-
GDPR – mit és hogyan ellenőriz a hatóság?
Dr. Jóri Andrá[email protected]
-
I Az ombudsmantól a hatóságig
I Új lehetőségek: a jogalapok kérdése
I Az implementáció tapasztalatai
-
Az ombudsmantól a hatóságig
I Ombudsman (-2011): csak kérhetI NAIH: bírság 20 millió
forintigI GDPR: 20 milló EUR vagy a teljes éves világpiaci
forgalom 4%-aI Büntető tényállás!
-
Hatósági értelmezés – gyakran szigorúbb, mint az EU-ban
-
Személyes adat
"személyes adat": azonosított vagy azonosítható természetes
személyre (" érintett") vonatkozóbármely információ; azonosítható
az a természetes személy, aki közvetlen vagy közvetettmódon,
különösen valamely azonosító, például név, szám, helymeghatározó
adat, onlineazonosító vagy a természetes személy testi,
fiziológiai, genetikai, szellemi, gazdasági, kulturálisvagy
szociális azonosságára vonatkozó egy vagy több tényező alapján
azonosítható (Rendelet)
"személyes adat" az azonosított vagy azonosítható természetes
személyre ("érintettre")vonatkozó bármely információ; az
azonosítható személy olyan személy, aki közvetlen vagyközvetett
módon azonosítható, különösen egy azonosító számra vagy a személy
fizikai,fiziológiai, szellemi, gazdasági, kulturális vagy
társadalmi identitására vonatkozó egy vagy többtényezőre történő
utalás révén (Irányelv)
-
I Az ombudsmantól a hatóságig
I A jogalapok kérdése
I Az implementáció tapasztalatai
-
Az információs önrendelkezési jog doktrínája
I Duális jogalaprendszerI „[…] az adatalany hozzájárulásának
visszavonása megszünteti az
adatkezelés jogalapját, tehát azt meg kell szüntetni. A jog
ismeri a joggal való visszaélés, a rendeltetésszerű joggyakorlás
vagy a jóhiszeműség fogalmát, ám ezen fogalmak használata
kivételesen merülhet föl az alkotmányos jogok gyakorlásánál. […] Az
adatkezelőnek nincs mérlegelési joga a kérés teljesítését illetően,
hiszen az Avtv. alapján az érintett kérelmére törölni kell az
adatokat.”ABI 2000, 104.
-
JogalapokA személyes adatok kezelése kizárólag akkor és annyiban
jogszerű,- amennyiben legalább az alábbiak egyike teljesül:
• az érintett hozzájárulását adta személyes adatainak egy vagy
több konkrét célból történő kezeléséhez;
• az adatkezelés olyan szerződés teljesítéséhez szükséges,
amelyben az érintett az egyik fél, vagy az a szerződés megkötését
megelőzően az érintett kérésére történő lépések megtételéhez
szükséges;
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség
teljesítéséhez szükséges;
• az adatkezelés az érintett vagy egy másik természetes személy
létfontosságú érdekeinek védelme miatt szükséges;
• az adatkezelés közérdekű vagy az adatkezelőre ruházott
közhatalmi jogosítvány gyakorlásának keretében végzett feladat
végrehajtásához szükséges;
• az adatkezelés az adatkezelő vagy egy harmadik fél jogos
érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel
szemben elsőbbséget élveznek az érintett olyan érdekei vagy
alapvető jogai és szabadságai, amelyek személyes adatok védelmét
teszik szükségessé, különösen, ha az érintett gyermek.
KÜLÖNLEGES ADATOK!
-
Érdekmérlegelési tesztÉrdekmérlegelés:
1. adatkezelő jogszerű érdekének értékelése (I. Alapvető jogok
II. Szélesebb közérdek III.Egyéb jogszerű érdek IV. Érdek
kulturális/társadalmi elismertsége
2. Az érintettekre gyakorolt hatás értékelése (”hatásvizsgálat”)
során kielemelt tényezők: I.adatok jellege (biometrikus adatok!),
ideértve azok nyilvánosságát is, II. Az adatkezelésmódja
(széleskörű? Hatásai kiszámíthatók?), III. Az érintett ésszerű
elvárásai, IV. Azadatkezelő és az érintett státusza (érintett:
gyermek! beteg!)
3. ideiglenes mérlegelés (előzetes következtetéssel)
4. kiegészítő biztosítékok (pl.: mennyiségi korlátozás, azonnali
törlés, funkcionálisszétválasztás (GDPR: „álnevesítés), PETek,
beépített adatvédelem, megnövelt átláthatóság,feltétel nélküli
letiltási jog biztosítása, adathordozhatóság biztosítása)
-
Szerződés• Az adatkezelés olyan szerződés teljesítéséhez
szükséges, amelyben az érintett
az egyik fél, vagy az a szerződés megkötését megelőzően az
érintett kérésére történő lépések megtételéhez szükséges
• Szerződés megkötése előtt– ajánlatkérés a kereskedőtől (név,
cím, igényelt termék esetén)
– kalkuláció kérése biztosítótól, biztosításközvetítőtől
(gépjárműre, üzembentartóra, stb. vonatkozó adatok)
– DE: részletes háttérellenőrzés életbiztosításnál nem (WP)
– Hitelreferencia-szolgáltatás: WP szerint nem! (jogos
érdek/jogi kötelezettség
• Nemteljesítés esetén– Inkább a jogos érdeken alapulhat az
adatkezelés
-
I Az ombudsmantól a hatóságig
I A jogalapok kérdése
I Az implementáció tapasztalatai
-
Implementáció 0: Tanácsadó kiválasztása
-
Implementáció 1: Adattérkép
• Személyes adatok körének felmérése
• Új Infotv - újdonságok! (elhunyt személyek)
-
Implementáció 2: Adattisztítás
• Mi kell üzletileg?– Régen lezárt szerződések?
– Árazás?
– Különleges adatok?
• Ha tényleg kell: jogi megalapozás (jogalapok, cél,
tárolásiidő)
• Adatgazda kijelölése
-
Implementáció 3: Dokumentáció
• Szerződések (adatfeldolgozási szerződések!)
• Tájékoztatók, nyilatkozatok
• Szabályzatok (adatvédelmi szabályzat, indicensjelentés,
panaszkezelés)
• Érdekmérlegelési teszt, PIA
• Adatkezelések (belső) nyilvántartása
– ---››› elszámoltathatóság (és fenntarthatóság)
-
Mit tegyünk most?
Tanács: Ne kezeljenek személyes adatot!
(Ha kezelnek:- biztosítsák a célt- biztosítsák a jogalapot-
biztosítsák az érintett jogait- biztosítsák az adatbiztonsági
követelményeket- nevezzenek ki adatvédelmi felelőst, ha kell- ….-
És mindezt dokumentálják!)
-
Köszönöm a figyelmet!
Dr. Jóri Andrá[email protected]
