GDPR: új adatvédelmi fogalmak


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az EU idén május 25-étől hatályos adatvédelmi rendelete két új fogalmat is bevezet: az adathordozhatósághoz és az elfeledtetéshez való jogot. De mit is jelent ez a két fogalom és hogyan teljesítheti praktikusan az adatkezelő a két intézménnyel kapcsolatos kötelezettségeit? A jelen cikkben ezekről esik szó, bemutatva néhány gyakorlati problémát és az azokra megfelelő megoldási javaslatot.


Az adathordozhatósághoz való jog

Újdonság az Európai Unió 2018. május 25-étől alkalmazandó adatvédelmi rendeletében (GDPR) az adathordozhatósághoz való jog, amelynek keretében az érintett visszaszerezheti és továbbadhatja a korábban az adatkezelőnek átadott adatait. A jogosultság célja, hogy akadály nélkül áthelyezhetőek legyenek a személyes adatok a különböző szolgáltatók között. Amennyire nemes azonban a cél, annyi kérdést fel vet.

A jogszabály (http://gdprmegoldas.hu) alapján egyértelmű, hogy az adathordozhatósághoz való jog csak akkor gyakorolható, ha a kért személyes adatokat automatizált eszközökkel dolgozzák fel, az érintett előzetesen hozzájárult az adatkezeléshez, vagy olyan szerződés teljesítésével összefüggésben adta át, amelyben szerződő fél. Ha tehát egy szolgáltató papíralapon kezeli a természetes személy adatait, számára nem keletkezik plusz kötelezettség arra vonatkozóan, hogy digitális nyilvántartást készítsen.

A rendelet kimondja, hogy a személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban kell megkapnia az érintettnek. Nem lehet tehát értelmezhetetlen „programnyelven” átadni a személyes adatokat, jó gyakorlat azonban olyan személyes interfészek létrehozása, amihez akár az érintett, akár az ő hozzájárulása alapján más adatkezelő hozzáférhet.

Érdemes kiemelt figyelmet fordítani arra, hogy milyen adatok hordozását kérheti az érintett vagy a címzett adatkezelő, akihez az adatok kerülnek. Minden esetben az érintett által átadott adatokra korlátozódik csak a jogosultság, tehát az ezen adatokból generált profil már nem tartozik a rendeletben szabályozott hordozható adatok körébe. A kért adatoknak az érintettre kell vonatkoznia, így például híváslistára vonatkozó kérés csak akkor teljesíthető az unió adatvédelmi munkacsoportjának ajánlása szerint, ha azt személyes célra használja az érintett.

Fontos megemlíteni, hogy az eredeti adatkezelő nem felel azért, hogy megfelelően kezeli-e majd az adatokat egy újabb adatkezelő, vagyis az érintettnek kell eldöntenie, hogy mely adataihoz ad hozzáférést a címzett adatkezelő részére. Utóbbinak pedig érdemes már előre meghatározni, hogy milyen adatokra van szükséges például egy szerződés teljesítéséhez.

Végül érdemes megjegyezni, nem szabad az adathordozhatósághoz való jog gyakorlását azzal gátolni, hogy díjazást kér érte az adatkezelő. A rendelet szabályai alapján egyértelmű, hogy a visszaélésszerű, megalapozatlan, túlzó joggyakorlás esetét leszámítva az adatkezelőknek minden esetben biztosítani kell az adathordozhatóságot, sőt, erre felkészülve általános, előzetes tájékoztatást is adnia kell az érintett számára. Érdemes tehát az adatkezelési szabályzat kidolgozásakor már előre kidolgozni egy folyamatot és felületet, amivel teljesíthető az érintett kérelme.

Az elfeledtetéshez való jog

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Ilyen, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem

A rendelet alapelvként rögzíti többek között, hogy a személyes adatokat csak célhoz kötötten és csak meghatározott ideig lehet kezelni. Ha megszűnik a cél, vagy eltelik az előre rögzített időtartam, illetve ha az érintett visszavonja a korábban adott hozzájárulását, akkor az adatkezelő köteles törölni az adatokat a rendszereiből. De mit történik akkor, ha az adatkezelő másnak is továbbadta az adatokat? Nos, ebben az esetben a rendelet előírja, hogy az adatkezelőnek tájékoztatnia kell a többi adatkezelőt, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. Bár a jogszabály szövege elég konkrétan utal a kérelem tárgyára vonatkozóan („a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése”), álláspontunk szerint egy ennél általánosabban meghatározott kérelem alapján is kötelessége lesz eljárnia az adatkezelőnek. A teljes körű ügyintézéshez azonban mindenképpen szüksége lesz az adatkezelőnek egy nyilvántartásra, amiből megállapítható, hogy pontosan kinek és mely adatokat továbbította korábban.

Az adatkezelőnek figyelembe kell vennie az elérhető technológiákat és a megvalósítás költségeit is a tájékoztatáskor. Így például a tájékoztató levelezésbe beépíthet egy visszaigazolási eljárásrendet, amivel meggyőződhet a tájékoztatás tudomásulvételéről. Szintén elvárható magatartás, hogy ha adatot továbbít az adatkezelő, akkor az erre vonatkozó megállapodásban rendelkezzen a másik féllel arra vonatkozóan, hogyan fognak eleget tenni az elfeledtetéshez való jog teljesítésére irányuló kötelezettségüknek.

A törléshez és elfeledtetéshez való jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő a rendeletben leírt okok miatt kezeli tovább. Példaként, ha jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges az adatok további tárolása, akkor megtagadható a törlési kérelem. Fontos azonban időről-időre felülvizsgálni, hogy az adatkezelés jogos-e, a fenti esetben, ha elévül a követelés, akkor szükségszerűen automatikusan törölni kell majd az adatot.

[htmlbox gdpr_komm]

Érdekes kérdés, miként igazolja az adatkezelő, hogy megfelelően törölt egy adatot és eleget tett a tájékoztatási kötelezettségének is? Logikai probléma ugyanis, hogyha töröl az adatkezelő egy adatot, akkor már nem áll rendelkezésére ezen adat vonatkozásában további információ. Véleményem szerint elfogadható módszer, ha az adatkezelő csak írásban rögzített eljárásrenddel tudja alátámasztani törlési kötelezettségének teljesítését. Hiszen éppen úgy igazolja a törlést, ha a személyes adatra történő keresés nem hoz eredményt semmilyen módon.


Kapcsolódó cikkek

2024. október 11.

Duna House: 43 millió forintra nőtt a lakások átlagára

Országos átlagban már 43 millió forinthoz közelít az otthonteremtésre fordított összeg, amennyiben egy élhető, megközelítőleg 57 négyzetméteres lakás vásárlását tervezi a vevő – tudatta a Duna House.

2024. október 10.

Védeni kell a fogyasztókat zöld és digitális átállás során

A Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) fogyasztópolitikai bizottságának első miniszteri szintű ülésén elfogadták a fogyasztók kettős átmenet keretében történő hatékony védelméről szóló nyilatkozatot, melyhez a fogyasztóvédelemért felelős Nemzetgazdasági Minisztérium (NGM) is csatlakozott – jelentette be csütörtökön a minisztérium.

2024. október 10.

EY: hatályba lép a NIS2, büntetés járhat a figyelmetleneknek

Pár nap és élesedik a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv, amely több ezer cégre vonatkozik Magyarországon. A regisztrációt elmulasztó társaságok akár szankciókra is számíthatnak a hatóságtól. Az érintett vállalkozásoknak az év végéig le kell szerződniük a biztonsági vizsgálatra jogosult auditorral is, ugyanis, ha nem végzik el időben az IT rendszereik felülvizsgálatát akár több millió eurós büntetésre is számíthatnak.