Ne féljünk a GDPR-tól!

5 tévhit az EU új adatvédelmi rendeletével kapcsolatban

forrás: Prím Online, 2017. május 4. 08:34

Az elmúlt hónapokban nem telt el úgy nap, hogy valamilyen hír ne jelent volna meg az Európai Unió új adatvédelmi rendeletéről. A legtöbb megjelenés, akár jogi, akár üzleti oldalról is született, elsősorban arról próbálja meggyőzni a közönségét, hogy olyan nagy horderejű újdonságok és változások kerülnek bevezetésre ezáltal, amelyeket a cégek - különösen a KKV szektor - csak nagyon nehezen, hosszú felkészüléssel tud teljesíteni. 

A valóság azonban az, hogy azok a vállalkozások, akik eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH előírásainak, az új rendelet hatályba lépésével nem kényszerülnek gyökeres változtatásokra. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, tényleg újdonságokkal találkozhatnak – persze nem azért, mert annyira más lesz az új jogszabály, hanem azért, mert a régit sem ismerték és nem követték, és most egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek. 

 

A pánik eloszlatására dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemben jártas ügyvédje segítségével összeszedtük az adatvédelmi rendelettel kapcsolatos tévhiteket, beleértve az új rendelet azon rendelkezéseit, amelyek nem hoznak változást, hiszen eddig is léteztek és be kellett (volna) tartani őket, és azokat is, amelyek valóban újdonságot vagy eltérést fognak jelenteni az EU-s szabályozásban – nem árulunk el nagy titkot azzal, hogy az utóbbiak vannak kisebbségben.

 

1. tévhit: A rendeletre nincs elég idő felkészülni

A rendelet 2018. május 25-én, azaz több, mint egy év múlva lép hatályba, így sok idő áll még rendelkezésre ahhoz, hogy az eddig is gondos és jogkövető vállalkozások felkészüljenek az alkalmazására. Az egy éves időtartam elsősorban azoknak tűnhet rövidnek, akik nem foglalkoztak az adatvédelmi kérdésekkel az elmúlt években.

 

2. tévhit: Sokkal szigorúbb szabályokat ír elő a rendelet az adatkezelésre

A magyar adatvédelmi jogszabály, az Infotörvény eddig is a legszigorúbbak közé tartozott az Európai Unióban. A jelenleg hatályos magyar szabályozás alapjául eleve az uniós adatvédelmi rendelet szolgált, amelyet a magyar kormányzat a lehető legteljesebb mértékben átültetett, és a jogalkalmazásban az adatvédelmi hatóság (NAIH) is az egyik legrigorózusabban járt el, szűk értelmezésben és szigorúan alkalmazva az Európai Bizottság adatvédelmi munkacsoportja, az Artcile 29 Munkacsoport adatvédelmi véleményeit, amelyek egyébként több helyen is beépítésre kerültek az új uniós rendelet szabályai közé. A magyar szabályozás a 20 millió forintos bírságmaximummal eddig sem volt könnyen teljesíthető a KKV szektornak, a nagyvállalatok azonban gyakran bekalkulálták azt működési költségeikbe. Az új uniós rendelet fő szigorításai elsősorban ennek megakadályozását célozzák és eredményezik, mivel az: 

  • az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió eurora, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír.
  • az adatvédelmi felelős alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok számban történő kezelését foglalja magában.
  • általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást – amely azonban az automatikus adatkezelésről szóló szabályok közt részben helyet kapott már eddig is a magyar jogszabályban.

 

Ezen túlmenően azonban a rendelet inkább sok helyen enyhít a magyar szabályokhoz képest: 

  • a különleges adatok kezeléséhez az írásbeli hozzájárulás helyett csak kifejezett hozzájárulást követel meg; 
  • az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában;
  • meghatároz olyan esetköröket, amikor nem kell törölni az adatokat – ezek eddig a magyar jogban a törlési kötelezettség alá estek;
  • az adatkezelés elleni tiltakozási jogot kötelezően csak a közvetlen üzletszerzés érdekében történő adatkezelésre, valamint a közérdekű adatkezelés és jogos érdeken alapuló adatkezelés esetén biztosítja, az egyéb célú adatkezelésre nem biztosít ilyen jogot kötelezően és általánosan, szemben a magyar jogszabállyal;
  • nem írja elő a központi állami adatvédelmi nyilvántartásba történő adatkezelési bejelentést az adatkezelés megkezdése előtt, pusztán azt követeli meg, hogy az adatkezelők maguk vezessenek adatkezelési nyilvántartást.

 

3. tévhit: A rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját

A magyar Infotörvény (Infotv.) és az uniós jogszabály adatkezelésre vonatkozó alapelvei kevés kivétellel szinte teljesen megegyeznek, hiszen mindegyik megköveteli az alábbiakat az adatkezelőtől:

 

  1. személyes adatot csak előre meghatározott célból kezeljen (célhoz kötöttség elve), 
  2. csak a cél megvalósulásáig (korlátozott tárolhatóság elve), 
  3. csak a cél megvalósításához feltétlenül szükséges mértékben (adat takarékosság és alapértelmezett adatvédelem elve) kezeljen, 
  4. az adatkezelésnek meg kell felelnie a tisztesség követelményének (tisztesség elve), 
  5. jogszerűnek kell lennie (megfelelő jogalappal kell rendelkeznie), 
  6. a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie (pontosság elve), 
  7. az adatkezelésnek megfelelő, közérthető, részletes, teljes, könnyen hozzáférhető és előzetes tájékoztatáson kell alapulnia (előzetes tájékoztatás elve)
  8. A rendelet alapján az sem változik, hogy az érintetteknek ugyanúgy kérésükre tájékoztatást kell adni adataik kezeléséről, a tájékoztatás adás határideje és tartalma között sincs szignifikáns eltérés az új jogszabályban;
  9. A jogosultakat ugyanazok a jogorvoslati jogok illetik meg, mint a magyar törvény alapján:  tiltakozhatnak adataik kezelésével szemben (tiltakozás joga), kérhetik azok törlését (feledés joga), helyesbítését és zárolását.
  10. ahogy eddig is kellett a magyar vállalkozásoknak az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor az adatbiztonságról gondoskodniuk, úgy ebben a kötelezettségükben ezután sem lesz változás, hiszen a magyar Infotv. ezt a követelményt is tartalmazta (privacy by design elve);
  11. az adatkezelőnek az adatvédelmi incidensekkel kapcsolatban nyilvántartási, értesítési és hatósági bejelentési kötelezettsége van, amely a magyar jogban eddig is létezett a legutolsó Infotv. módosítás óta (adatvédelmi incidenskezelés).

 

Vagyis aki eddig betartotta a magyar jogszabályt, annak az új rendelet alapján sem lesz félnivalója.

 

 

4. tévhit: Az új rendelet rengeteg újdonságot hoz

Kétségkívül hoz újdonságokat az adatvédelmi rendelet, de a magyar szabályozáshoz képest rengeteg nóvumról azért nem beszélhetünk – hangsúlyozta dr. Horváth Katalin ügyvéd.

 

A fent felsorolt szigorítások mellett az új rendelet bevezeti az elszámoltathatóság alapelvét, amely alapján az adatkezelő felelős az adatkezelés elveinek betartásáért (ez eddig is így volt), azonban most már ezt ténylegesen igazolnia is tudni kell (a NAIH gyakorlata pedig eleve ezt az elvet követte jogszabályi előírás nélkül is).

 

Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, a genetikai, biometrikus és egészségügyi adat fogalmát, amely utóbbit a magyar Infotv. részletesen nem tartalmazta (de magát a fogalmat használta), hanem csak az egészségügyi ágazati jogszabályban került eddig meghatározásra.

 

A rendelet az önkéntes, tájékozott hozzájáruláson és a jogszabályi engedélyen alapuló adatkezelés mellé egy harmadik adatkezelési jogalapot is bevezet: a jogos érdeken alapuló adatkezelést, ami alapján az adtakezelés jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

 

Igazi újdonság viszont a rendeletben az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a felügyeleti hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.

 

5. tévhit: A felkészüléshez csak a rendelet szabályainak kell megfelelni

A legtöbb sajtóban megjelent összefoglaló, az adatkezelőknek tartott felkészítő kurzus, tanfolyam nem említi, hogy a rendelet egyes témaköröket tagállami hatáskörben tart, vagy legalábbis megengedi, hogy a tagállamok kiegészítő vagy esetleg szigorúbb, illetve eltérő szabályokat állapítsanak meg. Ez azt jelenti, hogy nem elegendő a vállalkozásoknak az új rendelet szövegének megfelelni, figyelemmel kell kísérni az adott tagállami jogalkotást is, amely pedig – legalábbis Magyarországon – nem kapkod, és még nem kerültek elfogadásra a rendelet hatályba lépésével szükségessé váló vagy éppen ezen lehetőséget kihasználni törekvő kiegészítő jellegű jogszabály módosítások.

 

A tagállamok szabályozási hatáskörében maradnak például az alábbi témakörök:

  1. foglalkoztatással összefüggő adatkezelési kérdések (munkaviszonnyal kapcsolatos adatkezelés)
  2. gyermekek személyes adatainak információs társadalommal összefüggő szolgáltatásokkal kapcsolatos adatkezelési szabályai (például mobilapplikációk által kezelt kiskorúak adatai)
  3. az adatvédelmi felelős alkalmazásának rendeletben nem szabályozott egyéb kötelező esetkörei
  4. genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozó további szabályok és feltételek (ami például az mHealth applikációk fejlesztőit is érinthetik)
  5. jolly joker szabályként pedig általánosságban minden olyan kérdésben, amelyet nem szabályoz a rendelet.

 

A fenti tagállami hatáskör fennmaradása pedig azt jelenti, hogy a rendelet hatályba lépése előtt egy évvel a felkészüléshez csak a jogszabályok megközelítőleg 80%-a ismert, a többi 20% még nem tudható, és akár jelentős szigorítást, eltérést vagy kiegészítő feltételeket is magával hozhat. Különösen valószínűsíthető ez a magyar jogalkotásra és adatvédelmi hatósági törekvésre, amely a magyar jogszabály rendeletnél is szigorúbb előírásait továbbra is fenn kívánja tartani, amely azonban a rendelet eredeti céljával megy szembe: egy egységes európai szabályozás megteremtése a versenyképesség és az innováció növelése érdekében – emelte ki dr. Horváth Katalin ügyvéd.

E-világ ROVAT TOVÁBBI HÍREI

A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák

A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.

2024. november 21. 17:59

OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat

Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében.  Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.

2024. november 21. 16:35

Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup

Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.

2024. november 21. 14:56

Izgalmas versenyek a T-esport Bajnokságon

Százezer euró – ennyi volt az összdíjazása a Deutsche Telekom hétvégén lezárult e-sport bajnokságának, a T-esport Bajnokságnak. Az online eseményeken és a Budapesten, a Telekom PlayIT Show keretében megrendezett döntőben a legjobb Counter-Strike 2, League of Legends, Brawl Stars és EA Sports FC 24 játékosok mérték össze a tudásukat, köztük két magyar versenyző is. 

2024. november 21. 13:12

Újabb kutatás cáfolja az AI-félelmeket

A Unisys friss kutatása szerint mind az alkalmazottak, mind a munkáltatók pozitívnak ítélik meg a mesterséges intelligencia (AI) munkahelyi hatását. A Magyarországon több mint 700 szakembert foglalkoztató vállalat négy országban elvégzett felmérése azt mutatja, hogy az AI alkalmazása növelheti a dolgozói elégedettséget, és segítheti a gyorsabb karrierépítést, míg a vállalatvezetők szerint versenyképességüket veszélyezteti, ha nem építik be a technológiát a működésükbe.

2024. november 21. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01