Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

The General Data Protection Regulation (GDPR) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). 

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the GDPR, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen. The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkezdte publikálni az EU Általános Adatvédelmi Rendelete (GDPR) alapján kiadott állásfoglalásait. Első körben alapvetően az adatvédelmi tisztviselőt érintő kérdésekkel foglalkozott a Hatóság. Az adatvédelmi tisztviselő (DPO) jogállásával, feladatköreivel kapcsolatban korábban a 29-es Cikk szerinti Munkacsoport (WP 29) is adott ki iránymutatást, illetve az Amerikai Kereskedelmi Kamara (AmCham) is publikált egy véleményt, amely segíti az adatkezelőket és adatfeldolgozókat az eligazodásban.    

Article 29 Working Party (WP29) has published several guidelines under the GDPR and such guidelines contain recommendations regarding best practices that are regarded by the authorities as compliant with the requirements of the GDPR. In this post, I have collected such recommendations. 

A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

• Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
• A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
• A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Data protection rules such as the EU's new General Data Protection Regulation (GDPR) apply to personal data. But what does personal data mean?

According to the GDPR, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

A key element of the concept of personal data is that it can only be information about a natural person (i.e. this means that information about a legal person, such as company name, registration number or seat do not constitute personal data). The other key element is that the information shall be related to an identified or identifiable natural person. It is not necessary to identify the person, it is sufficient if the possibility is given for  the identification ("identifiable").

Az adatvédelmi szabályokat, így az EU új általános adatvédelmi rendeletének (GDPR) szabályait is személyes adatokra kell alkalmazni. Mi is az a személyes adat?

A GDPR alapján személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A személyes adat fogalmának egyik kulcseleme, hogy csak természetes személyre vonatkozó információ lehet (azaz például egy jogi személyre vonatkozó információk, pl. a cég neve, cégjegyzékszáma, székhelye nem minősülnek személyes adatnak). A másik kulcselem pedig, hogy azonosított vagy azonosítható természetes személyre (az érintettre) kell vonatkoznia. Nem kell tehát az azonosításnak feltétlenül megtörténnie, elegendő, ha a lehetőség adott az azonosításra ("azonosítható"). 

In connection with the operation of a group of companies, there is a very frequent need to transfer personal data within the company group, even when some of the group companies operate outside the EU.

In cases where certain members of a group of companies operate in third countries for which there is no accepted adequacy decision, binding corporate rules (BCRs) may serve as a means of transferring personal data to third countries.

According to the definition set out in the GDPR (Article 4, Point 20), binding corporate rules means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity.

A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek. 

Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).  

A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet

• az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
• egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről

történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Each year, on January 28, the Data Protection Day is celebrated. Why on January 28? The reason is that the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data was opened for ratification on that day in 1981. In 2018, data protection is a particularly important topic, since the EU’s general data protection regulation (GDPR) will become applicable from May 25.

The 2-year preparation period for applying GDPR comes to its last, perhaps most intensive stage. For now, many data controllers and data processors have acknowledged that they need to take steps to comply with the new data protection regime. In the preparation process, we can often have the feeling that Zeno’s famous paradox of Achilles and the tortoise is very true in the field of data protection:

Achilles competes with a tortoise. The famous runner allows the tortoise a head start. After the start of the race, the quicker runner reaches the point where the slower started, meanwhile the slower runner has also advanced. However, when the faster runner reaches this new point, the tortoise is a little further forward again. Apparently, Achilles can never overtake the tortoise. 

As recounted by Aristotle: “In a race, the quickest runner can never overtake the slowest, since the pursuer must first reach the point whence the pursued started, so that the slower must always hold a lead.” (In Physics VI:9, 239b15, source: Wikipedia, Zeno's Paradoxes)

Why does this come to mind when pursuing GDPR compliance? Perhaps because, in the process of data protection compliance, it is almost impossible to have a moment when we can say: "We are fully prepared, there is not anything else to do." Rather, data controllers (and processors) need to constantly make efforts to comply with data protection rules and changing practices.

In the context of GDPR compliance, it is worth noting that it is not a task to be accomplished once, but a change of approach that needs to be continuously part of the regular, day-to-day operation of data controllers and processors.

If this is the case, perhaps a minimum distance can also be reached from the need to comply with applicable rules in data processing: in physics that minimum distance is known as the Planck length, that is, the shortest meaningful length! (By the way, the Planck length is 10^-33 centimeters.)