Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására Dr. Liber Ádám, LLM, CIPP/E, ügyvéd Kajtár Takács Hegymegi-Barakonyi Baker & McKenzie Ügyvédi Iroda
Általános Adatvédelmi Rendelet bemutatása
Az EU Általános Adatvédelmi Rendelete Bevezetés Mi az Adatvédelmi Rendelet? Elfogadása: 2012-2016: 1995 óta az első és legnagyobb adatvédelmi reformcsomag Szabályozás jellemzői: Rendeleti forma, de számos eltérési lehetőséggel (adatalanyi jogok, sajtó, foglalkoztatás, nemzeti azonosítók, kutatás, szakmai titoktartás) Politikai kompromisszumokat tükröz - preambulum szerepe, bizonytalanságok, nem egyértelmű szabályozás Eltérő szabályok kis és nagy adatkezelőkre, de nem konzekvens 2018 május 25-től alkalmazandó Mi változik? 2016 Kajtár Baker Takács & McKenzie Hegymegi-Barakonyi LLP Baker & McKenzie Ügyvédi Iroda 3
Főbb változások
Adatvédelmi Rendelet Főbb változások Változás A Rendelet követelményei 1 2 3 Adatvédelmi tisztviselő (37 39. cikkek) Adatvédelmi incidensek bejelentése (33, 34. cikkek) Hozzájárulás (7, 8 cikkek) Kötelező, ha (i) főtevékenységként érintettek rendszeres és szisztematikus, nagymértékű megfigyelését végzik; (ii) főtevékenységként nagy számban kezelnek különleges kategóriájú adatokat; vagy (iii) tagállami jog előírja. 72 órán belül be kell jelenteni Hatóság részére, kivéve, ha valószínűsíthetően nem jár kockázattal az érintettek számára, illetve adatalanyok felé is vagy közzé kell tenni, ha incidens valószínűsíthetően magas kockázattal jár az érintettnek. Tájékozott, egyértelmű akaratnyilvánítás. Világos, egyszerű nyelvezet szükséges. Tilos az összekapcsolás: külön-külön hozzájárulás szükséges adatkezelési műveletenként. Egyenlőtlen viszonyban nincs önkéntesség. 4 5 6 7 Adatkezelési tevékenységek nyilvántartása (30. cikk) Adattovábbítás külföldre (V. fejezet) Adatfeldolgozás (28 és 29. cikkek) Adatalany jogai (12-22. cikkek) Megszűnik az adatvédelmi nyilvántartás; 250 főnél többet foglalkoztató szervezeteknek általánosan, továbbá kockázatos adatkezelésről, ill. különleges kategóriájú adatok kezeléséről belső nyilvántartást kell vezetni. BCR és Modell Szerződések, megfelelőségi döntések hatályban maradnak; magyar jogban eddig nem létező adattovábbítási jogalapok alkalmazhatóak. Adatfeldolgozók felelősek, bírságolhatóak. Adatfeldolgozási szerződések kötelező tartalmi elemei: írásbeli utasítások, titoktartás, együttműködés, audit jog kikötése, adatok visszajuttatása, további adatfeldolgozó igénybevétele. Adatalanyi jogokat kiterjesztik, így tájékoztatás, hozzáférés, adatkezelés korlátozásához való jog, adathordozhatóság, törlés, felejtéshez való jog, profilalkotási korlátozások. 2016 Kajtár Baker Takács & McKenzie Hegymegi-Barakonyi LLP Baker & McKenzie Ügyvédi Iroda 5
8 Adatvédelmi Rendelet Főbb változások Változás Egyablakos ügyintézés és együttműködés (55, 56, 63. cikkek) A Rendelet követelményei Főszabály szerint minden felügyeleti hatóság a saját területén jár el; határokon átnyúló ügyekben egyablakos ügyintézés van (fő felügyeleti hatóság), mivel a vállalkozás EU tevékenységi központja szerinti adatvédelmi hatóság illetékes. Ilyen esetben a felügyeleti hatóságok együttműködnek, jogsegélyt nyújtanak. Ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy kizárólag egy tagállamot érint, úgy a tagállami hatóság jár el. 9 Bírságok (83. cikk) Bírságmaximum összege 20 000 000 euró vagy az előző pénzügyi év globális árbevételének 4 %-a lehet, amelyik magasabb. 10 11 12 Adatvédelmi hatásvizsgálat (35. cikk) Beépített és alapértelmezett adatvédelem (25. cikk) Profilalkotás (4(4) és 22. cikkek) Felelősség (24. cikk) Hatásvizsgálat előzetes elvégzése kötelező, ha valamely új adatkezelés (új technológia) magas adatvédelmi kockázatot jelenthet az érintett jogaira, szabadságaira. Ez kötelező: profilalkotásnál, különleges kategóriájú adatok kezelésénél, nyilvános helyek megfigyelésénél. Hatósági lista lesz. Magas kockázat esetén kötelező előzetesen konzultálni a Hatósággal. Az adatvédelmi alapelvek (így adattakarékosság, célhoz kötöttség) beépítése az adatkezelés folyamatába, üzleti gyakorlatokba, technológiai fejlesztésekbe, a termékek teljes életciklusába. Alapértelmezett a szükséges adatok felvétele, a magánélet-barát beállítások. Személyes jellemzők automatizált értékelését magába foglaló adatkezelés. Különösen az analytics és cookie alkalmazókat érinti. Felelősség elve: az adatkezelő tartozik bizonyítani, hogy adatkezelése megfelel 13 2016 Kajtár Baker Takács & McKenzie Hegymegi-Barakonyi LLP Baker & McKenzie a Ügyvédi Rendeletnek Iroda és ennek érdekében intézkedések megtételére köteles, belső 6 adatvédelmi szabályokat is alkalmaz.
Teendők
Adatvédelmi Rendelet Teendők Az adatkezeléseket 2018. május 25-ig összhangba kell hozni a Rendelettel. Megfelelőség igazolása: beépített adatvédelem; belső adatvédelmi szabályok, adatvédelmi incidensek, érintetti kérelmek kezelésének szabályozása Hozzájárulások felülvizsgálata: korábban megadott hozzájárulás akkor alkalmazható, ha megfelel a Rendeletnek. Adatvédelmi tájékoztatók felülvizsgálata: a tisztességes és átlátható adatkezelés biztosításához Közös adatkezelők megállapodása: átlátható, tükrözi a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat; az érintettel közölni kell Adatfeldolgozási szerződések felülvizsgálata: a Rendelet új követelményeket rögzít, ezért a szerződéseket a feleknek az új követelmények kell igazítaniuk Adatkezelési nyilvántartások elkészítése Technikai-adatbiztonsági intézkedések kialakítása (titkosítás, álnevesítés, resiliency) 2016 Kajtár Baker Takács & McKenzie Hegymegi-Barakonyi LLP Baker & McKenzie Ügyvédi Iroda 8
További információk www.bakerinform.com www.dataprivacy.hu
Köszönöm szépen a figyelmet! E-mail: Adam.Liber@bakernet.com