CLVPartners

Adatvédelem

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai

Olvasási idő: 7 perc

Az utóbbi időszakban ügyfeleinktől egyre gyakrabban érkezik kérdés azzal kapcsolatban, hogy pontosan meddig terjed az érintetti hozzáférési jog gyakorlása, és milyen gyakorlati elvárásoknak kell megfelelni a teljesítés során. A téma aktualitását az is növeli, hogy jelenleg az Általános Adatvédelmi Rendelet, azaz a GDPR egyes eljárási szabályainak módosítására irányuló jogalkotási folyamat is zajlik.

A GDPR alapján a hozzáférési jog az érintetti jogok egyik központi eleme. Egyrészt az átlátható adatkezelés alapját képezi, másrészt a gyakorlatban gyakran vezet jogvitákhoz: a felügyeleti hatósági eljárások és bírósági ügyek jelentős része ehhez a joghoz kapcsolódik. A hozzáférési jog teljesítése ugyanakkor nem pusztán az adatok rendelkezésre bocsátását jelenti. Magában foglalja az érintett megfelelő azonosítását, az adattakarékosság elvének érvényesítését, valamint az esetleges visszaélésszerű kérelmek kezelését is.

Jelen hírlevelünkben áttekintjük a hozzáférési jog tartalmát, az európai jogalkalmazási gyakorlatot formáló iránymutatásokat, valamint a közelmúltbeli és várható jogalkotási fejleményeket.

A hozzáférési jog tartalma

A GDPR 15. cikke alapján az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, jogosult hozzáférni az alábbi információkhoz:

az adatkezelés célja,

a kezelt személyes adatok köre,

az adattovábbítás címzettjei, akikkel a személyes adatokat megosztják,

az adatok tárolásának időtartama,

az érintettet megillető jogokról, miszerint kérheti a személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

felügyeleti hatósághoz panasz benyújtásáról, annak módjáról,

valamint az adatok forrása (amennyiben nem az érintettől származnak).

A jog gyakorlásának egyik kritikus eleme az adatmásolat biztosítása. A joggyakorlat egyértelművé tette, hogy ez nem pusztán összefoglaló jellegű tájékoztatást jelent, hanem az érintettre vonatkozó konkrét adatok tényleges rendelkezésre bocsátását. Ez adott esetben teljes dokumentumok (pl. e-mailek, jelentések) releváns részeinek átadását is magában foglalhatja.

A hozzáférési kérelmek kezelésének jelentősége

A hozzáférési jog megfelelő teljesítése nem csupán formai kötelezettség, hanem az adatvédelmi megfelelés egyik központi eleme, mivel közvetlenül az átláthatóság és az elszámoltathatóság elvét érvényesíti.

Amennyiben az adatkezelő helyesen teljesíti a hozzáférési kérelmeket, azzal:

biztosítja a GDPR egyik alapelvének, az átlátható adatkezelésnek az érvényesülését,

biztosítja az érintetti jogok tényleges gyakorlását,

csökkenti a hatósági eljárások és bírságok kockázatát,

mérsékli a jogviták kialakulásának esélyét,

és erősíti az érintettek bizalmát az adatkezelési folyamatok iránt.

Ezzel szemben a hibás vagy hiányos teljesítés – például hiányzó adatmásolat, nem megfelelő anonimizálás vagy indokolatlan elutasítás – önálló jogsértéshez vezethet, gyakran az érintett hatóságnál tett panaszán alapuló vizsgálatok kiindulópontja is.

10 legfontosabb tudnivaló a hozzáférési jog gyakorlásáról

Az Európai Adatvédelmi Testület (EDPB) iránymutatása alapján a hozzáférési jog gyakorlásával kapcsolatban az alábbi gyakorlati szempontokra érdemes kiemelten figyelni:

  1. A hozzáférési kérelmeket tartalmuk szerint kell elbírálni; nem utasíthatók el pusztán formai okokból, és minden, a személyes adatok megismerésére irányuló megkeresést hozzáférési kérelemként kell kezelni.
  2. Az adatkezelő köteles minden releváns rendszerben keresést végezni, így különösen az elektronikus rendszerekben, e-mail fiókokban és archivált adatokban, szükség esetén papíralapú dokumentumokban is.
  3. Ha az érintett adatmásolatot kér, ténylegesen a róla kezelt személyes adatokat kell kiadni, nem elegendő egy összefoglaló vagy lista. Ez adott esetben dokumentumok (pl. e-mailek, jelentések) releváns részleteinek kiadását is jelentheti, természetesen az üzleti titkok megtartásával.
  4. A kiadott információnak közérthetőnek kell lennie; technikai vagy kódolt adatok esetén magyarázat biztosítása is szükséges lehet.
  5. Ha a kiadandó dokumentum más személyek adatait is tartalmazza, az adatkezelő köteles anonimizálást vagy kitakarást alkalmazni; a teljes dokumentum visszatartása csak kivételesen indokolt.
  6. Ha az adatkezelőnek megalapozott kétsége merül fel a kérelmező személyazonosságával kapcsolatban, az érintettet azonosítania kell, hogy a személyes adatok biztosan a jogosult személyhez kerüljenek, így biztosítva a személyes adatok védelmét és az érintetti joggyakorlást.
  7. Az azonosítás során az adatkezelő elsősorban a saját rendszerében már rendelkezésre álló adatok alapján jár el, szükség esetén kiegészítő egyeztetést (pl. e-mail ellenőrzés, online vagy személyes azonosítás) alkalmazva.
  8. Csak a feltétlenül szükséges mértékű adat kérhető az azonosításhoz; a túlzott vagy indokolatlan hitelesítési követelmény önmagában is jogsértést eredményezhet.
  9. Az azonosításnak mindig arányosnak és biztonságosnak kell lennie, figyelembe véve az adatok érzékenységét, a kérelem körülményeit és a visszaélés kockázatát.
  10. Az adatkezelőnek indokolt esetben dokumentálnia és igazolnia kell, hogy az alkalmazott azonosítási és teljesítési megoldások szükségesek és arányosak voltak.

GDPR módosítási javaslat – eljárásjogi reform

A GDPR jelenlegi szabályai szerint az érintetti kérelmeket alapvetően díjmentesen kell teljesíteni. Az adatkezelő csak akkor számíthat fel díjat vagy tagadhatja meg a kérelem teljesítését, ha az nyilvánvalóan megalapozatlan vagy túlzó, például ismétlődő jellegű. Ebben az esetben a bizonyítás az adatkezelőt terheli.

A tervezett GDPR-módosítás ezt a keretet pontosítaná, és külön nevesítené a „visszaélésszerű” kérelmek esetét. Ilyennek minősülhet például, ha valószínűsíthető, hogy az érintett nem az adatvédelem érvényesítése érdekében, hanem más célból – például nyomásgyakorlás vagy jogvita előkészítése miatt – él a jogával.

A javaslat egyik lényeges eleme, hogy az adatkezelő helyzete enyhülne: nem feltétlenül kellene teljes bizonyossággal igazolnia a visszaélést, elegendő lehet annak megalapozott valószínűsítése is.

Ugyanakkor az Európai Adatvédelmi Testület (EDPB) hangsúlyozza, hogy a hozzáférési jog korlátozása továbbra is kivételes marad, és a „visszaélésszerű kérelem” fogalmát szűken kell értelmezni. A javaslat nem a hozzáférési jog tartalmát változtatná meg, hanem várhatóan elsősorban az eljárások gyorsítását és a hatósági gyakorlat egységesítését szolgálná.

Összegzés

A hozzáférési jog továbbra is az adatvédelmi megfelelés egyik legkritikusabb területe. A joggyakorlat egyre inkább az érintettek tényleges információhoz jutását helyezi előtérbe, miközben az adatkezelőknek egyensúlyt kell teremteniük az érintetti jogok biztosítása, az adattakarékosság és az adatbiztonság követelményei között.

Az adatkezelők számára ezért különösen fontos a naprakész adatleltár fenntartása, egységes belső eljárásrend kialakítása az érintetti kérelmek kezelésére, megfelelő anonimizálási és dokumentumszűrési mechanizmusok alkalmazása, valamint az érintett munkavállalók rendszeres képzése. Különösen lényeges, hogy az adatkezelők dokumentálják az érintetti kérelmek kezelésével kapcsolatos döntéseiket, így az azonosítás lépéseit és az esetlegesen visszaélésszerűnek ítélt kérelmek megítélésének szempontjait is. Ez azért is fontos, mert a várható szabályozási változások és a fokozott hatósági figyelem mellett ezek a folyamatok kiemelt ellenőrzési ponttá válhatnak.

Kép forrása: pexels.com, El Jundi

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai Read More »

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után

Olvasási idő: 4 perc

A 2026. június 29-én meghozott amerikai legfelsőbb bírósági döntés (Trump v. Slaughter; a továbbiakban: „Döntés”) valószínűleg hatással lesz az Európai Unió és az Egyesült Államok közötti nemzetközi adattovábbítások jogi megítélésére, és fordulatot hozhat az e területet érintő jelenlegi gyakorlatban.

Az Amerikai Egyesült Államok Legfelsőbb Bírósága („Legfelsőbb Bíróság”) a döntésben az egységes végrehajtó hatalom elméletére támaszkodva arra a következtetésre jutott, hogy az Egyesült Államokban működő valamennyi független végrehajtó hatóság alkotmányellenesnek minősül. A Döntés közvetlenül érinti a Szövetségi Kereskedelmi Bizottságot („FTC”) is.

Ez a fejlemény az európai adatvédelmi jog szempontjából kiemelt jelentőséggel bír, mivel az Európai Bizottság („Bizottság”) 2023/1795. számú végrehajtási határozatával elfogadott, jelenleg hatályos EU–USA Adatvédelmi Keret („EU–USA Data Privacy Framework”, a továbbiakban: „Keret”) az FTC-t nevezte meg, mint az adatvédelmi szabályok betartásáért felelős független felügyeleti szerv.

Hírlevelünkben összefoglaljuk az Európai Unió és az Egyesült Államok közötti adattovábbítási gyakorlat legfontosabb szabályait, valamint áttekintjük, hogy a vállalatoknak milyen változásokra kell felkészülniük a Döntés következtében.

A GDPR szerinti harmadik országokba történő adattovábbítás szabályozási rendszere és a Schrems-ítéletek öröksége

A személyes adatok védelméről szóló 2016/679 rendelet („GDPR”) alapján a személyes adatok harmadik országba történő továbbítása főszabály szerint kizárólag akkor jogszerű, ha az adott ország megfelelő védelmi szintet biztosít. A megfelelőség vizsgálata során kiemelt szempont, hogy a harmadik ország rendelkezik-e olyan független és hatékony adatvédelmi felügyeleti hatósággal, amely képes az adatvédelmi szabályok betartásának tényleges érvényesítésére és kikényszerítésére. Ennek hiánya vagy elégtelen működése esetén ugyanis nem biztosítható az uniós szintű védelemhez hasonló garanciarendszer. Éppen ezért a Bizottság csak akkor fogadhat el megfelelőségi határozatot egy harmadik ország vonatkozásában, ha a vizsgált ország jogrendszere – többek között egy ilyen független felügyeleti szerv révén – biztosítja a személyes adatok megfelelő szintű védelmét.

E körben szükséges továbbá megemlíteni, hogy az Európai Unióból az Egyesült Államokba irányuló adattovábbítások jogi keretrendszere hosszú ideje bizonytalanságokkal terhelt. Az Európai Unió Bírósága a Schrems I és Schrems II ügyekben hozott ítéleteiben korábban érvénytelenítette az EU és USA közötti adattovábbításokra vonatkozó Safe Harbor, majd a Privacy Shield keretrendszert is. A bíróság döntését azzal indokolta, hogy az Egyesült Államokban alkalmazott tömeges megfigyelési gyakorlatok, valamint a hatékony jogorvoslati lehetőségek hiánya miatt az érintettek számára nem biztosított az uniós adatvédelmi szabályoknak megfelelő védelmi szint.

Ezt követően egyfajta „harmadik generációs” adattovábbítási megfelelőségi határozatként került bevezetésre a jelenlegi Keret, amely az Egyesült Államok vonatkozásában az FTC-t nevesíti független felügyeleti hatóságként. A Döntés következtében ugyanakkor kétségessé vált, hogy az FTC esetében a függetlenség fennállásához szükséges feltételek továbbra is biztosítottak.

Miért releváns ez uniós adatkezelők számára?

Az elmúlt évtizedekben számos uniós vállalat szervezte ki adatfeldolgozási tevékenységeit amerikai felhőszolgáltatókhoz. A GDPR azonban egyértelműen rögzíti, hogy a vállalatok személyes adatokat harmadik országba – így az Egyesült Államokba is – kizárólag abban az esetben továbbíthatnak jogszerűen, ha az adattovábbítás megfelelő garanciák és jogalap mellett történik.

Az adattovábbítások egyik lehetséges jogalapját az úgynevezett megfelelőségi határozatok jelentik. Az Európai Unió és az Egyesült Államok közötti viszonylatban jelenleg a Keret tölti be ezt a funkciót. Megfelelőségi határozat hiányában az adattovábbításra kizárólag akkor kerülhet sor jogszerűen, ha az érintett szervezet megfelelő garanciákat biztosítanak, például az Európai Bizottság által elfogadott általános adatvédelmi kikötések („SCC”) alkalmazása, illetve kötelező erejű vállalati szabályok („BCR”) bevezetése mellett.

Ha megállapításra kerül, hogy az FTC a továbbiakban nem felel meg a Keretben előírt függetlenségi követelményeknek, valószínűsíthető, hogy az Európai Bizottság a jövőben felülvizsgálja, illetve adott esetben hatályon kívül helyezi a Keretet.

Hangsúlyozzuk, hogy e fejlemény nem kizárólag a Keret alapján megvalósuló adattovábbításokat érintheti. Azok az adatkezelők is érintetté válhatnak, amelyek SCC-ket vagy BCR-eket alkalmaznak, mivel a GDPR szerinti elszámoltathatóság elvéből következően a vállalatok az adattovábbítási hatásvizsgálat keretében kötelesek értékelni, hogy a harmadik ország joga biztosítja-e a szükséges védelmi szintet. Amennyiben e vizsgálat eredményeként az állapítható meg, hogy az amerikai jogrend – különösen a hatósági hozzáférés vagy a jogorvoslati mechanizmusok tekintetében – nem nyújt megfelelő garanciákat, úgy az SCC-k vagy a BCR-ek alkalmazása önmagában nem elegendő az adattovábbítás jogszerűségének fenntartásához, így azok sem biztosíthatnak megfelelő alapot az Egyesült Államokba történő adattovábbításhoz.

Javasolt lépések

Mindezek alapján a jelenlegi fejlemények fokozott körültekintést tesznek szükségessé minden olyan adatkezelő részéről, amely az Egyesült Államokba irányuló nemzetközi adattovábbításban érintett. Közvetlen, azonnali lépést nem kíván meg a döntés, inkább a belső folyamatok felülvizsgálata és kockázatmenedzsment indokolt:

az adattovábbításokra vonatkozó belső eljárásrendek átfogó felülvizsgálata;

az adattovábbítási hatásvizsgálatok naprakésszé tétele;

annak mérlegelése, hogy szükséges-e további technikai intézkedéseket bevezetni, ideértve például a titkosítás alkalmazását;

alternatív adatfeldolgozási megoldások feltérképezése.

Összegzés

Megállapítható tehát, hogy a Keret megfelelőségének bizonyossága nem egyértelmű, ugyanakkor maga a Keret mindaddig hatályban marad, amíg azt a Bizottság vissza nem vonja, vagy az Európai Unió Bírósága meg nem semmisíti. Ennek következtében a Döntés jelenleg nem gyakorol közvetlen hatást az uniós adatkezelőkre. A vállalatoknak ugyanakkor érdemes felülvizsgálni az Egyesült Államokba történő adattovábbításokkal kapcsolatos gyakorlatukat, és szükség esetén alternatív megoldások bevezetését előkészíteni.

Kép forrása: pexels.com, Mark Stebnicki

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után Read More »

Mesterséges intelligencia és adatvédelem a vállalati gyakorlatban

Olvasási idő:5 perc

A mesterséges intelligencia (a továbbiakban úgy is mint MI vagy AI) alkalmazása ma már nem csupán technológiai kérdés, hanem egyre inkább adatvédelmi és megfelelőségi kihívás is. Legyen szó az ügyféladatok elemzéséről, automatizált ügyfélszolgálati chatbotokról, egy vállalkozás szolgáltatásainak biztosítása, fejlesztése, valamint a működési hatékonyság növelése érdekében alkalmazott eszközökről, vagy akár a HR-folyamatok hatékonyságának növeléséről, az MI-rendszerek drasztikus versenyelőnyt biztosítanak. A személyes adatok kezelése miatt az általános adatvédelmi rendelet (GDPR) szabályai továbbra is alkalmazandók, miközben a mesterséges intelligenciáról szóló EU rendelet (AI Rendelet, vagy AI Act) további kötelezettségeket is bevezet. Jelen cikkünkben áttekintjük, hogy a vállalati AI-használat során milyen főbb adatvédelmi és AI Rendelet szerinti szempontokat szükséges mérlegelni a megfelelés érdekében.

Az automatizáció jogi jelentősége

A gyakorlatban az egyik legfontosabb kérdés, hogy az adott AI-rendszer pontosan milyen szerepet tölt be az adatkezelési folyamatban. Az alkalmazott technológia működése és az adatok felhasználásának módja ugyanis alapjaiban minősíti az AI-rendszert, és meghatározza a vállalkozás adatvédelmi és MI-megfelelőségi kötelezettségeit is. Az adatok kezelése kapcsán lényeges különbség van az automatizált adatkezelés, a profilalkotás és az automatizált döntéshozatal között:

Automatizált adatkezelés:

Alapvetően technikai folyamatot jelent; abban az esetben automatizált az adatkezelés, ha az adatok gyűjtése, rendszerezése és kinyerése emberi beavatkozás nélkül, szoftveresen történik (például egy rendszer automatikusan ABC-rendbe állítja a beérkező pályázatokat, vagy kategorizálja a beérkező ügyféligényeket, dokumentumokat).

Profilalkotás:

A GDPR szerint profilalkotásról beszélünk, ha a rendszer nemcsak rendszerezi az adatokat, hanem az érintettekről következtetéseket von le, értékeli vagy rangsorolja őket. Ha a rendszer a személyes adatok alapján az érintett bizonyos személyes jellemzőit – így gazdasági helyzetét, preferenciáit, érdeklődési körét, megbízhatóságát, vagy akár képességeit, alkalmasságát – pontozza, vagy bármilyen formában szűri, az profilalkotásnak minősülhet.

Automatizált döntéshozatal:

Akkor valósul meg, ha a folyamat nemcsak technikailag automatizált, hanem maga az MI-rendszer hozza meg a végső döntést emberi beavatkozás nélkül, és ez a döntés a jelöltre nézve joghatással jár vagy őt jelentős mértékben érinti. Tipikus eset, ha a szoftver emberi jóváhagyás nélkül, automatikusan elutasítja (kizárja) a jelentkezőt a toborzási folyamatból valamely feltétel alapján.

A gyakorlatban a fenti kategóriák sokszor nem elkülönült tevékenységek. Egy egyszerű technikai automatizáció is könnyen válhat olyan folyamattá, amely már profilalkotási vagy automatizált döntéshozatali kérdéseket vet fel. Éppen ezért minden AI-alapú folyamatot külön szükséges vizsgálni az adatok felhasználása és a rendszer tényleges működése alapján.

Adatkezelési szempontú teendők

Ha a vállalat MI-technológiát integrál a belső folyamataiba vagy az ügyfeleknek nyújtott szolgáltatásaiba, a rendszer működésének sajátosságai alapján adatvédelmi szempontból minősíteni kell az adatok kezelésének módját. Ennek során szükséges feltárni, hogy történik-e profilalkotás, automatizált adatkezelés, és megítélni, hogy van-e olyan körülmény, amely miatt adatvédelmi hatásvizsgálatot (DPIA) kell lefolytatni.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kötelező listája és iránymutatásai szerint az új technológiák alkalmazása önmagában is magas kockázatot hordozhat, de a hatásvizsgálat elvégzése teljesen elkerülhetetlenné válik az olyan adatkezelések esetén, amelyek célja a természetes személyek személyes jellemzőinek értékelése, pontozása vagy előrejelzése, vagy az automatizált döntéshozatali eljárások esetén, ahol az MI emberi beavatkozás nélkül zár ki vagy utasít el érintetteket (például egy toborzási szűrés során), valamint akkor is, ha a technológiát a munkavállalók teljesítményének és produktivitásának szisztematikus, szoftveres monitorozására használják.

A technológia alkalmazásához emellett elengedhetetlen a megfelelő adatkezelési jogalap biztosítása, egyes esetekben az érintett hozzájárulásának beszerzésére lehet szükség. Ezen felül a GDPR és az AI Rendelet által megkövetelt átláthatósági elvekkel összhangban, világosan és érthetően tájékoztatni kell az érintetteket az MI alkalmazásáról, céljáról, a gép működési logikájáról, továbbá az őket megillető olyan alapvető jogokról, mint a hozzáférés, a törlés, a tiltakozás, valamint az a kiemelten fontos lehetőség, hogy a gép döntésével szemben emberi felülvizsgálatot kérhessenek.

A gyakorlatunk alapján az alábbiak a leggyakrabban előforduló MI-szoftverek, amelyeket alkalmaznak a vállalatok és amelyek személyes adatok kezelésével járnak, emiatt szükségessé teszik az adatkezelési dokumentáció felülvizsgálatát:

ChatGPT

Microsoft 365 Copilot

Google Gemini

PerplexityClaude

Összegzés

A mesterséges intelligencia bevezetése nem csupán IT-kérdés, hanem komoly jogi megfelelési projekt is. Mivel az MI-alapú rendszerek működése szinte minden esetben személyes adatok kezelésével jár, a GDPR szigorú előírásai és a hatósági elvárások miatt ezekkel a kérdésekkel célszerű még a rendszerek alkalmazásának megkezdése előtt foglalkozni. A transzparens, biztonságos és már a tervezési fázistól kezdve jogszerű működés kialakítása nemcsak a jogi kockázatokat minimalizálja, hanem a hosszú távú üzleti sikerek alapfeltétele is. Amennyiben egy társaság tervez bevezetni vagy már bevezetett MI-megoldást, szükséges azt felülvizsgálni adatkezelési szempontból is és megfelelően frissíteni az adatkezelési dokumentációt.

Kép forrása: pexels.com, Egor Komarov

Mesterséges intelligencia és adatvédelem a vállalati gyakorlatban Read More »

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben

Olvasási idő: 6 perc

Az Európai Adatvédelmi Biztos (EDPS) közzétette 2025. évi éves jelentését (a továbbiakban: „Jelentés”) amelyben részletesen bemutatja a gyorsan változó digitális világban a személyes adatok védelme érdekében végzett tevékenységét. A Jelentés egyértelműen jelzi, hogy az európai adatvédelmi és digitális szabályozási környezet új szakaszba lépett: a hangsúly már nem pusztán a formális GDPR-szabályzatokon, hanem az AI-rendszerek, a felhőszolgáltatások és a nemzetközi adattovábbítások tényleges működési kontrolljain van. A vizsgálatok középpontjában tipikusan azok az eszközök és folyamatok állnak, amelyeket a legtöbb szervezet napi szinten használ: Microsoft 365, cloud infrastruktúra, generatív AI-megoldások, mobilalkalmazások, HR-rendszerek. Jelen cikkünkben bemutatjuk a Jelentés főbb megállapításait és a megfeleléshez szükséges szempontokat, javaslatokat vetünk fel.

MI-irányítás: a megfelelőség új dimenziója

A Jelentés egyik legfontosabb üzenete, hogy a mesterséges intelligencia (a továbbiakban: „MI”, vagy „AI”) feletti vállalati kontroll (AI governance) rövid időn belül önálló, kiemelt megfelelőségi (compliance) területté növi ki magát. A mesterséges intelligencia már nem kísérleti technológia, hanem a mindennapi működés részévé vált az uniós intézményekben és egyre több szervezetnél is. Az EDPS a felkészülés jegyében már meg is tette az első komoly lépéseket:

Külön AI-részleget hozott létre: megerősítette az újonnan létrehozott MI-egységet, hogy felkészüljön a mesterséges intelligenciáról szóló EU rendelet alapján a felügyeleti feladatokra.

Feltérképezte a generatív AI-használatot: felmérte a jelenlegi MI-ökoszisztémát a tiltott gyakorlatok és a nagy kockázatú rendszerek tekintetében, és közzétett egy jelentést, amely rávilágít az MI-használat domináns területeire és a jogérvényesítési prioritásokra.

AI regulatory sandbox programot indított: egy szabályozási tesztkörnyezet mintaprojekt keretében biztonságos környezetet teremtett az innovatív MI-rendszerek hatósági felügyelet melletti fejlesztéséhez és teszteléséhez.

Új AI kockázatkezelési útmutatót adott ki az AI-rendszerek fejlesztéséhez és bevezetéséhez kapcsolódó technikai kockázatok azonosítására és mérséklésére.

A szabályozói fókusz különösen az alábbi specifikus területeken erősödik:

a generatív AI-eszközök vállalati használata;

a „dobozos” (off-the-shelf) AI-megoldások megfelelősége;

a magas kockázatú AI-rendszerek szigorú kontrollja;

az AI és a személyes adatok jogi kapcsolata;

az AI-rendszerek technikai kockázatkezelése.

Nagyvállalati környezetben ez azt jelenti, hogy az AI használata már nem kizárólag IT- vagy innovációs kérdés, hanem kiemelt jogi, compliance- és adatvédelmi kockázati terület is, ezért a szervezeteknek már most fel kell készülniük arra, hogy az AI-megoldásokat a GDPR és az mesterséges intelligenciáról szóló EU rendelet követelményeinek megfelelően vezessék be, dokumentálják, felügyeljék és használják a mindennapi működés során.

Microsoft 365 és nagyvállalati IT-rendszerek:

Az EDPS 2025-ben tovább erősítette a nagy informatikai rendszerek – köztük a Microsoft 365-höz hasonló felhőszolgáltatások – feletti felügyeletet. A korábbi vizsgálatok tanulsága, hogy a megfelelőség nem kizárólag szerződéses kérdés, hanem az adatfeldolgozás teljes életciklusára kiterjedő vizsgálatot igényel.

A vizsgálat fókuszában a nagyvállalatok számára is kritikus kérdések álltak:

a harmadik országokba irányuló nemzetközi adattovábbítások;

az összetett aladatfeldolgozó-láncok átláthatósága;

az adatokhoz való hozzáférések kontrollja;

a megfelelő technikai és szervezeti garanciák megléte.

A Jelentés egyik legfontosabb üzenete, hogy önmagában a szolgáltatói szerződés vagy a „GDPR-kompatibilis” megjelölés már nem elegendő. A felügyeleti gyakorlat egyre inkább a tényleges működési kontrollokat, a technikai intézkedéseket és a dokumentált kockázatelemzéseket vizsgálja. Emiatt mindenképpen javasolt a beszállítói szerződések limitált, adatvédelmi szempontú felülvizsgálata – javaslatunk alapján ezt elegendő egyszer megtenni és azt követően beépíteni a folyamatba egy olyan kontrollt, ami változás esetén szintén biztosítja a megfelelést vagy ami lehetővé teszi az időszakos felülvizsgálatot, visszaellenőrzést.

Nemzetközi adattovábbítások

A harmadik országokba irányuló adattovábbítások továbbra is kiemelt ellenőrzési területet jelentenek. Az EDPS itt is hangsúlyozza, hogy a megfelelő szerződések önmagukban nem elegendők. A megfelelés megítélése során egyre nagyobb szerepet kap az adattovábbítási hatásvizsgálat (TIA) tényleges tartalma, a harmadik országok jogi és gyakorlati környezetének értékelése, valamint az alkalmazott technikai és szervezeti intézkedések valós működése.  A modern felhőalapú rendszereknél az adatvédelmi jog szerint a távoli hozzáférés is adattovábbításnak minősül. Ha egy harmadik országbeli (pl. indiai vagy amerikai) IT-mérnök support vagy rendszerkarbantartás céljából belép egy Európában tárolt adatbázisba, az adat jogilag elhagyja az EGT-t. Ennek kockázatait kizárólag egy TIA képes érdemben felmérni. Ez különösen releváns olyan környezetekben, ahol globális cloud infrastruktúrák, vagy központi IT-támogatás működnek. A gyakorlatban ez azt jelenti, hogy a vállalatoknak érdemes feltérképezni, hogy akár a beszállító működési jellege, akár a cégcsoport által előírt folyamatok miatt történik-e adattovábbítás az unión kívül és azt megfelelően minősíteni.

A jövő adatvédelme technológiai fókuszú lesz

Az EDPS Jelentése alapján az európai adatvédelmi gyakorlat végérvényesen technológiai irányba mozdult el. A felügyeleti fókusz középpontjában a mesterséges intelligencia érthető és elszámoltatható működése, a felhőszolgáltatások folyamatos ellenőrzése, valamint a kiberbiztonság és az adatvédelem teljes fúziója áll. Az adatvédelmi megfelelés így többé nem egy elszigetelt jogi feladat, hanem a cégvezetés, a beszerzés, a digitális transzformáció és az IT-biztonság közös, mindennapi felelőssége.

Az EDPS Jelentése alapján jól látható: a következő években azok a szervezetek lesznek versenyelőnyben, amelyek felismerik a paradigmaváltást, és nem pusztán formális, papíralapú GDPR-megfelelést, hanem valódi, auditálható technológiai governance-rendszert építenek ki.

Kép forrása: pexels.com, Fotó: Jcmotive

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben Read More »

A CLVPartners kiemelkedő eredményeket ért el a Chambers and Partners Europe© és a Legal 500© 2026-os kiadványaiban

Örömmel osztjuk meg, hogy a Chambers and Partners© és a Legal 500© 2026-ban sorozatban 13. alkalommal rangsorolta irodánkat, ráadásul több kategóriában: munkajog, kereskedelmi jog, társasági jog és MA, adatvédelem témakörökben egyaránt azon kevés irodák egyike vagyunk Magyarországon, akik kiemelésre kerültek.

Az idei év különösen fontos mérföldkő számunkra, hiszen egy kategóriával előrébb léptünk, és magasabb band minősítést értünk el.

Boutique irodaként, versenyezve a legnagyobb nemzetközi, közel százfős irodákkal ez az előrelépés kiemelkedő elismerés számunkra, amely megerősíti szakmai elhivatottságunkat, és törekvésünket, hogy ügyfeleinknek a lehető legmagasabb szintű szolgáltatást nyújtsuk.

Külön öröm számunkra, hogy irodavezető partnerünk, Papp Anna egyéni elismerésben is részesült, és a kiadvány Magyarország kiemelkedő munkajogi ügyvédei között említi.

Szeretnénk megosztani néhány, számunkra különösen értékes visszajelzést, amit az ügyfeleink a minősítő szervezetnek mondtak el:

Az ügyvédi iroda szakmai felkészültsége, gyakorlatias szemléletmódja és kiemelkedő ügyfélszolgálata révén valóban kiemelkedik a munkajogi piacon.

„A csapat barátságos, könnyen elérhető, és még rövid határidővel is időszerű tanácsadást nyújt. Kiemelkedő erőssége, hogy képes egyensúlyt teremteni a gyors ügyintézés és a jól átgondolt, gyakorlatias tanácsadás között.”

„A csoport különösen nagy tapasztalattal rendelkezik a visszaélést bejelentő rendszerek kialakításában, valamint a belső munkahelyi vizsgálatok adatvédelmi követelményeinek kezelésében. Ez magában foglalja annak biztosítását is, hogy az érzékeny vállalati ügyek vagy zaklatási bejelentések kivizsgálása során is tiszteletben tartsák a „beépített adatvédelem” elvét.”

„A CLVPartners mindig rugalmas, proaktív és megoldásorientált. Megközelítésük holisztikus: a közvetlen probléma megoldásán túl olyan területekre is rávilágítanak, amelyekre mi talán nem gondoltunk, de amelyek elengedhetetlenek.”

„Papp Anna rugalmasságról, felkészültségről, széleskörű tapasztalatról, pontosságról és ügyfélközpontúságról tesz tanúbizonyságot. Átfogó szakértelme mellett a gyakorlati oldalát is jól ismeri a dolgoknak.”

„Bármilyen kérdésünkkel számíthatunk Papp Annára. Nincs olyan problémánk, amelyre ne lenne megoldási javaslata. Szakmai tudása és elkötelezettsége kiemelkedő.”

„Barbara Seregély széles körű tapasztalattal rendelkezik a határokon átnyúló vállalatfelvásárlások és -egyesülések, valamint a társasági jog területén.”

„Hrebenku Anikó kiváló ügyfélélményt biztosít, gondoskodva arról, hogy az egyes témákkal olyan szakértők foglalkozzanak, akik következetes támogatást nyújtanak.”

Köszönjük ügyfeleink az egész éves bizalmát és értékes visszajelzéseit. A jövőben is elkötelezetten dolgozunk azon, hogy hatékonyan támogassuk partnereink mindennapos működését.

Kép forrása: pexels.com, Fotó: Pixabay

A CLVPartners kiemelkedő eredményeket ért el a Chambers and Partners Europe© és a Legal 500© 2026-os kiadványaiban Read More »

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében

Olvasási idő: 7 perc

Az Európai Adatvédelmi Testület közzétette a 2026. február 11-én elfogadott, a 2026–2027. évekre szóló munkaprogramját (a továbbiakban: „Program”). A Program nemcsak stratégiai irányokat, hanem konkrét, a szervezetek mindennapi megfelelését segítő eszközöket is kijelöl. Jelen cikkünkben a konzultáció eredményét és az Európai Adatvédelmi Testület Programban foglalt terveit foglaljuk össze.

Előzmények

Az Európai Adatvédelmi Testület a 2024–2027-es stratégiájában négy, egymásra épülő prioritást jelölt ki. Ezek közé tartozik az adatvédelmi szabályok egységes és következetes érvényesítésének erősítése, valamint a szervezetek jogkövető működésének támogatása. Kiemelt cél továbbá az adatvédelmi hatóságok közötti – különösen határokon átnyúló – együttműködés elmélyítése. A stratégia hangsúlyt helyez arra is, hogy az adatvédelem megfelelően érvényesüljön a gyorsan fejlődő digitális és több szabályozási területet érintő környezetben – ideértve például a mesterséges intelligencia alkalmazásait is. Emellett az Európai Adatvédelmi Testület célja a magánélet és a személyes adatok védelméről szóló nemzetközi párbeszéd aktív ösztönzése és formálása. A Program az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájának végrehajtását segíti, az abban meghatározott prioritásokon és az érdekelt felek számára legfontosabbnak ítélt szükségleteken alapul.

A Program fő elemei

A Program az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) következetes alkalmazására épít, és négy pillér mentén határozza meg az Európai Adatvédelmi Testület 2026-2027 évi tevékenységét: harmonizáció és megfelelés, közös végrehajtási kultúra, a digitális szabályozási környezet kihívásai, valamint a globális adatvédelmi párbeszéd.

Harmonizáció és jogértelmezési egyértelműség

Az Európai Adatvédelmi Testület továbbra is részletes, ugyanakkor közérthető iránymutatásokat kíván kiadni olyan témákban, melyeket kulcsfontosságúnak tart az érdekelt felek rendezvényeken és konzultációkon jelzett tapasztalatai, visszajelzései alapján, mint anonimizálás és álnevesítés; jogos érdek alapján történő adatkezelés; „consent or pay” modellek; az adatvédelmi tisztviselőkre vonatkozó iránymutatás célzott frissítése.

Az Európai Adatvédelmi Testület emellett új eszközökkel kívánja elősegíteni a GDPR alkalmazását, különösen a kis-és középvállalkozások számára, így sablonok, útmutatók kiadását tervezik. Az Európai Adatvédelmi Testület ennek érdekében 2025. november 5. és december 3. között nyilvános konzultációt folytatott annak feltérképezésére, hogy milyen gyakorlati sablonok segítenék leginkább a szervezetek GDPR-megfelelését.

A visszajelzések alapján a legnagyobb igény az adatkezelési tevékenységek nyilvántartására, az adatvédelmi hatásvizsgálatra, a jogos érdek mérlegelési tesztre, az adatvédelmi tájékoztató sablonjára, az adattovábbítási hatásvizsgálatra, az adatfeldolgozási szerződésmintára, az adatvédelmi incidens-bejelentő űrlapra és a kockázatértékelési sablonra mutatkozott. Az Európai Adatvédelmi Testület a Programba végül három kiemelt sablon – a jogos érdek mérlegelési teszt, az adatkezelési tevékenységek nyilvántartása és az adatvédelmi tájékoztató – kidolgozását emelte be, azzal a céllal, hogy ezek egységes, gyakorlatorientált támogatást nyújtsanak a szervezetek számára, különösen a kisebb erőforrással rendelkező szereplők esetében.

Az Európai Adatvédelmi Testület ezen felül támogatja az adatkezelők és adatfeldolgozók számára előírt megfelelési intézkedések kidolgozását és végrehajtását például tanúsítási rendszerekkel, magatartási kódexekkel és akkreditációval kapcsolatos vélemények kiadásával.

Erősebb végrehajtási kultúra és együttműködés

A második pillér célja a GDPR alkalmazásának és végrehajtásának következetessége, valamint tagjai közötti együttműködés fokozása. Az Európai Adatvédelmi Testület továbbra is támogatni fogja az együttműködés és a végrehajtási eszközök fejlesztését, valamint előmozdítja a szakértelem megosztását. Az erőfeszítések arra is összpontosulnak, hogy a prioritást élvező kérdésekre nagyobb figyelmet fordítsanak és megteremtsék az összhangot.

E célok mentén az Európai Adatvédelmi Testület a GDPR következetes alkalmazására és a hatóságok közötti hatékony együttműködésre koncentrál. Ennek érdekében frissíti többek között a határokon átnyúló ügyek kezelésére vonatkozó iránymutatásokat, a bírságkiszabási elveket, a kölcsönös segítségnyújtás és sürgősségi eljárások szabályait. A koordinált végrehajtási kerettel (CEF) kapcsolatos fellépés körében 2026-ban a GDPR 12-14. cikkei szerinti, az érintettek részére nyújtandó átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedésekkel kapcsolatos kötelezettségek teljesítésére fókuszál. Szükség esetén munkacsoportokat hoz létre, hogy operatív platformokat biztosítsanak az érvényesítéssel kapcsolatos ügyekben történő együttműködést igénylő esetekhez. A következetességi mechanizmus hatékony működésének biztosítása érdekében a nemzeti felügyeleti hatóságok részére szóló véleményeket fogad el, melyek célja a következetes döntéshozatal támogatása.

Adatvédelem a digitális jogszabályok metszéspontjában

Az Európai Adatvédelmi Testület kiemelt célja a különböző uniós digitális jogszabályok közötti koherencia biztosítása. A gyorsan változó technológiai és piaci környezetben az adatvédelem már nem önálló szabályozási terület, hanem számos más uniós jogszabállyal (mint például a mesterséges intelligenciáról szóló rendelet) szoros kölcsönhatásban érvényesül. Ennek megfelelően egyre nagyobb jelentősége van az egységes értelmezésnek, a hatóságok közötti összehangolt fellépésnek és a világos iránymutatásoknak. Ezért az Európai Adatvédelmi Testület együttműködik más szabályozó hatóságokkal az adatvédelemmel kapcsolatos kérdésekben, hogy támogassa az új, szabályozási határokon átnyúló környezetet, például a versenyhatóságokkal, a fogyasztóvédelmi hatóságokkal és más jogi aktusok alapján illetékes hatóságokkal. Technológiai szinten napirenden lesz a generatív mesterséges intelligencia, a telemetriai és diagnosztikai adatok, valamint a blokklánc adatvédelmi kérdéseinek vizsgálata.

Globális adatvédelmi párbeszéd és adattovábbítás

Az Európai Adatvédelmi Testület továbbra is előmozdítja a magánélet és az adatvédelemről szóló globális párbeszédet, különös tekintettel a tagjai és a harmadik országok hatóságai közötti nemzetközi együttműködésre a végrehajtás terén. Cél a harmadik országok hatóságaival való együttműködés erősítése, különösen azokkal, amelyek uniós megfelelőségi határozattal rendelkeznek.

Összegzés: több támogatás, nagyobb jogbiztonság

A Program egyik legfontosabb üzenete, hogy az adatvédelmi megfelelés nem pusztán ellenőrzési kérdés, hanem támogatható, strukturálható folyamat. A sablonok kidolgozása, a harmonizált iránymutatások és a megerősített hatósági együttműködés mind azt a célt szolgálják, hogy a GDPR alkalmazása kiszámíthatóbbá és gyakorlatiasabbá váljon. Ugyanakkor továbbra is minden szervezetnek a saját üzleti folyamataira és adatkezelési kockázataira kell szabnia az adatkezelési dokumentumokat és folyamatokat. Az Európai Adatvédelmi Testület ezzel egyszerre kívánja erősíteni az alapjogok védelmét, támogatni a szervezetek működését és biztosítani, hogy az európai adatvédelem a gyorsan változó digitális környezetben is koherens és versenyképes maradjon.

Kép forrása: pexels.com, MART PRODUCTION

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében Read More »

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata

Olvasási idő: 6 perc

A digitalizáció és az adatalapú döntéshozatal térnyerése következtében az érzékeny információk száma, és ezáltal a kiberfenyegetések kockázata is megnőtt. Szükségesé vált egy szabályrendszer kialakítása, ami iránymutatást nyújt a technológiai környezet által formált szemlélet, elvárások, és felelősségek kezelésére. Ennek két fő alappillére az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”), melyet a hazai szabályozás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvénnyel („Kiberbiztonsági Törvény”) ültetett át, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”), amely az adatvédelemi megfelelés biztosítását szolgálja.

A NIS2 Irányelv, ennek nyomán a hazai kiberbiztonsági előírások és a GDPR szabályozása más szempontrendszert alkalmaznak, azonban az érintett területek a gyakorlatban gyakran átfedésben vannak, különösen olyan elektronikus információs rendszerek esetében, amelyek személyes adatokat is kezelnek. Emiatt a két szabályrendszer által támasztott követelmények összehangolása elengedhetetlen az érintett vállalatok jogszerű és biztonságos működéshez. A jelen cikk a NIS2 Irányelv és a hazai szabályozás GDPR-ral való kapcsolatát, egymás közti átfedéseit, ütközéseit és azok gyakorlati feloldását mutatja be.

NIS2 és GDPR hatálya: kettős kötelezettségek

A GDPR hatálya valamennyi szervezetre kiterjed, amely adatkezelőnek minősül, azaz a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A NIS2 hatálya összetett szempontrendszer alapján került meghatározásra, ide tartozhat számos vállalkozás a végzett tevékenysége, valamit a mérete és árbevétele alapján. Így, ha egy entitás mind a NIS2 mind pedig a GDPR hatálya alá tartozik, mindkét rendszer szabályainak párhuzamosan kell megfelelnie. Például egy gyártási ágazatban működő közép-vagy nagyvállalat tevékenysége és mérete alapján a kiberbiztonsági szabályozás hatálya alá tartozhat, a tevékenysége során pedig jellemzően adatkezelőként legalább munkavállalói és beszállítói adatokat kezel, így a GDPR és a NIS2 rendelkezéseit is alkalmazni szükséges.

A gyakorlatban az elektronikus információs rendszerekben többnyire személyes adatokat is kezelnek, mint a HR rendszerek, ügyféladatbázis. Incidens bekövetkezése esetén mind a GDPR, mind a NIS2 szabályrendszere kötelezettséget ír elő a szervezet részére. Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a kiberbiztonsági incidens pedig olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. Így, ha egy kiberbiztonsági incidens esetén személyes adat is érintett, például phishing e-mail vagy zsarolóvírus támadás következtében adatvesztés, adatszivárgás történik, az egyúttal adatvédelmi incidenst is megvalósít. Ezért mindkét szabályozás alapján szükséges vizsgálni az incidenskezelésre vonatkozó előírásokat, a feltételek fennállása esetén az illetékes hatóságok felé a szükséges bejelentéseket megtenni. Ennek érdekében célszerű olyan belső eljárásrendet kialakítani, amely mind a két rendszer által megkívánt kötelezettségeket figyelembe veszi.

Az incidensek megfelelő minősítése kiemelten fontos, mivel a különböző incidensfajtákhoz eltérő bejelentési kötelezettségek, tartalmi követelmények és határidők kapcsolódnak. Adatvédelmi incidens esetén a szervezetnek mindenekelőtt azt kell mérlegelnie, hogy az esemény kockázatot jelent-e a természetes személyek jogaira és szabadságaira. Ha ez a kockázat valószínűsíthető, akkor az incidenst 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, magas kockázat valószínűsítése esetén pedig az érintettek tájékoztatása is kötelező. A kiberbiztonsági incidensekre ezzel szemben más eljárási rend vonatkozik: a szervezetnek a tudomásszerzéstől számított 24 órán belül bejelentést kell tennie a rendelkezésre álló adatok alapján, majd 72 órán belül részletes jelentést kell benyújtania, a teljes kivizsgálás lezárását követően pedig legkésőbb 30 napon belül zárójelentést kell eljuttatnia a nemzeti kiberbiztonsági incidenskezelő központ részére. Mivel a GDPR és a kiberbiztonsági szabályok az incidens fogalmát és a kapcsolódó feladatokat is eltérően határozzák meg, előfordulhat olyan helyzet, hogy egy esemény kiberbiztonsági incidensnek minősül ugyan, de nem igényel adatvédelmi incidensbejelentést.

A kettős megfelelés gyakorlati jelentőségét jól mutatja egy olyan közép-vagy nagyvállalat példája, amely „máshova nem sorolt gépgyártás” tevékenységet folytat, így a NIS2 irányelv hatálya alá tartozik. Ha a vállalatot olyan incidens éri, amelynek eredményeként a támadó jogosulatlanul hozzáfér egy olyan szerverhez, amelyen munkavállalók személyes adatai is találhatók, az eseményt nemcsak adatvédelmi szempontból szükséges értékelni, hanem a Kiberbiztonsági Törvény alapján is vizsgálni kell. A jogszabály értelmében minden olyan fenyegetést, incidensközeli helyzetet vagy tényleges incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst –, amely a szervezet működésében vagy szolgáltatásnyújtásában súlyos zavart vagy vagyoni hátrányt okoz, illetve más személyek számára jelentős vagyoni vagy nemvagyoni kárt eredményez, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül be kell jelenteni az illetékes kiberbiztonsági incidenskezelő központnak. Ez a helyzet jól rávilágít arra, hogy a szervezeteknek mindkét jogi követelményrendszernek egyszerre kell megfelelniük, és az incidensek kezelését ennek megfelelően kell kialakítaniuk.

Folyamatok összehangolása dokumentációs és operatív szinten

Amennyiben a szervezet a GDPR és a kiberbiztonsági szabályozás hatálya alá is tartozik, a kettős megfelelés érdekében a két szabályozás által megkövetelt dokumentációs és működési folyamatokat is szükséges összehangolni. A GDPR megköveteli, hogy a szervezet rendelkezzen adatvédelmi szabályzattal, érintettek részére adatkezelési tájékoztatóval, valamint egyes esetekben adatvédelmi hatásvizsgálat lefolytatását is előírja. A kiberbiztonsági szabályok hasonlóképp megkövetelik az információbiztonsági szabályzat megalkotását. Ezeken felül pedig mindkét rendszer megköveteli az incidenskezelési folyamatok szabályozását, valamint az érintett munkatársak képzését, tudatosságnövelését.

A NIS 2 és a GDPR előírásainak betartásáért a szervezet vezetője felel, a szakmai megfelelés biztosításában pedig az adatvédelmi tisztviselő és az elektronikus információs rendszerek biztonságáért felelős szakember játszik meghatározó szerepet. Ahhoz azonban, hogy a szervezet ne párhuzamos, egymástól elszigetelt folyamatokkal dolgozzon, elengedhetetlen az információbiztonsági és adatvédelmi felelősök valódi, napi szintű együttműködése. A két szabályozás követelményeinek összehangolása nem pusztán adminisztratív kérdés: jelentősége abban áll, hogy mindkét terület ugyanazokra az információs rendszerekre, adatfolyamatokra és kockázatokra épül, még ha eltérő szempontok szerint is vizsgálja azokat. Ha a szervezet egységesen, koherens módon alakítja ki folyamatait, akkor elkerülhetők az átfedések, csökkenthetők a hibalehetőségek, és biztosítható, hogy a kiberbiztonsági és adatvédelmi elvárások egyaránt teljesüljenek. Különösen az incidenskezelési folyamatokat érdemes úgy kialakítani, hogy egy esetlegesen bekövetkező esemény során egységes eljárásrend biztosítsa mindkét szabályrendszer szerinti kötelezettségek teljesítését. Ez nemcsak erőforrás-hatékony működést eredményez, hanem erősíti a szervezet jogszabályi megfelelését és a rendszerek biztonságát, miközben növeli az ügyfelek, partnerek és munkavállalók bizalmát is.

A NIS2 és a GDPR eltérő célokat szolgál, és más logikával közelíti meg ugyanazokat az eseményeket. Míg a GDPR elsődleges célja a természetes személyek jogainak és szabadságainak védelme, addig a NIS2 az információs rendszerek biztonságának megerősítésére, a szolgáltatások folytonosságának védelmére és a kiberfenyegetésekkel szembeni ellenállóképesség növelésére fókuszál. Ennek megfelelően a két rendszer mást vár el a szervezetektől: a GDPR az adattakarékosságot és a célhoz kötöttséget hangsúlyozza, míg a NIS2 kifejezetten megköveteli a részletes naplózást, a folyamatos monitorozást és a naplóállományok megőrzését. Ez sok esetben azt eredményezi, hogy a NIS2-nek való megfelelés nagy mennyiségű, technikailag kezelt személyes adat tárolását vonhatja maga után, amelyet adatvédelmi szempontból körültekintően kell kezelni.

A két szabályozás közötti látszólagos ütközések a gyakorlatban összehangolt megközelítéssel oldhatók fel. Az egyik legfontosabb lépés az információbiztonsági kockázatértékelések és a GDPR szerinti adatvédelmi hatásvizsgálatok integrálása, hiszen mindkettő ugyanazokat a rendszereket, adatfolyamatokat és kockázati tényezőket vizsgálja, csak eltérő nézőpontból. Emellett kiemelt jelentőségű a belső szabályzatok olyan módon történő kialakítása, hogy azok egyszerre feleljenek meg a kiberbiztonsági szabályok által előírt kötelező védelmi intézkedéseknek és a GDPR rendelkezéseinek.

A NIS 2 és a GDPR egyaránt megköveteli, hogy a szervezetek megfelelően képezzék mindazokat, akik hozzáférnek az információs rendszerekhez vagy személyes adatokat kezelnek. Érdemes ezért az oktatások stratégiai tervezését és tartalmi elemeit is összehangolni, figyelembe véve a kockázatelemzések eredményeit, a korábbi incidenseket, a jogszabályi változásokat és a szervezet biztonsági szakértőinek szakmai véleményét. A két szabályozási terület közötti valódi összhang nemcsak a jogszabályoknak való megfelelés miatt fontos, hanem a szervezet működésének biztonsága, a kockázatok csökkentése és a belső és külső bizalom megőrzése szempontjából is meghatározó.

Összegzés

A GDPR és a NIS2 irányelv eltérő célt szolgál, de sok ponton találkozik az információbiztonság követelményeiben. A kettős megfelelés ezért gondos összehangolást igényel: a szabályozások előírásainak közös értelmezése és a kapcsolódó eljárások integrálása eredményezheti, hogy egy szervezet egyszerre teljesíti mindkét rendszer elvárásait. A szakmai dokumentációk és működési folyamatok koherens átdolgozása, a belső felelősségi körök egyeztetése, valamint a rendszeres oktatás és auditok összehangolása elősegíti, hogy a GDPR adatvédelmi és a NIS2 kiberbiztonsági céljai egyaránt teljesüljenek. Mindezek betartása erősíti a szervezet információbiztonsági és adatvédelmi rezilienciáját, megfelelve a vonatkozó uniós és nemzeti jogszabályi követelményeknek.

Fotó forrása: pexels.com, Kevin Ku

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata Read More »

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai

olvasási idő: 5 perc

A társaságoknak a versenyképességük megőrzése érdekében már nem pusztán előny, hanem alapvető elvárás az online jelenlét biztosítása. A honlapok és hírlevelek megkönnyítik az ügyfelekkel való kapcsolattartást, miközben lehetőséget teremtenek arra, hogy a címzettek első kézből értesüljenek a legújabb szolgáltatásokról és ajánlatokról. Ugyanakkor fontos szem előtt tartani, hogy mindez személyes adatok kezelésével is együtt járhat, amely már a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) hatálya alá tartozik. Ennek értelmében a marketing célú adatkezelésre kizárólag az érintettek kifejezett hozzájárulása alapján van lehetőség, szigorúan a GDPR-ban rögzített követelmények betartásával. Jelen cikkünkben a hozzájáruláson alapuló adatkezeléssel kapcsolatos legfontosabb szabályokat foglaljuk össze.

Mikor kell alkalmazni a GDPR-t?

Ahogy a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) is kiemeli, egy, a honlapok adatvédelmi beállításairól és a sütikkel kapcsolatos anyagában, a GDPR hatálya alá tartozik a vállalatok nevében eljáró természetes személyek (pl.: munkavállalók, magánszemély ügyfelek) személyes adatainak kezelése. Így például egy ügyfél nevének, telefonszámának, címének, e-mail címének vagy bankszámlájának gyűjtése, rögzítése, tárolása és felhasználása adatkezelésnek minősül. Ebből az is következik, hogy amennyiben egy társaság kizárólag jogi személyekre vonatkozó adatokat kezel, tevékenysége nem esik az Általános Adatvédelmi Rendelet hatálya alá, így az előírásainak való megfelelés sem kötelező számára. Azonban sok esetben a jogi személy kapcsolattartójának adatai (pl. név, személyes e-mailcím, pozíció) nélkülözhetetlenek a kommunikációhoz, amely kapcsán már adatkezelés valósul meg.

Ugyanígy a hírlevélre történő feliratkozás, a célzott megkeresés (másnéven: visszahívás kérése), vagy a weboldalak hatékony működését támogató eszközök – mint a sütik alkalmazása vagy a látogatottság mérése – esetében elengedhetetlen, hogy a vállalat természetes személek adatait kezelje, ezért az ilyen típusú adatkezelések szintén a GDPR hatálya alá fognak esni.

Hozzájárulás mint a személyes adatok kezelésének lehetséges jogalapja

Az adatkezelés alapvető szabálya, hogy érvényes jogalap hiányában a személyes adatok kezelése nem minősül jogszerűnek. Az adatkezelési jogalapok egyik – a marketing célú adatkezelésben leggyakrabban szükséges – típusa az érintett személy hozzájárulása.

Hozzájárulás elemei

A GDPR értelmében a hozzájárulás akkor megfelelő, ha az önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű kinyilvánítása annak, hogy az érintett a beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Önkéntesség

Hozzájárulás akkor adható szabadon, ha az egyének elutasíthatják és visszavonhatják hozzájárulásukat külső nyomás vagy negatív következmények kockázata nélkül. Így nem lehet önkéntességről beszélni, ha az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy a hozzájárulás megtagadását az adatkezelő negatív következményekkel sújtja. Ezt erősítette meg az Európai Adatvédelmi Testület („EDPB”) nemrég kiadott állásfoglalása, mely szerint az úgynevezett „pay or consent” (ford.: „fizess vagy hozzájárulsz”) modellek nem felelnek meg az önkéntes hozzájárulás követelményének. Ennek oka, hogy az ilyen modellek lényege abban áll, hogy az érintetteket választás elé állítja: vagy hozzájárulnak személyes adataik kezeléséhez, vagy ellenértéket fizetnek annak érdekében, hogy adataik kezelésére ne kerüljön sor.

Az önkéntességből fakad az a követelmény is, hogy az érintettnek joga van ahhoz is, hogy bármikor visszavonja a hozzájárulását.

Konkrét és megfelelő tájékoztatás

Ahhoz, hogy a hozzájárulás érvényes legyen, az adatkezelés céljának is konkrétnak kell lennie. Ez a feltétel szorosan kapcsolódik a tájékoztatáson alapuló hozzájárulás feltételéhez. Így az egyéneket egyszerű és könnyen érthető nyelvezettel kell tájékoztatni a konkrét célokról, hogy világos elképzelésük legyen arról, hogy milyen célból kezelik adataikat. Ez azt is jelenti, hogy ha az adatkezelési művelet céljai megváltoznak, vagy további adatkezelési műveleteket adnak hozzá, az egyénektől újra be kell szerezni a hozzájárulásukat. Hasonlóképpen, ha egy adatkezelési műveletnek több célja van, mindegyikhez külön-külön hozzájárulással kell rendelkezni az adatkezelés érdekében. A tájékoztatás során fel kell hívni a figyelmét az érintettnek arra is, hogy a hozzájárulását bármikor visszavonhatja.

Egyértelmű hozzájárulás

Az GDPR szerint szükség van az érintett nyilatkozatára vagy a megerősítést félreérthetetlenül kifejező cselekedetre annak érdekében, hogy a hozzájárulás egyértelmű legyen. Ez tulajdonképpen azt jelenti, hogy kizárólag aktív cselekedettel vagy nyilatkozattal lehet megadni a hozzájárulást. Az EDPB álláspontja szerint az általános szerződési feltételek mindenre kiterjedő elfogadása nem minősül megerősítést félreérthetetlenül kifejező cselekedetnek. A GDPR továbbá kifejezetten megtiltja, hogy az adatkezelők előre bejelölt négyzeteket vagy olyan kívülmaradási konstrukciókat ajánljanak, amelyek az érintett beavatkozását igénylik a beleegyezés megakadályozásához (ún. opt-out rendszerek).

A hozzájárulás időtartama, igazolhatósága

Az Általános Adatvédelmi Rendelet nem rendelkezik a hozzájárulás időbeli hatályának korlátozásáról. Ez ugyanakkor nem jelenti azt, hogy az érintett hozzájárulása estében korlátlan ideig van lehetőség a személyes adatok kezelésére. A hozzájárulás időtartama minden esetben az adott adatkezelés kontextusától függ. Az időtartam helyes meghatározása érdekében tehát szükség van az adatkezelés körülményeinek mérlegelésére.

A GDPR ezen kívül kimondja, hogy az adatkezelés során az adatkezelőnek minden esetben képesnek kell lennie arra, hogy a hozzájárulás megtörténtét megfelelően igazolni tudja.

A teljesség igénye nélkül, pusztán utalunk rá, hogy az Általános Adatvédelmi Rendelet a gyermekek hozzájárulásával, illetve a különleges adatokkal kapcsolatban további feltételeket határoz meg, így, ha ún. kitett csoport személyes adatának kezelését tervezi egy vállalat, különös körültekintéssel kell eljárnia.

Összegzés

A cégek online jelenléte – például honlapjaik és hírleveleik révén – elengedhetetlen a versenyképesség megőrzéséhez, ugyanakkor ezek személyes adatok kezelésével is együtt járhatnak, amely a GDPR hatálya esik. A személyes adatok kezelése kizárólag megfelelő jogalapon történhet, amelynek megléte minden esetben elengedhetetlen. A vállalatok számára kulcsfontosságú, hogy a marketingstratégia kidolgozása, bővítése során párhuzamosan kialakítsák és felülvizsgálják az adatkezelési keretrendszerüket, biztosítva ezzel adatkezelési gyakorlatuk GDPR-nak való megfelelőségét.

Fotó forrása: pexels.com, Tara Winstead

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai Read More »

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

Olvasási idő: 4 perc

A digitális platformok fejlődésével ma már bárkiből válhat tartalomgyártó: egy okostelefon, egy jó ötlet és néhány kattintás elég ahhoz, hogy üzeneteink, videóink vagy képeink akár több ezer emberhez is eljussanak. Az online jelenlét azonban nem csupán kreatív lehetőségeket, hanem jelentős jogi és adatvédelmi felelősséget és kockázatot is magában hordoz. A különféle tartalmak, így például posztok és videók megosztása során – különösen, ha azokban felismerhető személyek jelennek meg– személyes adatok kezelése valósul meg.

GDPR alkalmazhatósága általánosságban

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) kettős célt szolgál: egyrészt a természetes személyek személyes adatainak védelmét biztosítja, másrészt keretet ad az adatok Európai Unión belüli szabad áramlásának. A GDPR részletesen meghatározza, hogy az érintetteket milyen jogok illetik meg, és az adatkezelőket milyen kötelezettségek terhelik.

Ugyanakkor a GDPR-t egyes kivételes esetekben nem kell alkalmazni; ilyen kivétel például, amikor egy magánszemély kizárólag személyes célból kezel adatokat. Ilyennek minősül például a magánlevelezés akár papír alapon, akár elektronikus formában; címek, elérhetőségek tárolása; otthoni jegyzetek, napló; családi fotók; közösségi hálózatokon kapcsolattartás; egyéb online tevékenység. E kivételeket szűken kell értelmezni, és az adatkezelés csak akkor esik a GDPR hatályán kívül, ha az kizárólag magánjellegű célt szolgál, vagyis sem közösségi, sem szakmai, sem gazdasági vonatkozása nincs. Így például, ha az adatot meghatározhatatlan számú személy ismerheti meg vagy az nyilvánosságra kerül, már nem a magáncélú adatkezelés körébe tartozik. Gazdasági társaságok általi adatkezelés esetén pedig nem jöhet szóba a magáncélú használat, ezért bármely online tartalom közzététele, melyben személyes adatok szerepelnek (fénykép, hangfelvétel, más adat), legyen az munkavállaló, vagy bármely természetes személy, mindenképp megfelelő jogi körültekintést igényel.

Online tartalomkészítéssel kapcsolatos adatkezelés

A digitális platformok széles körben lehetővé teszik a felhasználóik részére, hogy fotókat, videókat vagy hangfelvételeket készítsenek és osszanak meg – akár más emberekről is. Felmerülhet a kérdés, hogy ilyen esetekben alkalmazandóak-e az adatvédelmi rendelkezések. Tekintettel arra, hogy a feltöltött felvételek – legyen szó arcról, hangról vagy más, személyhez köthető információról– személyes adatnak minősülnek, és e tartalmak a nyilvánosság számára is hozzáférhetővé válnak, azok kezelésére a GDPR rendelkezései irányadók.

Az adatvédelem egyik alapelve, hogy a személyes adatok kezeléséhez minden esetben szükség van érvényes jogalapra. Amikor egy adatkezelő személyes adatok kezelésével járó tevékenységbe kezd, mindig gondosan mérlegelnie kell, melyik jogalap felel meg leginkább a tervezett adatkezelés céljának. A tartalomgyártással összefüggő adatkezelések leggyakrabban az érintett hozzájárulásán alapulnak.

A hozzájárulás megszerzése kulcskérdés, hiszen más emberről felvételt készíteni és közzétenni csak akkor lehet jogszerűen, ha az érintett előzetesen, kifejezetten és megfelelő tájékoztatás birtokában egyezett bele. A kamera puszta jelenlétének eltűrése vagy egy kérdésre adott válasz önmagában még nem számít érvényes beleegyezésnek. Ez mutatja, hogy az adatvédelem területén milyen szigorúan értelmezett jogalapokra van szükség: a GDPR nem tartalmaz olyan kivételi szabályokat a tömegfelvétel vagy a közszereplés esetére, mint amelyeket a Polgári Törvénykönyvről szóló 2013. évi törvény („Ptk.”) a személyiségi jogoknál ismer. Ez az adatvédelem és más jogszabályok szerinti jogcímek párhuzamos valóságát jelzi, hiszen a Ptk.-nak megfelelő eljárás még megvalósíthat adatvédelmi szabálysértést, tehát eltérő feltételek szükségesek az egyes jogszabályok által megkövetelt jogszerűség biztosításához.

Megfelelés hiánya esetén felmerülő jogkövetkezmények

Az online térben való közzététel, amennyiben hozzájárulás, vagy más megfelelő jogalap nélkül valósul meg, az adatvédelmi előírások megsértését eredményezi. A jogsértő adatkezelésnek súlyos következményei lehetnek: hatósági eljárást és az adatvédelmi bírság kiszabását vonhatja maga után. Ha egy felvétel engedély nélkül készül és annak közzététele jelentős érdeksérelmet okoz, akkor a tevékenység nem csupán adatvédelmi szempontból jogellenes, hanem akár bűncselekményt is megvalósíthat, és megalapozhatja a Ptk. szerinti sérelemdíj-igényt is az eset körülményeitől függően. A felelősség minden esetben a felvétel készítőjét, illetve a tartalom közzétevőjét terheli.

Különösen kockázatos helyzet, ha gyermekekről, egészségügyi ellátásról, politikai véleményekről vagy más érzékeny adatokról készül felvétel. Ha a közzététel az érintett tudta és hozzájárulása nélkül történik, az nem esik a magáncélú kivétel alá, hanem teljes mértékben adatkezelésnek számít a GDPR alapján. Az érintetteknek ilyenkor joguk van tájékoztatást kérni, a hozzájárulásukat visszavonni, a felvételek törlését kérni, és akár jogi útra terelni az ügyet.

Összegzés

Az online térben való jelenlét – különösen vállalati kommunikáció, marketing vagy HR-tartalomgyártás esetén – körültekintő adatvédelmi gyakorlatot igényel. Ami a Ptk. alapján nem jár jogkövetkezménnyel, az adatvédelmi szempontból még jogsértő lehet.

A hozzájárulás tehát nem puszta formalitás, hanem a jogszerű adatkezelés egyik alapfeltétele. A szervezeteknek – akár tartalomkészítők, akár munkáltatók – ajánlott belső eljárásrendet, oktatást vagy szabályzatot kialakítaniuk az online tartalomkészítés adatvédelmi kockázatainak kezelésére.

Az érintetti jogok tiszteletben tartása, a hozzájárulások megfelelő dokumentálása és a GDPR-előírások betartása nemcsak jogi megfelelés kérdése, hanem a vállalati reputáció és bizalom megőrzésének záloga is.

Fotó forrása: pexels.com, Plann

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.