A hozzájárulásra sok adatkezelő úgy tekint, mint az adatkezelés elsődleges vagy kiemelt jogalapjára. Annak ellenére, hogy számos esetben a hozzájárulás helyett más jogalap alkalmazása lenne indokolt, az adatkezelők gyakran ilyenkor is hozzájárulást szereznek be az érintettektől.

Nemcsak az adatkezelők hozzáállásában jelenik meg ez a hozzájárulás-centrikusság, hanem amint a hozzájárulás fogalmát nagyon részletesen elemző 29-es cikk szerinti munkacsoporti (WP29) vélemény is rögzíti: „az irányelv egyértelműen a jogszerűség egyik jogalapjaként mutatja be a hozzájárulást. Néhány tagállam azonban elsőbbségi jogalapként, néha már-már az adatok védelmének alapvető jogi státuszához kapcsolódó alkotmányos alapelvként kezeli.” (15/2011. számú vélemény a hozzájárulás fogalommeghatározásáról, 7. o.)

A 95/46/EK irányelv ("Irányelv") 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. Ebben a felsorolásban szerepel az első helyen az érintett hozzájárulása (7. cikk a) pont). Történeti okokból és abból fakadóan, hogy a hozzájárulás révén gyakorolható talán leginkább az érintett információs önrendelkezési joga, az adatkezelések jogalapjának megteremtése kapcsán Magyarországon is kiemelt helyet foglal el a hozzájárulás. Ugyanakkor az is egyértelmű a NAIH gyakorlata alapján, hogy az adatkezelők olyan esetekben is előszeretettel „használják” a hozzájárulást jogalapként, maikor ennek nem állnak fenn a feltételei (pl. munkahelyi adatkezelés kapcsán a hozzájárulás a felek alá-fölérendeltségi helyzetére tekintettel, csak nagyon kivételes esetekben képezheti az adatkezelés jogalapját – lásd a munkahelyi adatkezelésekre vonatkozó NAIH tájékoztatót).

A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

(Frissítés (2020.06.10.): 2020. májusában az Európai Adatvédelmi Testület is kiadta a hozzájárulásra vonatkozó iránymutatását.)

Sokakat meglepetésként ért, hogy június 26-án hatályba lépett az új pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény (2017. évi LIII. törvény). A mindennapokban leginkább tetten érhető újdonság, hogy egyes csekkek befizetésekor a postán is sor került a személyazonosság ellenőrzésére.   

Az új pénzmosási törvény kapcsán több helyen is megjelent hírként a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökére hivatkozással, hogy bár a személyazonosításra sor kerülhet, azonban - a kaszinók kivételével - nem másolhatók le a személyi okmányok.  

A NAIH - és korábban az adatvédelmi biztos - gyakorlata is egyértelmű volt abban, hogy kifejezett törvényi felhatalmazás hiányában törvénytelen a személyazonosító okmányok másolása és sérti a célhoz kötött adatkezelés elvét még akkor is, ha a másolat elkészítéséhez beszerzik az érintett hozzájárulását. A pénzmosási törvény tervezetéhez a Nemzetgazdasági Minisztérium részére megküldött, 2017. március 31-én kelt véleményében is úgy foglalt állást a NAIH, hogy az általános okmánymásolási kötelezettség előírása indokolatlan lenne. Az új pénzmosási törvény azonban új helyzetet teremt, hiszen úgy tűnik, hogy az elfogadott jogszabályban - a NAIH véleményében foglaltak ellenére - szerepel az okmányok másolására vonatkozó kötelezettség. 

Az új uniós adatvédelmi rendelet (GDPR) bemutatása kapcsán szinte mindig főszerep jut az elszámoltathatóság elvének, amelyet hangzatosan gyakran „szuperalapelvnek” titulálnak. Bár az elszámoltathatóság elvét korábban nem hallhattuk ennyit emlegetni, azonban nem egy újdonságról van szó, amit a GDPR vezetett be, sokkal inkább arról, hogy a GDPR az elszámoltathatóságot alapelvi szintre emelte és az eddigiekhez képest is sokkal inkább a középpontba helyezte. (Olyannyira nem újdonság egyébként, hogy már az 1980-as OECD adatvédelmi iránymutatás 14. pontjában is megjelent.)

Érdekesség, hogy maga az „elszámoltathatóság” szó mindössze két alkalommal fordul elő a rendelet szövegében, egyszer a preambulumban és egyszer az alapelvek felsorolásánál.

The principle of accountability almost always plays a key role when the EU’s new Data Protection Regulation (GDPR) is discussed. This principle is often referred to as a "super principle". Although the accountability principle has not been mentioned so often before, it is not a novelty introduced by GDPR. (Actually, accountability was already mentioned in Section 14 of the OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data in 1980). However, GDPR has brought accountability more into focus than before.

It is interesting to note that the word "accountability" itself occurs only two times in the Regulation, once in the preamble and once in the list of principles.

Érdekes felmérést közölt az ír adatvédelmi biztos (Data Protection Commissioner) az ír KKV-k felkészültségéről az új adatvédelmi rendelet (GDPR) alkalmazására. Ha röviden akarnánk összegezni: a helyzet eléggé lesújtó. Egy évvel azelőtt, hogy a GDPR-t élesben alkalmazni kellene, az ír KKV-k kevesebb, mint egyharmada van tudatában annak, hogy 2018. májusától nekik is alkalmazniuk kell a Rendeletet (a KKV-k kétharmada hallott egyáltalán magáról a GDPR-ról). (A felmérést az Amárach Reserach készítette 500 ír KKV megkérdezésével, 2017. április 24. és 2017. május 10. között.)

Ha egy kicsit mélyebbre ásunk, akkor azt láthatjuk, hogy az ír kisvállalkozások kevesebb, mint 20%-a tudott megnevezni legalább egy konkrét változást, amelyre fel kell készülnie. Ennek megfelelően a kisvállalkozások négyötöde nem is azonosított semmilyen tennivalót a GDPR-nak való megfelelés érdekében. Természetesen a KKV-k között a méret növekedésével növekszik a tudatosság is, az 50-249 főt foglalkoztató középvállalkozások esetében jobb eredmények születtek, mint a 49 főnél kevesebb munkavállalót foglalkoztató társaiknál.

Bár hasonló magyarországi felmérésről nincs tudomásunk, feltételezhető, hogy a KKV-k GDPR-tudatossága tekintetében Magyarországon semmivel sem jobb a helyzet.

Miért kell a KKV-knak is foglalkozniuk a GDPR-ral?

Elsősorban azért, mert a GDPR - ahogy a jelenlegi hatályos adatvédelmi szabályozás is - főszabály szerint minden adatkezelőre és adatfeldolgozóra vonatkozik, így a kisvállalkozások által folytatott adatkezelési tevékenységekre is kiterjed.

Bár a Rendelet rögzíti a preambulumában (13. pont), hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit” és maga a Rendelet is - bizonyos feltételek fennállása esetén - megállapít könnyítést a KKV-k számára (pl. nyilvántartás vezetési kötelezettség tekintetében), ugyanakkor a kötelezettségek jelentős része valamilyen formában a kisebb társaságokat is érinti.

An interesting survey was published by the Irish Data Protection Commissioner on the Irish SMEs' readiness for the application of the EU’S new general data protection regulation (GDPR). If we want to summarize the findings of the survey briefly: the situation is quite depressing! One year before the GDPR is to be applicable, less than one third of Irish SMEs are aware of the fact that they will also have to apply the Regulation from May 2018 (two thirds of SMEs have heard of the GDPR itself).

If we dig a little deeper, we can see that less than 20% of Irish small businesses could name at least one specific change that they need to prepare for. Accordingly, four fifths of small businesses have not identified any steps that need to be made in order to meet the requirements of the GDPR. Of course, the larger the SME, the higher the awareness: the results are better with medium-sized companies employing 50-249 people than in the case of their counterparts with fewer than 49 employees. (The survey was carried out by Amárach Research, interviews were conducted with 500 businesses spread across the Republic of Ireland between April 24 and May 10, 2017.)

Although we do not know about similar surveys in Hungary, it can be assumed that the situation with regards to the GDPR awareness of SMEs in Hungary is not better at all.

Why do SMEs also need to deal with GDPR?

First and foremost because GDPR, as is currently the case with data protection legislation, applies to all data controllers and processors, so it also covers data processing activities carried out by small businesses.

Although the Regulation states in its preamble (point 13) that "the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation" and the Regulation itself also provides for facilitation for SMEs (e.g., regarding the obligation to maintain records of processing activities), a large part of the obligations also affect small companies.

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az előző részben röviden bemutattuk a hatásvizsgálat fogalmát és azt, hogy mely esetekben kell, illetve nem kell hatásvizsgálatot végezni. Az alábbiakban pedig röviden kitérünk a hatásvizsgálat módszertanára, illetve megvizsgáljuk, hogy mi a teendő a már folyamatban lévő adatkezelések esetében.

A hatásvizsgálat módszertana és az adatvédelmi tisztviselő szerepe

A Rendelet nem specifikálja pontosan, hogy milyen módszertan szerint kell elvégezni a hatásvizsgálatot, ebben nyilván lehetnek eltérések az egyes tagállamokban, illetve szektorspecifikusan is. Egy 2014-es tanulmány szerint a különböző "jó gyakorlatok" elemzése alapján egy ideális adatvédelmi hatásvizsgálat főbb elemei az alábbiak:

"1. A hatásvizsgálat szükségességének meghatározása; 2. Az eljárást lefolytató szerv és a hivatkozási rendszer meghatározása; 3. A projekt bemutatása; 4. Az adatmozgások és egyéb személyes adatokat érintő események vizsgálata; 5. Konzultáció az érintettekkel; 6. Kockázatkezelés; 7. Jogszerűség ellenőrzése; 8. Ajánlások megfogalmazása; 9. A beszámoló előkészítése és bemutatása; 10. Az ajánlások implementálása; 11. Megfelelőségi felülvizsgálat; 12. Lefolytatott vizsgálatok központi nyilvántartása (De Hert et al., 2012)." (Balogh Zsolt György – Böröcz István – Kiss Attila – Polyák Gábor − Szőke Gergely László: Az adatvédelmi hatásvizsgálat módszertana, Médiakutató: Médiaelméleti Folyóirat XV. év. 4. szám, 77-92. o.)

Egyes tagállami hatóságok iránymutatásai is komoly segítséget jelenthetnek a hatásvizsgálatok elvégzése során. Érdemes figyelembe venni a francia hatóság (CNIL) útmutatóját (angol nyelvű), továbbá a brit hatóság (ICO) segédanyagait, vagy a spanyol hatóság (AGPD) iránymutatását (spanyol nyelvű) is.

Az adatvédelmi hatásvizsgálat elvégzése az adatkezelő kötelezettsége és felelőssége, ugyanakkor azoknál az adatkezelőknél, ahol működik adatvédelmi tisztviselő, ott az adatvédelmi tisztviselőnek fontos szerepe van a hatásvizsgálat elvégzésében, az ő tanácsát ki kell kérni a hatásvizsgálattal kapcsolatban.    

Egyeztetés a felügyeleti hatósággal

Ha a hatásvizsgálat során azt állapítják meg, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

Bár a Rendelet szövege talán nem teljesen egyértelmű etekintetben, vélhetően az egyeztetésre akkor kell, hogy sor kerüljön, ha a hatásvizsgálat alapján elhatározott intézkedések ellenére is a kockázat valószínűsíthetően magas marad (ahogy a WP29 iránymutatása is fogalmaz: "when the residual risks are still high"), akkor kötelező a felügyelettel konzultálni.

A tagállami jogalkotó is előírhat konzultációs kötelezettséget: "a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti hatósággal, és szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is." (Rendelet, 36. cikk (5) bekezdés)

Mi a teendő a már folyamatban lévő adatkezelések esetében?

A GDPR nem tartalmaz olyan előírást, hogy az adatvédelmi hatásvizsgálatot a Rendelet hatályba lépését megelőzően megkezdett adatkezelések tekintetében is el kellene végezni. Ugyanakkor a Rendeleti kimondja, hogy "az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e." Ennek megfelelően az adatkezelések felülvizsgálata és a kockázatok értékelése időről-időre meg kell, hogy történjen, így a GDPR hatályba lépése előtt megkezdett olyan adatkezelések tekintetében is előbb vagy utóbb sor kerülhet az adatvédelmi hatásvizsgálat elvégzésére, ha egyébként a hatásvizsgálat elvégzésének feltételei fennállnak.

A WP29 vonatkozó iránymutatása erősen ajánlja, hogy készüljön adatvédelmi hatásvizsgálat a 2018. május 25-e előtt megkezdett adatkezelések esetében, amelyekre a Rendelet értelmében alkalmazandók lennének a hatásvizsgálat szabályai.

"Jó gyakorlatok"

A WP29 vonatkozó iránymutatása több "jó gyakorlatot" is megjelöl az adatvédelmi hatásvizsgálatok kapcsán. Ezek közé tartoznak az alábbiak:

• a végzett adatkezelések tekintetében folyamatosan értékelni kell az adatvédelmi hatásvizsgálat szükségességét, illetve időről-időre felül kell vizsgálni a meglévő hatásvizsgálatot,
• a belső szabályozásban célszerű meghatározni a hatásvizsgálattal kapcsolatos feladatokat, kötelezettségeket,
• az elkészült hatásvizsgálat egészének vagy egy részének (kivonat) a közzététele, és
• ha nem egyértelmű, hogy kell-e hatásvizsgálatot végezni, akkor készüljön inkább hatásvizsgálat.  

(Az adatvédelmi hatásvizsgálatokra vonatkozó követelmények kapcsán lásd az előző posztot is.)

Pók László

The General Data Protection Regulation (GDPR or Regulation) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). Last week, I summarised the basic rules of DPIAs and collected those cases when DPIAs need to be performed. Below, I focus, among others, on the methodology of the impact assessment, the role of the DPO and we examine the question whether a DPIA is necessary in the case of data processing activities in progress.  

The methodology of the impact assessment and the role of the Data Protection Officer

The Regulation does not specify exactly the methodology of the impact assessment, and there may be differences in individual Member States or sector-specific. According to a study published in 2014, the main elements of an ideal data protection impact assessment based on the analysis of various “good practices” are the followings:

"1. Definition of the need for an impact assessment; 2. Determination of the body conducting the procedure and the reference system; 3. Description of the project; 4. Examination of events affecting data movements and other events affecting personal data ;5. Consultation with stakeholders; 6. Risk management; 7. Checking lawfulness; 8. Drafting of recommendations; 9. Preparing and presenting the report; 10. Implementing the recommendations; 11. Compliance review; 12. Centralized records of the investigations conducted (De Hert et al., 2012)." (György Zsolt Balogh - István Böröcz - Attila Kiss - Gábor Polyák - László Gergely Szőke: Methodology of Data Protection Impact Assessment, Médiakutató: Médiaelméleti Folyóirat, Volume XV, Issue 4, pp. 77-92; [published in Hungarian])

Guidelines issued by the authorities may also help in the course of conducting impact assessments. It is worth taking into account the guidelines of CNIL (the French authority) (available in English), the handbook of ICO (UK), or the guidelines of AEPD (the Spanish authority) (available in Spanish).

It is the data controller's obligation and responsibility to carry out the data protection impact assessment, but at the data controllers where a data protection officer is in place, the DPO has an important role in conducting the impact assessment, his advice should be sought on the impact assessment.

Consultation with the supervisory authority

The controller shall consult the supervisory authority prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

The wording of the Regulation is not fully clear here but in accordance with the respective guidelines of WP29, "when the residual risks are still high, consultation with the supervisory authority will be necessary."

In addition to the above, "Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health." (Article 36 (5) of the GDPR)

What to do in the case of data processing activities in progress?

The GDPR does not contain any requirement that data protection impact assessments should also be carried out in respect of data processing activities commenced before the entry into force of the Regulation. However, the Regulation stipulates that "where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations." Accordingly, the review of data processing operations and the evaluation of the risks must be made from time to time, therefore data protection impact assessments may take place sooner or later with respect to data processing operations commenced before the entry into force of the GDPR, provided that the conditions for carrying out the impact assessment are met. The WP29’s respective guidelines strongly recommend that a data protection impact assessment should be carried out regarding data processing commenced before May 25, 2018, to which the impact assessment rules would apply under the Regulation.

"Good Practices"

The WP29’s respective guidelines also highlight several "good practices" for data protection impact assessments. These include:

• the need for a data protection impact assessment to be evaluated continuously for the data processing, and the existing impact assessment shall be reviewed from time to time,
• it is appropriate to define the tasks, obligations in connection with the impact assessment in the internal rules,
• the publication of all or part (extract)of the completed impact assessment, and
• if it is not clear whether an impact assessment is to be carried out, then an impact assessment should be prepared.

We have reached half-time in the preparation period for the application of the GDPR (EU’s new General Data Protection Regulation). From May 25, 2018, GDPR will be directly applicable in all EU Member States.

Below I have collected some of the issues that may arise in connection with the preparation.

Is the remaining time enough for the preparation? Shall we hurry or do we still have some time to start preparing?

One year may look like a long period, but it is worth starting the preparation as soon as possible if it has not already been commenced.

GDPR itself is substantial reading, with its 99 articles and a very detailed preamble. Accordingly, all data controllers and processors need time to understand exactly what obligations they have under the GDPR and what tasks they have to cope with.

The preparation is ideally a multi-step process: in the first round, it is advisable to review and evaluate what kind of data processing is carried out, for what purposes and for which personal data. The data processing activities in progress need to be reviewed and the new rules should be taken into account when data processing activities are planned.

After the data processing activities are mapped, it is necessary to examine exactly what obligations must be met for data processing with different purposes and legal bases.

If this task is done, it is time to review existing data processing policies, information sheets, contracts with data processors and other documents in order to meet the legal requirements.

Do not forget that preparation is not just a legal task but, in many cases, it includes IT development, organizing and conducting internal training and many other things. These can also be time-consuming tasks.

Some of the data protection authorities from different Member States try to help in the preparation process with step plan instructions. It is also worth considering these before we start the preparation work. (These were collected in a previous post here.)

Félidejéhez érkezett a GDPR (az EU új általános adatvédelmi rendelete) alkalmazására való felkészülési időszak. Pontosan egy év múlva, 2018. május 25. napjától a GDPR közvetlenül alkalmazandó lesz valamennyi EU tagállamban.

Az alábbiakban néhány olyan kérdést gyűjtöttem össze, amelyek felmerülhetnek a felkészülés kapcsán.

Sok vagy kevés a felkészüléshez a hátralévő időtartam? Ráérünk még?

Az egy év hosszú időnek tűnik, mégis célszerű a felkészülést minél előbb megkezdeni, ha ez még nem történt volna meg.

A GDPR önmagában is egy tartalmas olvasmány, a maga 99 cikkével és a nagyon részletes preambulummal. Ennek megfelelően arra is időt kell szánni, hogy minden adatkezelő és adatfeldolgozó fel tudja egyáltalán mérni, hogy rá pontosan milyen kötelezettségek vonatkoznak és milyen feladatok várnak.

A felkészülés ráadásul ideális esetben több lépcsős folyamat: első körben célszerű áttekinteni és felmérni, hogy milyen adatkezelések történnek, milyen célból és milyen személyes adatok tekintetében. Számba kell venni a már folyamatban lévő adatkezeléseket, illetve az új szabályok tükrében érdemes előkészülni az újonnan tervezett adatkezelésekre.

Az adatkezelések feltérképezését követően kerülhet sor annak a vizsgálatára, hogy pontosan milyen kötelezettségeknek kell megfelelni a különböző célból és jogalappal folytatott adatkezelések esetében.

Ha ez is megtörtént, akkor kerülhet sor a meglévő adatkezelési szabályzatok, tájékoztatók, adatfeldolgozókkal kötött szerződések és egyéb dokumentumok felülvizsgálatára annak érdekében, hogy ezek megfeleljenek a követelményeknek.

Arról se feledkezzünk meg, hogy a felkészülés nem csupán jogi feladat, hanem sok esetben informatikai fejlesztést, belső képzések szervezését és lebonyolítását és számos más teendőt foglal magában. Ezek szintén időigényes feladatok lehetnek.

Több tagállami hatóság igyekszik különböző útmutatókkal lépésről lépésre segíteni a felkészülést. Érdemes ezeket is figyelembe venni, mielőtt belevágunk a munkába. (Ezeket egy korábbi - angol nyelvű - posztban gyűjtöttem össze.)