Új adatvédelmi fogalmak: adathordozhatósághoz és elfeledtetéshez való jog

Szerző: Kálmán Attila
Dátum: 2018. január 15.
Rovat:

Az EU idén május 25-étől hatályos adatvédelmi rendelete két új fogalmat is bevezet: az adathordozhatósághoz és az elfeledtetéshez való jogot. De mit is jelent ez a két fogalom és hogyan teljesítheti praktikusan az adatkezelő a két intézménnyel kapcsolatos kötelezettségeit? A jelen cikkben ezekről esik szó, bemutatva néhány gyakorlati problémát és az azokra megfelelő megoldási javaslatot.


Az adathordozhatósághoz való jog

Újdonság az Európai Unió 2018. május 25-étől alkalmazandó adatvédelmi rendeletében (GDPR) az adathordozhatósághoz való jog, amelynek keretében az érintett visszaszerezheti és továbbadhatja a korábban az adatkezelőnek átadott adatait. A jogosultság célja, hogy akadály nélkül áthelyezhetőek legyenek a személyes adatok a különböző szolgáltatók között. Amennyire nemes azonban a cél, annyi kérdést fel vet.

A jogszabály (http://gdprmegoldas.hu) alapján egyértelmű, hogy az adathordozhatósághoz való jog csak akkor gyakorolható, ha a kért személyes adatokat automatizált eszközökkel dolgozzák fel, az érintett előzetesen hozzájárult az adatkezeléshez, vagy olyan szerződés teljesítésével összefüggésben adta át, amelyben szerződő fél. Ha tehát egy szolgáltató papíralapon kezeli a természetes személy adatait, számára nem keletkezik plusz kötelezettség arra vonatkozóan, hogy digitális nyilvántartást készítsen.

A rendelet kimondja, hogy a személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kell megkapnia az érintettnek. Nem lehet tehát értelmezhetetlen „programnyelven” átadni a személyes adatokat, jó gyakorlat azonban olyan személyes interfészek létrehozása, amihez akár az érintett, akár az ő hozzájárulása alapján más adatkezelő hozzáférhet.

Érdemes kiemelt figyelmet fordítani arra, hogy milyen adatok hordozását kérheti az érintett vagy a címzett adatkezelő, akihez az adatok kerülnek. Minden esetben az érintett által átadott adatokra korlátozódik csak a jogosultság, tehát az ezen adatokból generált profil már nem tartozik a rendeletben szabályozott hordozható adatok körébe. A kért adatoknak az érintettre kell vonatkoznia, így például híváslistára vonatkozó kérés csak akkor teljesíthető az unió adatvédelmi munkacsoportjának ajánlása szerint, ha azt személyes célra használja az érintett.

Fontos megemlíteni, hogy az eredeti adatkezelő nem felel azért, hogy megfelelően kezeli-e majd az adatokat egy újabb adatkezelő, vagyis az érintettnek kell eldöntenie, hogy mely adataihoz ad hozzáférést a címzett adatkezelő részére. Utóbbinak pedig érdemes már előre meghatározni, hogy milyen adatokra van szükséges például egy szerződés teljesítéséhez.

Végül érdemes megjegyezni, nem szabad az adathordozhatósághoz való jog gyakorlását azzal gátolni, hogy díjazást kér érte az adatkezelő. A rendelet szabályai alapján egyértelmű, hogy a visszaélésszerű, megalapozatlan, túlzó joggyakorlás esetét leszámítva az adatkezelőknek minden esetben biztosítani kell az adathordozhatóságot, sőt, erre felkészülve általános, előzetes tájékoztatást is adnia kell az érintett számára. Érdemes tehát az adatkezelési szabályzat kidolgozásakor már előre kidolgozni egy folyamatot és felületet, amivel teljesíthető az érintett kérelme.

Az elfeledtetéshez való jog

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Ilyen, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem

A rendelet alapelvként rögzíti többek között, hogy a személyes adatokat csak célhoz kötötten és csak meghatározott ideig lehet kezelni. Ha megszűnik a cél, vagy eltelik az előre rögzített időtartam, illetve ha az érintett visszavonja a korábban adott hozzájárulását, akkor az adatkezelő köteles törölni az adatokat a rendszereiből. De mit történik akkor, ha az adatkezelő másnak is továbbadta az adatokat? Nos, ebben az esetben a rendelet előírja, hogy az adatkezelőnek tájékoztatnia kell a többi adatkezelőt, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. Bár a jogszabály szövege elég konkrétan utal a kérelem tárgyára vonatkozóan („a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése”), álláspontunk szerint egy ennél általánosabban meghatározott kérelem alapján is kötelessége lesz eljárnia az adatkezelőnek. A teljes körű ügyintézéshez azonban mindenképpen szüksége lesz az adatkezelőnek egy nyilvántartásra, amiből megállapítható, hogy pontosan kinek és mely adatokat továbbította korábban.

Az adatkezelőnek figyelembe kell vennie az elérhető technológiákat és a megvalósítás költségeit is a tájékoztatáskor. Így például a tájékoztató levelezésbe beépíthet egy visszaigazolási eljárásrendet, amivel meggyőződhet a tájékoztatás tudomásulvételéről. Szintén elvárható magatartás, hogy ha adatot továbbít az adatkezelő, akkor az erre vonatkozó megállapodásban rendelkezzen a másik féllel arra vonatkozóan, hogyan fognak eleget tenni az elfeledtetéshez való jog teljesítésére irányuló kötelezettségüknek.

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Példaként, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem. Fontos azonban időről-időre felülvizsgálni, hogy az adatkezelés jogos-e, a fenti esetben, ha elévül a követelés, akkor szükségszerűen automatikusan törölni kell majd az adatot.

[htmlbox gdpr_komm]

Érdekes kérdés, miként igazolja az adatkezelő, hogy megfelelően törölt egy adatot és eleget tett a tájékoztatási kötelezettségének is? Logikai probléma ugyanis, hogyha töröl az adatkezelő egy adatot, akkor már nem áll rendelkezésére ezen adat vonatkozásában további információ. Véleményem szerint elfogadható módszer, ha az adatkezelő csak írásban rögzített eljárásrenddel tudja alátámasztani törlési kötelezettségének teljesítését. Hiszen éppen úgy igazolja a törlést, ha a személyes adatra történő keresés nem hoz eredményt semmilyen módon.

Kapcsolódó cikkek:


A munkáltatói kártérítés összegének megállapítása-I. rész
2018. szeptember 19.

A munkáltatói kártérítés összegének megállapítása-I. rész

A Kúria joggyakorlat-elemző csoportot állított fel a munkáltatók kártérítési felelősségének összegszerűségével kapcsolatos joggyakorlat elemzésére. Mai cikkükben az elmaradt jövedelemre vonatkozó ítélkezési gyakorlatot ismertetjük.

Jogszabályfigyelő 2018 – 37. hét
2018. szeptember 17.

Jogszabályfigyelő 2018 – 37. hét

Alábbi cikkünkben, tekintettel arra, hogy a 2018/136–139. számú Magyar Közlönyökben szakmai közérdeklődésre számot tartó jogszabály nem jelent meg, az Országgyűlés anyagai közül válogattunk.

Ki felel a rossz harmonizációért?
2018. szeptember 14.

Ki felel a rossz harmonizációért?

A magánélethez való jog sérelmét jelenti, ha az uniós jog nem megfelelő átültetéséből fakadóan a magyar jogszabály alapján elvonják a magyar munkavállaló rendes fizetett szabadságát, ezáltal csökkentik a rekreációra, a családi kapcsolatokra fordítható idejét. A jogsértés miatt azonban a magyar állam közvetlen kártérítési felelőssége erre vonatkozó nemzeti jogszabály hiányában nem állapítható meg – a Kúria eseti döntése.

EUB: „Scotch Whisky”, a lajstromozott földrajzi árujelző
2018. szeptember 11.

EUB: „Scotch Whisky”, a lajstromozott földrajzi árujelző

A Whisky Association kontra Michael Klotz-ügyben született uniós bírósági döntés egy olyan szokatlan helyzetre vonatkozik, amelyben a kérdéses megnevezés semmilyen hangzásbeli vagy vizuális hasonlóságot nem mutat az oltalom alatt álló földrajzi árujelzővel, ám alkalmas lehet vitatható fogyasztói képzettársításra.