Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Közben Magyarországon is benyújtásra került az Országgyűléshez a törvénytervezet, amely alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kerülne kijelölésre a GDPR alapján eljáró hatóságként, valamint a tervezet deklarálja, hogy első jogsértés esetén inkább a figyelmeztetés eszközével kellene élnie a hatóságnak. (Ez persze nem jelenti azt, hogy a NAIH nem bírságolhat már első alkalommal is, hiszen ezt nem zárja és nem is zárhatja ki a jogszabály, de egy erős jelzést küld az elvárásokról.) 

Below, you can find a collection of national laws that are necessary for the enforcement of the GDPR. (Last updated on 28.09.2018.) If you need information regarding the status of the implementation in the EU Member States or look for some background information in connection with the implemenation process and the content of the national laws, please check my previous post here: Overview regarding the implementation of the GDPR across the EU.

Hosszú, kétéves felkészülési időszak végéhez érkeztünk. 2018. május 25-től alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az adatvédelmi szabályozás új korszaka ezzel hivatalosan is kezdetét veszi. Visszatekintve, úgy tűnik, hogy nagyon gyorsan lejárt a felkészülésre szánt időtartam, feladat viszont még maradt bőven, hiszen egyes felmérések azt mutatják, hogy az adatkezelők egy része még messze nem készült fel az új szabályok alkalmazására. A felkészüléssel azonban nemcsak az adatkezelőknek gyűlt meg a bajuk, de a tagállamok jelentős része sem tett eleget jogalkotási kötelezettségeinek és a felügyeleti hatóságok is elmaradással küzdenek. Az előzetes tervekkel ellentétben pedig az e-Privacy Rendelet elfogadása jelentősen elcsúszott a GDPR-hoz képest, de vélhetően néhány hónapon belül ez is elfogadásra kerülhet. Miután ezek  az új szabályok is megszületnek, egy újabb (kisebb) felkészülési feladat még várhat az adatkezelők egy részére. 

Az adatkezelés jogszerűségének nagyon fontos eleme, hogy az adatkezelésre milyen jogalapon kerül sor. Az adatkezelő kötelezettsége ugyanis, hogy az adatkezelés vonatkozásában gondoskodjon a megfelelő jogalap meglétéről. A Rendelet preambuluma (40) szerint: 

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.  

Ahogy egy korábbi posztomban már írtam róla, sok adatkezelő a hozzájárulást tekinti az adatkezelés elsődleges jogalapjának, így gyakran olyan esetekben is hozzájárulás beszerzésére törekszenek, amikor erre nincs szükség. Érdemes tehát áttekinteni, hogy a hozzájárulás mellett milyen egyéb jogalapok állnak rendelkezésre. Különösen fontos lehet ez Magyarországon, hiszen a 95/46/EK irányelv ("Irányelv") jogalapokra vonatkozó rendelkezéseinek nem megfelelő átültetése miatt hosszú időn át jelentős jogalkalmazási nehézségeket okozott a megfelelő jogalap meghatározása.       

Az Irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

A GDPR május 25-től válik alkalmazandóvá, így az utóbbi időszakban egyre nagyobb figyelmet kap a Rendeletre való felkészülés. Ugyanakkor szép csendben május 10-től alkalmazandóvá váltak azok az új, a hálózati és információs rendszerek biztonságára vonatkozó szabályok, amelyeket az EU 2016/1148. sz. irányelve (NIS Irányelv) alapján kellett a tagállamoknak a jogrendszerükbe átültetniük. 

Mi az a NIS Irányelv?

Az irányelv a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelmét hívatott megteremteni az EU-n belül. Ezek a rendszerek ugyanis kiemelkedő jelentőséggel bírnak számos gazdasági és társadalmi tevékenységgel kapcsolatban, és jelentős szerepet játszanak a belső piac működése szempontjából (különös tekintettel a digitális gazdaság növekvő szerepére is). 

A hálózati és információs rendszerek, és mindenekelőtt az internet, alapvető szerepet játszanak az áruk, a szolgáltatások és a személyek határokon átnyúló mozgásának elősegítésében. Transznacionális jellegük miatt e rendszerek jelentős zavara érinthet egyes tagállamokat, de akár az Unió egészét is, függetlenül attól, hogy azt szándékosan vagy nem szándékosan okozták-e, illetve tekintet nélkül az előfordulás helyére. (NIS Irányelv, Preambulum 3. pont)

A hálózati és információs rendszerek összekapcsoltsága és határokon átnyúló jellege igényli, hogy a szabályozás minél összehangoltabb legyen és egységesen magas szintű védelem kerüljön megvalósításra. 

Az EU-n belül működik egy ügynökség is, az ENISA (European Union Agency for Network and Information Security), amely fontos szerepet tölt be az egységesülő európai kibervédelem megteremtésében, így a NIS Irányelvben foglaltak végrehajtásában is. 

The data controller is a central player in data protection regulation. The data controller is the one who determines the purposes and means of data processing and makes substantive decisions about the data processing activities.

However, the data controller can not only act independently of a given data processing, but it may be that more data controllers jointly make decisions regardinf the data processing. This is also expressly clear in the definition of controllers set out in the GDPR, which provides that the data controller is the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. (This is, of course, not a novelty, current data processing rules contains similar definitions, so it is possible that multiple data controllers jointly define the purpose of data processing.) On the other side, GDPR makes the situation quite clear when it states that if the purposes and tools of data processing are jointly determined by two or more controllers, they shall be joint controllers (see Article 26 of the Regulation).

Az adatkezelő az adatvédelmi szabályozás központi szereplője. Az adatkezelő az, aki meghatározza az adatkezelés céljait és eszközeit, az adatkezeléssel kapcsolatos érdemi döntéseket meghozza. 

Az adatkezelő viszont nem csak önállóan járhat el egy adott adatkezeléssel kapcsolatban, hanem elképzelhető, hogy több adatkezelő együttesen hozza meg az adatkezelést érintő döntéseket. Ezt fejezi ki a GDPR-ban szereplő meghatározás is, miszerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Ez persze nem újdonság, mert az Infotv. is hasonló definíciót tartalmaz, azaz jelenleg is elképzelhető, hogy több adatkezelő együttesen határozza meg az adatkezelés célját.) A GDPR viszont egészen egyértelműen fogalmaz, amikor kimondja, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek (lásd a Rendelet 26. cikkében).  

The preparations for the application of the GDPR have come to its final phase, since the Regulation is directly applicable in all EU Member States from May 25. Despite the fact that the Regulation will soon become part of the daily practice, there are still many misunderstandings and myths concerning the application and interpretation of the GDPR. I attempt to dispel some of the most common misbeliefs below.

1. The Regulation will enter into force on May 25, 2018, and we can start the preparation for its application  after its entry into force

Actually, the GDPR has been in effect since May 2016. It becomes applicable on 25 May this year, i.e. the two-year period for the preparation expires. Accordingly, no further period of time is available for the preparation. From then on, the GDPR "goes live" and any further preparation activities can only be carried out under the GDPR-regime.

A GDPR-ra való felkészülés a hajrájába érkezett, május 25-től közvetlenül alkalmazandó a Rendelet az EU valamennyi tagállamában. Annak ellenére, hogy a Rendelet rövidesen a napi joggyakorlat részévé válik, még mindig számos tévhit, mítosz kering vele kapcsolatban a köztudatban. Ezek közül a tévhitek közül igyekszünk az alábbiakban eloszlatni néhányat. 

1. A Rendelet 2018. május 25-én lép hatályba, ráérünk a hatálybalépés után felkészülni az alkalmazására

A GDPR valójában már 2016. május 25-e óta hatályban van. Idén május 25-én alkalmazandóvá válik, azaz a felkészülésre biztosított 2 éves határidő letelik. Ennek megfelelően bármennyire is úgy érzi sok adatkezelő és adatfeldolgozó, hogy további felkészülési időre lenne szükségük, az már nem áll rendelkezésükre. Innentől kezdve a további felkészülés az "éles üzem" mellett folytatódik.  

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.