Amendment of the Hungarian data protection act due to the GDPR

In the Act no. XIII of 2018, which entered into force on 30 June 2018, the Hungarian lawmaker designated the National Data Protection and Freedom of Information Authority (NAIH) as the authority in charge of the enforcement of the GDPR. In addition to the designation, the act also contains a provision pursuant to which, for first time violations, the NAIH should firstly issue warnings to controllers and processors rather than impose fines on them. The lawmaker wishes to give some “orientation” to authority practice.

In addition to the above, it is worth noting that on 19 June, the Government submitted a draft bill under no. T/623 (“Bill”), which contains a more detailed amendment of the Hungarian data protection act due to the GDPR. (The Bill is also about the implementation of the Directive 2016/680 of the European Parliament and of the Council on the processing of personal data by investigative authorities (“Directive”).

The Bill is based on the following four “pillars”:

(a)        it contains supplementary rules that are applicable to data processing covered by the GDPR, in addition to the rules in the GDPR;

(b)       it contains the rules implementing the Directive;

(c)        it provides that the provisions of the GDPR apply to (i) data processing not covered by the GDPR (i.e. to the processing of personal data not forming part of a “filing system” for the purposes of the GDPR and (ii) data processing falling out of the scope of the Directive;

(d)       based on preamble (27) of the GDPR, it contains the rules for the exercising of the rights of the data subject following the data subject's death.

The Bill contains the following main provisions in respect of the GDPR:

Assessment of mandatory data processing every three years

With regards to mandatory data processing, the Bill provides that the controller is required to evaluate, at least three years from the commencement of the data processing, if the processing of personal data processed by the controller or the processor acting on behalf of the controller is indeed necessary to achieve the purpose of data processing. The outcome of the assessment must be documented and retained for 10 years. Furthermore, the documentation must be presented to the NAIH at its request.

A data processing qualifies as mandatory data processing if:

(i) it has been ordered by an act or a municipal decree based on statutory authorization with a view to the public interest; or

(ii) in respect of special categories of data (e.g. health, genetic, biometric data), it is necessary for the enforcement of an international treaty or if it is ordered by an act with a view to asserting a right laid down in the Constitution or with a view to national security or military interest; or

(iii)      it is necessary for the controller to fulfill a legal obligation it is subject to as per the GDPR (Article 6 (1) c); or

(iv)      it is necessary on grounds of public interest as per the GDPR (Article 6 (1) e) of the GDPR).

With regards to data processing commenced prior to 25 May 2018, the assessment must be carried out by 25 May 2021.

Assertion of data subject’s rights after the death of the data subject

According to the Bill, in case of data processing falling under the scope of the GDPR, the access right, the right to rectification, the right to erasure, the right to restriction of processing and the right to object to processing may be exercised within 5 years of the data subject’s death by the person the data subject authorized in a public deed or a document with full probative force in front of the controller. With regards to data processing not falling under the scope of the GDPR, the rights that may be exercised are as follows: the access right, the right to rectification, the right to erasure, the right to restriction of processing.

If the data subject did not grant an authorization as referred to above, his/her close relatives as per the Civil Code are entitled to exercise certain rights with regards to data processing covered by the GDPR and also with regards to data processing not covered by the GDPR, within 5 years from the data subject’s death. The person who exercises such rights first is entitled to exercise such rights.

High-risk data processing, data processing that is not high-risk processing

Pursuant to the Bill, if the NAIH classifies a data processing as a high-risk processing and publishes this classification, then if the contemplated data processing is covered by such classification or is very similar to the processing the NAIH has classified as being a high-risk processing, the high-risk nature of the processing must be assumed.

If the NAIH classifies a data processing as not being a high-risk processing and publishes this classification, then if during the contemplated data processing only such operations are applied which are covered by the classification or which are very similar to the processing the NAIH has classified as not being a high-risk processing, it must be assumed that the data processing is not a high-risk processing.

Confidentiality obligation of the data protection officer

According to the Bill, the data protection officer is required to keep confidential during his/her position and after termination of the position all personal data, qualified data and, respectively, secrets, professional secrets and any other data, fact and circumstance he/she has become aware of in connection with his/her activity, which the controller or processor is not obliged to make public.

Inspection procedure, authority procedure

Under the Bill, an inspection procedure may also be initiated ex officio, whereas an authority procedure may also be commenced upon request. The authority procedure must be completed within 120 days.

Sanctions

According to the Bill, the sanctions as per the GDPR also apply in case of the data processing described under clause (c) above. In case of a state body, the maximum amount of the fine is set at HUF (not Euro) 20 million, which means that the lawmaker wishes to (partially) take advantage of Article 83 (7) of the GDPR.

The reasoning underlines that the Bill has no impact on the „orientation” as referred to above.

Rules on payment of the fine

As per the Bill, the fine may not be decreased upon request, however, a deferred payment or payment in installments may be requested. In the request, the relevant entity must prove that payment in time would not be possible due to external reasons out of its control or that payment would mean a disproportionate burden to him/her.

Data processing licensing procedure

Pursuant to the Bill, the NAIH performs a so-called data processing licensing procedure in some cases (for example, the approval of codes of conduct, certification factors, contractual clauses for data transfer or binding corporate rules (BCR)). The procedure must be completed in 180 or 90 days, depending on the type of document.

Certification

The Bill contains the rules for the certification procedure to be conducted by the NAIH. (Under the GDPR, the Member States, the supervisory authorities and the EU encourage the development of such certification mechanisms which prove that the data processing carried out by a controller or processor complies with the provisions of the GDPR.)

The NAIH publishes the conditions for the conclusion of the agreement on the performance of certification, the consideration for certification and the steps of certification, as well as the certification factors. It is the NAIH that determines the conditions for the conclusion of the agreement on the performance of certification and the consideration for certification.

Publications by the NAIH

As per the Bill,

(i) the NAIH may publish its resolution made during an authority procedure if, for example, the resolution affects a larger group of persons or if the gravity of the violation justifies publication;

(ii) the NAIH publishes its approving resolution made during a data processing licensing procedure;

(iii) the NAIH publishes the data reported to it in connection with the data protection officer.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatvédelmi törvény (Infotv.) GDPR-ra tekintettel való módosítása

A 2018. június 30-án hatályba lépett 2018. évi XIII. törvényben a jogalkotó kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot. A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság első alkalommal megállapított jogsértés esetén annak orvoslása iránt elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja.

A fentieken kívül érdemes felhívni a figyelmet arra, hogy a Kormány június 19-én T/623. számon benyújtotta az alábbi linken elérhető törvényjavaslatot ("Javaslat"), amely az Infotv. GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza. (A törvényjavaslat egyben a nyomozó hatóságok általi adatkezelésről szóló, 2016/680 európai parlamenti és tanácsi irányelv ("Irányelv") magyar jogba való átültetéséről is szól.)

http://www.parlament.hu/irom41/00623/00623.pdf

A Javaslat az alábbi négy "pillérre" épül:

(a)        tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;

(b)       tartalmazza az Irányelvet átültető szabályokat;

(c)        a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az Irányelv hatálya alá nem tartozó adatkezelésekre;

(d)       a GDPR (27) preambulumbekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait.

A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:

Kötelező adatkezelések háromévenkénti felülvizsgálata

A Javaslat az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani.

Kötelező adatkezelésnek az az adatkezelés minősül,

(i) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy

(ii) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy

(iii) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy

(iv) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont).

A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni.

Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése

A Javaslat szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti.

Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.

Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések

A Javaslat szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.

Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.

Adatvédelmi tisztviselő titoktartási kötelezettsége

A Javaslat alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Vizsgálati eljárás, hatósági eljárás

A Javaslat értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap.

Szankciók

A Javaslat alapján a fent utalt négy "pillér" közül a fenti (c) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó (részben) élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással.

A Javaslat indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Javaslat érintetlenül hagyja.

Bírság megfizetésével kapcsolatos szabályok

A Javaslat szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.

Adatkezelési engedélyezési eljárás

A Javaslat szerint a NAIH bizonyos esetekben ún. adatkezelési engedélyezési eljárást folytat le (pl. a GDPR szerinti magatartási kódexek, tanúsítási szempontok, adattovábbításra vonatkozó szerződéses rendelkezések, illetve kötelező erejű vállalati szabályok (BCR) jóváhagyása). Az ügyintézési határidő 180, illetőleg 90 nap, attól függően, hogy mely dokumentum jóváhagyásáról van szó.

Tanúsítás

A Javaslat tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.)

A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg.

Hatósági közzétételek

A Javaslat értelemében

(i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt;

(ii) a NAIH közzéteszi az adatkezelési engedélyezési eljárás során hozott jóváhagyó határozatát;

(iii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

What is it that Hungary can do for SMEs?

In Hungary, 99.8% of the undertakings qualify as SMEs. This blog post addresses the issue of whether these companies may be fined under the GDPR for first time violations. It also addresses the interesting issue of whether the GDPR allows Member States  to adopt laws providing that no fine may be imposed on SMEs for first time violations.

1. What does the GDPR contain concerning SMEs?

The GDPR contains a few provisions concerning SMEs and refers to such entities in relation to the records of processing activities and, respectively, sector-specific codes of conduct and certification mechanisms. Furthermore, Preamble (13) of the GDPR says that “the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises” in the application of the GDPR.

Preamble (167) stresses that “the Commission should consider specific measures for micro, small and medium-sized enterprises.”

2. Which entities qualify as SMEs?

The notion of SMEs includes micro, small and medium-sized enterprises.

An entity qualifies as a medium-sized enterprise if

- the total number of its employees is less than 250 and

- its annual net turnover is the HUF equivalent of the maximum of EUR 50 million (about HUF 16 billion) or the profit per balance sheet amount is the HUF equivalent of the maximum of EUR 43 million.

An entity qualifies as a small-sized enterprise if

- the total number of its employees is less than 50 and

- its annual net turnover is the HUF equivalent of the maximum of EUR 10 million (about HUF 3.2 billion).

An entity qualifies as a micro enterprise if

- the total number of its employees is less than 10 and

- its annual net turnover is the HUF equivalent of the maximum of EUR 2 million (about HUF 640 million).

Based on the above, it is plain to see that even a small-sized enterprise can be of a considerable size and can have high revenue, not to mention medium-sized enterprises which can have a considerable workforce and turnover.

Based on statistics from last September,

(i) 99.8% of the market players qualify as SMEs in Hungary and there are only a few hundred companies which are larger than a medium-sized enterprise. The ratio is about the same also on an EU level;

(ii) about 70% of the employees are employed by SMEs and 30% by larger companies. The ratio is about the same also on an EU level (67%-33%);

(iii)  SMEs produce about 52.5% of the GDP, whereas the percentage is 47.5% in case of larger companies. Again, the numbers on an EU level are no materially different (57.5%-42.5%).

3. What does the Hungarian SME Act say concerning first time violations and fines?

Hungarian supervisory authorities have to issue a warning instead of a fine in case of first time violations by SMEs. There is, however, no possibility to escape a fine if, for example,

a) the violation hurts or endangers human life, body or health;

b) the violation has caused environmental damage;

c) provisions serving the protection of minors have been infringed or

d) the rights of vulnerable people have been infringed.

4. Is the provision of the Hungarian SME Act in compliance with the GDPR?

It is an interesting and important question whether the provision of the SME Act as cited above in Section 3 is in compliance with the GDPR or if it (or a part of it) violates the Regulation.

(a) According to one of the interpretations, the provision of the SME Act as cited above is not in compliance with the GDPR for the following reasons.

Even though, the GDPR declares that “the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation”, it contains no specific provision requiring that SMEs may not be fined for first time violations and, respectively, it does not contain any provision which would authorize Member States to adopt laws pursuant to which SMEs may not be subject to fines for first time violations. Thus, Member States may not adopt laws which would favour SMEs by declaring that such entities may not be subject to fines for first time violations. In my opinion, this interpretation is rather formalistic and not the right one.

It is worth noting that Section 83 (7) of the GDPR specifically authorizes Member States to “lay down the rules on whether and to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.” The GDPR contains no such rule in regard of SMEs.

However, it is important to note that Section 83 (7) itself authorizes Member States to regulate (decide) if an administrative fine may be imposed on public bodies and, if so, to what extent.

The issue as to what entity qualifies as a public body is to be decided under the laws of the relevant Member State and this is clearly confirmed by the Article 29 Working Party (now the European Data Protection Board) in its guidelines on the data protection officer. Thus, even if we accept the above interpretation, the lawmaker of a Member State may under the GDPR completely release public bodies (for example, entities of public benefit, organizations carrying out also tasks in the benefit of the public at large) from fines or – if the lawmaker does not wish to completely release them from fines – set a maximum amount of fine.

In my opinion, fully releasing any entity from fines is not justified since the rules of the GDPR apply to all and they must be taken seriously.  Complete exemption from fines would also be hard to square with the general EU law principle of useful effect (l’effet utile). However, differentiation in terms of fining is in my view justified based on the notion of proportionality – also a fundamental EU law principle.

(b) The other approach argues as follows in regard of SMEs.

The GDPR itself specifically declares in Preamble (13) that “the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises” in the application of the Regulation.

Even though, the cited provision of the GDPR is part of the Preamble and is not an operative Article of the Regulation, it does form part of the body of the law. The EU law makers had good reason for including this sentence in the GDPR, which the Union, the Member States and supervisory authorities have to take into account.

In my view, a warning instead of a fine prescribed by a Member State for a first time data protection violation is justified in case of SMEs and may be compatible with the GDPR provided that a fine may be imposed also on SMEs (even for a first time violation) if the violation is a serious one. Thus, in the event that a serious violation of the GDPR against a child or a vulnerable person is committed or there is a high-risk violation which concerns the personal data of a large number of persons, then imposing a fine on the relevant SME is justified even if it is a first time violation.

In my view, the main rule in itself providing no fine may be imposed on SMEs for a first time violation is in compliance with the GDPR. I think that when it comes to compliance with the GDPR, the focus is rather on the issue of the exceptions, namely, when a fine may still be imposed for a first time violation. Under the currently effective rule of the SME Act, if the SME commits a violation which does not fall under the exceptions as listed above but affects a larger group of persons between 18 and 50 years of age and the violation may have serious consequences, then no fine could be imposed even though, a fine may well be justified in such a case.

In my view, this is where the SME Act may be offensive to the GDPR, thus, it needs to be considered when a fine may be imposed also for first time violations.

In my opinion, in the event that a Member State adopts a law requiring that authorities have to take into account the SME nature of an undertaking and no fine may be imposed for a first time data protection violation on an SME, then such a law would be compatible with the GDPR since the GDPR explicitly contains this idea and the Regulation very much seems to hold such a law desirable. I believe that the condition of such a rule is that there must be exceptions to the main rule where a fine may be imposed also for first time violations in case of serious violations. It is worth noting that the main reason for the GDPR becoming law is not the SMEs but global companies, thus, it seems reasonable not to treat such players the same way.

In the event that Member States do not adopt laws favouring SMEs, authorities will enjoy a margin of discretion when deciding whether or not to impose a fine on SMEs for a first time violation. It is worth noting that it is not mandatory to impose a fine under the GDPR, this is only an option and the authority decides on the basis of the circumstances of the case whether or not it applies a fine. Under the GDPR, the authority takes into account if the controller or processor has committed a violation previously and, respectively, assesses the relevant aggravating and mitigating circumstances of the case. The mere fact that an entity qualifies as an SME is not an automatic mitigating factor.

Overall, I consider it completely reasonable to ask if it is compatible with the GDPR to have such a national law holding that SMEs are exempted from fines in cases of first time data protection violations. In my view, such a national law may be compatible with the GDPR if this is prescribed as a main rule and provided that even SMEs may be subject to fines for first time violations if such violations are serious.

5. What do certain EU data protection authorities say about inspections and fines?

The Latvian data protection authority says that they will first tend to consult with controllers and processors during the first year of application of the GDPR and mainly impose fines only if the relevant entity has failed to fulfill the requirements of the authority in time.

The French data protection authority says that they will be more lenient when inspecting new legal concepts (such as profiling, data portability, automated decision-making).

It seems that the Austrian lawmaker wishes to adopt a law based on which the authority has to take into account the SME nature of an undertaking and such entities may not be fined for first time violations that are minor.

6. What can the Hungarian lawmaker do to help SMEs?

In my opinion, it is possible to act as suggested below and it could be reassuring to controllers and processors:

(i) in case of public bodies, it could be desirable to adopt such laws pursuant to which (a) such bodies may not be fined for first time data protection violations, except if the violation is serious and (ii) the maximum amount of fine is much lower than the one set in the GDPR;

(ii) no fine may be imposed on SMEs for first time data protection violations, except if the violation is serious. To this end, Section 12/A Paragraph (2) of the Act no. XXXIV of 2004 on Small and Medium-Sized Enterprises would have to be amended and supplemented with an additional Paragraph (3).

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Mit tehet Magyarország a KKV-kért a GDPR alapján?

Magyarországon a vállalkozások 99.8%-a a mikro-, kis- és középvállalkozások csoportjába tartozik. Ez a blog bejegyzés azzal foglalkozik, hogy az EU adatvédelmi rendelete (GDPR) alapján bírságolhatók-e ezek a vállalkozások első alkalommal megállapított jogsértés esetén. Érdekes kérdés az is, hogy a GDPR alapján van-e egy tagállamnak lehetősége arra, hogy olyan szabályozást fogadjon el, amely alapján a KKV-k első alkalommal megállapított jogsértés esetén nem bírságolhatók.

1. Mit mond a GDPR a KKV-k vonatkozásában?

A GDPR a KKV-k vonatkozásában néhány rendelkezést tartalmaz és az adatvédelmi nyilvántartás vezetése, illetve a szektorális magatartási kódexek, illetve a tanúsítási mechanizmusok tekintetében utal a KKV-kra. Emellett a rendelet (13) preambulum bekezdése szerint a rendelet alkalmazása során „az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.”

A (167) preambulum bekezdés hangsúlyozza, hogy „a Bizottságnak mérlegelnie kell különös intézkedések alkalmazását a mikro-, kis- és középvállalkozások tekintetében.”

2. Mely vállalkozások minősülnek KKV-nek?

A KKV kifejezés egy gyűjtőkategória, amely magában foglalja a mikro-, a kis- és a középvállalkozásokat.

Középvállalkozásnak minősül az olyan vállalkozás, amelynek

- összes foglalkoztatotti létszáma 250 főnél kevesebb, és

- éves nettó árbevétele legfeljebb 50 millió Eurónak megfelelő forintösszeg (kb. 16 milliárd forint), vagy mérlegfőösszege legfeljebb 43 millió Eurónak megfelelő forintösszeg.

Kisvállalkozásnak minősül az a vállalkozás, amelynek

- összes foglalkoztatotti létszáma 50 főnél kevesebb, és

- éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió Eurónak megfelelő forintösszeg (kb. 3.2 milliárd forint).

Mikrovállalkozásnak minősül az a vállalkozás, amelynek

- összes foglalkoztatotti létszáma 10 főnél kevesebb, és

- éves nettó árbevétele vagy mérlegfőösszege legfeljebb 2 millió Eurónak megfelelő forintösszeg (kb. 640 millió forint).

Mindezek alapján jól látható, hogy akár egy kisvállalkozás is jelentős méretű és bevételű lehet, nem is beszélve a középvállalkozásokról, amelyek már igen komoly munkaerővel és bevétellel rendelkezhetnek.

Egy tavaly szeptemberi statisztika szerint

(i) a magyar gazdaság szereplőinek kb. 99.8%-a KKV-nak minősül és csupán néhány száz olyan vállalat van, amely nagyobb, mint egy középvállalkozás. Az említett arány EU-s viszonylatban is nagyjából ugyanez (99.8%);

(ii) a magyar gazdaság esetében a foglalkoztatottak mintegy 70%-a dolgozik KKV-knál, 30%-a nagyvállalkozásoknál. Az arány EU-s szinten is nagyjából ugyanez (67%-33%);

(iii) a KKV-k mintegy 52.5%-ban járulnak hozzá a GDP-hez, a nagyvállalkozások 47.5%-ban. Érdemi különbség nincs EU-s szinten sem ehhez képest (57.5%-42.5%).

3. Mit mond a magyar KKV törvény az első alkalommal elkövetett jogsértések és a bírság viszonyáról?

A jelenleg hatályos magyar szabályok értelmében az ellenőrző hatóság a KKV-kal szemben az első esetben előforduló jogsértés esetén hatósági eljárás során bírság kiszabása helyett figyelmeztetést kell, hogy alkalmazzon. Nincs azonban lehetőség a bírságtól való eltekintésre, ha például

a) a jogsértés emberi életet, testi épséget vagy egészséget sért vagy veszélyeztet,

b) a jogsértés miatt környezetkárosodás következett be,

c) kiskorúak védelmét célzó rendelkezés megsértésére került sor, vagy

d) különösen kiszolgáltatott személlyel szemben elkövetett jogsértésre került sor.

4. Összeegyeztethető-e a magyar KKV törvény hatályos rendelkezése a GDPR-ral?

Érdekes és fontos kérdés, hogy összeegyeztethető-e a KKV törvény fenti, 3. pontban idézett rendelkezése a GDPR-ban foglaltakkal vagy az (vagy annak egy része) a rendeletbe ütköző.

(a) Az egyik értelmezés szerint a KKV törvény idézett rendelkezése a rendeletben foglaltakkal nincs összhangban az alábbiak szerint.

Jóllehet a GDPR deklarálja, hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit”, konkrét rendelkezést azonban nem tartalmaz arra vonatkozóan, hogy első alkalommal ne lennének bírságolhatók a KKV-k, illetőleg nem tartalmaz olyan konkrét felhatalmazó rendelkezést sem, amelynek értelmében a tagállamok hozhatnának olyan jogszabályt, amely szerint a KKV-k első alkalommal nem bírságolhatók. Ebből következően – ezen, álláspontom szerint rendkívül formális és téves értelmezés szerint – a tagállamok nem hozhatnak olyan szabályt, amely olyan kivételezett helyzetbe hozza a KKV-ket, hogy azok első alkalommal megállapított jogsértés esetében nem bírságolhatók.

A GDPR 83. cikk (7) bekezdése kifejezetten felhatalmazza a tagállami jogalkotót arra, hogy megállapítsa az arra vonatkozó szabályokat, hogy „az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű”. Ilyen rendelkezést a KKV-k tekintetében nem tartalmaz a GDPR.

Fontos azonban megjegyezni azt, hogy a 83. cikk (7) bekezdés maga ad felhatalmazást a tagállami jogalkotónak annak szabályozására (eldöntésére), hogy közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság és, ha igen, milyen mértékű.

Azt, hogy mi minősül közfeladatot ellátó szervnek az adott tagállam joga szerint kell megítélni, amit a 29. cikk szerinti EU Adatvédelmi Munkacsoport (jelenlegi nevén immáron Európai Adatvédelmi Testület) adatvédelmi tisztviselőről szóló iránymutatásában egyértelműen megerősít. Ebből következően még a fenti értelmezés szerint is van lehetőség arra a GDPR alapján, hogy a tagállami jogalkotó a közfeladatot ellátó szerveket (ilyenek például a közhasznúsági besorolással rendelkező jogalanyok, közhasznú feladatot (is) ellátó egyesületek) akár teljes egészében (azaz nem csak első alkalmas jogsértés esetére) mentesítse a bírság terhe alól vagy – amennyiben nem kívánja őket mentesíteni – saját döntése szerinti bírság maximumot állapítson meg.

Álláspontom szerint a bírság alóli teljes mentesítés nem indokolt egyetlen jogalany esetében sem, hiszen fontos, hogy a GDPR szabályai mindenkire vonatkoznak és a szabályokat komolyan kell venni. A bírságolás tekintetében történő differenciálás azonban véleményem szerint egy méltányos és indokolt kérdés.

(b) A másik megközelítés az alábbiak szerint érvel a KKV-k tekintetében.

A GDPR (13) preambulum bekezdésében deklarált célja, hogy a rendelet alkalmazása során „az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit”.

Jóllehet a GDPR idézett preambulum bekezdése nem tételes jogi rendelkezés, tény, hogy az a rendelet része, amely alapos okkal került a jogszabályba, és amelyre az Uniónak, a tagállamoknak és a felügyeletei hatóságoknak tekintettel kell lennie.

Álláspontom szerint első alkalmas adatvédelmi jogsértés esetére egy tagállam által előírt, bírság nélküli figyelmeztetés KKV-k vonatkozásában indokolt és a GDPR-ral összeegyeztethető, azzal, hogy súlyos jogsértések esetén a bírság kiszabása KKV-k esetében is indokolt (első alkalommal is). Így abban az esetben, ha például gyermekek vagy kiszolgáltatott személyek vonatkozásában követnek el súlyos jogsértést, vagy nagyszámú érintett személyes adataival kapcsolatos egy magas kockázattal járó jogsértés, akkor indokolt bírság kiszabása egy KKV-val szemben is első alkalommal megállapított jogsértés esetén.

Önmagában az a főszabály, hogy első alkalommal nem szabható ki bírság KKV-kal szemben, meglátásom szerint összhangban van a GDPR-ral. Azt gondolom, hogy az összhang tekintetében a kérdés sokkal inkább a kivételi kör, azaz, hogy mely esetben van helye mégis bírság kiszabásának első alkalmas jogsértés esetén. A jelenleg hatályos szabály értelmében, ha egy KKV olyan adatvédelmi jogsértés követ el, amely nem esik a fenti leírt kivételi kör alá, azonban például 18 és 50 év közötti személyek széles körét érinti és a jogsértés komoly hátrányt okozhat az érintetteknek, akkor nem lenne kiszabható bírság, holott ilyen esetben indokolt lehet ezen szankció alkalmazása. Véleményem szerint ez az a pont, ahol a KKV törvény szabályozása ütközhet a rendeletben foglaltakkal, ezért annak átgondolása szükséges, hogy mely esetben lehessen mégis bírságot kiszabni első alkalmas jogsértés esetén.

Véleményem szerint abban az esetben, ha olyan szabályt hoz egy tagállami jogalkotó, amely szerint a hatóságnak a KKV jellegre tekintettel kell lennie és első alkalmas adatvédelmi jogsértés esetében KKV-val szemben nem szabható ki bírság, akkor a GDPR-ral összeegyeztethető és annak megfelelő jogszabályt hoz, mivel egy ilyen gondolat a GDPR-ban is kifejezetten benne van, a rendelet kívánatosnak tart egy ilyen tagállami szabályt. Egy ilyen szabály álláspontom szerinti feltétele, hogy legyen egy kivételi kör a bírság alóli mentesítés alól, amikor bírság első alkalommal is kiszabható súlyos jogsértés esetén. Megjegyzendő az is, hogy a GDPR megszületésének nem a KKV-k, hanem a nagyvállalatok az elsődleges oka, így indokolt, hogy ne azonos módon kezelje a jogalkotó ezeket a szereplőket a bírságolás tekintetében.

Abban az esetben, ha a tagállami jogalkotó nem hoz a KKV-kra nézve kedvező szabályt, akkor a hatóság saját joga lesz eldönteni azt, hogy alkalmaz-e bírságot KKV-val szemben első alkalmas jogsértés esetében. Fontos hangsúlyozni, hogy a GDPR értelmében szankció alkalmazása esetében nem kötelező bírság kiszabása, az csupán egy lehetőség és a hatóság a jogsértés körülményei alapján dönt arról, hogy alkalmaz-e bírságot. A GDPR alapján a hatóság értékeli többek között azt, hogy az adatkezelő vagy az adatfeldolgozó korábban követett-e el jogsértést, illetve értékeli az eset körülményei szempontjából releváns súlyosbító vagy enyhítő tényezőket. Pusztán az a tény, hogy egy jogalany KKV-nak minősül automatikusan nem jelent enyhítő tényezőt.

Összességében azt gondolom, hogy teljesen indokolt feltenni azt a kérdést, hogy összeegyeztethető-e a GDPR-ral egy olyan tagállami megoldás, amely szerint a KKV-k első alkalommal megállapított adatvédelmi jogsértés esetében nem bírságolhatók. Álláspontom szerint egy ilyen tagállami szabályozás összeegyeztethető a GDPR-ral, ha főszabályként írja azt elő a tagállami jogalkotó és súlyos jogsértés elkövetése esetén a KKV-k is bírságolhatók első alkalommal elkövetett jogsértés esetén.

5. Mit mondanak egyes EU-s adatvédelmi hatóságok az ellenőrzésről és bírságolásról?

A lett adatvédelmi hatóság által elmondottak szerint az első évben elsősorban konzultálni fognak az adatkezelőkkel, adatfeldolgozókkal és elsősorban abban az esetben nyúlnak a bírság eszközéhez, ha a figyelmeztetésben foglaltaknak nem tesz eleget időben a vizsgált jogalany.

A francia adatvédelmi hatóság elmondása szerint a GDPR-ban szereplő új jogintézmények tekintetében (például profilalkotás, adathordozhatóság, automatizált döntéshozatal) megállapított jogsértések vonatkozásában elnézőbb lesz a hatóság, mint az újdonságnak nem számító kérdések tekintetében (például alapelvek, jogalapok).

Jelen állás szerint az osztrák jogalkotó olyan szabályt kíván elfogadni, amely alapján az hatóságnak külön tekintetbe kell vennie a KKV jelleget és a KKV-k első alkalommal megállapított adatvédelmi jogsértés esetén nem bírságolhatók kisebb súlyú jogsértés elkövetése esetén.

6. Mit tehet a magyar jogalkotó a KKV-k segítése érdekében?

Álláspontom szerint az alábbiakra lehetőség van a GDPR alapján és megnyugtató lehetne az érintett adatkezelők és adatfeldolgozók számára:

(i) a közfeladatot ellátó szervek esetében kívánatos lehet egy olyan magyar szabály elfogadása, amely szerint (a) a közfeladatot ellátó szervek első alkalommal elkövetett jogsértés esetében nem bírságolhatók, kivéve, ha súlyos jogsértésről van szó, továbbá (b) ilyen szervek esetében a bírság összegének maximuma lényegesen alacsonyabb a GDPR-ban szereplő összegnél;

(ii) a KKV első alkalommal megállapított adatvédelmi jogsértés esetében nem bírságolható, kivéve, ha súlyos adatvédelmi jogsértést követett el. Ezen cél elérése érdekében a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 12/A.§ (2) bekezdésének módosítása és egy (3) bekezdéssel történő kiegészítése szükséges lenne.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Will the GDPR be enforced from 25 May?

The GDPR became effective on 25 May 2016 and there has been a two-year period for the entities to prepare for the new set of rules and bring their data processing practices in line with the new regime. EU Member States have equivalently had two years to pass the laws needed to enforce the provisions of the GDPR.

In this blog post, I will briefly address the situation when a Member State fails to adopt the national “implementation laws”, from a legal perspective. It is worth noting that even though the GDPR is a regulation which does not need to be transposed into national law as it is directly effective and applicable across the EU, Member States are still required to bring their laws in line with the GDPR and appoint an authority that will be in charge of the enforcement of the regulation, thus, each Member State has to pass laws with respect to the new rules.

So far, it seems that only a few out of the 28 Member States have passed their "implementation laws". Austria, Belgium, Germany and Slovakia passed their “implementation laws”. Hungary along with other Member States will likely have their laws passed during the course of the Summer.

From a legal perspective, it is fair to say that if a Member State fails to pass the "implementation laws" by 25 May, it is a violation of EU law since all Member States are required to pass the relevant laws necessary to enforce the GDPR. In principle, an EU infringement procedure may be initiated against Member States that have failed to adapt their laws in time. At the same time, it is worth noting that no matter if a Member State has passed its "implementation laws" or not, the GDPR will be applicable from 25 May. The fact is, however, that in the absence of national laws appointing an authority to enforce the regulation, there will be no national authority to enforce the GDPR in that specific country.

Importantly though, this does not mean that companies are relieved of their duty to prepare for the new rules since the regulation applies from 25 May and, furthermore, once the authority gets appointed, that authority will have the power to enforce the GDPR and check compliance retroactively. Preparation is, thus, of utmost importance to all those affected.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Most akkor alkalmazandó az EU adatvédelmi rendelete május 25-től?

Az EU adatvédelmi rendelete (GDPR) 2016. május 25-én lépett hatályba és két éve volt az adatkezelőknek és adatfeldolgozóknak arra, hogy felkészüljenek az új szabályokra és összhangba hozzák adatkezeléseiket az új rezsimmel. Az EU tagállamainak ugyancsak két éve volt arra, hogy megalkossák és elfogadják a GDPR végrehajtásához szükséges jogszabályokat.

Ebben az blog bejegyzésben röviden azt járom körül, hogy milyen jogi megítélés alá esik az, ha egy tagállam nem fogadja el időben az „átültető jogszabályokat”. Érdemes megjegyezni, hogy jóllehet a GDPR rendelet lévén nem igényel átültetést a tagállami jogba, mivel az közvetlenül hatályos és alkalmazandó az egész EU-ban, a tagállamok ettől még kötelesek összhangba hozni a jogukat a GDPR rendelkezéseivel és kijelölni azt a hatóságot, amelynek feladata lesz a rendelet végrehajtása és betartatása. Így a tagállamok kötelesek jogot alkotni a rendeletre való tekintettel.

A 28 tagállamból eddig csupán néhány tagállam fogadott el “átültető jogszabályt”. Ausztria, Belgium, Németország és Szlovákia elfogadták a saját átültető jogszabályukat. Magyarország számos más tagállammal minden bizonnyal idén nyáron fogja elfogadni a szükséges tagállami jogszabályokat.

Jogi szempontból nézve, amennyiben egy tagállam nem fogadja el az „átültető jogszabályokat” május 25-ig, akkor megsérti az EU jogot, mivel a tagállamok kötelesek időben meghozni a GDPR végrehajtásához szükséges jogszabályokat. Elvben, EU-s kötelezettségszegési eljárás indítható azon tagállamokkal szemben, amelyek időben nem fogadták el a GDPR-t „átültető jogszabályt”. Egyidejűleg, érdemes megjegyezni, hogy függetlenül attól, hogy az adott tagállam elfogadott-e „átültető jogszabályt” vagy sem, a GDPR május 25-től alkalmazandó. Tény azonban, hogy amennyiben egy tagállam nem jelöl ki hatóságot a rendelet végrehajtására, akkor nem lesz az adott tagállamban hatóság, amely kikényszerítheti a GDPR-ban foglaltakat.

Fontos azonban hangsúlyozni, hogy mindez nem jelenti azt, hogy az adatkezelők és adatfeldolgozók ne lennének kötelesek felkészülni az új szabályokra, mivel a rendelet május 25-től alkalmazandó és mihelyst kijelöli a jogalkotó a hatóságot, a hatóság képes lesz a GDPR-ban foglaltak visszamenőleges kikényszerítésére, a megfelelés ellenőrzésére. A felkészülés tehát elengedhetetlen.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Profiling and automated decision-making

The GDPR introduces the notion of profiling and automated decision-making and contains specific rules on these legal concepts.

The Article 29 Data Protection Working Party (WP29) issued guidelines on automated individual decision-making and profiling on 3 October 2017 (WP251). They were then revised on 6 February 2018 (the “Guidelines”) and seek to interpret the respective provisions of the GDPR (Article 4 clause 4 and Article 22).

1. What is profiling?

Under the GDPR, profiling “means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.”

It is worth stressing that for a data processing activity to qualify as profiling, it does not necessarily have to be based solely on automated processing. It will constitute profiling so long as some form of automated processing is involved, and the fact that there is human involvement does not necessarily bring the activity outside scope of the definition.

As the Guidelines put it,

“profiling means gathering information about an individual (or group of individuals) and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about, for example, their:

- ability to perform a task;

- interests; or

- likely behaviour.”

2. Does profiling always include automated decision-making?

No. Profiling may – but doesn’t have to – include automated decision-making. For example, if an insurance broker collects personal data, develops profiles, and places the individuals into certain categories, and then sells the information to insurance companies, the broker carries out profiling but makes no automated decisions.

There are three types of profiling:

(i) general profiling;

(ii) profiling on which a decision is based; and

(iii) profiling which is part of a solely automated decision-making process, i.e. a decision-making process that is without any meaningful human involvement (since an algorithm makes the decision).

3. What is automated decision-making?

Solely automated decision-making is the ability to make decisions by technological means, i.e. without human involvement.

There can also be decisions that are not solely automated. This is the case when there is meaningful human involvement in the decision-making process.

4. Does automated decision-making always include profiling?

No. Automated decisions can be made with or without profiling. For example, as the Guidelines say: “[i]mposing speeding fines purely on the basis of evidence from speed cameras is an automated decision-making process that does not necessarily involve profiling.”

Of course, decisions that are not solely automated might also include profiling. The example made in the Guidelines is that a bank may carry out credit scoring with meaningful human involvement when assessing if the person applying for a credit facility may actually get the loan.

5. Is there a difference between “based solely on automated decision-making” and “based on automated decision-making”?

Yes. Please see question 3 above.

6. What do I have to pay specific attention to when it comes to profiling and/or automated decision-making?

(i) The basic principles as referred to in Article 5 of the GDPR apply to all profiling and automated decision making (i.e. even if Article 22 of the GDPR does not apply because the decision is not based solely on automated processing). Thus, entities engaged in profiling and/or automated decision-making have to make sure that their data processing activities are lawful, fair & transparent, and that they respect the principles of purpose limitation, data minimization, accuracy and storage limitation.

(ii) In addition, entities carrying out profiling and/or making automated decisions have to demonstrate a valid legal basis for their processing as referred to in Article 6 of the GDPR (consent of the data subject, performance of a contract with the data subject, compliance with a legal obligation of the controller, protection of vital interests of the data subject, public interest or legitimate interest of the controller or of a third party).

It is essential to determine if any one of the legal bases listed above may be applied. In case of an investigation, the controller has to prove that a proper legal basis was applied.

(iii) Furthermore, it is worth noting that the data subject may exercise his/her rights in connection with profiling / automated decision-making, as enlisted in Articles 15-21 of the GDPR. This includes the right to be informed, the right of access, the right to rectification, the right to erasure, the right to restriction of processing, and the right to object. If the decision making is not solely automated, Article 22 of the GDPR does not apply.

7. What do I have to pay specific attention to when it comes to solely automated decision-making (with or without profiling)?

According to Article 22 (1) of the GDPR, “the data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.”

Under the GDPR, controllers are required to specifically provide information on solely automated decision-making as referred to in paragraph (i) above, namely, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

Also, the GDPR provides that the data subject has the right of access and right to obtain meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

8. Is the prohibition as per Article 22 (1) of the GDPR an absolute prohibition?

No. The prohibition (or right of the data subject) does not apply if the decision:

“(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;

(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or

(c) is based on the data subject's explicit consent.”

In the cases referred to in points (a) and (c) above, the data controller has to implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right (i) to obtain human intervention on the part of the controller, (ii) to express his or her point of view, and (iii) to contest the decision.

9. Can solely automated decisions be made towards children?

The wording of Article 22 of the GDPR applies to both adults and children (as it makes no distinction between them). However, Recital (71) states that children should not be subject to solely automated decision-making. Taking this into account, the WP29 recommends that controllers should not use such decision-making / profiling (with legal or similarly significant effects) with respect to children unless such decision-making is necessary to protect the welfare of children. In this case, processing may be carried out based on the exceptions, as appropriate, mentioned in question 8 above.

10. How does the data protection impact assessment (DPIA) relate to profiling and automated decision-making?

The Guidelines suggest that a DPIA may have to be prepared not only when it comes to decision-making based solely on automated processing (with or without profiling) but even if the decision is based only partly rather than “solely” on automated processing. This means that a DPIA may have to be prepared also in the event of decision-making that is not wholly automated.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Profilalkotás és automatizált döntéshozatal

A GDPR bevezeti a profilalkotás és az automatizált döntéshozatal fogalmát és speciális szabályokat tartalmaz azokra vonatkozóan.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az automatizált döntéshozatalról és a profilalkotásról (WP251), amelyet 2018. február 6-án felülvizsgált („Iránymutatás”), és amely a GDPR vonatkozó rendelkezéseinek (4. cikk 4. pontja és a 22. cikk) értelmezéséről szól.

1. Mi a profilalkotás?

A GDPR értelmében a profilalkotás „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.”

Fontos megjegyezni azt, hogy ahhoz, hogy egy adatkezelési tevékenység profilalkotásnak minősüljön, nem kell szükségképpen kizárólag automatizált adatkezelésen alapulnia. A profilalkotás mindig magában foglal bizonyos formájú automatizált adatkezelést. Egyidejűleg, az emberi beavatkozás nem szükségképpen jelenti azt, hogy ne lehetne szó profilalkotásról, azaz az emberi beavatkozás nem szükségképpen veszi ki az adatkezelést a profilalkotás fogalmi meghatározása alól.

Az Iránymutatás szerint

„a profilalkotás az egyénre (vagy egyének csoportjára) vonatkozó információ gyűjtését és a személyek jellemzőinek vagy viselkedésének abból a célból történő értékelését jelenti, hogy őket bizonyos kategóriába vagy csoportba sorolják, különösen, hogy például

- egy feladat teljesítésére vonatkozó képességüket,

- érdeklődésüket vagy

- valószínűsíthető viselkedésüket

elemezzék és/vagy azokból előrejelzéseket készítsenek.”

2. A profilalkotás mindig magában foglal automatizált döntéshozatalt?

Nem. A profilalkotás magában foglalhat automatizált döntéshozatalt, azonban ez nem szükségképpen van így. Például, ha egy biztosítási ügynök személyes adatokat gyűjt, profilokat alkot és az egyéneket bizonyos kategóriákba sorolja és értékesíti ezen információkat biztosítóknak, akkor az ügynök profilalkotást végez, de nincs szó automatizált döntéshozatalról.

A profilalkotásnak három formája van:

(i) általános profilalkotás;

(ii) profilalkotás, amelyre döntést alapítanak és

(iii) profilalkotás, amely egy kizárólag automatizált adatkezelésen alapuló döntéshozatal része, azaz egy olyan döntéshozatal része, amely valódi emberi beavatkozás nélküli (mivel egy algoritmus hozza meg a döntést).

3. Mi az automatizált döntéshozatal?

A kizárólag automatizált döntéshozatal az arra való képességet jelenti, hogy a döntéshozatalra technológiai eszközökkel, emberi beavatkozás nélkül kerül sor.

Vannak olyan döntések is, amelyeket nem teljesen automatizált módon hoznak meg. Ez abban az esetben van így, ha van valódi emberi beavatkozás a döntéshozatal során.

4. Az automatizált döntéshozatal mindig magában foglal profilalkotást?

Nem. Automatizált döntéshozatalra sor kerülhet profilalkotással vagy anélkül. Az Iránymutatásban szereplő példa alapján „gyorshajtási bírság kizárólag kamerafelvételek alapján történő kiszabása olyan automatizált döntéshozatalt jelent, amely nem feltétlen foglal magában profilalkotást.”

Természetesen, a nem kizárólag automatizált adatkezelésen alapuló döntéshozatal is magában foglalhat profilalkotást. Az Iránymutatás azt a példát hozza, amikor a bank hitelképesség bírálatot végez valódi emberi beavatkozással annak megítéléséhez, hogy a hitelt felvenni szándékozó megkaphatja-e a kölcsönt.

5. Van különbség a “kizárólag automatizált adatkezelésen” és az “automatizált adatkezelésen” között?

Igen. Ld. fenti 3. kérdést.

6. Mire kell figyelni, ha profilalkotásról és/vagy automatizált döntéshozatalról van szó?

(i) A GDPR 5. cikke szerinti alapelvek valamennyi profilalkotásra és automatizált döntéshozatalra vonatkoznak (abban az esetben is, ha a GDPR 22. cikke nem alkalmazandó, mert a döntés nem kizárólag automatizált adatkezelésen alapul). Így, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek meggyőződni arról, hogy az adatkezelési tevékenységeik jogszerűek, tisztességesek és átláthatóak és tiszteletben tartják a célhoz kötöttség, az adattakarékosság, a pontosság és a korlátozott tárolhatóság elvét.

(ii) Úgyszintén, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek megfelelő jogalappal rendelkezni az adatkezelések tekintetében a GDPR 6. cikkében foglaltak szerint (az érintett hozzájárulása, az érintettel kötött szerződés teljesítése, az adatkezelő jogi kötelezettségének teljesítése, az érintett létfontosságú érdeke, közérdek, az adatkezelő vagy harmadik fél jogos érdeke).

Nagyon lényeges, hogy a fenti jogalapok közül azonosítsuk azt, amelyik alkalmazandó lehet. Vizsgálat esetében az adatkezelő köteles igazolni azt, hogy a megfelelő jogalapot használta.

(iii) Fontos továbbá, hogy az érintettek gyakorolhatják a jogaikat a profilalkotással és/vagy automatizált döntéshozatallal kapcsolatban a GDPR 15-21. cikkeiben foglaltak alapján. Ez jelenti a tájékoztatáshoz való jogot, a hozzáférési jogot, a helyesbítés és törlés jogát, az adatkezelés korlátozásához való jogot és a tiltakozás jogát. Ha a döntéshozatal nem kizárólag automatizált adatkezelésen alapul, a GDPR 22. cikke nem alkalmazandó.

7. Mire kell figyelni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül)?

A GDPR 22. cikk (1) bekezdése szerint “az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.”

A GDPR alapján az adatkezelők kötelesek tájékoztatást adni a kizárólag automatizált adatkezelésen alapuló döntéshozatalról, nevezetesen az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel jár.

A GDPR szerint az érintettnek joga van ahhoz, hogy tájékoztatást kapjon az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

8. A GDPR 22. cikk (1) bekezdésében szereplő tilalom abszolút tilalom?

Nem. A tilalom (ami egyben az érintett joga) nem alkalmazandó, ha a döntés:

„a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c) az érintett kifejezett hozzájárulásán alapul.”

A fenti a) és c) pontban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy (i) az adatkezelő részéről emberi beavatkozást kérjen, (ii) álláspontját kifejezze, és (iii) a döntéssel szemben kifogást nyújtson be.

9. Gyermekek esetében alkalmazható a kizárólag automatizált döntéshozatal?

A GDPR 22. cikke alapján úgy tűnik, hogy az mind felnőttekre, mind gyermekekre alkalmazandó (mivel nem tesz különbséget közöttük). Azonban a (71) preambulumbekezdés szerint a kizárólag automatizált adatkezelésen alapuló döntéshozatal gyermekekre nem vonatkozhat. Mindezt figyelembe véve, a WP29 azt javasolja az adatkezelőknek, hogy ne alkalmazzanak ilyen (a gyermekekre joghatással járó vagy őket hasonlóképpen jelentős mértékben érintő) döntéshozatalt / profilalkotást, kivéve, ha az ilyen döntéshozatal a gyermekek jogainak (épségének) megóvása érdekében szükséges. Ilyen esetben az adatkezelés a fenti 8. kérdésben megnevezett megfelelő kivétel alapján végezhető.

10. Hogyan viszonyul az adatvédelmi hatásvizsgálat a profilalkotáshoz és az automatizált döntéshozatalhoz?

Az Iránymutatás alapján adatvédelmi hatásvizsgálatot nem csak abban az esetben lehet szükséges készíteni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül), hanem abban az esetben is, ha a döntés automatizált adatkezelésen alapul ugyan, de nem „kizárólag automatizált adatkezelésen alapul.” Ez azt jelenti, hogy szükséges lehet adatvédelmi hatásvizsgálatot készíteni akkor is, ha a döntéshozatal nem teljesen automatizált.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Possible legal bases for data processing under the GDPR

The GDPR contains all the possible bases for data processing activities. Article 6 of the GDPR contains six possible legal bases for processing personal data other than those belonging to the special categories of personal data (e.g. health, biometric or genetic data).

The Article 29 Data Protection Working Party (WP29) issued guidelines on consent on 28 November 2017 (WP259). A Q&A on the legal bases follows below.

1. What are the possible legal bases which may serve as grounds for processing personal data?

Under the GDPR, the possible legal bases which may apply are different in case of personal data and, respectively, special categories of personal data.

The possible legal grounds for processing personal data are as follows (Article 6):

a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

c) processing is necessary for compliance with a legal obligation to which the controller is subject;

d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Article 9 of the GDPR, contains the possible legal grounds for the processing of special categories of data (e.g. personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, biometric data, data concerning health or data concerning a natural person's sex life or sexual orientation).

2. May consent be used as legal basis for processing personal data within an employment context?

Under the settled practice of the Hungarian data protection authority and the WP29, consent may only serve as legal basis for processing in exceptional circumstances due to the dependency in an employment relationship. This is because consent may, by definition, not be voluntary (freely given) in an employment context. Consent can only rarely serve as legal basis in an employment relationship, and only when it is evident that the employee would purely “benefit” from the data processing in question and not be subject to sanctions for refusing to consent. In the authority's example, if the employer organizes a running contest for the employees and asks for the T-shirt size of the employees (which is personal data), then consent may serve as a valid legal basis for data processing.

In an employment context, instead of consent, typically, the performance of the employment agreement (e.g. payment of wage), the compliance with a legal obligation of the employer (e.g. taxation and accounting obligations), or the legitimate interest of the employer (e.g. use of CCTV) will serve as legal basis for the processing of the personal data of the employees.

3. What if the legitimate interest of the data controller may serve as legal basis for the processing of personal data?

In such cases, a so-called balancing test has to be undertaken before processing. Under the test, the data controller has to address certain issues, e.g. is there a way to satisfy the purpose of processing without processing personal data or by way of processing less personal data; what is the exact purpose and legitimate interest of the controller; how could the data subjects argue that the processing violates their rights and freedoms; and why does the controller’s legitimate interest override the interests of the data subjects.

If the balancing test results in the conclusion that the controller’s interests indeed have priority over those of the data subjects, the controller may begin processing (following giving complete information on processing to the data subjects and informing them also of the balancing test).

By way of example, if the employer wishes to use surveillance cameras at the workplace for the purposes of protecting its assets, business secrets, and/or human life or health, the employer’s legitimate interest may serve as legal basis for the processing of personal data via the cameras. Of course, there is a number of conditions which must also be fulfilled when using such cameras.

4. Is consent generally available as a valid legal basis for processing?

No. Data controllers must be very careful when deciding which legal basis may apply to the relevant processing activity. The controller always has to be able to present a valid legal basis for processing and consent should not be regarded as a default “jolly joker” basis for processing.

5. Is it always mandatory to give information to the data subject of the processing activities or is this only required when consent serves as a legal basis for processing?

The obligation to give information is independent of the legal basis for processing, i.e. the obligation to provide the data subjects with prior information about the data processing basically always applies and is a general obligation.

6. What are the characteristics of consent?

Under the GDPR, consent of the data subject means any “freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.”

As per the WP29, “freely given” means that the data subject must be in a position to freely give or refuse to give his/her consent. In other words, consent is freely given if there was no pressure of any kind on the data subject when he/she decides on giving consent. “Specific” means that a controller that seeks consent for various different purposes should provide a separate opt-in for each purpose, to allow users to give specific consent for specific purposes. “Informed” means that prior information must duly be given when asking for consent.

It is worth noting that when it comes to a legal dispute about the lawfulness of consent, it is the data controller that must be able to demonstrate that it has duly obtained the consent.

7. Is there a difference between consent and explicit consent?

The GDPR uses the expression “explicit consent” when it comes to, for example, the processing of special categories of data (Article 9) or data transfer in the absence of adequate safeguards (Article 49).

Since a clear affirmative act is a pre-requisite for “ordinary” consent, the “ordinary” consent requirement is already raised to a higher standard. According to the WP29, “the term explicit refers to the way consent is expressed by the data subject. It means that the data subject must give an express statement of consent.” This could take the form of, for example, a written statement or a two-stage verification process in an online environment.

8. Can a consent obtained prior to 25 May 2018 be relied upon after 25 May 2018?

The preamble (171) of the GDPR provides that

“…[w]here processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation…”

According to the WP29, “controllers that currently process data on the basis of consent in compliance with national data protection law are not automatically required to completely refresh all existing consent relations…”

Controllers are required to review all consents (consent mechanisms) and assess if they are required to obtain them again. One may say that if the consents were obtained in line with Hungarian data protection laws and the requirements of the Hungarian DPA, one may come to the conclusion that controllers may not have to obtain the consents again. However, it is only future decisional practice that will show how preamble (171) will work in real life.

dr. Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatkezelés lehetséges jogalapjai a GDPR szerint

A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába (pl. egészségügyi, biometrikus vagy genetikai adatok).

A 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdezz-felelek következik.

1. Melyek az adatkezelés lehetséges jogalapjai?

A GDPR különbséget tesz jogalapok tekintetében aszerint, hogy személyes adatok vagy a személyes adatok különleges kategóriájába tartozó személyes adatok kezeléséről van-e szó.

A személyes adatok kezelésének lehetséges jogalapjai a következők (6. cikk):

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A GDPR 9. cikke a személyes adatok különleges kategóriájába tartozó személyes adatok (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, genetikai és biometrikus adatok, egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok) kezelésének jogalapjait tartalmazza.

2. A hozzájárulás szolgálhat-e az adatkezelés jogalapjául munkaviszony keretében végzett adatkezeléshez?

A magyar adatvédelmi hatóság és az EU adatvédelmi munkacsoportja következetes gyakorlata alapján a hozzájárulás a munkaviszony függelmi jellege miatt az esetek döntő többségében nem lehet az adatkezelés jogalapja, mivel a hozzájárulás munkaviszonyban fogalmilag nem lehet önkéntes. Hozzájárulásra, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány a hozzájárulás megtagadása esetén. A hatóság azt a példát hozza, amikor a munkáltató futóversenyt szervez a munkavállalóknak és ennek érdekében kezeli a munkavállalók pólóméretét, mint személyes adatot. Ebben az esetben a hozzájárulás lehet megfelelő jogalap.

Munkaviszony esetében hozzájárulás helyett jellemzően a szerződés teljesítése (pl. munkabér fizetése), a munkáltató jogi kötelezettségének teljesítése (pl. adózási és számviteli kötelezettségek), illetve a munkáltató jogos érdeke (pl. munkahelyi kamera rendszer használata) szolgálhat a munkavállalói adatok kezelésének jogalapjául.

3. Mi a helyzet akkor, ha az adatkezelő jogos érdeke szolgálhat az adatkezelés jogalapjául?

Ebben az esetben az adatkezelés megkezdése előtt el kell készíteni egy ún. érdekmérlegelési tesztet. A tesztben az adatkezelőnek bizonyos kérdéseket elemeznie kell, például, el lehet-e érni az adatkezelés célját személyes adatok kezelés nélkül vagy kevesebb személyes adatok kezelésével, mi az adatkezelő pontos célja és érdeke, mit hozhatnak fel az érintettek az adatkezeléssel szemben jogaik és szabadságaik védelmében, miért előzi meg az adatkezelő jogos érdeke az érintettek érdekeit.

Amennyiben a tesztben megállapítást nyer, hogy az adatkezelő jogos érdekei megelőzik az érintettek érdekeit, akkor megkezdhető az adatkezelés (azt követően, hogy teljes körűen tájékoztatták az érintetteket az adatkezelésről és az érdekmérlegelési tesztről).

Például, ha a munkáltató munkahelyi kamera rendszert kíván használni vagyonvédelem, üzleti titok védelme és/vagy az emberi élet és egészség védelme érdekében, akkor a munkáltató jogos érdeke szolgálhat a kamerán keresztüli adatkezelés jogalapjául. Természetesen, számos egyéb feltételt is teljesíteni kell kamerák használata esetén.

4. A hozzájárulás általánosan használható adatkezelési jogalap?

Nem. Nagyon körültekintőnek kell lenni annak eldöntésekor, hogy melyik jogalap szolgálhat az adott adatkezelés jogalapjaként. Minden esetben kell lennie egy érvényes jogalapnak és a hozzájárulás nem tekinthető “jolly joker” jogalapként.

5. Minden esetben kötelező az adatkezelési tájékoztatás megadása vagy csak akkor, ha a hozzájárulás szolgál az adatkezelés jogalapjául?

A tájékoztatási kötelezettség független az adatkezelés jogalapjától, azaz az érintettek tájékoztatása lényegében minden esetben kötelező, egy általános kötelezettség.

6. Melyek a hozzájárulás fogalmi elemei?

A GDPR értelmében a hozzájárulás „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A WP29 szerint az „önkéntes” azt jelenti, hogy az érintettnek olyan helyzetben kell lennie, hogy szabadon dönthessen a beleegyezés megadásáról vagy annak megtagadásáról. Más szóval, a hozzájárulás akkor önkéntes, ha az érintett bármilyen külső nyomás nélkül tudott dönteni a hozzájárulás megadásáról. A „konkrét” azt jelenti, hogy a különböző célokhoz hozzájárulást beszerezni kívánó adatkezelőnek az egyes adatkezelési célok tekintetében külön-külön kell beszereznie a hozzájárulást, ezáltal téve lehetővé azt, hogy az érintett külön-külön adhassa meg a hozzájárulást. A „tájékoztatáson alapuló” azt jelenti, hogy megfelelő módon előzetes tájékoztatást kell adni a hozzájárulás kérésekor.

Amennyiben vita merül fel a hozzájárulás jogszerűségével kapcsolatban, akkor az adatkezelő köteles bizonyítani azt, hogy megfelelően szerezte be a hozzájárulást.

7. Van különbség a hozzájárulás és a kifejezett hozzájárulás között?

A GDPR a “kifejezett hozzájárulás” kifejezést használja például akkor, amikor személyes adatok különleges kategóriáinak kezeléséről (9. cikk) vagy az adatok megfelelő szintű védelme hiányában történő adattovábbításról rendelkezik (49. cikk).

Tekintettel arra, hogy a „normál” hozzájárulás esetében megkövetelt a megerősítést félreérthetetlenül kifejező cselekedet, lényegében a „normál” hozzájárulás esetében is megkövetelt az, hogy a hozzájárulás kifejezett legyen. A WP29 szerint „a kifejezett fordulat arra utal, ahogyan az érintett kifejezi a hozzájárulását. Ez azt jelenti, hogy az érintett a hozzájárulást kifejező nyilatkozatot kell, hogy adjon.” Ez megvalósulhat például, akár írásbeli nyilatkozattal vagy egy kétlépcsős megerősítési folyamat révén online környezetben.

8. A 2018. május 25-e előtt beszerzett hozzájárulás használható jogalapként 2018. május 25-e után?

A GDPR (171) preambulumbekezdése szerint

„…[h]a az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett az e rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő e rendelet alkalmazási időpontját követően is folytathassa az adatkezelést…”

A WP29 szerint „az adatkezelők, amelyek jelenleg a tagállami jognak megfelelően kezelnek személyes adatokat hozzájárulás alapján, nem automatikusan kötelesek valamennyi meglévő hozzájárulás újból történő, teljes körű beszerzésére…”

Az adatkezelők kötelesek valamennyi hozzájárulás (hozzájárulási mechanizmus) átvizsgálására és annak elemzésére, hogy kötelesek-e újra beszerezni a hozzájárulást. Amennyiben a hozzájárulásokat a magyar adatvédelmi szabályoknak és a hatóság követelményeinek megfelelően szerezték be, akkor emberi számítás szerint jó eséllyel juthatunk arra a következtetésre, hogy nem kell azokat újra beszerezni. Megjegyzem azonban, hogy a (171) preambulumbekezdés élesben történő működésével kapcsolatban csak a gyakorlat adhat majd eligazítást.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.