GDPR

Adatvédelem mindenkinek / Data protection for everyone

What are the binding corporate rules (BCRs)?

2018. február 12. 13:30 - poklaszlo

In connection with the operation of a group of companies, there is a very frequent need to transfer personal data within the company group, even when some of the group companies operate outside the EU.

In cases where certain members of a group of companies operate in third countries for which there is no accepted adequacy decision, binding corporate rules (BCRs) may serve as a means of transferring personal data to third countries.

According to the definition set out in the GDPR (Article 4, Point 20), binding corporate rules means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity.

Tovább
Szólj hozzá!
Címkék: BCR EN GDPR WP29 Binding Corporate Rules transfers of personal data

Mik azok a kötelező erejű vállalati szabályok?

2018. február 12. 11:30 - poklaszlo

A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek. 

Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).  

A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet

  • az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
  • egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről

történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Tovább
Szólj hozzá!
Címkék: portfolioblogger adattovábbítás Magyarország NAIH HU Infotv Rendelet 29-es Munkacsoport kötelező erejű vállalati szabályok

Achilles and Data Protection

2018. január 28. 23:00 - poklaszlo

or what does Zéno’s paradox tell us about GDPR compliance?

Each year, on January 28, the Data Protection Day is celebrated. Why on January 28? The reason is that the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data was opened for ratification on that day in 1981. In 2018, data protection is a particularly important topic, since the EU’s general data protection regulation (GDPR) will become applicable from May 25.

The 2-year preparation period for applying GDPR comes to its last, perhaps most intensive stage. For now, many data controllers and data processors have acknowledged that they need to take steps to comply with the new data protection regime. In the preparation process, we can often have the feeling that Zeno’s famous paradox of Achilles and the tortoise is very true in the field of data protection:

Achilles competes with a tortoise. The famous runner allows the tortoise a head start. After the start of the race, the quicker runner reaches the point where the slower started, meanwhile the slower runner has also advanced. However, when the faster runner reaches this new point, the tortoise is a little further forward again. Apparently, Achilles can never overtake the tortoise. 

As recounted by Aristotle: “In a race, the quickest runner can never overtake the slowest, since the pursuer must first reach the point whence the pursued started, so that the slower must always hold a lead.” (In Physics VI:9, 239b15, source: Wikipedia, Zeno's Paradoxes)

Why does this come to mind when pursuing GDPR compliance? Perhaps because, in the process of data protection compliance, it is almost impossible to have a moment when we can say: "We are fully prepared, there is not anything else to do." Rather, data controllers (and processors) need to constantly make efforts to comply with data protection rules and changing practices.

In the context of GDPR compliance, it is worth noting that it is not a task to be accomplished once, but a change of approach that needs to be continuously part of the regular, day-to-day operation of data controllers and processors.

If this is the case, perhaps a minimum distance can also be reached from the need to comply with applicable rules in data processing: in physics that minimum distance is known as the Planck length, that is, the shortest meaningful length! (By the way, the Planck length is 10-33 centimeters.)

Szólj hozzá!
Címkék: EN GDPR Zenos paradox Data Protection Day

Akhilleusz és az adatvédelem

2018. január 28. 16:00 - poklaszlo

avagy mit üzen nekünk Zénón paradoxonja a GDPR-megfelelésről

Minden évben január 28-án tarják az adatvédelem napját. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. 2018-ban az adatvédelem különösen nagy hangsúlyt kap, hiszen már csak szűk négy hónap választ el minket az EU általános adatvédelmi rendeletének (GDPR) alkalmazandóvá válásától (erre 2018. május 25-től kerül sor). 

A GDPR alkalmazására való 2 éves felkészülési időszak az utolsó, talán legintenzívebb szakaszába érkezik. Mostanra számos adatkezelő és adatfeldolgozó ismerte fel, hogy az új adatvédelmi rezsimnek való megfelelés érdekében lépéseket kell tenniük. Ugyanakkor a felkészülési folyamatban sokszor az az érzés keríthet hatalmába bennünket, mint Zénón híres paradoxonjában Akhilleuszt, amikor a teknőssel kelt versenyre:   

Akhilleusz versenyt fut egy teknőssel. A híres futó magabiztosan nagy előnyt ad a teknősnek. A verseny kezdetét követően a gyorsabb futó hamar eléri azt a pontot, ahonnan a lassabb indult, ugyanakkor közben a lassabb futó is előrehaladt. Amikor azonban a gyorsabb futó erre az újabb pontra ér, a teknős megint egy kicsit előrébb vánszorgott. Látszólag tehát Akhilleusz soha nem érheti utol a teknőst. (Forrás: WikipédiaZénón paradoxonjai) 

Miért juthat ez az eszünkbe a GDPR-megfelelés üldözése kapcsán? Talán azért, mert az adatvédelmi megfelelést célzó folyamatban szinte elképzelhetetlen egy olyan pillanat, amikor azt mondhatjuk: "Nincs már teendőnk." Sokkal inkább arról van szó, hogy az adatkezelőknek (és adatfeldolgozóknak) folyamatosan erőfeszítéseket kell tenniük az adatvédelmi szabályozásnak és az alakuló gyakorlatnak való megfelelés érdekében. 

A GDPR-megfelelés kapcsán azt kell szem előtt tartanunk, hogy nem egy egyszer teljesítendő feladatról van szó, hanem egy olyan szemléletváltásról, amelynek a jövőben is állandóan részét kell képeznie az adatkezelők és adatfeldolgozók rendes, mindennapi működésének.

Ha pedig ez az új szemléletmód gyökeret ereszt, talán az adatkezelésben is elérhető a hatályos szabályoktól egy olyan minimális távolság, amelyet a fizikában az ún. Planck-hosszal, azaz a létező legkisebb hosszúsággal írhatunk le. (A Planck-hossz egyébként 10−33 centiméter.

Szólj hozzá!
Címkék: felkészülés portfolioblogger HU Rendelet adatvédelem napja Zénón paradoxonja

Transfers of personal data to third countries

2018. január 19. 13:30 - poklaszlo

When designing data processing activities, there is often a need to transfer the personal data to a third country (e.g. in order to carry out processing activities there). What should we do to transfer personal data to third countries lawfully?

The GDPR contains relatively detailed rules on the conditions under which personal data may be transferred to third countries (or international organizations), as stated in the Preamble to the GDPR (101): "Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation."

Tovább
Szólj hozzá!
Címkék: UK BCR EN Brexit GDPR Binding Corporate Rules adequacy decision transfers of personal data

Adattovábbítás harmadik országokba

2018. január 19. 13:00 - poklaszlo

Az adatkezelési folyamatok tervezése kapcsán gyakran felmerül az igény arra, hogy a kezelt személyes adatokat harmadik országba továbbítsák (pl. ottani adatfeldolgozás céljából). Mi ilyenkor a teendő? Mikor kerülhet sor az adattovábbításra?

A GDPR viszonylag részletes szabályokat tartalmaz arra vonatkozóan, hogy milyen feltételek mellett továbbíthatók az adatok harmadik országokba (vagy nemzetközi szervezetek részére), hiszen ahogy a GDPR preambuluma is rögzíti (101): "A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára."

Mi minősül harmadik országnak, illetve nemzetközi szervezetnek a GDPR alapján?

Harmadik országnak lényegében az EGT tagállamain kívüli országok tekinthetők. Ebből következik, hogy az EU-n belüli adattovábbítás nem minősül harmadik országba (külföldre) történő adattovábbításnak, így az erre vonatkozó különös szabályok sem alkalmazandók.    

Tovább
Szólj hozzá!
Címkék: portfolioblogger adattovábbítás HU Brexit Rendelet kötelező erejű vállalati szabályok megfelelőségi határozat

Hol tart az e-Privacy Rendelettel kapcsolatos jogalkotási folyamat?

2018. január 03. 11:30 - poklaszlo

Az eredeti ambiciózus tervek szerint az új elektronikus hírközlési adatvédelmi rendeletet ("e-Privacy Rendelet"), amely felváltani hivatott az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") - a GDPR-hoz  (az EU új általános adatvédelmi rendelete) hasonlóan - 2018. május 25-től kellene alkalmazni.

Az e-Privacy Rendelet első tervezetét 2017 januárjában tette közzé az Európai Bizottság (az első tervezetről részleteket olvashat egy korábbi posztomban itt). 2017 folyamán sok vita zajlott az elektronikus adatvédelmi rendelet tartalma és szövege tekintetében. A 29. cikk szerint létrehozott Munkacsoport (WP 29) 2017. április 4-én tette közzé a véleményét az e-Privacy Rendelettel kapcsolatban (1/2017. sz. vélemény), majd az Európai Adatvédelmi Biztos (EDPS) is megfogalmazta ajánlásait.

2017. október 23-án az Európai Parlament jelentést tett közzé az elektronikus adatvédelmi rendelettervezetről, amely számos módosítási javaslatot tartalmazott a Bizottság által kiadott eredeti tervezethez képest.

Végül 2017. december 5-én az Európai Tanács publikálta az e-Privacy Rendelet tervezetének egységes szerkezetbe foglalt változatát, amely bemutatja a Tanácson belüli vita állását a rendelettervezet szövegével kapcsolatban.

Mik a főbb vitás pontok?

  • Az elektronikus adatvédelmi rendelet hatálya.
  • Az elektronikus hírközlési adatok, az elektronikus hírközlési metaadatok és az elektronikus hírközlési tartalom kezelésének jogalapjára vonatkozó szabályozás (e-Privacy Rendelet tervezetének  6. cikke).
  • A végfelhasználók végberendezésein tárolt és azokkal kapcsolatos adatok védelmére vonatkozó szabályok (e-Privacy Rendelet tervezetének  8. cikke).
  • Nyomonkövetési technológiák alkalmazása (e-Privacy Rendelet tervezetének 10. cikke).
  • A közvetlen üzletszerzéssel kapcsolatos szabályok (e-Privacy Rendelet tervezetének 16. cikke).
  • A felügyeleti hatáskörök megosztása az illetékes hatóságok között (e-Privacy Rendelet tervezetének 18. cikke).

Mikor léphet hatályba?

Az eredeti terv szerint az e-Privacy Rendeletet, a GDPR-hoz hasonlóan, 2018. május 25-től kellett volna alkalmazni. Ugyanakkor nagyon valószínűtlennek tűnik, hogy ez a szűkös ütemterv tartható lenne. Egyes vélemények szerint eltarthat akár "2019 közepéig vagy 2019 végéig, amire az e-Privacy Rendelet hatályba lép".

Szólj hozzá!
Címkék: hírközlés jogalkotás portfolioblogger HU e-Privacy Rendelet

Current status of the e-Privacy legislation in the EU

2017. december 21. 11:00 - poklaszlo

According to the original ambitious plans, the new e-Privacy Regulation, which would replace Directive no. 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), should apply from 25 May 2018, such as the GDPR (the new EU Data Protection Regulation).

The first draft of the e-Privacy Regulation was issued in January 2017 by the European Commission (you can find more information on this first proposal in my former post here). During 2017, a lot of discussions took place regarding the content and the wording of the e-Privacy Regulation. Besides, the opinion of Article 29 Working Party published on April 4, 2017 (Opinion no. 1/2017), the European Data Protection Supervisor (EDPS) also published his recommendations on specific aspects of the proposed e-Privacy Regulation.

On October 23, 2017, the European Parliament issued a report on the draft e-Privacy Regulation that contained several modification proposals to the original draft published by the Commission.

Finally, on December 5, 2017, the European Council published a consolidated version of the e-Privacy Regulation that shows the status of the discussion within the Council regarding the e-Privacy Regulation.

What are the main points of discussion?

  • The scope of the e-Privacy Regulation.
  • The regulation of the legal basis for processing of electronic communications data, electronic communications metadata and electronic communications content (Article 6 of the draft e-Privacy Regulation).
  • The rules regarding the protection of information stored in terminal equipment of end-users (Article 8 of the draft e-Privacy Regulation).
  • The use of tracking technologies (Article 10 of the draft e-Privacy Regulation).
  • The direct marketing rules (Article 16 of the draft e-Privacy Regulation).
  • The distribution of supervision powers among competent authorities (Article 18 of the draft e-Privacy Regulation).

When will it come into effect?

The original plan was that the e-Privacy Regulation, such as the GDPR, should apply from 25 May 2018. However, it seems very unlikely that this tight schedule can be maintained. According to certain commentaries, “it will likely take until mid-2019 or the end of 2019 until the ePrivacy Regulation comes into force.

Szólj hozzá!
Címkék: EU EN e-Privacy electronic communications

Setting of administrative fines based on the General Data Protection Regulation II

2017. december 15. 14:30 - poklaszlo

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (GDPR) were published at the end of October by the Article 29 Working Party (WP 29). In my previous post, I have outlined the principles set out in the Guidelines.

In this post, I give a summary of WP 29’s comments to the following aspects set out in Article 83 (2) of the GDPR that need to be assessed when deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case:

(a) the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them;

(b) the intentional or negligent character of the infringement;

(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects;

(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32;

(e) any relevant previous infringements by the controller or processor;

(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

(g) the categories of personal data affected by the infringement;

(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement;

(i) where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures;

(j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and

(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.

Tovább
Szólj hozzá!
Címkék: fine guidelines EN GDPR WP29

Bírságkiszabás az adatvédelmi rendelet alapján II.

2017. december 01. 11:30 - poklaszlo

A WP29 Iránymutatásának áttekintése

A bírságolási szempontokra vonatkozó iránymutatást október végén tette közzé a 29-es Cikk szerinti Munkacsoport (WP 29). Előző posztomban az iránymutatásban megfogalmazott alapelveket mutattam be. 

Ebben a posztban a Rendelet 83. cikk (2) bekezdésében szereplő alábbi szempontokhoz fűzött munkacsoporti észrevételeket tekintem át.

a)

  a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)

a jogsértés szándékos vagy gondatlan jellege;

c)

az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)

az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)

az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)

a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)

a jogsértés által érintett személyes adatok kategóriái;

h)

az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)

ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)

az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)

az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

Tovább
Szólj hozzá!
Címkék: bírság felkészülés iránymutatás portfolioblogger HU Rendelet 29-es Munkacsoport
süti beállítások módosítása