The General Data Protection Regulation (GDPR) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). 

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the GDPR, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen. The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkezdte publikálni az EU Általános Adatvédelmi Rendelete (GDPR) alapján kiadott állásfoglalásait. Első körben alapvetően az adatvédelmi tisztviselőt érintő kérdésekkel foglalkozott a Hatóság. Az adatvédelmi tisztviselő (DPO) jogállásával, feladatköreivel kapcsolatban korábban a 29-es Cikk szerinti Munkacsoport (WP 29) is adott ki iránymutatást, illetve az Amerikai Kereskedelmi Kamara (AmCham) is publikált egy véleményt, amely segíti az adatkezelőket és adatfeldolgozókat az eligazodásban.    

Article 29 Working Party (WP29) has published several guidelines under the GDPR and such guidelines contain recommendations regarding best practices that are regarded by the authorities as compliant with the requirements of the GDPR. In this post, I have collected such recommendations. 

A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

• Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
• A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
• A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Data protection rules such as the EU's new General Data Protection Regulation (GDPR) apply to personal data. But what does personal data mean?

According to the GDPR, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

A key element of the concept of personal data is that it can only be information about a natural person (i.e. this means that information about a legal person, such as company name, registration number or seat do not constitute personal data). The other key element is that the information shall be related to an identified or identifiable natural person. It is not necessary to identify the person, it is sufficient if the possibility is given for  the identification ("identifiable").

Az adatvédelmi szabályokat, így az EU új általános adatvédelmi rendeletének (GDPR) szabályait is személyes adatokra kell alkalmazni. Mi is az a személyes adat?

A GDPR alapján személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A személyes adat fogalmának egyik kulcseleme, hogy csak természetes személyre vonatkozó információ lehet (azaz például egy jogi személyre vonatkozó információk, pl. a cég neve, cégjegyzékszáma, székhelye nem minősülnek személyes adatnak). A másik kulcselem pedig, hogy azonosított vagy azonosítható természetes személyre (az érintettre) kell vonatkoznia. Nem kell tehát az azonosításnak feltétlenül megtörténnie, elegendő, ha a lehetőség adott az azonosításra ("azonosítható"). 

In connection with the operation of a group of companies, there is a very frequent need to transfer personal data within the company group, even when some of the group companies operate outside the EU.

In cases where certain members of a group of companies operate in third countries for which there is no accepted adequacy decision, binding corporate rules (BCRs) may serve as a means of transferring personal data to third countries.

According to the definition set out in the GDPR (Article 4, Point 20), binding corporate rules means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity.

A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek. 

Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).  

A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet

• az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
• egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről

történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Each year, on January 28, the Data Protection Day is celebrated. Why on January 28? The reason is that the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data was opened for ratification on that day in 1981. In 2018, data protection is a particularly important topic, since the EU’s general data protection regulation (GDPR) will become applicable from May 25.

The 2-year preparation period for applying GDPR comes to its last, perhaps most intensive stage. For now, many data controllers and data processors have acknowledged that they need to take steps to comply with the new data protection regime. In the preparation process, we can often have the feeling that Zeno’s famous paradox of Achilles and the tortoise is very true in the field of data protection:

Achilles competes with a tortoise. The famous runner allows the tortoise a head start. After the start of the race, the quicker runner reaches the point where the slower started, meanwhile the slower runner has also advanced. However, when the faster runner reaches this new point, the tortoise is a little further forward again. Apparently, Achilles can never overtake the tortoise. 

As recounted by Aristotle: “In a race, the quickest runner can never overtake the slowest, since the pursuer must first reach the point whence the pursued started, so that the slower must always hold a lead.” (In Physics VI:9, 239b15, source: Wikipedia, Zeno's Paradoxes)

Why does this come to mind when pursuing GDPR compliance? Perhaps because, in the process of data protection compliance, it is almost impossible to have a moment when we can say: "We are fully prepared, there is not anything else to do." Rather, data controllers (and processors) need to constantly make efforts to comply with data protection rules and changing practices.

In the context of GDPR compliance, it is worth noting that it is not a task to be accomplished once, but a change of approach that needs to be continuously part of the regular, day-to-day operation of data controllers and processors.

If this is the case, perhaps a minimum distance can also be reached from the need to comply with applicable rules in data processing: in physics that minimum distance is known as the Planck length, that is, the shortest meaningful length! (By the way, the Planck length is 10^-33 centimeters.)

Minden évben január 28-án tarják az adatvédelem napját. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. 2018-ban az adatvédelem különösen nagy hangsúlyt kap, hiszen már csak szűk négy hónap választ el minket az EU általános adatvédelmi rendeletének (GDPR) alkalmazandóvá válásától (erre 2018. május 25-től kerül sor). 

A GDPR alkalmazására való 2 éves felkészülési időszak az utolsó, talán legintenzívebb szakaszába érkezik. Mostanra számos adatkezelő és adatfeldolgozó ismerte fel, hogy az új adatvédelmi rezsimnek való megfelelés érdekében lépéseket kell tenniük. Ugyanakkor a felkészülési folyamatban sokszor az az érzés keríthet hatalmába bennünket, mint Zénón híres paradoxonjában Akhilleuszt, amikor a teknőssel kelt versenyre:   

Akhilleusz versenyt fut egy teknőssel. A híres futó magabiztosan nagy előnyt ad a teknősnek. A verseny kezdetét követően a gyorsabb futó hamar eléri azt a pontot, ahonnan a lassabb indult, ugyanakkor közben a lassabb futó is előrehaladt. Amikor azonban a gyorsabb futó erre az újabb pontra ér, a teknős megint egy kicsit előrébb vánszorgott. Látszólag tehát Akhilleusz soha nem érheti utol a teknőst. (Forrás: Wikipédia, Zénón paradoxonjai) 

Miért juthat ez az eszünkbe a GDPR-megfelelés üldözése kapcsán? Talán azért, mert az adatvédelmi megfelelést célzó folyamatban szinte elképzelhetetlen egy olyan pillanat, amikor azt mondhatjuk: "Nincs már teendőnk." Sokkal inkább arról van szó, hogy az adatkezelőknek (és adatfeldolgozóknak) folyamatosan erőfeszítéseket kell tenniük az adatvédelmi szabályozásnak és az alakuló gyakorlatnak való megfelelés érdekében. 

A GDPR-megfelelés kapcsán azt kell szem előtt tartanunk, hogy nem egy egyszer teljesítendő feladatról van szó, hanem egy olyan szemléletváltásról, amelynek a jövőben is állandóan részét kell képeznie az adatkezelők és adatfeldolgozók rendes, mindennapi működésének.

Ha pedig ez az új szemléletmód gyökeret ereszt, talán az adatkezelésben is elérhető a hatályos szabályoktól egy olyan minimális távolság, amelyet a fizikában az ún. Planck-hosszal, azaz a létező legkisebb hosszúsággal írhatunk le. (A Planck-hossz egyébként 10⁻³³ centiméter.)