A GDPR egyik fontos újdonsága volt, hogy hatálya nemcsak az Európai Unión belül tevékenységi hellyel rendelkező adatkezelőkre, illetve adatfeldolgozókra terjed ki, hanem alkalmazni kell az EU-ban tartózkodó érintettek személyes adatainak az EU-ban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:

1. áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
2. az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.

A GDPR 27. cikke pedig előírja, hogy az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselőt jelölnek ki, és rendezi a képviselőkkel kapcsolatos alapvető szabályokat.

A fenti rendelkezéseknek köszönhetően a GDPR egyértelműen hatást gyakorol EU-n kívüli szervezetekre is. Ennek egyik mellékhatása volt, hogy egyes Unión kívüli adatkezelők – félve a GDPR-nak való meg nem felelés kockázataitól – inkább beszüntették az EU-ba irányuló tevékenységüket.

A GDPR hatása viszont nem csak közvetlenül, az EU-ban tevékenységi hellyel nem rendelkező adatkezelőkre vonatkozó kötelezettségek előírása révén érezhető, hanem azáltal is, hogy a világ számos pontján az adatvédelmi szabályok mintájául szolgál a GDPR. Ezt indokolhatja, hogy a személyes adatok határokon átívelő áramlása miatt az egymással harmonizáló szabályrendszer megalkotása jótékony hatással lehet a GDPR-nak megfelelő rendelkezéseket alkalmazó harmadik országokba történő adattovábbításokra (akár úgy, hogy az adatok védelmének szintjét a Bizottság megfelelőnek ítéli meg, akár úgy, hogy a bizalmat erősítheti egy GDPR-szerű adatvédelmi rezsim meghonosítása).   

Az elmúlt időszakban az adatvédelem kapcsán alapvetően két típusú hír uralja a nyilvánosságot. Egyrészt a GDPR május végi alkalmazandóvá válása kapcsán az új szabályozás körüli felhajtás, a megfelelés kihívásai biztosítottak szinte naponta megfelelő utánpótlást az adatvédelmi híreknek. Másrészt több nagy, a személyes adatokat érintő botrány is az érdeklődés középpontjába került. 

A bill regarding the amendment of the Hungarian Data Protection Act was submitted to the Hungarian Parliament on June 19. The bill aims at the implementation of Directive 2016/680 and the amendment of the Hungarian Data Protection Act regarding the application of the General Data Protection Regulation (GDPR).

The bill is mainly based on the draft bill that was published for public consultation almost a year ago, in last August. It is worth noting that another bill is also in front of the Hungarian Parliament regarding the GDPR implementation (that was submitted on May 29). The bill of May 29 contains only a few articles regarding the designation of the Hungarian Data Protection Authority as the competent data protection authority responsible for the enforcement of the GDPR. The Parliament will vote on the bill of May 29 very soon (probably on June 20).  

Május 25-e óta alkalmazandó a GDPR (Általános Adatvédelmi Rendelet), de a jogalkalmazáshoz kapcsolódó kérdések száma még mindig nagyon magas (sőt talán növekszik). Éppen ezért minden hatósági iránymutatásnak, ajánlásnak nagy jelentősége van. A NAIH az elmúlt időszakban újabb állásfoglalásokat jelentetett meg a honlapján, amelyek közül néhányat az alábbiakban röviden ismertetek. 

Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Közben Magyarországon is benyújtásra került az Országgyűléshez a törvénytervezet, amely alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kerülne kijelölésre a GDPR alapján eljáró hatóságként, valamint a tervezet deklarálja, hogy első jogsértés esetén inkább a figyelmeztetés eszközével kellene élnie a hatóságnak. (Ez persze nem jelenti azt, hogy a NAIH nem bírságolhat már első alkalommal is, hiszen ezt nem zárja és nem is zárhatja ki a jogszabály, de egy erős jelzést küld az elvárásokról.) 

Below, you can find a collection of national laws that are necessary for the enforcement of the GDPR. (Last updated on 28.09.2018.) If you need information regarding the status of the implementation in the EU Member States or look for some background information in connection with the implemenation process and the content of the national laws, please check my previous post here: Overview regarding the implementation of the GDPR across the EU.

Hosszú, kétéves felkészülési időszak végéhez érkeztünk. 2018. május 25-től alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az adatvédelmi szabályozás új korszaka ezzel hivatalosan is kezdetét veszi. Visszatekintve, úgy tűnik, hogy nagyon gyorsan lejárt a felkészülésre szánt időtartam, feladat viszont még maradt bőven, hiszen egyes felmérések azt mutatják, hogy az adatkezelők egy része még messze nem készült fel az új szabályok alkalmazására. A felkészüléssel azonban nemcsak az adatkezelőknek gyűlt meg a bajuk, de a tagállamok jelentős része sem tett eleget jogalkotási kötelezettségeinek és a felügyeleti hatóságok is elmaradással küzdenek. Az előzetes tervekkel ellentétben pedig az e-Privacy Rendelet elfogadása jelentősen elcsúszott a GDPR-hoz képest, de vélhetően néhány hónapon belül ez is elfogadásra kerülhet. Miután ezek  az új szabályok is megszületnek, egy újabb (kisebb) felkészülési feladat még várhat az adatkezelők egy részére. 

Az adatkezelés jogszerűségének nagyon fontos eleme, hogy az adatkezelésre milyen jogalapon kerül sor. Az adatkezelő kötelezettsége ugyanis, hogy az adatkezelés vonatkozásában gondoskodjon a megfelelő jogalap meglétéről. A Rendelet preambuluma (40) szerint: 

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.  

Ahogy egy korábbi posztomban már írtam róla, sok adatkezelő a hozzájárulást tekinti az adatkezelés elsődleges jogalapjának, így gyakran olyan esetekben is hozzájárulás beszerzésére törekszenek, amikor erre nincs szükség. Érdemes tehát áttekinteni, hogy a hozzájárulás mellett milyen egyéb jogalapok állnak rendelkezésre. Különösen fontos lehet ez Magyarországon, hiszen a 95/46/EK irányelv ("Irányelv") jogalapokra vonatkozó rendelkezéseinek nem megfelelő átültetése miatt hosszú időn át jelentős jogalkalmazási nehézségeket okozott a megfelelő jogalap meghatározása.       

Az Irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

A GDPR május 25-től válik alkalmazandóvá, így az utóbbi időszakban egyre nagyobb figyelmet kap a Rendeletre való felkészülés. Ugyanakkor szép csendben május 10-től alkalmazandóvá váltak azok az új, a hálózati és információs rendszerek biztonságára vonatkozó szabályok, amelyeket az EU 2016/1148. sz. irányelve (NIS Irányelv) alapján kellett a tagállamoknak a jogrendszerükbe átültetniük. 

Mi az a NIS Irányelv?

Az irányelv a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelmét hívatott megteremteni az EU-n belül. Ezek a rendszerek ugyanis kiemelkedő jelentőséggel bírnak számos gazdasági és társadalmi tevékenységgel kapcsolatban, és jelentős szerepet játszanak a belső piac működése szempontjából (különös tekintettel a digitális gazdaság növekvő szerepére is). 

A hálózati és információs rendszerek, és mindenekelőtt az internet, alapvető szerepet játszanak az áruk, a szolgáltatások és a személyek határokon átnyúló mozgásának elősegítésében. Transznacionális jellegük miatt e rendszerek jelentős zavara érinthet egyes tagállamokat, de akár az Unió egészét is, függetlenül attól, hogy azt szándékosan vagy nem szándékosan okozták-e, illetve tekintet nélkül az előfordulás helyére. (NIS Irányelv, Preambulum 3. pont)

A hálózati és információs rendszerek összekapcsoltsága és határokon átnyúló jellege igényli, hogy a szabályozás minél összehangoltabb legyen és egységesen magas szintű védelem kerüljön megvalósításra. 

Az EU-n belül működik egy ügynökség is, az ENISA (European Union Agency for Network and Information Security), amely fontos szerepet tölt be az egységesülő európai kibervédelem megteremtésében, így a NIS Irányelvben foglaltak végrehajtásában is. 

The data controller is a central player in data protection regulation. The data controller is the one who determines the purposes and means of data processing and makes substantive decisions about the data processing activities.

However, the data controller can not only act independently of a given data processing, but it may be that more data controllers jointly make decisions regardinf the data processing. This is also expressly clear in the definition of controllers set out in the GDPR, which provides that the data controller is the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. (This is, of course, not a novelty, current data processing rules contains similar definitions, so it is possible that multiple data controllers jointly define the purpose of data processing.) On the other side, GDPR makes the situation quite clear when it states that if the purposes and tools of data processing are jointly determined by two or more controllers, they shall be joint controllers (see Article 26 of the Regulation).