A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

• Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
• A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
• A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Data protection rules such as the EU's new General Data Protection Regulation (GDPR) apply to personal data. But what does personal data mean?

According to the GDPR, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

A key element of the concept of personal data is that it can only be information about a natural person (i.e. this means that information about a legal person, such as company name, registration number or seat do not constitute personal data). The other key element is that the information shall be related to an identified or identifiable natural person. It is not necessary to identify the person, it is sufficient if the possibility is given for  the identification ("identifiable").

Az adatvédelmi szabályokat, így az EU új általános adatvédelmi rendeletének (GDPR) szabályait is személyes adatokra kell alkalmazni. Mi is az a személyes adat?

A GDPR alapján személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A személyes adat fogalmának egyik kulcseleme, hogy csak természetes személyre vonatkozó információ lehet (azaz például egy jogi személyre vonatkozó információk, pl. a cég neve, cégjegyzékszáma, székhelye nem minősülnek személyes adatnak). A másik kulcselem pedig, hogy azonosított vagy azonosítható természetes személyre (az érintettre) kell vonatkoznia. Nem kell tehát az azonosításnak feltétlenül megtörténnie, elegendő, ha a lehetőség adott az azonosításra ("azonosítható"). 

In connection with the operation of a group of companies, there is a very frequent need to transfer personal data within the company group, even when some of the group companies operate outside the EU.

In cases where certain members of a group of companies operate in third countries for which there is no accepted adequacy decision, binding corporate rules (BCRs) may serve as a means of transferring personal data to third countries.

According to the definition set out in the GDPR (Article 4, Point 20), binding corporate rules means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity.

A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek. 

Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).  

A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet

• az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
• egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről

történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Each year, on January 28, the Data Protection Day is celebrated. Why on January 28? The reason is that the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data was opened for ratification on that day in 1981. In 2018, data protection is a particularly important topic, since the EU’s general data protection regulation (GDPR) will become applicable from May 25.

The 2-year preparation period for applying GDPR comes to its last, perhaps most intensive stage. For now, many data controllers and data processors have acknowledged that they need to take steps to comply with the new data protection regime. In the preparation process, we can often have the feeling that Zeno’s famous paradox of Achilles and the tortoise is very true in the field of data protection:

Achilles competes with a tortoise. The famous runner allows the tortoise a head start. After the start of the race, the quicker runner reaches the point where the slower started, meanwhile the slower runner has also advanced. However, when the faster runner reaches this new point, the tortoise is a little further forward again. Apparently, Achilles can never overtake the tortoise. 

As recounted by Aristotle: “In a race, the quickest runner can never overtake the slowest, since the pursuer must first reach the point whence the pursued started, so that the slower must always hold a lead.” (In Physics VI:9, 239b15, source: Wikipedia, Zeno's Paradoxes)

Why does this come to mind when pursuing GDPR compliance? Perhaps because, in the process of data protection compliance, it is almost impossible to have a moment when we can say: "We are fully prepared, there is not anything else to do." Rather, data controllers (and processors) need to constantly make efforts to comply with data protection rules and changing practices.

In the context of GDPR compliance, it is worth noting that it is not a task to be accomplished once, but a change of approach that needs to be continuously part of the regular, day-to-day operation of data controllers and processors.

If this is the case, perhaps a minimum distance can also be reached from the need to comply with applicable rules in data processing: in physics that minimum distance is known as the Planck length, that is, the shortest meaningful length! (By the way, the Planck length is 10^-33 centimeters.)

Minden évben január 28-án tarják az adatvédelem napját. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. 2018-ban az adatvédelem különösen nagy hangsúlyt kap, hiszen már csak szűk négy hónap választ el minket az EU általános adatvédelmi rendeletének (GDPR) alkalmazandóvá válásától (erre 2018. május 25-től kerül sor). 

A GDPR alkalmazására való 2 éves felkészülési időszak az utolsó, talán legintenzívebb szakaszába érkezik. Mostanra számos adatkezelő és adatfeldolgozó ismerte fel, hogy az új adatvédelmi rezsimnek való megfelelés érdekében lépéseket kell tenniük. Ugyanakkor a felkészülési folyamatban sokszor az az érzés keríthet hatalmába bennünket, mint Zénón híres paradoxonjában Akhilleuszt, amikor a teknőssel kelt versenyre:   

Akhilleusz versenyt fut egy teknőssel. A híres futó magabiztosan nagy előnyt ad a teknősnek. A verseny kezdetét követően a gyorsabb futó hamar eléri azt a pontot, ahonnan a lassabb indult, ugyanakkor közben a lassabb futó is előrehaladt. Amikor azonban a gyorsabb futó erre az újabb pontra ér, a teknős megint egy kicsit előrébb vánszorgott. Látszólag tehát Akhilleusz soha nem érheti utol a teknőst. (Forrás: Wikipédia, Zénón paradoxonjai) 

Miért juthat ez az eszünkbe a GDPR-megfelelés üldözése kapcsán? Talán azért, mert az adatvédelmi megfelelést célzó folyamatban szinte elképzelhetetlen egy olyan pillanat, amikor azt mondhatjuk: "Nincs már teendőnk." Sokkal inkább arról van szó, hogy az adatkezelőknek (és adatfeldolgozóknak) folyamatosan erőfeszítéseket kell tenniük az adatvédelmi szabályozásnak és az alakuló gyakorlatnak való megfelelés érdekében. 

A GDPR-megfelelés kapcsán azt kell szem előtt tartanunk, hogy nem egy egyszer teljesítendő feladatról van szó, hanem egy olyan szemléletváltásról, amelynek a jövőben is állandóan részét kell képeznie az adatkezelők és adatfeldolgozók rendes, mindennapi működésének.

Ha pedig ez az új szemléletmód gyökeret ereszt, talán az adatkezelésben is elérhető a hatályos szabályoktól egy olyan minimális távolság, amelyet a fizikában az ún. Planck-hosszal, azaz a létező legkisebb hosszúsággal írhatunk le. (A Planck-hossz egyébként 10⁻³³ centiméter.) 

When designing data processing activities, there is often a need to transfer the personal data to a third country (e.g. in order to carry out processing activities there). What should we do to transfer personal data to third countries lawfully?

The GDPR contains relatively detailed rules on the conditions under which personal data may be transferred to third countries (or international organizations), as stated in the Preamble to the GDPR (101): "Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation."

Az adatkezelési folyamatok tervezése kapcsán gyakran felmerül az igény arra, hogy a kezelt személyes adatokat harmadik országba továbbítsák (pl. ottani adatfeldolgozás céljából). Mi ilyenkor a teendő? Mikor kerülhet sor az adattovábbításra?

A GDPR viszonylag részletes szabályokat tartalmaz arra vonatkozóan, hogy milyen feltételek mellett továbbíthatók az adatok harmadik országokba (vagy nemzetközi szervezetek részére), hiszen ahogy a GDPR preambuluma is rögzíti (101): "A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára."

Mi minősül harmadik országnak, illetve nemzetközi szervezetnek a GDPR alapján?

Harmadik országnak lényegében az EGT tagállamain kívüli országok tekinthetők. Ebből következik, hogy az EU-n belüli adattovábbítás nem minősül harmadik országba (külföldre) történő adattovábbításnak, így az erre vonatkozó különös szabályok sem alkalmazandók.    

Az eredeti ambiciózus tervek szerint az új elektronikus hírközlési adatvédelmi rendeletet ("e-Privacy Rendelet"), amely felváltani hivatott az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") - a GDPR-hoz  (az EU új általános adatvédelmi rendelete) hasonlóan - 2018. május 25-től kellene alkalmazni.

Az e-Privacy Rendelet első tervezetét 2017 januárjában tette közzé az Európai Bizottság (az első tervezetről részleteket olvashat egy korábbi posztomban itt). 2017 folyamán sok vita zajlott az elektronikus adatvédelmi rendelet tartalma és szövege tekintetében. A 29. cikk szerint létrehozott Munkacsoport (WP 29) 2017. április 4-én tette közzé a véleményét az e-Privacy Rendelettel kapcsolatban (1/2017. sz. vélemény), majd az Európai Adatvédelmi Biztos (EDPS) is megfogalmazta ajánlásait.

2017. október 23-án az Európai Parlament jelentést tett közzé az elektronikus adatvédelmi rendelettervezetről, amely számos módosítási javaslatot tartalmazott a Bizottság által kiadott eredeti tervezethez képest.

Végül 2017. december 5-én az Európai Tanács publikálta az e-Privacy Rendelet tervezetének egységes szerkezetbe foglalt változatát, amely bemutatja a Tanácson belüli vita állását a rendelettervezet szövegével kapcsolatban.

Mik a főbb vitás pontok?

• Az elektronikus adatvédelmi rendelet hatálya.
• Az elektronikus hírközlési adatok, az elektronikus hírközlési metaadatok és az elektronikus hírközlési tartalom kezelésének jogalapjára vonatkozó szabályozás (e-Privacy Rendelet tervezetének  6. cikke).
• A végfelhasználók végberendezésein tárolt és azokkal kapcsolatos adatok védelmére vonatkozó szabályok (e-Privacy Rendelet tervezetének  8. cikke).
• Nyomonkövetési technológiák alkalmazása (e-Privacy Rendelet tervezetének 10. cikke).
• A közvetlen üzletszerzéssel kapcsolatos szabályok (e-Privacy Rendelet tervezetének 16. cikke).
• A felügyeleti hatáskörök megosztása az illetékes hatóságok között (e-Privacy Rendelet tervezetének 18. cikke).

Mikor léphet hatályba?

Az eredeti terv szerint az e-Privacy Rendeletet, a GDPR-hoz hasonlóan, 2018. május 25-től kellett volna alkalmazni. Ugyanakkor nagyon valószínűtlennek tűnik, hogy ez a szűkös ütemterv tartható lenne. Egyes vélemények szerint eltarthat akár "2019 közepéig vagy 2019 végéig, amire az e-Privacy Rendelet hatályba lép".