Új korszak kezdődik az adatvédelemben

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Pénteken hatályba lép az EU általános adatvédelmi rendelete (GDPR), amely minden tagállamban közvetlenül alkalmazandó lesz és alapvetően alakítja át a személyes adatok védelmét.

Cikkünkből megtudhatták, hogy a munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk.

A GDPR egyik kiemelkedő újdonsága, hogy bevezeti az adatvédelmi tisztviselő jogintézményét, amely felváltja a jelenleg hatályos ún. belső adatvédelmi felelősi pozíciót. A jogalkotói cél egy szélesebb körű feladatokkal és nagyobb felelősséggel rendelkező, független pozíció kialakítása, melynek rendeltetése a cégen belüli adatbiztonsági követelmények és az érintettek jogainak a megerősítése és minél magasabb szintű érvényesülésének biztosítása. Az adatvédelmi tisztviselőkről bővebben itt és itt olvashatnak.

A GDPR a webshopok adatkezelést is átalakítja. Ha többet szeretne tudni arról, hogy a GDPR hatálya a webshop-ok mely csoportjára terjed ki, ha az érdekli, hogy egy webshop esetében milyen módon állapítható meg, hogy az EU-ban tartózkodó magánszemélyek vajon a célközönségét képezik-e, akkor cikkünk támpontul szolgálhat a GDPR-ra való felkészüléséhez.

A GDPR bevezeti az adathordozhatósághoz való jogot, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a személyes adatai felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között. Az adathordozhatóság jogáról többet is megtudhat ebből, illetve ebből a cikkünkből.

[htmlbox gdpr_komm]

A GDPR rendelet alapján bizonyos esetekben kötelező adatvédelmi hatásvizsgálatot készíteni. Fontos megérteni, hogy a sebtében összerakott „papír” önmagában nem lesz elegendő egy ellenőrzés során, mert a hatóság minden esetben a tényleges folyamatot fogja minősíteni. A hatásvizsgálatra vonatkozó szabályokat ebből a  cikkünkből megismerheti, illetve itt is kaphat bővebb információt.

Sok esetben előfordul, hogy az érintettek nagy számára vagy a társaság folyamataira tekintettel a hozzájárulás beszerzése aránytalan teherrel jár, és a többi, a Rendeletben foglalt szigorú feltétel sem teljesül. A GDPR lehetővé ilyen esetekben lehetővé teszi az adatkezelést, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Az érdekmérlegelésről mint jogalapról cikkünkből többet is megtudhat.

A társaságok előszeretettel használják a GPS-jel követést mint felügyeleti eszközt arra vonatkozóan, hogy a munkavállaló ténylegesen feladatai ellátásával töltötte-e a munkaidejét, sőt, a megállapodással összhangban használja-e a céges autót munkaidőn túl is. A GPS jel kezelése is személyes adatkezelésnek fog minősülni a GDPR alapján és főszabály szerint a munkáltató munkaidőn kívül nem ellenőrizheti a munkavállaló tartózkodási helyét. A GPS adatok kezeléséről ebből a cikkünkből tudhat meg többet.

Kétrészes cikkünkben nem általában a GDPR jogalapjaival, hanem olyan konkrét témákkal foglalkoztunk, mint a GDPR 6. és 9. cikke közötti eltérések részletezése; emellett bemutattuk azokat a rendelkezéseket, amelyek önálló jogcímként is értékelhetők, vagy a 6. és 9. cikkben rögzített jogcímek pontosítására szolgálhatnak. Végül kísérletet tettünk annak igazolására, miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

A NAIH folymatosan jelenteti meg a GDPR értelmezésével kapcsolatos saját állásfoglalásait, illetve az EU 29-es munkacsoport iránymutatásainak magyar fordítását, amelyek elősegíthetik a GDPR értelmezését.

---