GDPR – az adathordozhatóság, mint új jogosultság – I. rész

  • Értesítő a rovat cikkeiről

A GDPR bevezet egy új, az adathordozhatósághoz való jogosultságot, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a személyes adatai felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között.

A 2018. május 25- én hatályba lépő európai adatvédelmi rendelet (GDPR, Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk.

A GDPR 20. cikke bevezet egy új jogosultságot, az adathordozhatósághoz való jog tekintetében, amelynek célja, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a rá vonatkozó személyes adatok felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között.

Az adathordozhatósághoz való jog összefügg az eddig már meglévő hozzáférési joggal, azonban nem lehet azonosítani vele, hiszen számos különbséget is találunk közöttük, melyeket jelen cikkünkben részletezünk.

Miről szól az adathordozhatóság joga?

A Rendelet 20. cikkének (1) bekezdése a következőképpen határozza meg az adathordozhatósághoz való jogot:

„Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.”

A fentiek alapján az adathordozhatóság először is azt jelenti, hogy az érintett az adatkezelő által kezelt személyes adatait jogosult megkapni, majd pedig saját célra tárolni. Ennél fogva ez az a jogosultság, amely az adathordozhatóságon belül leginkább kiegészíti a hozzáférési jogot, hiszen megkönnyíti azt, hogy az érintettek a személyes adataikat maguk kezeljék, vagy használják fel különböző céljaikra.

Az EU-jog alkalmazása

Az Európai Bíróság immár hét évtizedes ítélkezési gyakorlata a tagállami jogalkalmazó számára dzsungelnek tűnhet.

Mikor kell a magyar bíróságnak hivatalból alkalmaznia az uniós jogot?

Melyek a tagállami kártérítési felelősség szabályai?

Melyek az előzetes döntéshozatali kérelem érdemi elbírálásának feltételei?

Könyvünk segít az eligazodásban és választ ad a kérdésekre.

További információ és megrendelés >>

Az adathordozhatóságról szóló 20. cikk másrészt elősegíti azt is, hogy az érintett az adatkezelők között továbbíthassa személyes adatait akadályok nélkül. Vagyis az adatkezelők akár rendelkeznek egymással kompatibilis rendszerekkel, akár nem, a rendelet megtiltja számukra, hogy akadályokat gördítsenek az adathordozhatóság elé. Így ez a jog biztosítja, hogy az érintettek valóban ne csak hozzáférjenek személyes adataikhoz, hanem továbbíthassák is azokat egy másik szolgáltatóhoz, megkönnyítve ezáltal akár egy esetleges szolgáltatóváltást is.

E tekintetben azonban fontos megjegyezni, hogy a küldő adatkezelőnek nincs felelőssége a tekintetben, hogy a fogadó adatkezelő megfelel-e az adatvédelmi szabályoknak, hiszen az érintett személy az, aki kiválasztja az adatai címzettjét, és aki felhatalmazást is ad a megküldésre. Ettől függetlenül az adatkezelőnek biztosítania kell a címzettet arról, hogy valóban az érintett nevében jár el az adatok megküldésekor, így jó gyakorlat lehet, ha az adatkezelő minden adatküldést megelőzően megerősítést kér az érintettől a küldésre váró személyes adatok helyességét illetően.

Ugyanakkor a címzett adatkezelők felelnek annak biztosításáért, hogy az átadott adatok nem túlzók az új adatok kezelése tekintetében. Vagyis, ha a kívánt szolgáltatás nyújtásához szükséges adatoknál szélesebb körű személyes adatokat kap a küldő adatkezelőtől, abban az esetben vissza kell utasítania a túlzó adatok fogadását, mivel nem kezelhet olyan adatokat, amelyek nem szükségesek a szolgáltatás érintett számára történő nyújtásához. Ennél fogva a címzett adatkezelőnek kötelessége még a továbbításra irányuló kérelem előtt meghatározni az adatkezelés célját.

adatlopás

Az adattovábbítást függetlennek kell tekintetni a jogszabály szerint alkalmazandó eredeti megőrzési időtől. Amíg pedig az eredeti adatkezelő kezeli az érintett személyes adatait, bármikor lehetőséget kell biztosítani, hogy az érintett gyakorolhassa jogait, akár az adattovábbítás tekintetében is

Nem jelenti az adatok törlését

Az érintett személyes adatainak új adatkezelőhöz való továbbítási kérelme nem járhat együtt automatikusan a „régi” adatkezelőnél tárolt adatai törlésével. Vagyis ez azt jelenti, hogy az adattovábbítást függetlennek kell tekintetni a jogszabály szerint alkalmazandó eredeti megőrzési időtől. Amíg pedig az eredeti adatkezelő kezeli az érintett személyes adatait, bármikor lehetőséget kell biztosítani, hogy az érintett gyakorolhassa jogait, akár az adattovábbítás tekintetében is. Mivel ez a függetlenség minden egyéb jogra vonatkozik, így az adatkezelő nem teheti meg azt sem, hogy egy esetleges adattovábbítási kérelem okán késlelteti az érintett másik kérését, amely az adatok eredeti adatkezelő rendszeréből való törlésére irányul.

Nem minden esetben lehet átadni az adatot

Természetesen az adatok továbbításához ugyanúgy szükséges az is, hogy az adatkezelők jogalappal rendelkezzenek a személyes adatok kezelésére vonatkozóan.

Ahhoz, hogy a kezelési művelet az adathordozhatóság hatálya alá tartozzon, a következőkön kell alapulnia:

- az érintett hozzájárulása a Rendelet 6. cikk (1) bekezdésének a) pontja vagy személyes adatok egyedi kategóriái esetén a Rendelet 9. cikk (2) bekezdésének a) pontja szerint;

- olyan szerződés, amelynek az érintett szerződő fele, a Rendelet 6. cikk (1) bekezdésének b) pontja szerint.

A fenti eseteken kívül a Rendelet szerint adathordozhatósághoz való jogot az adatkezelők nem kaphatnak, vagyis kizárólag a hozzájárulás, vagy a szerződés szolgálhat alapul erre. Ennél fogva például egy pénzügyi intézmény a pénzmosási és egyéb bűncselekmények felderítése okán kezelt személyes adatokra vonatkozó esetleges adattovábbítási kérelmet nem köteles megválaszolni, teljesíteni pedig főként nincs jogosultsága.

Ezen túl kivételt képeznek a papíralapú aktákban kezelt adatok is, mivel az adathordozhatósághoz való jog kizárólag akkor alkalmazható, ha az adatkezelés automatizált módon történik.

Az adathordozhatóság feltételei

Bármennyire is egyszerűnek tűnik az adathordozhatóság jogosultsága, van három olyan feltétele, amelyről adatkezelőként jó, ha tudunk.

1.) Kizárólag személyes adat lehet

Mivel az adathordozhatóság tárgya kizárólag az érintettre vonatkozó személyes adat lehet, ennél fogva az anonim, illetve nem az érintettre vonatkozó személyes adat kiesik az adathordozhatóság köréből. Azonban lényeges különbség, hogy az álnevesített adat, amely valamilyen módon egyértelműen az érintetthez kapcsolható (például jelszó által), hordozható kategóriává válik.

Ebben a tekintetben fontos tehát az is, hogy az érintett jogának gyakorlásával mások jogai ne sérüljenek, ezért (is) lényeges, hogy kizárólag az érintettre vonatkozó adat legyen továbbítva. Azonban mégis vannak olyan esetek, amikor olyan információ hordozását kérelmezi az érintett, amely mások személyes adatait is tartalmazza (mint például egy telefonbeszélgetés). Ezekben az esetekben az adatkezelő nem tilthatja meg az adatok érintett részére történő kiadását, azonban az új adatkezelő már nem kezelheti ezeket az adatokat olyan céllal, amely hátrányosan érintheti a többi érintett jogait és szabadságait.

 

2.) Az érintett által rendelkezésre bocsátott adatnak kell lennie

Az adathordozhatóság szempontjából fontos szempont az is, hogy kizárólag olyan személyes adatra vonatkozik ez a jogosultság, amelyet az érintett bocsátott rendelkezésre. Ebbe a kategóriába tartoznak a következők:

- érintett által tudatosan és aktívan rendelkezésre bocsátott adatok (mint például amikor megadjuk e-mail-címünket, vagy életkorunkat);

- érintett által a szolgáltatás, vagy készülék használatával rendelkezésre bocsátott, megfigyelt adatok (például az internetes kereséseink története, vagy épp a helymeghatározó adataink).

A fentieken kívül a származtatott adatok azok, amelyeket az adatkezelő hoz létre, így nem minősülnek az érintett által rendelkezésre bocsátottnak, ennél fogva pedig nem is tartoznak az új jogosultság hatálya alá. Példaként itt gondolhatunk a hitelintézet részéről pénzmosási szabályoknak való megfelelés érdekében elkészített ügyfélprofilra, amelyet bár az érintett által (például a saját intézkedése nyomán) rendelkezésre bocsátott adatok elemzéséből következtetik, mégsem tekinthető az érintett által „rendelkezésre bocsátottnak”, hiszen csupán az adatok elemzéséből származik.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

 

3.) Ne sértse más jogát

Ahogy a fentiekben már érintettem a témát, az adathordozhatóságnak fontos feltétele, hogy az ne érintse hátrányosan más érintett jogait és szabadságait. Ez a feltétel tehát azt szolgálja, hogy elkerülje abban az esetben az adatok lekérdezését és továbbítását, ha azok kezelése az új adatkezelőnél valószínűleg másokra hátrányos módon történne. Ennél fogva például az érintett bankszámlája tartalmazhat olyan adatokat is, amely más egyénekre vonatkozik, például egy átutalás esetében. Azonban harmadik személyek jogait és szabadságait valószínűleg nem érinti hátrányosan a bankszámla-információ számlatulajdonosnak történő továbbítása hordozhatósági kérelem esetén, egészen addig, amíg az adatokat a megfelelő célra használják fel. Ez pedig azt jelenti, hogy ha a bankszámla információban szereplő harmadik személyek adatai marketing célokra kerülnek felhasználásra, minden bizonnyal sérülnek jogaik, így az adathordozhatóságra való jog erre nem terjedhet ki.

  • Értesítő a rovat cikkeiről

Kapcsolódó cikkek

  • adatvédelem

    Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

  • GDPR, EU

    Nyilvános a GDPR alapján kiszabható közigazgatási bírságról szóló iránymutatás – írja az adatvedelmirendelet.hu.

  • adatvédelem

    A május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen érzékenyen érintheti az érintett vállalkozásokat, mivel a bírság akár 20 millió euró (6,2 milliárd forint) is lehet, hívta fel a figyelmet a nemzetközi adótanácsadó és könyvvizsgáló Crowe FST.

  • kamera

    Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

  • adatvédelem

    2018 májusától gyökeresen megváltozik az adatkezelések rendje. Az Európai Unió Általános Adatvédelmi rendelete, ami hazánkban közvetlenül hatályosul ettől az időponttól új szabályokat határoz meg, és kiegészítésképpen – abban a körben amelyben az Általános Adatvédelmi Rendelet („GDPR”) nem tartalmaz szabályozást –, módosított tartalommal kell majd a jelenlegi magyar törvényt alkalmazni (ez a jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, tehát az ún. „Infó törvény”). A megváltozott szabályozás leginkább érzékelhető változása a szankciókat érinti: 2018 májusától az adatkezelési szabályok megszegéséért akár 20 millió EUR összegnek megfelelő magyar forintnyi bírság (vagy, amennyiben vállalatcsoport előző évi nettó árbevétele esetleg magasabb, az árbevétel 4%-a) szabható ki adatvédelmi bírságként. Az alábbiakban áttekintjük a szabályozás legfontosabb tudnivalóit.

Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • nyakkendő és munkavédelmi sisak

    A kereskedelmi ágazatban tavaly november 10. és december 10. között lezajlott országos szintű munkavédelmi ellenőrzéseknél a vizsgált 1013 munkáltató közül 893 esetében találtak munkavédelmi, illetve munkaegészségügyi hiányosságokat - olvasható a Nemzetgazdasági Minisztérium (NGM) munkafelügyeleti főosztályának jelentésében.

  • pénz

    A Magyar Iparszövetség (OKISZ) a vállalkozások versenyképességének javítását, a bérfelzárkóztatás folytatását, a munkaadói közterhek további mérséklését tartja szükségesnek - mondta Vadász György ügyvezető elnök az MTI-nek, miután az érdekképviselet elnöksége foglalkozott a kkv-k helyzetével.

  • személyszállítás

    Július elsejétől drágább lehet Budapesten taxival utazni, ugyanis a jelenlegi 450 forintos alapdíj 700 forintra emelkedhet, a kilométerdíj 20 forinttal, a percenkénti várakozási díj pedig 5 forinttal nőhet, ha a Fővárosi Közgyűlés jövő szerdai ülésére benyújtott  előterjesztést megszavazzák a képviselők.

  • törzstőke

    A gazdasági társaságok tagjaiktól elkülönült, saját vagyonnal rendelkeznek, amely kiemelt jelentőséggel bír a szervezetek életében. Annak a meghatározásához, hogy a vagyon milyen szerepet tölt be a gazdasági társaságok életében, el kell határolni egymástól a jegyzett tőkét és a saját tőkét, a két fogalom és az általuk megjelölt vagyon ugyanis nem azonos, így az általuk betöltött funkciók is eltérnek egymástól. A tanulmányban bemutatjuk a gazdasági társaságok jegyzett és saját tőkéjének vélt és valós funkcióit, valamint kitérünk a gazdasági társaságok egy speciális csoportjára, a közfeladatot ellátó, állami részvétellel működő gazdasági társaságokra.

  • Varga Mihály

     Az új kabinet további adócsökkentéseket és nem adóemeléseket szeretne elérni, és ezzel párhuzamosan a fekete gazdaság további szűkítését kívánja megvalósítani – mondta Varga Mihály nemzetgazdasági miniszter a Magyar Bankszövetség éves testületi ülésén