The General Data Protection Regulation (GDPR or Regulation) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment. The data protection impact assessment has been applied in some Member States of the European Union (e.g. UK, France), even if not fully consistent with GDPR, in order to assess the potential risks of data processing and to take measures that are tailored to the degree of risk identified. In Hungary, however, this legal institution is less known to data controllers, since the Hungarian Data Protection Act does not regulate the data protection impact assessment and does not require the performance of such an obligation.

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the Regulation, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen.

The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot (data protection impact assessment) kell végeznie. Az adatvédelmi hatásvizsgálat az Európai Unió egyes tagállamaiban (pl. Nagy-Britannia, Franciaország) már - ha nem is a GDPR-al teljesen megegyezően - alkalmazott eljárás egy adatkezelés esetleges kockázatainak felmérésére és a feltárt kockázatok mértékéhez igazodó intézkedések megtétele érdekében. Magyarországon ugyanakkor ez a jogintézmény kevésbé lehet ismert az adatkezelők előtt, hiszen az Infotv. nem ismeri az adatvédelmi hatásvizsgálatot és nem ír elő ilyen vizsgálat elvégzésére irányuló kötelezettséget.

Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen.

A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság (accountability) alapelvéhez.

The draft act regarding the implementation of the GDPR in Austria is now available at the website of the Austrian Parliament. The draft act was published on May 12, 2017. An interesting change in Austria that in the current Austrian regime, not only natural persons, but also legal entities are protected by data protection laws, however this will change from May 25, 2018 and only natural persons will be subject to the protection under the GDPR.

As constitutional changes are also necessary (e.g. regarding the fundamental right to data protection), a 2/3-majority is required to pass the decision in the Parliament.

You can find more information here in German and here both in German and in English.

Update (03.07.2017): The Austrian Parliament adopted the amendment of the Austrian Data Protection Act on June 29, 2017 that implements the necessary changes regarding the GDPR. You can find a brief summary here in English.

Obviously, in the past period, the GDPR (the new EU Data Protection Regulation) was the focus of data protection news. However, in the shadow of the GDPR, a draft e-Privacy Regulation was also issued in January 2017, which, if adopted, would replace Directive no. 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

Why do we need new regulation in the field of electronic communications?

• Several arguments can be raised why the revision of the existing rules are necessary. The adoption and entry into force of the GDPR can in itself justify the re-regulation of the electronic communications area, as this special area needs to be adapted to the new general data protection rules. The GDPR will also apply as a background regulation to the e-Privacy area as well.

• Similarly to the adoption of the GDPR in the form of a regulation, the adoption of an e-Privacy regulation would help to ensure the uniform application of the rules, because the provisions of the regulation will be directly applicable in the Member States.

• Existing rules should be reviewed and amended anyway, since technological development requires the revision of the rules from time to time (the ePrivacy Directive was revised in 2009 by Directive 2009/136/EC).

• In some areas, practical experience indicates that it may be necessary to modify the existing regulatory environment. An example of this may be the cookie regulation, which, as acknowledged in section 22 of the preamble to the draft e-Privacy Regulation, is no longer able to achieve the original purpose of providing information to and requesting approval from end-users. By modifying the rules (e.g. by providing consent through the use of appropriate settings on browsers and other applications), the process of obtaining consent may become more user-friendly.

Érthető módon az elmúlt időszakban a legtöbbször a GDPR-ről (az EU új általános adatvédelmi rendeletéről) szóltak a hírek. A GDPR "árnyékában" azonban 2017 januárjában megjelent az e-Privacy Rendelet tervezete is, amely - elfogadása esetén - az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") váltaná fel. 

Miért van szükség az elektronikus hírközlés területén új szabályozásra?

• A szabályozás megújítása mellett több érv is felhozható. Önmagában a GDPR elfogadása és hatályba lépése indokolttá teheti az elektronikus hírközlési terület újraszabályozását, hiszen az új általános adatvédelmi szabályokhoz kell igazítani ezt a speciális területet is. A GDPR ugyanis az e-Privacy területén is háttérszabályként érvényesül majd.

• A jogalkotás mellett szól, hogy hasonlóan a GDPR-hoz az egységes jogalkalmazást segíti, ha az irányelvi szabályozás helyett e területen is megtörténik az áttérés a rendeleti szabályozásra, azaz a rendelkezések közvetlenül alkalmazandók lesznek a tagállamokban.

• A meglévő szabályozás egyébként is ráncfelvarrásra szorulna, hiszen a technológiai fejlődésnek köszönhetően időről-időre indokolt a szabályozás felülvizsgálata. (Az elektronikus hírközlési adatvédelmi irányelv legutóbb 2009-ben esett át alaposabb felülvizsgálaton, akkor a 2009/136/EK irányelvvel módosították.)

• Egyes területeken pedig a gyakorlati tapasztalatok jelzik, hogy szükség lehet a meglévő szabályozási környezet módosítására. Erre példa lehet a sütikre (cookie) vonatkozó szabályozás, amely - ahogy az e-Privacy Rendelet tervezet preambulumának 22. pontja is elismeri - a végfelhasználók felé irányuló tájékoztatás és jóváhagyás kérés miatt már nem képes az eredeti célnak megfelelő hatást elérni. A szabályozás módosításával (pl. azzal, hogy a hozzájárulás a böngészők és egyéb alkalmazások megfelelő beállításainak használatával is kifejezhető legyen) felhasználóbarátabbá tehető a hozzájárulás megszerzésének folyamata.    

Several supervisory authorities have started to issue step plans to help data controllers in the preparation for the application of the EU General Data Protection Regulation (GDPR).

In April, the Dutch Authority (Autoriteit Persoonsgegevens) issued its step plan consisting of 10 items:

• Awareness,
• Rights of data subjects,
• Keeping records of data processing,
• Privacy Impact Assessment (PIA),
• Privacy by design & privacy by default,
• Data Protection Officer (DPO),
• Notification obligation regarding data breaches,
• Agreements on data processing,
• Lead supervisory authority, and
• Consent.

You can find a summary in English at the Privacy Matters blog.

A bit earlier, the French authority (CNIL) published a 6-step plan regarding compliance with the GDPR with the following steps:

• Appoint a DPO, who can lead the compliance process,
• Review (“mapping”) the data processing activities,
• Prepare a priority list of the measures to be taken,
• Manage the risks (including the preparation of a Privacy Impact Assessment),
• Implement internal rules regarding data protection, and
• Prepare documentation to be able to prove compliance.

You can find a summary in English at the Privacy Matters blog.

Now, the Italian Authority has also “joined the club” and issued its own 6-step plan. The step plan also contains some recommendations from the Italian Authority in the given sections. 

• The legal basis of the processing must be ensured.
• More information needs to be provided.
• Rights of data subject.
• Obligations of data controllers.
• Risk-based approach and accountability measures.
• Transfer of data to third countries.

You can find a summary in English at GamingTechLaw.

In addition to the above, several other authorities have step plans, e.g. the ICO, the Hungarian Authority (NAIH), the Irish Data Protection Commissioner, the Belgian Authority.

László Pók 

The official guidelines for the application of the EU Uniform Data Protection Regulation (Regulation 2016/679, "Regulation" or "GDPR") have been launched to help interpret the rules of the Regulation. In addition to the numerous published publications, blog posts and opinions, the official positions that the data controllers and the processors can rely on in preparing for the application of the Regulation have started to appear.

Article 29 Working Group (WP29) adopted the final version of its guidelines, which had been published for commenting earlier, on April 5, 2017. These guidelines cover the following areas of the Regulation:

• WP242: Guidelines on the right to data portability;
• WP243: Guidelines on Data Protection Officers (“DPOs”); and
• WP244: Guidelines for identifying a controller or processor’s lead supervisory authority.

WP29 also published further draft guidelines on Data Protection Impact Assessment (DPIA) and on determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679 (WP248). This draft may be commented upon until May 23, 2017.

(I will cover some of the guidelines in more detail in later posts.)

According to WP29's work plan, guidelines can be expected in further areas (e.g, consent, profiling, data incidents, data transmission).

The National Data Protection and Information Authority (Hungarian DPA) has not yet published specific guidelines regarding the Regulation. At the DPA’s website, a short, 12-point sequence of steps is available under the title “preparation for the application of the Regulation”.

Some Member State authorities have already begun issuing their own guidelines. The Information Commissioner's Office (UK), which has prepared guidelines for consents and profiling (the latter can be commented upon until 28 April), seems to be particularly active. In addition, they released an updated version of their summary on big data issues, now with respect to the relevant rules of GDPR.

László Pók

Az EU egységes adatvédelmi rendeletének (2016/679 Rendelet; "Rendelet" vagy "GDPR") alkalmazásával kapcsolatban elkezdtek megjelenni a hivatalos iránymutatások, amelyek segíteni hívatottak a Rendelet szabályainak az értelmezését. A számos megjelent publikáción, blogbejegyzésen, véleményen kívül így szállingózni kezdtek azok a hivatalos állásfoglalások is, amelyekre az adatkezelők és az adatfeldolgozók támaszkodni tudnak a Rendelet alkalmazására való felkészülés során.

A 29-es Cikk szerinti Munkacsoport (WP29) 2017. április 5-én fogadta el a végleges változatát a korábban véleményezésre közzétett iránymutatásainak, amelyek az alábbi területeken segítik a Rendelet értelmezését:

• WP242: Az adathordozhatósághoz való joggal kapcsolatos iránymutatás;
• WP243: Az adatvédelmi tisztviselőkkel kapcsolatos iránymutatás; és
• WP244: A fő felügyeleti hatósággal kapcsolatos iránymutatás.  

A WP29 közzétett egy további iránymutatás tervezetet is, ami az adatvédelmi hatásvizsgálatok és "valószínűsíthetően magas kockázat" meghatározásának kérdéseivel foglalkozik (WP248). Ez a tervezet 2017. május 23-ig véleményezhető.

(Az egyes iránymutatásokkal későbbi posztokban még részletesen foglalkozom.)

A WP29 munkaterve szerint még több területen várható iránymutatás kiadása (pl. hozzájárulás, profilalkotás, adatvédelmi incidensek, adattovábbítás).  

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) még nem tett közzé külön iránymutatást a Rendelettel kapcsolatban. A NAIH honlapján jelenleg egy rövid, 12 pontos lépéssorozat került közzétételre a Rendelet alkalmazására való felkészülés menüpontban.

Egyes tagállami hatóságok már elkezdték a saját iránymutatásaik kiadását. Különösen aktívnak tűnik a brit hatóság (Information Commissioner's Office), amely a hozzájárulás, illetve a profilalkotás kapcsán is készített iránymutatást (utóbbi április 28-ig véleményezhető). Ezen kívül a nagy adathalmazokról (big data) korábban kiadott összefoglaló anyaguk újabb verzióját is megjelentették, immár figyelemmel a GDPR vonatkozó szabályaira is.

Pók László

Almost half of the preparation period available ahead of the application of the General Data Protection Regulation has already passed. Regulation (EC) No 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) ("Regulation" or "GDPR") entered into force on 25 May 2016. It provides 2 years from its entering into force for preparation for its application, i.e. the rules of the Regulation are applicable from 25 May 2018. The entry into force of the GDPR has opened a new era of data protection in Europe, as the directly applicable Regulation replaces the current regulatory framework, which is in the form of a directive.

As time progresses, more and more data controllers and processors recognize that they need to take urgent action to comply with the Regulation. The huge amount of the fine (which can amount to EUR 20 million or up to 4% of the total annual global market turnover for the previous financial year) in the Regulation is a very good tool for raising awareness. If not for any other reason, many businesses will surely review their data management practices and try to make steps to handle personal information in accordance with the Regulation in order to avoid potential fines.

In this blog, we try to help you find solutions to the new situation involving the emergence of GDPR, help you to prepare for the application of the Regulation and generally look into privacy issues.

Data protection, regardless of the entry into force of the Regulation, plays an increasingly important role in our everyday lives. Due to technological advances, more and more data is becoming available and there are many possibilities for how to use it. However, awareness of the stakeholders does not always keep up with the challenges posed by the emergence of new opportunities, so it is important for the people concerned to get the easiest and most accessible information on how to manage their personal information. I am confident that we will also provide useful information in this blog for data subjects.

Due to the fact that the Regulation is applied directly in each Member State after 25 May 2018, emphasis is placed on how the rules of the Regulation will be interpreted and applied in the various Member States of the European Union, how the practice of supervisory authorities is evolving and how well a uniform interpretation of the law on certain aspects of the Regulation develops. Thus, the new data protection regime will provide an important topic for data controllers, data processors, data subjects and all interested parties and stakeholders in the longer-term.

László Pók

Lassan félidejéhez érkezik az új egységes adatvédelmi rendelet alkalmazására való felkészülési idő. Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet [helyesen: irányelv] hatályon kívül helyezéséről (általános adatvédelmi rendelet) ("Rendelet" vagy "GDPR") ugyanis 2016. május 25. napján lépett hatályba és a hatályba lépésétől számított 2 év áll rendelkezésre a Rendelet alkalmazására történő felkészülésre, azaz 2018. május 25-től élesben alkalmazandók a Rendelet szabályai. A GDPR hatályba lépése az európai adatvédelem új korszakát nyitotta meg, hiszen az irányelvi szintű szabályozást, a közvetlenül alkalmazandó Rendelet váltja fel.  

Az idő előrehaladtával egyre több adatkezelő és adatfeldolgozó ismeri fel, hogy sürgősen lépéseket kell tenniük a Rendeletnek való megfelelés érdekében. A Rendeletben megjelenő hatalmas összegű bírság (amely elérheti a 20 millió eurót vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeget) igen alkalmas eszköz a figyelemfelkeltésre. Ha másért nem is, emiatt biztosan sok vállalkozás tekinti át adatkezelési gyakorlatát és igyekszik lépéseket tenni annak érdekében, hogy a Rendeletnek megfelelően kezeljék a személyes adatokat.

A blogban igyekszünk segítséget nyújtani a GDPR megjelenésével kialakuló új helyzetben való eligazodásban, a Rendelet alkalmazására való felkészülésben, illetve általánosságban az adatvédelmi kérdésekben való tájékozódásban.

Az adatvédelem, a Rendelet hatályba lépésétől függetlenül is, egyre fontosabb szerepet tölt be a mindennapjainkban. A technológiai fejlődésnek köszönhetően egyre több adat válik elérhetővé, amelyek felhasználására számtalan lehetőség kínálkozik. Az érintettek tudatossága azonban nem mindig tart lépést az új lehetőségek megjelenése jelentette kihívásokkal, így fontos, hogy az érintettek is minél egyszerűbben és több forrásból juthassanak a személyes adataik kezelésével kapcsolatos információkhoz. Bízom benne, hogy ezen a blogon is hasznos olvasnivalóval szolgálunk az ő részükre is.

A rendeleti szabályozás jellegéből adódóan kiemelt hangsúlyt kap 2018. május 25-e után, hogy a Rendelet szabályait miként értelmezik és alkalmazzák az Európai Unió egyes tagállamaiban, hogyan alakul a felügyeleti hatóságok gyakorlata, mennyire alakul ki egységes jogértelmezés a Rendelet egyes kérdései kapcsán. Az új adatvédelmi rezsim tehát hosszabb időre érdekes témát szolgáltat majd a szabályozással megcélzott adatkezelőknek, adatfeldolgozóknak, érintetteknek és minden érdeklődőnek.    

Pók László