, mintaszerződés, kötelező szervezeti szabályozás, érintett hozzájárulása

11 Áttekintendő szempontok a felkészülés során, avagy új kötelezettségek és következményeik Hogyan biztosítjuk az érintettek jogait? Milyen formában nyújtunk tájékoztatást részükre? Szükséges-e adatvédelmi tisztviselő kinevezése? Szükséges-e nyilvántartás készítése az adatkezelésekről? Van-e szükség adatvédelmi hatásvizsgálatra? Történnek-e adattovábbítások? Megvan-e a kellő adatvédelmi tudatosság a szervezetben? Hogyan kezeljük az adatvédelmi incidenseket?

12 Köszönöm a figyelmet! Dr. Gally Eszter Irodai tag Eszter.gally@hu.pwclegal.com Réti, Antall, Várszegi és Társai Ügyvédi Iroda PwC Legal Ez a kiadvány kizárólag általános tájékoztatásul szolgál és nem minősül szakmai tanácsadásnak PricewaterhouseCoopers Könyvvizsgáló Kft. Minden jog fenntartva. Ebben a dokumentumban a PwC kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re utal, egyes esetekben pedig a PwC hálózatra vonatkozik. Minden tagvállalat önálló jogi személy. További információért, kérjük keresse fel a weboldalt.