Új adatvédelmi fogalmak: adathordozhatósághoz és elfeledtetéshez való jog

Szerző: Kálmán Attila
Dátum: 2018. január 15.
Rovat:

Az EU idén május 25-étől hatályos adatvédelmi rendelete két új fogalmat is bevezet: az adathordozhatósághoz és az elfeledtetéshez való jogot. De mit is jelent ez a két fogalom és hogyan teljesítheti praktikusan az adatkezelő a két intézménnyel kapcsolatos kötelezettségeit? A jelen cikkben ezekről esik szó, bemutatva néhány gyakorlati problémát és az azokra megfelelő megoldási javaslatot.


Az adathordozhatósághoz való jog

Újdonság az Európai Unió 2018. május 25-étől alkalmazandó adatvédelmi rendeletében (GDPR) az adathordozhatósághoz való jog, amelynek keretében az érintett visszaszerezheti és továbbadhatja a korábban az adatkezelőnek átadott adatait. A jogosultság célja, hogy akadály nélkül áthelyezhetőek legyenek a személyes adatok a különböző szolgáltatók között. Amennyire nemes azonban a cél, annyi kérdést fel vet.

A jogszabály (http://gdprmegoldas.hu) alapján egyértelmű, hogy az adathordozhatósághoz való jog csak akkor gyakorolható, ha a kért személyes adatokat automatizált eszközökkel dolgozzák fel, az érintett előzetesen hozzájárult az adatkezeléshez, vagy olyan szerződés teljesítésével összefüggésben adta át, amelyben szerződő fél. Ha tehát egy szolgáltató papíralapon kezeli a természetes személy adatait, számára nem keletkezik plusz kötelezettség arra vonatkozóan, hogy digitális nyilvántartást készítsen.

A rendelet kimondja, hogy a személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kell megkapnia az érintettnek. Nem lehet tehát értelmezhetetlen „programnyelven” átadni a személyes adatokat, jó gyakorlat azonban olyan személyes interfészek létrehozása, amihez akár az érintett, akár az ő hozzájárulása alapján más adatkezelő hozzáférhet.

Érdemes kiemelt figyelmet fordítani arra, hogy milyen adatok hordozását kérheti az érintett vagy a címzett adatkezelő, akihez az adatok kerülnek. Minden esetben az érintett által átadott adatokra korlátozódik csak a jogosultság, tehát az ezen adatokból generált profil már nem tartozik a rendeletben szabályozott hordozható adatok körébe. A kért adatoknak az érintettre kell vonatkoznia, így például híváslistára vonatkozó kérés csak akkor teljesíthető az unió adatvédelmi munkacsoportjának ajánlása szerint, ha azt személyes célra használja az érintett.

Fontos megemlíteni, hogy az eredeti adatkezelő nem felel azért, hogy megfelelően kezeli-e majd az adatokat egy újabb adatkezelő, vagyis az érintettnek kell eldöntenie, hogy mely adataihoz ad hozzáférést a címzett adatkezelő részére. Utóbbinak pedig érdemes már előre meghatározni, hogy milyen adatokra van szükséges például egy szerződés teljesítéséhez.

Végül érdemes megjegyezni, nem szabad az adathordozhatósághoz való jog gyakorlását azzal gátolni, hogy díjazást kér érte az adatkezelő. A rendelet szabályai alapján egyértelmű, hogy a visszaélésszerű, megalapozatlan, túlzó joggyakorlás esetét leszámítva az adatkezelőknek minden esetben biztosítani kell az adathordozhatóságot, sőt, erre felkészülve általános, előzetes tájékoztatást is adnia kell az érintett számára. Érdemes tehát az adatkezelési szabályzat kidolgozásakor már előre kidolgozni egy folyamatot és felületet, amivel teljesíthető az érintett kérelme.

Az elfeledtetéshez való jog

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Ilyen, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem

A rendelet alapelvként rögzíti többek között, hogy a személyes adatokat csak célhoz kötötten és csak meghatározott ideig lehet kezelni. Ha megszűnik a cél, vagy eltelik az előre rögzített időtartam, illetve ha az érintett visszavonja a korábban adott hozzájárulását, akkor az adatkezelő köteles törölni az adatokat a rendszereiből. De mit történik akkor, ha az adatkezelő másnak is továbbadta az adatokat? Nos, ebben az esetben a rendelet előírja, hogy az adatkezelőnek tájékoztatnia kell a többi adatkezelőt, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. Bár a jogszabály szövege elég konkrétan utal a kérelem tárgyára vonatkozóan („a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése”), álláspontunk szerint egy ennél általánosabban meghatározott kérelem alapján is kötelessége lesz eljárnia az adatkezelőnek. A teljes körű ügyintézéshez azonban mindenképpen szüksége lesz az adatkezelőnek egy nyilvántartásra, amiből megállapítható, hogy pontosan kinek és mely adatokat továbbította korábban.

Az adatkezelőnek figyelembe kell vennie az elérhető technológiákat és a megvalósítás költségeit is a tájékoztatáskor. Így például a tájékoztató levelezésbe beépíthet egy visszaigazolási eljárásrendet, amivel meggyőződhet a tájékoztatás tudomásulvételéről. Szintén elvárható magatartás, hogy ha adatot továbbít az adatkezelő, akkor az erre vonatkozó megállapodásban rendelkezzen a másik féllel arra vonatkozóan, hogyan fognak eleget tenni az elfeledtetéshez való jog teljesítésére irányuló kötelezettségüknek.

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Példaként, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem. Fontos azonban időről-időre felülvizsgálni, hogy az adatkezelés jogos-e, a fenti esetben, ha elévül a követelés, akkor szükségszerűen automatikusan törölni kell majd az adatot.

[htmlbox gdpr_komm]

Érdekes kérdés, miként igazolja az adatkezelő, hogy megfelelően törölt egy adatot és eleget tett a tájékoztatási kötelezettségének is? Logikai probléma ugyanis, hogyha töröl az adatkezelő egy adatot, akkor már nem áll rendelkezésére ezen adat vonatkozásában további információ. Véleményem szerint elfogadható módszer, ha az adatkezelő csak írásban rögzített eljárásrenddel tudja alátámasztani törlési kötelezettségének teljesítését. Hiszen éppen úgy igazolja a törlést, ha a személyes adatra történő keresés nem hoz eredményt semmilyen módon.


Kapcsolódó cikkek:


Az ügyvédek véleménynyilvánítási joga
2018. augusztus 17.

Az ügyvédek véleménynyilvánítási joga

Az ügyvéddel szembeni elvárás hivatásának gyakorlásakor, hogy más hatóságok tagjainak adja meg a kellő megbecsülést és tiszteletet, amelyet saját hivatásával szemben is elvár. Az ügyvédi tevékenység ellátása során ezért az ügyvédnek a véleménynyilvánítási joga korlátozott, e korlátozás a szakma sajátosságaiból eredően az erkölcsök, mások jó hírneve vagy jogai védelmének fenntartása érdekében szükséges és indokolt.

A másodfokú bírósági eljárás az új Be.-ben I. rész
2018. augusztus 14.

A másodfokú bírósági eljárás az új Be.-ben I. rész

A fellebbezést követően sorra kerülő másodfokú eljárásnál továbbra is alapszabály, miszerint a fellebbezési eljárás nem ismételt elbírálást, hanem felülbírálatot jelent. Az új Be.-re is jellemző, hogy abban mind a reformatórius, mind a kasszatórius jogkör gyakorlása megtalálható. Így a másodfokú bíróság az első fokú ítéletet vagy helyben hagyja, vagy megváltoztatja, vagy hatályon kívül helyezi. Utóbbi esetben az eljárást megszünteti, vagy az első fokú bíróságot új eljárás lefolytatására utasítja.

Jogszabályfigyelő 2018 – 32. hét
2018. augusztus 13.

Jogszabályfigyelő 2018 – 32. hét

Alábbi cikkünkben, mivel az előző héten megjelent egyetlen Magyar Közlönyben (2018/125. szám) szakmai közérdeklődésre számot tartó jogszabály nem jelent meg, a döntvények és a hivatalos tájékoztatók közül válogattunk.