GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az adatvédelem, mint termék

2018. július 16. 11:00 - poklaszlo

Az elmúlt időszakban az adatvédelem kapcsán alapvetően két típusú hír uralja a nyilvánosságot. Egyrészt a GDPR május végi alkalmazandóvá válása kapcsán az új szabályozás körüli felhajtás, a megfelelés kihívásai biztosítottak szinte naponta megfelelő utánpótlást az adatvédelmi híreknek. Másrészt több nagy, a személyes adatokat érintő botrány is az érdeklődés középpontjába került. 

Tovább

Bill regarding the amendment of the Hungarian Data Protection Act

2018. június 20. 08:00 - poklaszlo

A bill regarding the amendment of the Hungarian Data Protection Act was submitted to the Hungarian Parliament on June 19. The bill aims at the implementation of Directive 2016/680 and the amendment of the Hungarian Data Protection Act regarding the application of the General Data Protection Regulation (GDPR).

The bill is mainly based on the draft bill that was published for public consultation almost a year ago, in last August. It is worth noting that another bill is also in front of the Hungarian Parliament regarding the GDPR implementation (that was submitted on May 29). The bill of May 29 contains only a few articles regarding the designation of the Hungarian Data Protection Authority as the competent data protection authority responsible for the enforcement of the GDPR. The Parliament will vote on the bill of May 29 very soon (probably on June 20).  

Tovább

Újabb NAIH állásfoglalások a GDPR alapján

2018. június 08. 11:30 - poklaszlo

Május 25-e óta alkalmazandó a GDPR (Általános Adatvédelmi Rendelet), de a jogalkalmazáshoz kapcsolódó kérdések száma még mindig nagyon magas (sőt talán növekszik). Éppen ezért minden hatósági iránymutatásnak, ajánlásnak nagy jelentősége van. A NAIH az elmúlt időszakban újabb állásfoglalásokat jelentetett meg a honlapján, amelyek közül néhányat az alábbiakban röviden ismertetek. 

Tovább

GDPR - Az első hét

2018. június 04. 11:30 - poklaszlo

Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Közben Magyarországon is benyújtásra került az Országgyűléshez a törvénytervezet, amely alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kerülne kijelölésre a GDPR alapján eljáró hatóságként, valamint a tervezet deklarálja, hogy első jogsértés esetén inkább a figyelmeztetés eszközével kellene élnie a hatóságnak. (Ez persze nem jelenti azt, hogy a NAIH nem bírságolhat már első alkalommal is, hiszen ezt nem zárja és nem is zárhatja ki a jogszabály, de egy erős jelzést küld az elvárásokról.) 

Tovább

Collection of national laws implementing the GDPR

2018. május 28. 11:00 - poklaszlo

Below, you can find a collection of national laws that are necessary for the enforcement of the GDPR. I will continously update this list. Last updated on 08.06.2018. If you need information regarding the status of the implementation in the EU Member States or look for some background information in connection with the implemenation process and the content of the national laws, please check my previous post here: Overview regarding the implementation of the GDPR across the EU.

Tovább

Elkezdődött....

2018. május 25. 11:00 - poklaszlo

.... az európai adatvédelem új korszaka

Hosszú, kétéves felkészülési időszak végéhez érkeztünk. 2018. május 25-től alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az adatvédelmi szabályozás új korszaka ezzel hivatalosan is kezdetét veszi. Visszatekintve, úgy tűnik, hogy nagyon gyorsan lejárt a felkészülésre szánt időtartam, feladat viszont még maradt bőven, hiszen egyes felmérések azt mutatják, hogy az adatkezelők egy része még messze nem készült fel az új szabályok alkalmazására. A felkészüléssel azonban nemcsak az adatkezelőknek gyűlt meg a bajuk, de a tagállamok jelentős része sem tett eleget jogalkotási kötelezettségeinek és a felügyeleti hatóságok is elmaradással küzdenek. Az előzetes tervekkel ellentétben pedig az e-Privacy Rendelet elfogadása jelentősen elcsúszott a GDPR-hoz képest, de vélhetően néhány hónapon belül ez is elfogadásra kerülhet. Miután ezek  az új szabályok is megszületnek, egy újabb (kisebb) felkészülési feladat még várhat az adatkezelők egy részére. 

Tovább

Mik lehetnek a jogszerű adatkezelés jogalapjai a GDPR alapján?

2018. május 22. 11:00 - poklaszlo

Az adatkezelés jogszerűségének nagyon fontos eleme, hogy az adatkezelésre milyen jogalapon kerül sor. Az adatkezelő kötelezettsége ugyanis, hogy az adatkezelés vonatkozásában gondoskodjon a megfelelő jogalap meglétéről. A Rendelet preambuluma (40) szerint: 

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.  

Ahogy egy korábbi posztomban már írtam róla, sok adatkezelő a hozzájárulást tekinti az adatkezelés elsődleges jogalapjának, így gyakran olyan esetekben is hozzájárulás beszerzésére törekszenek, amikor erre nincs szükség. Érdemes tehát áttekinteni, hogy a hozzájárulás mellett milyen egyéb jogalapok állnak rendelkezésre. Különösen fontos lehet ez Magyarországon, hiszen a 95/46/EK irányelv ("Irányelv") jogalapokra vonatkozó rendelkezéseinek nem megfelelő átültetése miatt hosszú időn át jelentős jogalkalmazási nehézségeket okozott a megfelelő jogalap meghatározása.       

Az Irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

Tovább

A GDPR árnyékában: a hálózati és információs rendszerek biztonságára vonatkozó új szabályok

2018. május 14. 11:30 - poklaszlo

A GDPR május 25-től válik alkalmazandóvá, így az utóbbi időszakban egyre nagyobb figyelmet kap a Rendeletre való felkészülés. Ugyanakkor szép csendben május 10-től alkalmazandóvá váltak azok az új, a hálózati és információs rendszerek biztonságára vonatkozó szabályok, amelyeket az EU 2016/1148. sz. irányelve (NIS Irányelv) alapján kellett a tagállamoknak a jogrendszerükbe átültetniük. 

Mi az a NIS Irányelv?

Az irányelv a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelmét hívatott megteremteni az EU-n belül. Ezek a rendszerek ugyanis kiemelkedő jelentőséggel bírnak számos gazdasági és társadalmi tevékenységgel kapcsolatban, és jelentős szerepet játszanak a belső piac működése szempontjából (különös tekintettel a digitális gazdaság növekvő szerepére is). 

A hálózati és információs rendszerek, és mindenekelőtt az internet, alapvető szerepet játszanak az áruk, a szolgáltatások és a személyek határokon átnyúló mozgásának elősegítésében. Transznacionális jellegük miatt e rendszerek jelentős zavara érinthet egyes tagállamokat, de akár az Unió egészét is, függetlenül attól, hogy azt szándékosan vagy nem szándékosan okozták-e, illetve tekintet nélkül az előfordulás helyére. (NIS Irányelv, Preambulum 3. pont)

A hálózati és információs rendszerek összekapcsoltsága és határokon átnyúló jellege igényli, hogy a szabályozás minél összehangoltabb legyen és egységesen magas szintű védelem kerüljön megvalósításra. 

Az EU-n belül működik egy ügynökség is, az ENISA (European Union Agency for Network and Information Security), amely fontos szerepet tölt be az egységesülő európai kibervédelem megteremtésében, így a NIS Irányelvben foglaltak végrehajtásában is

Tovább

Joint controllers in the GDPR

2018. május 08. 13:00 - poklaszlo

The data controller is a central player in data protection regulation. The data controller is the one who determines the purposes and means of data processing and makes substantive decisions about the data processing activities.

However, the data controller can not only act independently of a given data processing, but it may be that more data controllers jointly make decisions regardinf the data processing. This is also expressly clear in the definition of controllers set out in the GDPR, which provides that the data controller is the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. (This is, of course, not a novelty, current data processing rules contains similar definitions, so it is possible that multiple data controllers jointly define the purpose of data processing.) On the other side, GDPR makes the situation quite clear when it states that if the purposes and tools of data processing are jointly determined by two or more controllers, they shall be joint controllers (see Article 26 of the Regulation).

Tovább

Mi az a közös adatkezelés?

2018. május 08. 11:00 - poklaszlo

Az adatkezelő az adatvédelmi szabályozás központi szereplője. Az adatkezelő az, aki meghatározza az adatkezelés céljait és eszközeit, az adatkezeléssel kapcsolatos érdemi döntéseket meghozza. 

Az adatkezelő viszont nem csak önállóan járhat el egy adott adatkezeléssel kapcsolatban, hanem elképzelhető, hogy több adatkezelő együttesen hozza meg az adatkezelést érintő döntéseket. Ezt fejezi ki a GDPR-ban szereplő meghatározás is, miszerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Ez persze nem újdonság, mert az Infotv. is hasonló definíciót tartalmaz, azaz jelenleg is elképzelhető, hogy több adatkezelő együttesen határozza meg az adatkezelés célját.) A GDPR viszont egészen egyértelműen fogalmaz, amikor kimondja, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek (lásd a Rendelet 26. cikkében).  

Tovább