Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek Az adatkezelő és az adatfeldolgozó kötelezettségeire vonatkozó részéből olvashatnak egy részletet.
8.1. Általános kötelezettségek
A GDPR az adatkezelő fogalmában jelentős változást nem hozott, továbbra is az adatkezelő maradt az elsőszámú felelős az adatkezelés jogszerűségéért. Ugyanakkor az elszámoltathatóság alapelvével egy új koncepciót vezetett be az adatvédelmi szabályozásba, amely alapvetően az adatkezelő elsőszámú kötelezettségévé tette a GDPR-nak való megfelelés biztosítását, és ennek dokumentálását, igazolását. Ennek elérése érdekében az adatkezelő kötelezettsége az adatkezelés kockázatához mérten megfelelő és naprakész technikai és szervezési intézkedések elfogadása a GDPR-nak történő megfelelés biztosítására és ennek bizonyítására. Összefoglalva ez azt jelenti, hogy az adatkezelőnek az általános gyakorlata részévé kell tennie az adatvédelmi szabályok betartását, és minden tevékenysége során figyelemmel kell lennie arra, hogy az adott tevékenység mennyire felel meg az adatvédelmi előírásoknak, valamint ezt dokumentálnia kell, hogy szükség esetén a felügyeleti hatóság vagy az érintett kérésére bizonyíthassa, hogy az adatkezelés kialakítása és elvégzése során minden, a kockázatok alapján elvárható intézkedést megtett az adatvédelmi előírások megtartására, az adatvédelmi jogok biztosítására. Az elszámoltathatóság követelménye valamennyi adatkezelői kötelezettség eredője [GDPR (85) preambulumbekezdés; GDPR 5. cikk (2) bekezdés és 24. cikk; → 5.7.].
Az elszámoltathatóság általános kötelezettsége számos további, a GDPR-ban nevesített kötelezettséghez kapcsolódik. Ezeket a kötelezettségeket az alábbiakban röviden említjük meg, utalva arra a fejezetre, ahol a kötelezettség tartalma részletesen is kifejtésre került. A kötelezettségek áttekintésében elsősorban egy adatkezelés életútja szerint próbálunk haladni, másodsorban a GDPR által alkalmazott sorrendet követjük.
Az adatkezelőnek a beépített és alapértelmezett adatvédelem alapján egyrészről már az adatkezelés tervezésekor kötelezettsége figyelembe venni az adatvédelmi megfontolásokat; tehát, ha egy adatkezelés során az adatkezelés folyamatába egy adatkezelési műveletet segítő vagy végrehajtó alkalmazást, szolgáltatást vagy terméket kiválasztanak, felhasználnak, kifejlesztenek, akkor figyelemmel kell lenniük arra, hogy az adott alkalmazás, szolgáltatás vagy termék mennyire felel meg az adatvédelmi előírásoknak. Másrészről az adatkezelés folyamatába olyan intézkedéseket, garanciákat kell beleépítenie, amelyek az adatvédelmi alapelveknek való megfelelést, illetve az érintetti jogok gyakorlását elősegítik. Összefoglalva tehát a GDPR az adatkezelők általános kötelezettségévé teszi, hogy személyes adatok kezelése esetén az adatvédelem ne egy utólagosan alkalmazott elvárás, hanem inkább a tervezés és a megvalósítás központi eleme legyen. Bár részletes előírásokat a GDPR ezzel kapcsolatosan nem tartalmaz, de a beépített és alapértelmezett adatvédelem elve így is szignifikáns hatást gyakorol az adatkezelők kötelezettségeire, hiszen ezáltal az adatkezelőnek magánszférabarát megoldásokat kell az alkalmazásaiba, szolgáltatásaiba, illetve termékeibe „égetnie”, illetve minden esetben az adatvédelmi szempontból legmegfelelőbb megoldást kell választania. A beépített és alapértelmezett adatvédelemről az Európai Adatvédelmi Testület is kibocsátott egy iránymutatást, amelyben példákon keresztül szemlélteti az ehhez a témakörhöz kapcsolódó jó gyakorlatokat (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default,) [GDPR (78) preambulumbekezdés; GDPR 25. cikk].
Ugyancsak az adatkezelés megkezdése előtti adatkezelői kötelezettség közös adatkezelők esetén az egyes adatkezelők hatásköreinek és felelősségének a tisztázása. A GDPR értelmében a közös adatkezelőknek transzparens módon egy megállapodásban kell rögzíteniük, hogy melyik adatkezelő miért felelős a GDPR végrehajtása során, különösen az érintetti jogok gyakorlása, illetve az érintettek tájékoztatása tekintetében, illetve ennek a megállapodásnak a lényegét az érintettekkel is meg kell ismertetniük [GDPR (79) preambulumbekezdés; GDPR 26. cikk; → 4.7.].
Hasonló adatkezelői kötelezettség akár az adatkezelés megkezdése előtt, akár már az adatkezelés folyamán az adatfeldolgozók tekintetében is fennáll. Egyrészről az adatkezelő csak olyan adatfeldolgozót vehet igénybe, amely megfelelő garanciát nyújt arra, hogy biztosítani tudja a GDPR-nak megfelelő működést, másrészről az adatkezelő kötelezettsége, hogy az adatkezelés és a megfelelést elősegítő intézkedések részleteit az adatfeldolgozóval kötött szerződésben vagy más jogi aktusban szabályozza [GDPR (81) preambulumbekezdés; GDPR 28. cikk; → 4.8.].
Ugyancsak az adatkezelés megkezdése előtti adatkezelői kötelezettség, hogy a GDPR 3. cikk (2) bekezdése szerinti, az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók kötelesek írásban uniós képviselőt kijelölni [GDPR (80) preambulumbekezdés; GDPR 27. cikk].
A fentebb említett elszámoltathatóság elvéből következő kötelezettség, hogy az adatkezelő a GDPR II. és III. fejezetében szereplő valamennyi előírásnak megfeleljen, és ezt bizonyítani tudja. Ugyanakkor az adatkezelők kötelezettségeinek általános áttekintésekor mindenképpen külön érdemes kiemelni a GDPR 12. cikkének történő megfelelést, mert a gyakorlati tapasztalatok alapján az adatkezelői jogsértések jelentős része ennek a kötelezettségnek az elmulasztásához kapcsolódik. Tehát az adatkezelőnek érdemes külön figyelmet fordítania arra, hogy megfelelő intézkedéseket hozzon annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15-22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtson (GDPR 12. cikk).
Az adatkezelő számára jelentős kötelezettséget vezet be a GDPR 30. cikke, amely előírja az adatkezelési tevékenységek nyilvántartását. A GDPR a korábbi hazai szabályozást is figyelembe véve eltörli az adatvédelmi hatóság adatkezelési nyilvántartását, így megszünteti az adatkezelő kötelezettségét, hogy az adatvédelmi hatóság felé az adatkezelését bejelentse, és azt a hatóság nyilvántartásba vegye. Ugyanakkor a GDPR általánosságban előírja, hogy valamennyi adatkezelőnek, illetve azok képviselőinek az adatkezelési tevékenységeiről nyilvántartást kell vezetnie, amely tartalmazza az adatkezelő – illetve, ha van -, az adatkezelő képviselőjének, illetve az adatvédelmi tisztviselőjének a nevét és elérhetőségét, továbbá az adatkezelés célját, az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetését. Ez utóbbinál megemlítendő, hogy természetesen az adatkezelés bonyolultságától függ az érintettek és a kezelt személyes adatok körének a felsorolása. Egyszerű adatkezelések során az adatkezelő kimerítően is felsorolhatja az érintetteket, illetve a kezelt személyes adatok körét, bonyolult adatkezelések során ez a nyilvántartást áttekinthetetlenné tenné, ezért ezekben az esetekben elegendő ezek kategóriáit felsorolni. A kategóriák meghatározásánál azonban figyelemmel kell lenni az átláthatóság alapelvére, tehát olyan kategóriákat kell használni, amelyek alapján az érintett, vagy a felügyeleti hatóság könnyen betekintést nyer az adatkezelés körülményeibe. A nyilvántartásnak a fentieken túl tartalmaznia kell azoknak a címzetteknek a kategóriáit, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket, illetve ez utóbbi esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információkat és garanciákat. Továbbá, ha lehetséges, akkor a nyilvántartásnak tartalmaznia kell a megőrzési határidőket, illetve az adatbiztonsági intézkedések általános leírását.
Hasonló tartalommal az adatfeldolgozónak, illetve az adatfeldolgozó képviselőjének is nyilvántartást kell vezetnie az adatkezelő nevében végzett adatkezelői tevékenységekről. Természetesen tekintettel arra, hogy az adatfeldolgozó nem határozhatja meg az adatkezelés célját, illetve a kezelt személyes adatok és az érintettek körét, ezért ezek a kategóriák az adatfeldolgozó nyilvántartásának nem kötelező elemei.
Az adatkezelési tevékenységek nyilvántartását írásban kell vezetni, ideértve az elektronikus formátumot is. Természetesen a nyilvántartás kiterjedt tevékenységet folytató, számos adatkezelést végző adatkezelők esetében egy nyilvántartási rendszer részeként is megvalósítható, illetve ilyen adatkezelők esetén érdemes a nyilvántartást összekötni az adatvédelmi incidensek nyilvántartásával. A nyilvántartás gyakorlati megvalósítási formájára a GDPR nem ad iránymutatást, azt teljes egészében az adatkezelőre bízza.
Bizonyos esetekben az adatkezelőnek nem kell ilyen nyilvántartást vezetni, de a GDPR a kivételeket olyan szűken szabta meg, hogy ez kevés esetben jelent mentességet a nyilvántartás vezetése alól. Tekintettel arra, hogy csak az az adatkezelő mentesül, amely 250 főnél kevesebb személyt foglalkoztat, az adatkezelése valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve, az adatkezelése alkalmi jellegű, és az adatkezelés nem érint különleges adatokat vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat.
A nyilvántartás deklarált célja, hogy a felügyeleti hatóság hatáskörei gyakorlása gyors áttekintést kapjon az adatkezelésről, ennek megfelelően az adatkezelőnek, az adatfeldolgozónak vagy ezek képviselőinek a nyilvántartást a felügyeleti hatóság kérésére át kell adnia [GDPR (82) és (89) preambulumbekezdés; GDPR 30. cikk].
A GDPR külön nevesíti az adatkezelő együttműködési kötelezettségét a felügyeleti hatósággal, amely kötelezettség az eljárási szabályokból egyébiránt is következik [GDPR (82) preambulumbekezdés; GDPR 31. cikk].
További, az adatkezelés tervezésekor és az adatkezelés folyamán fennálló adatkezelői kötelezettség a megfelelő és naprakész adatbiztonsági technikai és szervezési intézkedések meghozatala, és végrehajtási, illetve ehhez kapcsolódóan az adatvédelmi incidensek nyilvántartása és kezelése, valamint, ha annak feltételei fennállnak, az adatvédelmi incidenseknek a felügyeleti hatósághoz történő bejelentése, illetve az érintetteknek az incidensekről történő tájékoztatása [GDPR (73), (83), (85)-(88) preambulumbekezdés; GDPR 32-34. cikk; → 8.2. és → 8.3.].
Ugyancsak fontos adatkezelői kötelezettség – ha annak feltételei fennállnak – az adatvédelmi hatásvizsgálat elvégzése. Ehhez kapcsolódó további adatkezelői kötelezettség, ha az adatkezelő az adatvédelmi hatásvizsgálatban feltárt kockázatokat nem tudja megfelelő szintre csökkenteni, a felügyeleti hatósággal folytatott előzetes konzultáció az adatkezelésről, illetve az adatkezeléshez kapcsolódó adatvédelmi hatásvizsgálatról.
Érdemes továbbá kiemelni, hogy a GDPR a magatartási kódexekkel és a tanúsítással olyan intézményeket is bevezet az adatvédelmi rezsimbe, amelyek segítséget nyújthatnak a fent felsorolt adatkezelői kötelezettségek teljesítéséhez.
