GDPR

Adatvédelem mindenkinek / Data protection for everyone

Alakuló joggyakorlat a GDPR alapján

2018. október 25. 11:30 - poklaszlo

Öt hónap telt el május 25., az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válása óta. Az adatkezelők és a feldolgozók sokat küszködtek, hogy készen álljanak a GDPR szabályainak alkalmazására, azonban a GDPR számos olyan rendelkezést tartalmaz, amelyek tág teret engednek az értelmezésnek. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránytűként ahhoz, hogy a GDPR rendelkezéseit miként lehet, illetve kell értelmezni.

Természetesen időbe telik, amíg az első döntések és ítéletek a GDPR alapján megszülethettek, de mostantól egyre több döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakíthatják.

Tovább

A kamerás megfigyelés központosítása

2018. október 24. 10:30 - poklaszlo

Október 19-én egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló törvényjavaslat került benyújtásra az Országgyűlés részére (T/2930). Az elsőre nem túl sokat sejtető cím mögött adatvédelmi szempontból nagyon is érdekes törvénymódosítási javaslatok szerepelnek.

A törvényjavaslat számos, különböző elektronikus megfigyelésre vonatkozó szabályt érint és egy központi tárhelyszolgáltató létrehozásával biztosítaná, hogy a különböző szervezetek által rögzített képfelvételek egységes rendszerbe kerüljenek és onnan a törvényekben meghatározott célokból lekérhetőek legyenek. A központi megőrzési idő egységesen 30 nap lenne. 

Tovább

Developing case law under the GDPR

2018. október 22. 11:00 - poklaszlo

Five months have passed since May 25 when the General Data Protection Regulaton (GDPR) became applicable in the European Union. Data controllers and processors struggled a lot to be ready for the application of the rules of the GDPR. However, there are several rules in the GDPR that leave space for interpretation and maneuvering. Besides the general guidelines and opinions issued by the European Data Protection Board and the national data protection authorities, decisions in individual cases can serve as compass in finding the right direction when the provisions of the GDPR are applied. 

Of course, it took time until the first decisions and judgments were issued under the GDPR but from now on, we may expect more and more decisions and judgments that can shape the data protection practice throughout the EU. 

Tovább

Az új jolly joker - Adatkezelés jogos érdek alapján

2018. szeptember 24. 11:30 - poklaszlo

A jogos érdek nem a GDPR-al jelent meg az adatkezelési jogalapok sorában, az adatvédelmi irányelv (95/46/EK irányelv) 7. cikkében is szerepelt. 

Az adatvédelmi irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az irányelvben szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy). 

A GDPR alapján a jogos érdeken alapuló adatkezelés térnyerése várható, a hozzájáruláson alapuló adatkezelés pedig jelentősen veszíthet a szerepéből. 

Tovább

Exporting the GDPR

2018. szeptember 17. 08:00 - poklaszlo

One of the important novelties of GDPR was that it applies not only to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, but also to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behavior as far as their behavior takes place within the Union.

Article 27 of the GDPR stipulates that controllers and processors subject to the extraterritorial effect shall designate in writing a representative in the Union.

Based on these provisions, GDPR has a clear impact on non-EU organizations as well. One side effect of this extraterritorial effect was that some data controllers outside the EU, fearing the risks of non-compliance with GDPR, ceased their activity in the EU.

However, the impact of GDPR can be experienced not only directly but also indirectly since the GDPR serves as an example of data protection rules for legislators in many countries around the world. This may be justified by the fact that cross-border flow of personal data requires a harmonized set of rules that could have a beneficial impact on the transfer of personal data to third countries using provisions similar to the rules of the GDPR. (A trend towards comprehensive national privacy / data protection rules can be experiences in the last years.) 

Tovább

A GDPR exportja

2018. augusztus 15. 11:00 - poklaszlo

A GDPR egyik fontos újdonsága volt, hogy hatálya nemcsak az Európai Unión belül tevékenységi hellyel rendelkező adatkezelőkre, illetve adatfeldolgozókra terjed ki, hanem alkalmazni kell az EU-ban tartózkodó érintettek személyes adatainak az EU-ban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:

  1. áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
  2. az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.

A GDPR 27. cikke pedig előírja, hogy az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselőt jelölnek ki, és rendezi a képviselőkkel kapcsolatos alapvető szabályokat.

A fenti rendelkezéseknek köszönhetően a GDPR egyértelműen hatást gyakorol EU-n kívüli szervezetekre is. Ennek egyik mellékhatása volt, hogy egyes Unión kívüli adatkezelők – félve a GDPR-nak való meg nem felelés kockázataitól – inkább beszüntették az EU-ba irányuló tevékenységüket.

A GDPR hatása viszont nem csak közvetlenül, az EU-ban tevékenységi hellyel nem rendelkező adatkezelőkre vonatkozó kötelezettségek előírása révén érezhető, hanem azáltal is, hogy a világ számos pontján az adatvédelmi szabályok mintájául szolgál a GDPR. Ezt indokolhatja, hogy a személyes adatok határokon átívelő áramlása miatt az egymással harmonizáló szabályrendszer megalkotása jótékony hatással lehet a GDPR-nak megfelelő rendelkezéseket alkalmazó harmadik országokba történő adattovábbításokra (akár úgy, hogy az adatok védelmének szintjét a Bizottság megfelelőnek ítéli meg, akár úgy, hogy a bizalmat erősítheti egy GDPR-szerű adatvédelmi rezsim meghonosítása).   

Tovább

Az adatvédelem, mint termék

2018. július 16. 11:00 - poklaszlo

Az elmúlt időszakban az adatvédelem kapcsán alapvetően két típusú hír uralja a nyilvánosságot. Egyrészt a GDPR május végi alkalmazandóvá válása kapcsán az új szabályozás körüli felhajtás, a megfelelés kihívásai biztosítottak szinte naponta megfelelő utánpótlást az adatvédelmi híreknek. Másrészt több nagy, a személyes adatokat érintő botrány is az érdeklődés középpontjába került. 

Tovább

Bill regarding the amendment of the Hungarian Data Protection Act

2018. június 20. 08:00 - poklaszlo

A bill regarding the amendment of the Hungarian Data Protection Act was submitted to the Hungarian Parliament on June 19. The bill aims at the implementation of Directive 2016/680 and the amendment of the Hungarian Data Protection Act regarding the application of the General Data Protection Regulation (GDPR).

The bill is mainly based on the draft bill that was published for public consultation almost a year ago, in last August. It is worth noting that another bill is also in front of the Hungarian Parliament regarding the GDPR implementation (that was submitted on May 29). The bill of May 29 contains only a few articles regarding the designation of the Hungarian Data Protection Authority as the competent data protection authority responsible for the enforcement of the GDPR. The Parliament will vote on the bill of May 29 very soon (probably on June 20).  

Tovább

Újabb NAIH állásfoglalások a GDPR alapján

2018. június 08. 11:30 - poklaszlo

Május 25-e óta alkalmazandó a GDPR (Általános Adatvédelmi Rendelet), de a jogalkalmazáshoz kapcsolódó kérdések száma még mindig nagyon magas (sőt talán növekszik). Éppen ezért minden hatósági iránymutatásnak, ajánlásnak nagy jelentősége van. A NAIH az elmúlt időszakban újabb állásfoglalásokat jelentetett meg a honlapján, amelyek közül néhányat az alábbiakban röviden ismertetek. 

Tovább

GDPR - Az első hét

2018. június 04. 11:30 - poklaszlo

Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Közben Magyarországon is benyújtásra került az Országgyűléshez a törvénytervezet, amely alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kerülne kijelölésre a GDPR alapján eljáró hatóságként, valamint a tervezet deklarálja, hogy első jogsértés esetén inkább a figyelmeztetés eszközével kellene élnie a hatóságnak. (Ez persze nem jelenti azt, hogy a NAIH nem bírságolhat már első alkalommal is, hiszen ezt nem zárja és nem is zárhatja ki a jogszabály, de egy erős jelzést küld az elvárásokról.) 

Tovább