The official guidelines for the application of the EU Uniform Data Protection Regulation (Regulation 2016/679, "Regulation" or "GDPR") have been launched to help interpret the rules of the Regulation. In addition to the numerous published publications, blog posts and opinions, the official positions that the data controllers and the processors can rely on in preparing for the application of the Regulation have started to appear.

Article 29 Working Group (WP29) adopted the final version of its guidelines, which had been published for commenting earlier, on April 5, 2017. These guidelines cover the following areas of the Regulation:

• WP242: Guidelines on the right to data portability;
• WP243: Guidelines on Data Protection Officers (“DPOs”); and
• WP244: Guidelines for identifying a controller or processor’s lead supervisory authority.

WP29 also published further draft guidelines on Data Protection Impact Assessment (DPIA) and on determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679 (WP248). This draft may be commented upon until May 23, 2017.

(I will cover some of the guidelines in more detail in later posts.)

According to WP29's work plan, guidelines can be expected in further areas (e.g, consent, profiling, data incidents, data transmission).

The National Data Protection and Information Authority (Hungarian DPA) has not yet published specific guidelines regarding the Regulation. At the DPA’s website, a short, 12-point sequence of steps is available under the title “preparation for the application of the Regulation”.

Some Member State authorities have already begun issuing their own guidelines. The Information Commissioner's Office (UK), which has prepared guidelines for consents and profiling (the latter can be commented upon until 28 April), seems to be particularly active. In addition, they released an updated version of their summary on big data issues, now with respect to the relevant rules of GDPR.

László Pók

Az EU egységes adatvédelmi rendeletének (2016/679 Rendelet; "Rendelet" vagy "GDPR") alkalmazásával kapcsolatban elkezdtek megjelenni a hivatalos iránymutatások, amelyek segíteni hívatottak a Rendelet szabályainak az értelmezését. A számos megjelent publikáción, blogbejegyzésen, véleményen kívül így szállingózni kezdtek azok a hivatalos állásfoglalások is, amelyekre az adatkezelők és az adatfeldolgozók támaszkodni tudnak a Rendelet alkalmazására való felkészülés során.

A 29-es Cikk szerinti Munkacsoport (WP29) 2017. április 5-én fogadta el a végleges változatát a korábban véleményezésre közzétett iránymutatásainak, amelyek az alábbi területeken segítik a Rendelet értelmezését:

• WP242: Az adathordozhatósághoz való joggal kapcsolatos iránymutatás;
• WP243: Az adatvédelmi tisztviselőkkel kapcsolatos iránymutatás; és
• WP244: A fő felügyeleti hatósággal kapcsolatos iránymutatás.  

A WP29 közzétett egy további iránymutatás tervezetet is, ami az adatvédelmi hatásvizsgálatok és "valószínűsíthetően magas kockázat" meghatározásának kérdéseivel foglalkozik (WP248). Ez a tervezet 2017. május 23-ig véleményezhető.

(Az egyes iránymutatásokkal későbbi posztokban még részletesen foglalkozom.)

A WP29 munkaterve szerint még több területen várható iránymutatás kiadása (pl. hozzájárulás, profilalkotás, adatvédelmi incidensek, adattovábbítás).  

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) még nem tett közzé külön iránymutatást a Rendelettel kapcsolatban. A NAIH honlapján jelenleg egy rövid, 12 pontos lépéssorozat került közzétételre a Rendelet alkalmazására való felkészülés menüpontban.

Egyes tagállami hatóságok már elkezdték a saját iránymutatásaik kiadását. Különösen aktívnak tűnik a brit hatóság (Information Commissioner's Office), amely a hozzájárulás, illetve a profilalkotás kapcsán is készített iránymutatást (utóbbi április 28-ig véleményezhető). Ezen kívül a nagy adathalmazokról (big data) korábban kiadott összefoglaló anyaguk újabb verzióját is megjelentették, immár figyelemmel a GDPR vonatkozó szabályaira is.

Pók László

Almost half of the preparation period available ahead of the application of the General Data Protection Regulation has already passed. Regulation (EC) No 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) ("Regulation" or "GDPR") entered into force on 25 May 2016. It provides 2 years from its entering into force for preparation for its application, i.e. the rules of the Regulation are applicable from 25 May 2018. The entry into force of the GDPR has opened a new era of data protection in Europe, as the directly applicable Regulation replaces the current regulatory framework, which is in the form of a directive.

As time progresses, more and more data controllers and processors recognize that they need to take urgent action to comply with the Regulation. The huge amount of the fine (which can amount to EUR 20 million or up to 4% of the total annual global market turnover for the previous financial year) in the Regulation is a very good tool for raising awareness. If not for any other reason, many businesses will surely review their data management practices and try to make steps to handle personal information in accordance with the Regulation in order to avoid potential fines.

In this blog, we try to help you find solutions to the new situation involving the emergence of GDPR, help you to prepare for the application of the Regulation and generally look into privacy issues.

Data protection, regardless of the entry into force of the Regulation, plays an increasingly important role in our everyday lives. Due to technological advances, more and more data is becoming available and there are many possibilities for how to use it. However, awareness of the stakeholders does not always keep up with the challenges posed by the emergence of new opportunities, so it is important for the people concerned to get the easiest and most accessible information on how to manage their personal information. I am confident that we will also provide useful information in this blog for data subjects.

Due to the fact that the Regulation is applied directly in each Member State after 25 May 2018, emphasis is placed on how the rules of the Regulation will be interpreted and applied in the various Member States of the European Union, how the practice of supervisory authorities is evolving and how well a uniform interpretation of the law on certain aspects of the Regulation develops. Thus, the new data protection regime will provide an important topic for data controllers, data processors, data subjects and all interested parties and stakeholders in the longer-term.

László Pók

Lassan félidejéhez érkezik az új egységes adatvédelmi rendelet alkalmazására való felkészülési idő. Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet [helyesen: irányelv] hatályon kívül helyezéséről (általános adatvédelmi rendelet) ("Rendelet" vagy "GDPR") ugyanis 2016. május 25. napján lépett hatályba és a hatályba lépésétől számított 2 év áll rendelkezésre a Rendelet alkalmazására történő felkészülésre, azaz 2018. május 25-től élesben alkalmazandók a Rendelet szabályai. A GDPR hatályba lépése az európai adatvédelem új korszakát nyitotta meg, hiszen az irányelvi szintű szabályozást, a közvetlenül alkalmazandó Rendelet váltja fel.  

Az idő előrehaladtával egyre több adatkezelő és adatfeldolgozó ismeri fel, hogy sürgősen lépéseket kell tenniük a Rendeletnek való megfelelés érdekében. A Rendeletben megjelenő hatalmas összegű bírság (amely elérheti a 20 millió eurót vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeget) igen alkalmas eszköz a figyelemfelkeltésre. Ha másért nem is, emiatt biztosan sok vállalkozás tekinti át adatkezelési gyakorlatát és igyekszik lépéseket tenni annak érdekében, hogy a Rendeletnek megfelelően kezeljék a személyes adatokat.

A blogban igyekszünk segítséget nyújtani a GDPR megjelenésével kialakuló új helyzetben való eligazodásban, a Rendelet alkalmazására való felkészülésben, illetve általánosságban az adatvédelmi kérdésekben való tájékozódásban.

Az adatvédelem, a Rendelet hatályba lépésétől függetlenül is, egyre fontosabb szerepet tölt be a mindennapjainkban. A technológiai fejlődésnek köszönhetően egyre több adat válik elérhetővé, amelyek felhasználására számtalan lehetőség kínálkozik. Az érintettek tudatossága azonban nem mindig tart lépést az új lehetőségek megjelenése jelentette kihívásokkal, így fontos, hogy az érintettek is minél egyszerűbben és több forrásból juthassanak a személyes adataik kezelésével kapcsolatos információkhoz. Bízom benne, hogy ezen a blogon is hasznos olvasnivalóval szolgálunk az ő részükre is.

A rendeleti szabályozás jellegéből adódóan kiemelt hangsúlyt kap 2018. május 25-e után, hogy a Rendelet szabályait miként értelmezik és alkalmazzák az Európai Unió egyes tagállamaiban, hogyan alakul a felügyeleti hatóságok gyakorlata, mennyire alakul ki egységes jogértelmezés a Rendelet egyes kérdései kapcsán. Az új adatvédelmi rezsim tehát hosszabb időre érdekes témát szolgáltat majd a szabályozással megcélzott adatkezelőknek, adatfeldolgozóknak, érintetteknek és minden érdeklődőnek.    

Pók László