The data controller is a central player in data protection regulation. The data controller is the one who determines the purposes and means of data processing and makes substantive decisions about the data processing activities.

However, the data controller can not only act independently of a given data processing, but it may be that more data controllers jointly make decisions regardinf the data processing. This is also expressly clear in the definition of controllers set out in the GDPR, which provides that the data controller is the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. (This is, of course, not a novelty, current data processing rules contains similar definitions, so it is possible that multiple data controllers jointly define the purpose of data processing.) On the other side, GDPR makes the situation quite clear when it states that if the purposes and tools of data processing are jointly determined by two or more controllers, they shall be joint controllers (see Article 26 of the Regulation).

Az adatkezelő az adatvédelmi szabályozás központi szereplője. Az adatkezelő az, aki meghatározza az adatkezelés céljait és eszközeit, az adatkezeléssel kapcsolatos érdemi döntéseket meghozza. 

Az adatkezelő viszont nem csak önállóan járhat el egy adott adatkezeléssel kapcsolatban, hanem elképzelhető, hogy több adatkezelő együttesen hozza meg az adatkezelést érintő döntéseket. Ezt fejezi ki a GDPR-ban szereplő meghatározás is, miszerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Ez persze nem újdonság, mert az Infotv. is hasonló definíciót tartalmaz, azaz jelenleg is elképzelhető, hogy több adatkezelő együttesen határozza meg az adatkezelés célját.) A GDPR viszont egészen egyértelműen fogalmaz, amikor kimondja, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek (lásd a Rendelet 26. cikkében).  

The preparations for the application of the GDPR have come to its final phase, since the Regulation is directly applicable in all EU Member States from May 25. Despite the fact that the Regulation will soon become part of the daily practice, there are still many misunderstandings and myths concerning the application and interpretation of the GDPR. I attempt to dispel some of the most common misbeliefs below.

1. The Regulation will enter into force on May 25, 2018, and we can start the preparation for its application  after its entry into force

Actually, the GDPR has been in effect since May 2016. It becomes applicable on 25 May this year, i.e. the two-year period for the preparation expires. Accordingly, no further period of time is available for the preparation. From then on, the GDPR "goes live" and any further preparation activities can only be carried out under the GDPR-regime.

A GDPR-ra való felkészülés a hajrájába érkezett, május 25-től közvetlenül alkalmazandó a Rendelet az EU valamennyi tagállamában. Annak ellenére, hogy a Rendelet rövidesen a napi joggyakorlat részévé válik, még mindig számos tévhit, mítosz kering vele kapcsolatban a köztudatban. Ezek közül a tévhitek közül igyekszünk az alábbiakban eloszlatni néhányat. 

1. A Rendelet 2018. május 25-én lép hatályba, ráérünk a hatálybalépés után felkészülni az alkalmazására

A GDPR valójában már 2016. május 25-e óta hatályban van. Idén május 25-én alkalmazandóvá válik, azaz a felkészülésre biztosított 2 éves határidő letelik. Ennek megfelelően bármennyire is úgy érzi sok adatkezelő és adatfeldolgozó, hogy további felkészülési időre lenne szükségük, az már nem áll rendelkezésükre. Innentől kezdve a további felkészülés az "éles üzem" mellett folytatódik.  

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

The General Data Protection Regulation (GDPR) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). 

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the GDPR, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen. The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkezdte publikálni az EU Általános Adatvédelmi Rendelete (GDPR) alapján kiadott állásfoglalásait. Első körben alapvetően az adatvédelmi tisztviselőt érintő kérdésekkel foglalkozott a Hatóság. Az adatvédelmi tisztviselő (DPO) jogállásával, feladatköreivel kapcsolatban korábban a 29-es Cikk szerinti Munkacsoport (WP 29) is adott ki iránymutatást, illetve az Amerikai Kereskedelmi Kamara (AmCham) is publikált egy véleményt, amely segíti az adatkezelőket és adatfeldolgozókat az eligazodásban.    

Article 29 Working Party (WP29) has published several guidelines under the GDPR and such guidelines contain recommendations regarding best practices that are regarded by the authorities as compliant with the requirements of the GDPR. In this post, I have collected such recommendations. 

A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

• Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
• A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
• A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Data protection rules such as the EU's new General Data Protection Regulation (GDPR) apply to personal data. But what does personal data mean?

According to the GDPR, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

A key element of the concept of personal data is that it can only be information about a natural person (i.e. this means that information about a legal person, such as company name, registration number or seat do not constitute personal data). The other key element is that the information shall be related to an identified or identifiable natural person. It is not necessary to identify the person, it is sufficient if the possibility is given for  the identification ("identifiable").