GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Bevezetés, GDPR hatálya, adatkezelési tevékenységek nyilvántartása

2018. január 27. - Kovacs Zoltan Balazs

Kedves Olvasó!

Először is szeretném megköszönni, hogy olvassa a blogomat! Ez azt jelenti, hogy érdekli az EU általános adatvédelmi rendelete (GDPR).

Kovács Zoltán Balázs ügyvéd vagyok és a mindennapi munkám egyre nagyobb részét teszi ki az adatvédelemmel kapcsolatos tanácsadás. A GDPR elfogadása óta, különösen pedig az elmúlt néhány hónapban egyre nagyobb az érdeklődés az új adatvédelmi szabályozás és az arra való felkészülés iránt. A célom, hogy a blog összefoglalót adjon a GDPR legfontosabb szabályairól Q&A formátumban és ezáltal segítséget nyújtson a felkészüléshez.

Ez a bejegyzés a bevezetést követően a GDPR hatályát, majd az adatkezelési tevékenységek nyilvántartásával kapcsolatos szabályokat járja körbe „kérdések és válaszok” formájában.

I          Bevezetés

Egy új szabályozási rezsimre való felkészülés során a jogszabály szövegezésével kapcsolatban felmerülő kérdések következtében gyakran szembesülünk nehézségekkel. Mindez a GDPR esetében sincs másként. A jogszabály szövege számos ponton tartalmaz az EU 29. cikk szerinti Adatvédelmi Munkacsoportja (WP29) által is elismerten „szürke zónákat”. A WP29 az EU adatvédelmi kérdésekkel foglalkozó testülete, amely véleményeket és iránymutatásokat ad ki adatvédelmi kérdésekkel kapcsolatban.

A WP29 a GDPR hatályba lépése (azaz 2016. május 25.) óta számos iránymutatást adott ki, amelyek révén segítséget kíván nyújtani a GDPR jelentette, 2018. május 25-étől alkalmazandó új szabályokra való felkészüléshez.

Ezen blog célja, hogy az új szabályok iránt érdeklődőknek áttekintést adjon az új rendelkezésekről és összefoglalást nyújtson a legfontosabb teendőkről. Tekintettel arra, hogy a jogsértővel szemben kiszabásra kerülő bírság összege elérheti a 20 millió Eurót vagy az előző pénzügyi év teljes világpiaci forgalmának 4%-át (a kettő közül a magasabb összeg irányadó), feltétlenül ajánlott mindent elkövetni a felkészülés érdekében.

A GDPR-ban szereplő elszámoltathatóság elvére való tekintettel (5. cikk (2) bekezdés)) a felkészülés legelőször szemléletváltást igényel. Ezen elv alapján az adatkezelő nemcsak felelős a jogszabálynak való megfelelésért, hanem képesnek is kell lennie a megfelelés igazolására. Ez az elv az adatfeldolgozóra is vonatkozik. A megfelelés igazolása olyan módon történhet, hogy az adatkezelő, illetve az adatfeldolgozó valamennyi lépését vagy a lépés hiányát dokumentálja. Például, amennyiben a GDPR 37. cikke alapján az adatkezelő vagy adatfeldolgozó arra a következtetésre jut, hogy nem kell kijelölnie adatvédelmi tisztviselőt, akkor ezen döntését és annak okait dokumentálnia kell és hatósági vizsgálat során be kell tudnia mutatni.

A GDPR alapján adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozó pedig az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

II         A GDPR hatálya

1. Az Európai Unióban letelepedett társaságra minden esetben kiterjed a GDPR hatálya?

Gyakorlatilag igen. A GDPR alkalmazandó a személyes adatoknak az Európai Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Európai Unió területén történik vagy nem.

2. Az Európai Unión kívül letelepedett társaságra kiterjed a GDPR hatálya?

A GDPR-t kell alkalmazni az Európai Unióban tartózkodó érintettek személyes adatainak az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:

a) áruknak vagy szolgáltatásoknak az Európai Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak (függetlenül attól, hogy az érintettnek fizetnie kell-e azokért); vagy

b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Európai Unió területén belül tanúsított viselkedésükről van szó (pl. webtracking).

3. Akkor kiterjed rám a GDPR hatálya?

Ha például egy vállalkozás az Európai Unióban letelepedett és személyes adatok kezelését végzi (pl. vannak munkavállalói, ügyfelei, üzletfelei), akkor a GDPR alkalmazandó.

Úgyszintén, ha egy vállalkozás az Európai Unión kívül letelepedett és pl. online módon árukat vagy szolgáltatásokat nyújt az Európai Unióban tartózkodó személyek részére, a GDPR alkalmazandó. Abban az esetben, ha egy vállalkozás Európai Unión kívül letelepedett és pl. online módon nyomon követi vagy elemzi az Európai Unióban tartózkodó személyek Európai Unión belüli szokásait (pl. webtracking), a GDPR akkor is alkalmazandó.

III       Az adatkezelési tevékenységek nyilvántartása

1. Ki köteles elkészíteni az adatkezelési tevékenységek nyilvántartását?

Mind az adatkezelők, mind az adatfeldolgozók kötelesek nyilvántartást vezetni az adatkezelési tevékenységekről (30. cikk). Amint azt a WP29 hangsúlyozza a 2016. december 13-án kiadott és 2017. április 5-én felülvizsgált, az adatvédelmi tisztviselővel kapcsolatban kiadott iránymutatásában:

“a 30. cikk értelmében előírt nyilvántartást olyan eszközként is kell tekinteni, amely lehetővé teszi az adatkezelő és – kérésre – a felügyeleti hatóság számára, hogy áttekintést kapjon a személyes adatok kezelésével kapcsolatban a szervezet által végzett valamennyi tevékenységről. Ezért ez a megfelelés előfeltétele, és mint ilyen, hatékony elszámoltathatósági eszköz.”

2. Hogyan tudom elkészíteni az adtakezelési tevékenységek nyilvántartását?

A GDPR-ra való felkészülés megkezdésekor először a kezelt személyes adatok feltérképezése szükséges, azaz el kell készíteni az adatkezelési tevékenységek összefoglalását, amely a felkészülés alapjául szolgálhat. Ez azt jelenti, hogy valamennyi adatkezelési célt össze kell gyűjteni és a GDPR-ban meghatározott szempontok szerint elemezni kell (ld. a 6. kérdésre adott választ).

A 30. cikk (1) bekezdés felsorolja az adatkezelők által vezetendő nyilvántartás kötelező tartalmi elemeit, míg a 30. cikk (2) bekezdése megnevezi az adatfeldolgozók által vezetendő nyilvántartás kötelező tartalmi elemeit (ld. a 6. kérdésre adott választ).

3. Milyen formában kell elkészítenem az adatkezelési nyilvántartást?

A követelményeknek eleget tesz a nyilvántartás elektronikus formában való elkészítése. Javasolt egy táblázatba (pl. Excel) foglalni az adatkezelési tevékenységeket olyan módon, hogy a táblázat oszlopai tartalmazzák az alábbi 6. kérdésben megnevezett szempontokat. A táblázatot ezt követően megfelelően ki kell tölteni.

4. A felügyeleti hatóság felhívhat az adatkezelési tevékenységek nyilvántartásáról készített dokumentum átadására?

Igen. A GDPR alapján a hatóság kérésére mind az adatkezelő, mind az adatfeldolgozó köteles átadni az adatkezelési tevékenységek nyilvántartását. A gyakorlatban ez azt jelenti, hogy amennyiben az illetékes adatvédelmi hatóság vizsgálatot folytat le az adatkezelőnél / adatfeldolgozónál, akkor az első hatósági kérések egyike az lesz, hogy az adatkezelő / adatfeldolgozó adja át az adatkezelési tevékenységek nyilvántartását és így a hatóságnak legyen egy képe az adatkezelési tevékenységekről és meg tudja kezdeni a vizsgálatot.

5. Van olyan jogalany, amelynek nem kell vezetnie nyilvántartást az adatkezelési tevékenységekről?

A GDPR 30. cikk (5) bekezdése alapján a kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,

(i) ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,

(ii) ha az adatkezelés nem alkalmi jellegű, vagy

(iii) ha az adatkezelés kiterjed pl. egészségügyi, biometrikus vagy bűncselekményekre vonatkozó személyes adatok kezelésére (9. cikk (1) bekezdés és 10. cikk).

A 250 főnél kevesebb főt foglalkoztató vállalkozások legyenek rendkívül óvatosak ezen szabály alkalmazásával és mindenképpen javasolt kerülniük a 30. cikk (5) bekezdésében megfogalmazott kivétel szabály alkalmazását. Miért? Egyrészt azért, mert a kivételek rendkívül „puhán” megfogalmazottak, másodsorban pedig azért, mert – a fent említettekkel összhangban – a GDPR-nak való megfelelés egyébként is az adatkezelési tevékenységek számbavételével kell megkezdődjön abból a célból, hogy az adott jogalany tisztán lássa azt, hogy milyen adatkezelési tevékenységeket végez és ezt követően tudja megtenni a szükséges lépéseket a felkészülés útján.

6. Milyen információkat kell tartalmazzon az adatkezelési tevékenységek nyilvántartása?

Az adatkezelő által vezetendő nyilvántartásnak az alábbiakat kell tartalmaznia:

(a)        az adatkezelő neve és elérhetősége (és, ha van ilyen, a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége);

(b)       az adatkezelés céljai (néhány jellemző cél (a lista nem teljeskörű): munkaviszonnyal kapcsolatban kezelt munkavállalói adatok; munkahelyi kamerarendszer (CCTV) üzemeltetése; az email / laptop / Internet munkavállaló általi használatának ellenőrzése; munkáltatói visszaélés-jelentéstételi rendszer; direkt marketing; ügyféladatok kezelése; adatkezelés B2B szerződések alapján; nyereményjáték szervezése; webshop működtetése; követeléskezelő társaság igénybe vétele, stb.);

(c)        az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

(d)       olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

(e)        adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

(f)        a különböző adatkategóriák törlésére előirányzott határidő;

(g)        az adatbiztonság fenntartása érdekében tett technikai és szervezési intézkedések általános leírása (pl. az adatokhoz hozzáféréssel rendelkezők megnevezése; az alkalmazott IT  biztonsági szint).

Javasolt továbbá néhány mondatban leírni az adatkezelési tevékenységet és megnevezni az adott célhoz hozzárendelt jogalapot (a lehetséges jogalapokat a 6. cikk (1) bekezdése, a személyes adatok különleges kategóriái esetében a 9. cikk (2) bekezdése tartalmazza).

Az adatfeldolgozó által vezetendő nyilvántartásnak az alábbiakat kell tartalmaznia:

(a)        az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár (és, ha van ilyen, az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei);

(b)       az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

(c)        adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

(d)       az adatbiztonság fenntartása érdekében tett technikai és szervezési intézkedések általános leírása (pl. az adatokhoz hozzáféréssel rendelkezők megnevezése; az alkalmazott IT biztonsági szint).

7. Mi a következő lépés azt követően, hogy elkészítettem az adatkezelési tevékenységek nyilvántartását?

Miután az adatkezelő / adatfeldolgozó világos képet kapott arról, hogy milyen adatkezelési műveleteket végez, megkezdődhet a felkészülés. Elengedhetetlen, hogy az adatkezelési tevékenységek nyilvántartása megfelelően legyen elkészítve, mivel ez a dokumentum szolgál a felkészülés alapjául.

Az adatkezelési tevékenységek nyilvántartását naprakészen kell tartani. A GDPR nem tartalmaz olyan feladatokat, amelyeket egyszer és mindenkorra le lehetne tudni. Így amennyiben az adatkezelési tevékenységek tekintetében változás történik, akkor a változást megfelelően át kell vezetni az adatkezelési tevékenységek nyilvántartásán.

A következő bejegyzésemben az adatvédelmi tisztviselővel (DPO) kapcsolatos legfontosabb kérdéseket fogom körüljárni. A részletekért kattintson ide.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr6113607805

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.