Gyakran előfordul, hogy cégiratok szerkesztése során olyan személyes adatok is feltüntetésre kerülnek az okiraton és így bárki számára hozzáférhetővé válnak, amelyek rögzítését a vonatkozó jogszabályok nem követelik meg, és a amelyeket cégjegyzékben sem kell szerepeltetni.   

A közigazgatási bürokráciacsökkentéssel és az egyes hatósági eljárások egyszerűsítésével összefüggő törvények módosításáról szóló törvényjavaslat erre tekintettel javaslatot tartalmaz a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény (Ctv.) módosítására, miszerint, "ha a cégiratban a jogszabályban előírt, illetve a cégjegyzék adattartalmát meghaladó személyes adat kerül feltüntetésre, a cégiratot szerkesztő jogi képviselő köteles felhívni a természetes személy figyelmét arra, hogy a személyes adatának az okiratban való feltüntetéséhez való hozzájárulása egyben azzal is jár, hogy az a cégiratok nyilvánosságának elve alapján bárki számára megismerhetővé válik." 

A javaslathoz fűzött indoklás szerint a szükségtelenül megadott és bárki által hozzáférhető személyes adatokkal való visszaélés megelőzése érdekében kerülne sor a szabályozásra. Az új rendelkezés elsődlegesen az okiratot szerkesztő jogi képviselő feladatává tenné, hogy az okirat jogszabályoknak való megfelelőségének garantálása körében, mérlegelje azt, milyen adatok és nyilatkozatok feltüntetése szükséges. A szükséges mértéket meghaladó adatközlés veszélyeire neki kell a felek figyelmét felhívnia.

A megoldás annyiban mindenképpen idegen az adatvédelmi gondolkodástól, hogy személyes adatot a célhoz kötöttség elvére tekintettel, csak a szükséges mértékben lehet kezelni. Ha egy adatra az adott cél megvalósítása érdekében nincs szükség, akkor az adott személyes adat nem kezelhető. Ha nincs az adatkezelésnek célja, akkor - a kialakult adatvédelmi gyakorlat alapján - a hozzájárulás beszerzése ellenére sem lesz jogszerű az adatkezelés. Célszerűbb lenne talán egy olyan megközelítés alkalmazása, amely szerint csak a cél eléréséhez szükséges személyes adatok kerülhetnek feltüntetésre a cégiratokban.

A fentieken túlmenően a módosítás a személyes adatok naprakész állapotának elérése érdekében összekapcsolja a cégnyilvántartást és a természetes személyek nyilvántartását. Ezáltal a természetes személyek nyilvántartását vezető szerv értesítése alapján automatikusan, vagy a természetes személyek nyilvántartásából történő cégbírósági adatigénylés útján hivatalból jegyzi be a cégjegyzékbe az ún. kapcsolati kóddal rendelkező természetes személy cégjegyzékben szereplő természetes személyazonosító adatainak és lakcímének változását. (A kapcsolati kód a bejegyzési- vagy változásbejegyzési kérelemben szereplő természetes személyek adatainak a természetes személyek nyilvántartásában való automatikus egyeztetése kapcsán kerül létrehozásra.) 

A jövőben a kapcsolati kóddal rendelkező természetes személyek halálának tényéről és időpontjáról is automatikusan értesítést kap majd a cégbíróság és  a cégbíróság az elhunyt személyt automatikus végzéssel törli a cégjegyzékbő A módosítás indoklása szerint az új szabályok eredményeként a jövőben biztosítható lesz, hogy a cégnyilvántartásban szereplő természetes személyek adatai is – az állami nyilvántartások együttműködése által – pontosan és naprakészen kerüljenek a nyilvántartásba.  

A javaslat szerint a természetes személyek adataiban (vagy a cég adatai között feltüntetett cégek adataiban) bekövetkező változás olyan cégjegyzéki változás, amit a cégnek csak a létesítő okirat következő módosítása során kell átvezetnie a létesítő okiratban és a cég egyéb irataiban. 

The high amount of the administrative fine, which can reach a maximum amount of EUR 20 million or, in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, makes it extremely important for data controllers and data processors to be prepared for the application of the EU’s new General Data Protection Regulation (GDPR).

Given the magnitude of the amount of the administrative fine, the Guidelines of Article 29 Working Party (WP 29) on the application and setting of administrative fines for the purposes of the GDPR were highly anticipated. The Guidelines were published at the end of October.

The GDPR specifies the types of infringements that may be sanctioned by the administrative fine with a higher cap (EUR 20 million or up to 4% of the total worldwide annual turnover) and by the administrative fine with a lower cap (EUR 10 million or up to 2% of the total worldwide annual turnover).

In addition to the above, the Regulation also contains the criteria that must be taken into account when imposing an administrative fine (see Article 83 (2) GDPR). However, with regard to the imposition of fines, the key question is how these criteria are interpreted by the supervisory authorities. WP 29’s Guidelines on administrative fines provide some help in this respect. Below, we will briefly review the main findings of the Guidelines.

A súlyosabb esetben akár 20 millió euró összegű, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű közigazgatási bírsággal való fenyegetettség ad különösen nagy súlyt az új európai adatvédelmi rendeletre (GDPR) való felkészülésnek. 

Éppen a bírság összegének nagyságára tekintettel nagy várakozás előzte meg a 29-es Cikk szerinti Munkacsoport (WP 29) bírságolási szempontokra vonatkozó iránymutatását, amelyet október végén tettek közzé.    

A GDPR tételesen meghatározza azt, hogy milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) plafonig terjedő összegű bírság. (Ezt korábbi posztunkban már áttekintettük.)

A Rendelet tartalmazza továbbá azokat a szempontokat is, amelyeket a bírság kiszabása során figyelembe kell venni (lásd a GDPR 83. cikk (2) bekezdését). A bírság kiszabása kapcsán azonban kulcskérdés, hogy ezeket a szempontokat a felügyeleti hatóságok miként töltik meg tartalommal. A WP 29 a bírságolással kapcsolatban megjelent iránymutatása, ehhez nyújt kapaszkodókat. Az alábbiakban röviden áttekintjük az iránymutatás főbb megállapításait.

Az EU egységes adatvédelmi rendeletének (2016/679 Rendelet; "GDPR") alkalmazásával kapcsolatban a 29-es Cikk szerinti Munkacsoport (WP29) több új iránymutatást is megjelentetett októberben. Ezen iránymutatások segíteni hívatottak a Rendelet szabályainak az értelmezését és az alkalmazásra való felkészülést. Több, korábban kiadott iránymutatás pedig már nem csak angolul, hanem az EU többi tagállamának nyelvén (köztük magyarul is) elérhető.

A WP29 októberben az alábbi iránymutatásokat tette közzé:

1. Elfogadott iránymutatások:

• WP253: A közigazgatási bírságok alkalmazásával és kiszabásával kapcsolatos iránymutatás;
• WP248: Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e (magyarul és az EU többi hivatalos nyelvén is elérhető már).

2. Véleményezhető tervezetek:

• WP250: Iránymutatás az adatvédelmi incidenssel kapcsolatban;
• WP251: Iránymutatás az egyedi ügyekben történő automatizált döntéshozatallal és a profilalkotással kapcsolatban.

Korábbi iránymutatások:

A WP29 korábban is elfogadott iránymutatásokat több területen is. Ezek az alábbi kérdésekben segítik a Rendelet értelmezését:

• WP242: Iránymutatás az adatok hordozhatóságáról (már magyarul és az EU többi hivatalos nyelvén is elérhető);
• WP243: Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban (már magyarul és az EU többi hivatalos nyelvén is elérhető); és
• WP244: Iránymutatás az adatkezelő vagy az adatfeldolgozó fő felügyeleti hatóságának meghatározásához (már magyarul is elérhető).  

A WP29 munkaterve szerint még több területen várható iránymutatás kiadása (pl. hozzájárulás, átláthatóság, adattovábbítás, tanúsítás).  

Pók László

Last updated: 19.06.2018!

On May 25, 2018, the GDPR becomes applicable. Many data controllers and data processors are already in the process of preparing for the GDPR. Although there is no need to transpose the GDPR into Member States' respective legislation, since it is directly applicable in all EU Member States, Member States still have to adjust their own data protection laws to the GDPR to make the application run smoothly from next spring (and to transpose Directive 2016/680/EU for the processing of criminal data).

There is considerable uncertainty as to the fact that, in many Member States, there is little indication of exactly how the law of the Member State concerned is compatible with the GDPR.  The new, GDPR-compatible data protection law has been issued in Germany first and a bit later, in Austria. Legislation has already begun in other Member States, but in many it is still not known what we can we expect from the legislator. You can find a collection of national laws implementing the GDPR here. 

Below we have gathered the status of the implementation process in the 28 Member States of the EU (the table also includes the Member States of the European Economic Area and Switzerland, which are also planning legislative steps with regard to the GDPR).

Az új európai adatvédelmi rendelet (GDPR) kapcsán a legtöbb szó talán a hatalmas összegű bírságról esik. A GDPR rendelkezéseinek megsértését ugyanis - súlyosabb esetben - akár 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani.

De vajon milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) bírságplafoning terjedő bírság?

Ökölszabályként azt mondhatjuk, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár, míg a magasabb összegű bírságot a súlyosabb jogsértések, úgymint az adatkezelés elveinek megsértése (beleértve azt is, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme, a harmadik országba történő adattovábbítás szabályainak megsértése, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme, illetve a felügyeleti hatóság intézkedéseivel való "ellenszegülésért" lehet kiszabni.

A GDPR a rendelet egyes szakaszaira lebontva meghatározza, hogy azok megsértése esetén melyik bírságplafon alkalmazandó. Nézzük meg az egyes cikkekre lebontva, hogy az adott rendelkezések megsértése esetén mennyire mélyen kell az adatkezelőknek a zsebükbe nyúlniuk.

The concept of personal data breaches was not introduced by the GDPR, but the GDPR contains a number of provisions relating to personal data breaches that data controllers (and processors) must also be aware of.

What is a personal data breach?

The concept of personal data breaches is closely linked to the principle of the integrity and confidentiality of personal data (Article 5 (1) (f) of the GDPR): "personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).”

Personal data breaches are essentially breaches of the integrity and confidentiality of personal data.

According to the definition in the GDPR, a „personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.”

Therefore, a wide variety of personal data breaches may occur, such as losing a laptop that contains personal data, attacking an IT system, or even sending a letter or an email to a false address.

The Article 29 Working Party (WP29), in its Opinion issued in 2014 (Opinion No. 03/2014), also presents a number of practical examples of what is considered to be a personal data breach and the consequences it may have. (NB, the opinion was issued with regard to the Directive on privacy and electronic communications, i.e. Directive 2002/58/EC; however, it provides useful assistance in connection with the preparation for the GDPR as well.)

Az adatvédelmi incidens fogalmát nem a GDPR vezette be, ugyanakkor a GDPR számos olyan rendelkezést tartalmaz az adatvédelmi incidensekkel kapcsolatban, amelyekkel az adatkezelőknek (és az adatfeldolgozóknak is) tisztában kell lenniük.

Mi fán terem az adatvédelmi incidens?

Az adatvédelmi incidens fogalma szorosan kapcsolódik a személyes adatok integritásának és bizalmas jellegének elvéhez (5. cikk (1) f) pont): "a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve." 

Az adatvédelmi incidens lényegében a személyes adatok integritásának és bizalmas jellegének a sérülését jelenti.

A GDPR-ban szereplő definíció szerint adatvédelmi incidensnek minősül "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi."

A fenti tág definíció alapján tehát nagyon sokféle adatvédelmi incidens előfordulhat, ide tartozhat például egy személyes adatokat is tartalmazó laptop elvesztése, egy informatikai rendszer megtámadása, de akár egy rossz helyre küldött levél vagy email is e körbe tartozik.

A 29-es cikk szerinti Munkacsoport (WP29) 2014-es véleménye (2014/3. sz. vélemény) számos gyakorlati példán keresztül is bemutatja, hogy mi tekinthető adatvédelmi incidensnek és ezek milyen következményekkel járhatnak. (Bár a vélemény még a 2002/58/EK irányelvre, az ún. Elektronikus hírközlési adatvédelmi irányelvre tekintettel született, de hasznos segítséget nyújt a GDPR-ra való felkészüléssel kapcsolatban is.) 

The first draft of the amendment of the Hungarian regulation related to the EU's general data protection regulation has finally been released. The proposal for the amendment of Act CXII of 2011 on the right to information self-determination and freedom of information (the “Hungarian Data Protection Act”) is now open for commenting by interested parties until September 8, 2017. According to the plans, the bill will be submitted to the Hungarian Parliament in October and the approval by the Parliament is expected in December this year. The published draft contains, firstly, the necessary rules regarding the “implementation” of the EU General Data Protection Regulation (GDPR) and the necessary amendments for the implementation of Directive 2016/680 / EU on criminal data.