Amikor adatvédelmi iránymutatások, ajánlások után kutakodunk, valószínűleg nem elsők között jut eszünkbe, hogy a gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) honlapján nézzünk körül. Pedig érdemes lehet, mivel a GRA több olyan anyagot is közzétett az elmúlt években, amely szélesebb körben is érdeklődésre tarthat számot. Az alábbiakban néhány a GRA által közzétett és Gibraltár határain túl is érdekes iránymutatást, ajánlást gyűjtöttem össze.
Gibraltár és a Brexit
Mielőtt az egyes iránymutatásokra kitérnénk érdemes röviden áttekinteni, hogy Gibraltárt miképpen érinti az Egyesült Királyság kilépése az Európai Unióból, azaz a Brexit.
Gibraltár a brit tengerentúli területek (British Overseas Territories) közé tartozik és a Brexit folyamat eredményeképpen 2020. január 31-ével távozott az Európai Unióból, és Gibraltár tekintetében is 2020. december 31-ével jár le a korábban kialkudott átmeneti időszak. Adattovábbítási szempontból Gibraltár is harmadik országnak minősül az Egyesült Királyság többi részével együtt. (Az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodás alapján azonban - megfelelőségi határozat elfogadásáig, de legfeljebb 6 hónapig - adatok Gibraltárban működő szervezetek felé is szabadon továbbíthatók lesznek további megfelelőségi garancia biztosítása nélkül.)
(A GRA több, a Brexit hatásával foglalkozó iránymutatást is közzétett, elősegítve a felkészülést az EU-ból való kilépésre.)
Koronavírus járvány kapcsán kiadott iránymutatások
A gibraltári adatvédelmi hatóság több iránymutatást is kiadott a koronavírus járvánnyal kapcsolatban, amelyek akár a járvány után is hasznos támpontot szolgáltathatnak a tárgyuk szerinti témákban:
- videokonferenciákkal kapcsolatos iránymutatás,
- testhőmérséklet ellenőrzés,
- kontaktkutatás és helymeghatározó adatok kezelése.
A fentiek közül kiemelést érdemel a videokonferenciákra vonatkozó iránymutatás, amely két részből tevődik össze, egyrészt a magánszemélyek számára nyújt segítséget ezen alkalmazások megfelelő használatához, másrészt a szervezeteknek is iránymutatást ad a megfelelő adatvédelmi és adatbiztonsági keretek között történő igénybevételhez. Az iránymutatás elkészítéséhez több más hatóság vonatkozó anyagait is figyelembe vették (pl. ír hatóság, brit hatóság, kanadai adatvédelmi biztos), így az iránymutatás jó kiindulásként szolgál a téma alaposabb körüljárásához is.
Új technológiákkal kapcsolatos iránymutatások: blokklánc
Egyes új technológiák kapcsán az adatkezelőknek segítséget nyújthat, ha különböző szabályozó hatóságoktól, jogalkalmazó szervektől kapnak arra vonatkozóan ajánlásokat, hogy az új technológia jelentette kihívásokat milyen módon tudják megfelelően kezelni.
A GRA iránymutatásai között is találhatunk olyat, amely új technológiákkal foglalkozik, ilyen pl. a blokkláncokkal kapcsolatban kiadott iránymutatás. Hasonlóan a videokonferenciákra vonatkozó iránymutatáshoz, a blokklánc technológia kapcsán kiadott dokumentum is több olyan forrást nevesít, amelyet érdemes áttanulmányoznia annak, aki jobban el akar mélyedni a témában (lásd a dokumentum 2. pontját). A technológia alapjainak ismertetésén túl a blokklánc és a GDPR közötti kapcsolatot tárgyalja részletesebben az iránymutatás, kiemelve néhány ütközési pontot: az adatkezelő személyének a meghatározása, anonimizálás, érintetti jogok gyakorlása, illetve adatkezelési jogalap meghatározása. (Ezzel a kérdéskörrel ebben a posztban foglalkoztam részletesebben az Európai Parlament részére készített tanulmány alapján. Érdemes elolvasni az Állam és Jogtudomány c. folyóirat 2020/4. számában Dr. Eszteri Dániel "A blokklánc mint személyes adatkezelési technológia GDPR-megfelelőségéről" c. cikkét is a témában.)
Általános iránymutatások
A fentieken túlmenően is van a GRA-nak néhány olyan általánosabb tárgyú iránymutatása, amit érdemes lehet átnézni. Ezek közé tartozik az adatvédelmi hatásvizsgálatokkal kapcsolatos iránymutatás-csomag, az adatkezelési tájékoztatókra vonatkozó iránymutatás, adatvédelmi incidensek kezelésével kapcsolatos iránymutatás, stb.
Az adatvédelmi hatásvizsgálatra vonatkozó anyagok közé tartozik egy általános iránymutatás, az előzetes konzultációra vonatkozó iránymutatás, esettanulmány, valamint egy hatásvizsgálati mintadokumentum.
Az adatkezelési tájékoztatásra vonatkozó iránymutatás melléklete tartalmaz egy mintadokumentumot, illetve egy közérthető és rövid útmutatót arra vonatkozóan, hogy a GDPR 13. és 14. cikke szerinti egyes tájékoztatás témakörök kapcsán milyen jellegű információkat kell az adatkezelőknek az érintettekhez eljuttatniuk.
(További, a GDPR-al kapcsolatos általános iránymutatások is elérhetők a GRA honlapján, pl. hozzáférési jog gyakorlásával kapcsolatban, adatkezelési jogalapokról, hozzájárulásról, adathordozhatóságról.)
