GDPR – Hordozható adatok átadása – II. rész

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR célja nem más, mint hogy egy modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk. Ennek része az adathordozhatósághoz való jog, ami bár összefügg az eddig már meglévő hozzáférési joggal, ám nem azonosítható vele. Az alábbiakban azt fejtjük ki bővebben, hogyan kell átadni a hordozható adatokat.

 

A május 25-én hatályba lépő európai adatvédelmi rendelet (GDPR, vagy Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk.

A GDPR 20. cikke bevezet egy új jogosultságot, az adathordozhatósághoz való jog tekintetében, amelynek célja, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a rá vonatkozó személyes adatok felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az Európai Unióban (EU), emellett élénkíti a versenyt az adatkezelők között.

Az adathordozhatósághoz való jog összefügg az eddig már meglévő hozzáférési joggal, azonban nem lehet azonosítani vele, hiszen számos különbséget is találunk közöttük, melyet cikksorozatunk előző részében részleteztünk. Jelen írásunkban azt fejtjük ki bővebben, hogy hogyan kell átadni a hordozható adatokat.

Az adatok átadásának pontos feltételei vannak

A Rendelet szerint az adatkezelőnek konkrét feltételeknek kell megfelelnie ahhoz, hogy az érintett kérésére lefolytatott adatátadás szabályos lehessen. A 20. cikk kimondja ugyanis, hogy nem gördíthet akadályokat az adathordozhatóság elé, vagyis az adatokat úgy kell átadnia az érintett által megválasztott másik adatkezelő számára, hogy semmilyen jogi, műszaki vagy pénzügyi akadállyal ne fékezze, vagy lassítsa az érintett vagy más adatkezelő általi hozzáférést, továbbítást vagy további felhasználást. Ilyen akadály lehet például az adatszolgáltatásért kért díj, a túlzott késedelem, vagy épp az egyedi és indokolatlan, vagy túlzó ágazati szabványosítás.

Ezen túl fontos feltétele az adatok átadásának az is, hogy az adatkezelő az adatot közvetlenül a fogadó adatkezelőnek továbbítsa, természetesen egy kivétellel: ha az nem megvalósítható technikailag, akkor mentesül e kötelezettség alól. Hiszen a Rendelet előírja azt is, hogy a fenti feltételnek való megfelelés nem teremthet olyan helyzetet az adatkezelők számára, amely egymással műszakilag kompetens rendszerek bevezetésére és fenntartására kötelezné őket. Mindemellett azonban törekedni kell arra, hogy olyan formátumban történjen a továbbítás, amely által a két rendszer közötti kommunikációra biztonságosan sor kerülhet.

A Rendelet 12. cikkének 4. bekezdése kimondja a következőt: „Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.” Ennél fogva, ha az adatkezelő bármilyen műszaki probléma okán nem képes az érintett kérésének megfelelően az adatok továbbítására, haladéktalanul tájékoztatni köteles a kérelmezőt az elmaradás indokairól.

Milyen adatformátumot vár el a Rendelet?

A Rendelet arra ösztönzi az érdekelt feleket és szakmai szervezeteket, hogy együtt dolgozzanak ki egy olyan közös együttműködésre alkalmas szabvány- és formátumkészletet, amellyel teljesíthetőek az adathordozhatósághoz való jog követelményei

Az adatvédelmi rendelet nem írja elő konkrétan, hogy milyen formátumban szükséges az adatok átadása, az elvárás csupán annyi, hogy az adatok értelmezhetőek legyenek és biztosítsák a nagyfokú adathordozhatóságot az érintett számára. A GDPR fogalmazásában személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kell biztosítani. Ezt a nem túl konkrét szabályt a 68- as számú preambulum-bekezdés pontosítja, amely kimondja, hogy e formátumnak interoperábilisnak kell lennie. Ez az idegen szó az eltérő és különböző szervezetek együttműködési képességét jelenti a kölcsönösen hasznos és kölcsönösen megállapított közös célok érdekében. A 68-as bekezdés kifejti, amire már az előzőekben utaltunk, hogy „Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn.”

Vagyis összességében a Rendelet szerint nem szükséges olyan adatformátum megteremtése, amelyhez kompatibilis rendszerek létrehozása szükséges, hanem csupán az interoperábilis, vagyis egymással együttműködésre képes rendszerek kidolgozása a cél.

Ennél fogva a Rendelet arra ösztönzi az érdekelt feleket és szakmai szervezeteket, hogy együtt dolgozzanak ki egy olyan közös együttműködésre alkalmas szabvány- és formátumkészletet, amellyel teljesíthetőek az adathordozhatósághoz való jog fenti követelményei. Ezzel a kihívással az európai interoperabilitási keret (EIF) is foglalkozott, amely elfogadott megközelítést dolgozott ki olyan szervezetek számára, amelyek közösen akarnak közszolgáltatásokat nyújtani. Alkalmazási körében a keret meghatároz egy sor közös elemet, például szójegyzéket, fogalmakat, elveket, szabályzatokat, iránymutatásokat, ajánlásokat, szabványokat, előírásokat és gyakorlatokat[1].

Az adatokat biztonságossá kell tenni

Igen nagy kihívás az adatkezelők részéről, hogy a hordozhatóság követelményének történő megfelelés mellett igyekezniük kell fokozottan ügyelni az adatok biztonságára is. Eszerint az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontja szerint garantálniuk kell, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Ennél fogva az adatkezelők számára lényeges feladat az adathordozhatósághoz kapcsolódó konkrét kockázatok értékelése és az ahhoz szükséges kockázatenyhítési intézkedések meghozatala. Ezek az enyhítési intézkedések többek között a következők lehetnek:

– ha az érintettet már hitelesíteni kell, további hitelesítési információ, például titkos biztonsági kérdés vagy más hitelesítési faktor, többek között egyszeri jelszó használata;

– a továbbítás felfüggesztése vagy zárolása, ha felmerül a gyanúja, hogy a fiók biztonságát megsértették;

– adatkezelők közötti közvetlen továbbítás esetén, felhatalmazáson alapuló hitelesítés, például tokenalapú hitelesítés használata.

[htmlbox gdpr_komm]

 

A fenti intézkedések tekintetében azonban fontos, hogy azokat úgy kell meghatározni, hogy ne legyenek akadályozó hatással a felhasználók joggyakorlására, valamint a forgalmat sem tarthatják fel további költségek előírásával.

Tekintettel arra, hogy a felhasználó személyek részére az adathordozhatósághoz való jog biztosítja az adataik online szolgáltatásból való lekérdezését, fennáll annak a veszélye, hogy nem tudják azokat olyan biztonságosan tárolni saját rendszereikben, amely szükséges a veszélyek elkerülésére. Természetesen azonban eme kockázatért már az érintett személy lesz a felelős.  

 

Olvassa el GDPR témában megjelent további cikkeinket is. 

 

Lábjegyzet:

[1] Forrás: http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf

---