GDPR változó szabályozás, új jogi kihívások Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda
Mi az Általános Adatvédelmi Rendelet? Az Általános Adatvédelmi Rendelet (General Data Protection Regulation - GDPR) a személyes adatok védelmére vonatkozó új EU-s szabályokat tartalmazza, amelyek 2018. május 25. napjától kötelezően alkalmazandók. A Rendelet meghatározza a személyes adatok védelmének szabályait az Európai Unió területén Minden Európai Uniós tagállamban egységesen kötelező lesz Adatkezelőként vagy adatfeldolgozóként gyakorlatilag minden szervezet köteles megfelelni a GDPR-nak A megfelelés hiánya súlyos jogkövetkezményekkel jár Reputációs kockázat Jelentős összegű bírságok Kártérítési felelősség Adatkezelés megtiltása
Mit védünk? Személyes adat: az azonosított vagy (bárki által) azonosítható természetes személyre vonatkozó bármely információ Bank Életkor Útvonal Iskola Útvonal Bankszámlaszám Adatkezelő Vásárlás Bankszámlaszám Egészség Kórház Egészség Életkor Utazás
Meddig személyes az adat? Anonimizált adat Álnevesített adat Titkosítás Nem személyes Adatfeldolgozás adat: további információ felhasználásával az érintetthez kapcsolható adat: az érintett többé nem azonosítható Személyes Személyes adat: műszaki megoldással az adat csak ideiglenesen veszíti el a személyes jellegét Az álnevesítés a beépített adatvédelem egyik legfontosabb eszköze! Életkor Útvonal Termékfejlesztés, marketing, piackutatás Adatkezelő Bankszámlaszám Egészség Következtetés Életkor Vásárlás Vásárlás Utazás
Adatkezelési műveletek A személyes adatokon végzett bármely művelet, pl. gyűjtés, rögzítés, rendszerezés, tárolás, módosítás, betekintés, összekapcsolás, közlés, törlés, módosítás, stb. Hozzáférhetővé tétel HIPA bevallás, hatósági adatszolgáltatás Gyűjtés Check-in formanyomtatvány Összekapcsolás Több forrásból származó adatok egy adatbázisban történő gyűjtése (marketing célból)
Adatok különleges kategóriái Szigorúbb szabályok a GDPR-ban Kezelhető különösen kifejezett hozzájárulás alapján, foglalkoztatás, egészségügyi vagy szociális ellátás céljából. Faji, etnikai származás Politikai vélemény Szakszervezeti tagság Vallási, világnézeti meggyőződés Egészségi állapotra vonatkozó adatok Szexuális életre vonatkozó adatok
Az adatkezelés jogalapjai Elszámoltathatóság alapelve és a tájékoztatási kötelezettség dokumentált jogalap Jogos érdek Közérdek, közhatalom Hozzájárulás Jogszerű adatkezelés Létfontosságú érdek Szerződés teljesítése Jogi kötelezettség 1. Érintettel kötött szerződés: - Jogi személy kapcsolattartási adatai - álképviselet 2. Hozzájárulás: Konkrét és megfelelő tájékoztatás Aktív cselekedet Hozzájárulás Önkéntesség
Az adatkezelés jogalapjai Jogos érdek Közérdek, közhatalom Hozzájárulás Jogszerű adatkezelés Létfontosságú érdek Szerződés teljesítése Jogi kötelezettség 3. Jogos érdek: Érdekmérlegelési teszt: Feltétlenül szükséges az adatkezelés, van alternatív megoldás, amivel a cél elérhető? Jogos érdek pontos meghatározása Érdeksérelem azonosítása Érintett várakozásai Felek közötti kapcsolat Nem szolgálhat automatizált döntéshozatal vagy profilozás alapjául!
Adatfeldolgozás - Fogalmi elhatárolás Adatfeldolgozó: aki az adatkezelő nevében személyes adatokat kezel Adatkezelő: aki a személyes adatok kezelésének célját és eszközeit önállóan vagy másokkal együtt meghatározza Vizsgálandó: Ki milyen döntést hoz az adatokon végzett műveletek során? Meddig terjed az adatfeldolgozó döntési kompetenciája? (pl. zárolhatja-e az adatokat?) Gyakorlati dilemmák a globális szolgáltatók igénybevételével kapcsolatban mennyiben érvényesül az adatkezelő utasítási joga a gyakorlatban? GDPR 28. cikk szerinti tartalmi elemek
Határon átnyúló adatmozgások A harmadik országba történő adattovábbítás tilos, kivéve, ha Megfelelő védelmi szint a célországban Megfelelő szintű garanciák az adatok védelmére (mintaszerződés, tanúsítvány) Az érintett kifejezett hozzájárulását adta Valamely kivétel alkalmazandó (pl. élet-halál helyzetek) A leggyakoribb megoldások: megfelelőségi határozat, mintaszerződés, kötelező szervezeti szabályozás, érintett hozzájárulása
Áttekintendő szempontok a felkészülés során, avagy új kötelezettségek és következményeik Hogyan biztosítjuk az érintettek jogait? Milyen formában nyújtunk tájékoztatást részükre? Szükséges-e adatvédelmi tisztviselő kinevezése? Szükséges-e nyilvántartás készítése az adatkezelésekről? Van-e szükség adatvédelmi hatásvizsgálatra? Történnek-e adattovábbítások? Megvan-e a kellő adatvédelmi tudatosság a szervezetben? Hogyan kezeljük az adatvédelmi incidenseket?
Köszönöm a figyelmet! Dr. Gally Eszter Irodai tag +36 30 416 0983 Eszter.gally@hu.pwclegal.com Réti, Antall, Várszegi és Társai Ügyvédi Iroda PwC Legal Ez a kiadvány kizárólag általános tájékoztatásul szolgál és nem minősül szakmai tanácsadásnak. 2017 PricewaterhouseCoopers Könyvvizsgáló Kft. Minden jog fenntartva. Ebben a dokumentumban a PwC kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re utal, egyes esetekben pedig a PwC hálózatra vonatkozik. Minden tagvállalat önálló jogi személy. További információért, kérjük keresse fel a http://www.pwc.com/structure weboldalt.