GDPR

Adatvédelem mindenkinek / Data protection for everyone

Lemondhatnak-e az érintettek az adatbiztonsági intézkedések alkalmazásáról?

2021. december 27. 12:00 - poklaszlo

Érdekes témában foglalt állást a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz): eltekinthetnek-e az adatkezelők a technikai és szervezeti intézkedések alkalmazásától az érintettek erre irányuló kérése esetén?

A kérdés azért különösen érdekes, mert a GDPR alapján (lásd különösen a 32. cikket) az adatkezelő, illetve az adatfeldolgozó kötelezettsége, hogy a megfelelő technikai és szervezési intézkedések útján biztosítsák a kezet adatok védelmét: 

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja [...] (GDPR 32. cikk (1) bek.)

Az adatbiztonság garantálása a GDPR alapelveiből levezethető (vö. "integritás és bizalmas jelleg" elvével)  és a GDPR számos rendelkezésében tetten érhető adatkezelői, illetve adatfeldolgozói kötelezettség. Megnyilvánul abban is, hogy - a beépített- és alapértelmezett adatvédelem elveinek megfelelően - az adatkezelőnek úgy kell kialakítani az adatkezelés módját és az adatkezelés folyamata során is úgy kell eljárnia, hogy - többek között - az adatbiztonság megfelelő szintje is garantált legyen. 

A Rendelet széles körben biztosít ugyanakkor érintetti jogokat is, biztosítva ezzel az érintettek kontrollját is a személyes adataik kezelése fölött. Az érintetti jogok körében nem jelenik meg olyan jogosultság, amelynek célja az adatok kezelése során megvalósításra kerülő, az adatbiztonságot szolgáló intézkedésekről lemondás, az ilyen megoldások mellőzése lenne.

Joggal merülhet fel a kérdés, hogy egyáltalán mi értelme lehet az adatkezelő (adatfeldolgozó) által alkalmazott technikai és szervezési intézkedések "lebutításának", miért kérnék az érintettek az adatkezelőtől, hogy az adatkezelő által egyébként szükségesnek gondolt intézkedésektől tekintsen el? 

Anélkül, hogy megpróbálnám számba venni a lehetséges okokat, amelyek az adatbiztonsági intézkedések lazítására irányuló érintetti igények mögött állhat, valószínűsíthető, hogy létező jelenségről van szó, hiszen a német adatvédelmi hatóságok sem véletlenül vették napirendre a kérdést. Az igények mögött állhatnak egyébként praktikus szempontok (pl. a biztonsági intézkedések jelentette "kényelmetlenség" elkerülése), ugyanakkor a GDPR szabályaitól való - formailag az érintettek jóváhagyásán alapuló - általános eltéréseket elfogadó értelmezés hosszabb távon az adatbiztonság általános szintjének csökkenéséhez is vezethetne. 

A kiadott állásfoglalás az alábbiakat rögzíti: 

  • a megfelelő technikai és szervezési intézkedések alkalmazása a GDPR 32. cikke szerinti kötelezettség;
  • a GDPR 6. cikk (1) bekezdés a) pontja (hozzájárulás) alapján nincs lehetőség a technikai és szervezési intézkedések alkalmazásáról való lemondásra vagy a biztonsági szint csökkentésére;
  • egyes, különleges esetekben azonban, figyelemmel más érintettek jogaira is, egy adott érintett vonatkozásában, megfelelő előzetes tájékoztatás alapján és dokumentált módon, sor kerülhet egyes technikai és szervezési intézkedések mellőzésére, ha az érintett kifejezetten ezt kéri;
  • a fentiek a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbításának szabályait (GDPR V. fejezet) nem érintik. 

Mi következik a fentiekből a gyakorlatban?

  • A megfelelő technikai és biztonsági intézkedések szintje általánosságban az érintettek "jóváhagyására" alapozva nem csökkenthető, illetve ezek az intézkedések ilyen módon nem is mellőzhetők. Az adatkezelők és adatfeldolgozók kötelezettsége, hogy az adatkezelés megfelelő kereteit kialakítsák, beleértve a szükséges technikai és szervezési intézkedések alkalmazását is. 
  • Az általános kötelezettség azonban nem zárja ki, hogy egyes, indokolt esetekben az érintettek olyan kérést terjesszenek elő, amely egyedi esetekben az általánosan alkalmazott technikai és szervezési intézkedésektől való eltérésre vonatkozik. Ilyen esetekben az adatkezelőnek mérlegelnie kell a GDPR (illetve esetleg egyéb, az adott adatkezelésre vonatkozó jogszabály) előírásait, az egyedi helyzet jellemzőit és ez alapján hozhat döntést, hogy az érintetti igény teljesíthető lehet-e. A megfelelő tájékoztatás és a körültekintő dokumentálás különösen fontos lehet ezekben az esetekben.    
Szólj hozzá!
Címkék: adatbiztonság portfolioblogger Németország HU Rendelet beépített és alapértelmezett adatvédelem

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7016793508

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása