The preparations for the application of the GDPR have come to its final phase, since the Regulation is directly applicable in all EU Member States from May 25. Despite the fact that the Regulation will soon become part of the daily practice, there are still many misunderstandings and myths concerning the application and interpretation of the GDPR. I attempt to dispel some of the most common misbeliefs below.

1. The Regulation will enter into force on May 25, 2018, and we can start the preparation for its application  after its entry into force

Actually, the GDPR has been in effect since May 2016. It becomes applicable on 25 May this year, i.e. the two-year period for the preparation expires. Accordingly, no further period of time is available for the preparation. From then on, the GDPR "goes live" and any further preparation activities can only be carried out under the GDPR-regime.

A GDPR-ra való felkészülés a hajrájába érkezett, május 25-től közvetlenül alkalmazandó a Rendelet az EU valamennyi tagállamában. Annak ellenére, hogy a Rendelet rövidesen a napi joggyakorlat részévé válik, még mindig számos tévhit, mítosz kering vele kapcsolatban a köztudatban. Ezek közül a tévhitek közül igyekszünk az alábbiakban eloszlatni néhányat. 

1. A Rendelet 2018. május 25-én lép hatályba, ráérünk a hatálybalépés után felkészülni az alkalmazására

A GDPR valójában már 2016. május 25-e óta hatályban van. Idén május 25-én alkalmazandóvá válik, azaz a felkészülésre biztosított 2 éves határidő letelik. Ennek megfelelően bármennyire is úgy érzi sok adatkezelő és adatfeldolgozó, hogy további felkészülési időre lenne szükségük, az már nem áll rendelkezésükre. Innentől kezdve a további felkészülés az "éles üzem" mellett folytatódik.  

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

The General Data Protection Regulation (GDPR) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). 

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the GDPR, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen. The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkezdte publikálni az EU Általános Adatvédelmi Rendelete (GDPR) alapján kiadott állásfoglalásait. Első körben alapvetően az adatvédelmi tisztviselőt érintő kérdésekkel foglalkozott a Hatóság. Az adatvédelmi tisztviselő (DPO) jogállásával, feladatköreivel kapcsolatban korábban a 29-es Cikk szerinti Munkacsoport (WP 29) is adott ki iránymutatást, illetve az Amerikai Kereskedelmi Kamara (AmCham) is publikált egy véleményt, amely segíti az adatkezelőket és adatfeldolgozókat az eligazodásban.    

Article 29 Working Party (WP29) has published several guidelines under the GDPR and such guidelines contain recommendations regarding best practices that are regarded by the authorities as compliant with the requirements of the GDPR. In this post, I have collected such recommendations. 

A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

• Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
• A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
• A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Data protection rules such as the EU's new General Data Protection Regulation (GDPR) apply to personal data. But what does personal data mean?

According to the GDPR, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

A key element of the concept of personal data is that it can only be information about a natural person (i.e. this means that information about a legal person, such as company name, registration number or seat do not constitute personal data). The other key element is that the information shall be related to an identified or identifiable natural person. It is not necessary to identify the person, it is sufficient if the possibility is given for  the identification ("identifiable").

Az adatvédelmi szabályokat, így az EU új általános adatvédelmi rendeletének (GDPR) szabályait is személyes adatokra kell alkalmazni. Mi is az a személyes adat?

A GDPR alapján személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A személyes adat fogalmának egyik kulcseleme, hogy csak természetes személyre vonatkozó információ lehet (azaz például egy jogi személyre vonatkozó információk, pl. a cég neve, cégjegyzékszáma, székhelye nem minősülnek személyes adatnak). A másik kulcselem pedig, hogy azonosított vagy azonosítható természetes személyre (az érintettre) kell vonatkoznia. Nem kell tehát az azonosításnak feltétlenül megtörténnie, elegendő, ha a lehetőség adott az azonosításra ("azonosítható"). 

In connection with the operation of a group of companies, there is a very frequent need to transfer personal data within the company group, even when some of the group companies operate outside the EU.

In cases where certain members of a group of companies operate in third countries for which there is no accepted adequacy decision, binding corporate rules (BCRs) may serve as a means of transferring personal data to third countries.

According to the definition set out in the GDPR (Article 4, Point 20), binding corporate rules means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity.