CLVPartners

CLV-02
Menu

Adatvédelem

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért

Adatvédelem, Hírek / / , ,

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért

Olvasási idő: 4 perc

Az Európai Adatvédelmi Testület az idei évben is közzétette a 2024-re vonatkozó jelentését („Jelentés”), egyúttal kijelölte a 2027-ig tartó stratégiájának alapvető céljait, ezek közül egyik azadatvédelmi szabályoknak való megfelelés elősegítése. Az Európai Bizottság („Bizottság”) pedig idén májusban a vállalkozások adminisztratív terheinek csökkentése érdekében benyújtotta a GDPR egyszerűsítésre irányuló javaslatát („Egyszerűsítési Javaslat”), melyet az EPDB is üdvözölt. Jelen cikkünkben a Jelentésben foglalt főbb megállapításokat és Testület jövőbeni terveit foglaljuk össze, valamint kitérünk az Egyszerűsítési  Javaslatra is.

Az Európai Adatvédelmi Testület szerepe az adatvédelemben

Az Európai Adatvédelmi Testület küldetése és jogi feladata sokrétű:

  • biztosítja az uniós adatvédelmi szabályok következetes alkalmazását;
  • előmozdítja a hatékony együttműködést az adatvédelmi hatóságok között az Európai Gazdasági Térségben (EGT);
  • segíti a GDPR egységes alkalmazását;
  • megvizsgálja a rendelet alkalmazását érintő kérdéseket, valamint
  • a GDPR egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki és azok alkalmazását szükség szerint felülvizsgálja.

A Jelentésben foglalt főbb eredmények

Az Európai Adatvédelmi Testület bármely felügyeleti hatóság, az Európai Adatvédelmi Testület elnöke vagy az Európai Bizottság kérelmére megvizsgálhat általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és arról véleményt bocsáthat ki. Az idei évben is folytatja tevékenységét, így új iránymutatást fogadott el az álnevesítéssel kapcsolatban, melyet ebben a cikkünkben ismertettünk. A Testület minden évben koordinált végrehajtási akciót is hirdet, 2024-ben a hozzáférési jogra összpontosított, míg a 2025. évre a törléshez való jog érvényesülésének felülvizsgálatát tűzte ki célul, erről ebben a cikkünkben adtunk hírt.

Az Európai Adatvédelmi Testület ezen kívül folytatta az adatkezelésben érintett személyekkel és szervekkel történő aktív párbeszédjét, mely eredményképpen megindította közérthető tájékoztató anyagok (factsheet-ek) közzétételét. Ilyen tájékoztató anyagban ismertette a Testület a mesterséges intelligencia kiberbiztonságra gyakorolt legjelentősebb pozitív és negatív hatásait. (A factsheet angolul ezen a linken érhető el)

Stratégia a 2024-2027 közötti időszakra

Az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájában négy fő pilléren alapuló célkitűzést határozott meg:

  • az adatvédelmi szabályok következetes alkalmazásának és a megfelelés előmozdítása;
  • az adatvédelmi hatóságok közötti nemzetközi együttműködés megerősítése;
  • az adatvédelem biztosítása a kialakulóban lévő digitális és több szabályozási területet (pl.: mesterséges intelligencia) felölelő környezetben, valamint
  • a magánélet és az adatok védelmének kérdéséről folytatott globális párbeszéd támogatása.

A Testület továbbá megerősítette, hogy a jövőben is aktív szerepet kíván vállalni a kis- és középvállalkozásokat („Kkv.”) érintő szabályozási környezet alakításában. Emellett kiemelt célként határozta meg, hogy konkrét eszközökkel segítse a Kkv.-kat a jogszabályoknak való megfelelésben, valamint hozzájáruljon az adatvédelmi jogok jelentőségéről szóló társadalmi tudatosság erősítéséhez.

Az Egyszerűsítési Javaslat

A Bizottság rámutatott, hogy az uniós jogszabályok összetettsége akadályozza a piacra lépést és korlátozza a növekedés lehetőségét. A Jelentésben megfogalmazott célok megvalósítása érdekében 2025. májusában közzétette negyedik úgynevezett omnibusz csomagot, melyben a Bizottság több uniós szabály – köztük a GDPR nyilvántartásra vonatkozó – módosítását javasolta.

A GDPR szerint jelenleg a nyilvántartás az adatkezelők és adatfeldolgozók alapvető eszköze, amellyel az adatkezeléseiket azonosítják és dokumentálják. Csupán példálózó jelleggel említjük meg, hogy ennekeleme az adatkezelés célja, az érintettek és címeztettek kategóriája, a megőrzési idő, adott esetben a harmadik országba történő adattovábbítás.

A hatályos szabályozás értelmében kizárólag abban az esetben mentesülhetnek az adatkezelők és adatfeldolgozók a nyilvántartás vezetése alól, ha 250 főnél kevesebb személyt foglalkoztatnak. Ugyanakkor a 250 főnél kisebb vállalatok is kötelesek nyilvántartást vezetni, ha

  • az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár;
  • az adatkezelés nem alkalmi jellegű;
  • ha az adatkezelés kiterjed különleges adatokra vagy egyéb büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

A felsorolás szubjektív jellege miatt a megfelelősége törekvő, compliance szemléletű vállalatoknak ezért minden esetben nyilvántartás készítését javasoljuk a kockázatok minimalizálása érdekében.

Ezt ismerte fel a Bizottság is, vagyis hogy a 250 főben meghatározott alkalmazotti létszám fennállása esetén is nagyon kevés esetben tudtak a vállalkozások mentesülni a nyilvántartási kötelezettség alól. Ezért – az Egyszerűsítési Javaslat szerint – a jövőben azon vállalkozások, amelyek kevesebb mint 750 munkavállalót foglalkoztatnak és forgalmuk nem haladja meg a 150 millió eurót, vagy teljes eszközállományuk nem haladja meg a 129 millió eurót, nem kötelesek nyilvántartást vezetni. Azon adatkezelési tevékenységek körében, amelyek várhatóan magas kockázattal járnak az érintettek – például a munkavállalók vagy ügyfelek – számára,továbbra is kiterjedne a vállalkozás nyilvántartási kötelezettsége.

A Bizottság becslései szerint ez az intézkedés az EU-ban mintegy 38.000 vállalkozást mentesítene a nyilvántartási kötelezettség alól és évente mintegy 400 millió euróval csökkentené a vállalkozások adminisztratív terheit.

Az Európai Adatvédelmi Testület támogatását fejezte ki a Egyszerűsítési Javaslattal kapcsolatban. Ugyanakkor felhívta az adatkezelők figyelmét arra is, hogy az adatkezelési műveletek nyilvántartása nemcsak a megfelelést segíti elő, hanem egyben hasznos eszközként szolgál más GDPR-követelmények teljesítéséhez is.

A fentiek összegzéseként tehát látható, hogy továbbra is elvárás a cégektől, hogy:

  • naprakész információval rendelkezzenek adatkezelései vonatkozásában (akár nyilvántartással, akár anélkül);
  • átlátható legyen az adatok kezelése és már a folyamatok kialakításakor vegyék figyelembe az adatkezelési szempontokat;
  • tudatosan mérlegeljék, milyen dokumentációs kötelezettséggel rendelkezzenek;
  • a kiemelt területeken továbbra is tartsák be a szigorúbb előírásokat.

Fotó: Marco, pexels.com

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért Read More »

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok

Adatvédelem, Hírek / / , , ,

A technológiai fejlődéssel párhuzamosan számos olyan eszköz és módszer is megjelent, melyek célja a személyes adatokhoz való jogosulatlan hozzáférés szerzése. Bár a kibertámadásokhoz használt eszközök egyre fejlettebbek, a személyes adatokat továbbra is leginkább az emberi mulasztás és a figyelmetlenség veszélyezteti leginkább. Az Európai Unió 2016/679 számú rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében, ezek betartása elengedhetetlen a személyes adatok védelmének és az adatbiztonság megfelelő érvényesülése érdekében. A GDPR előírásokat tartalmaz arra vonatkozóan is, hogyan kell az adatkezelőknek eljárniuk egy adatvédelmi incidens esetén. Jelen cikkünkben az adatvédelmi incidensekkel kapcsolatos legfontosabb tudnivalókat foglaljuk össze.

Adatvédelmi incidens fogalma

A személyes adatok kezelése során az adatkezelőnek a GDPR -ban meghatározott intézkedéseket kell megtenniük, melyekkel biztosítják adatkezelésük biztonságát. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ahhoz, hogy egy sérülést incidensnek tekintsünk, az adatbiztonság sérülésének olyan mértékűnek kell lennie, hogy az érdemi kockázatot jelentsen a személyes adatok védelmére nézve. Az adatkezelőknek szükséges tisztában lenniük azzal, hogy nemcsak a személyes adatok elvesztése jelent adatvédelmi incidenst. Az adatvédelmi incidensek közé tartoznak:

  • Bizalmassági incidensek, melyek egyrészt a személyes adatok jogosulatlan közlésével valósulhatnak meg (pl.: egy téves címzettnek küldött e-mail, vagy ha személyes adatokat tartalmazó dokumentumok mentése nem megfelelő helyre történik, ezáltal megosztásra kerülhet egyébként hozzáférésre nem jogosult személlyel – aki akár a társaság más munkavállalója is lehet). Ugyanakkor bizalmassági incidenst szándékos magatartásból fakadó tevékenység is előidézhet (pl.: adathalász támadások révén történő jogosulatlan hozzáférés).
  • Integritási incidensek, melyek akkor következnek be, ha a kezelt személyes adatok megváltoznak (pl.: ha a könyveléshez – akár jogosultsággal rendelkező, akár jogsértést elkövető – hozzáférő személy átírja a fizetéseket, vagy az adatbázist oly módon törik fel, hogy személyes adatokat törölnek belőle).
  • Elérhetőségi incidensek melyekről a kezelt adat megsemmisülése (akár véletlen törlés, vagy ideiglenes szerverleállás által) valamint az adatokhoz való hozzáférés elvesztése esetében beszélünk (pl.: az ügyféladatbázis példányát tartalmazó laptop vagy adattároló elvész, vagy ellopják).

Összefoglalva, adatvédelmi incidensnek minősül, ha személyes adatokhoz illetéktelenül hozzáférnek, azokat engedély nélkül továbbítják, vagy ha azok elérhetetlenné válnak például zsarolóprogram általi titkosítás, véletlen elvesztés vagy megsemmisülés következtében.

Adatvédelmi incidensek következménye

Az adatvédelmi incidensek, amennyiben nem kezelik megfelelően és időben, súlyos fizikai, vagyoni vagy nem vagyoni kárt okozhat az érintett személyeknek. Ilyen következmény lehet például a pénzügyi veszteség, személyazonosság-lopás, jó hírnév sérelme, illetve a bizalmas adatok nyilvánosságra kerülése. Ezen felül az adatvédelmi incidenseknek az ügyfelek társaságba mint adatkezelőbe vetett bizalmának csökkenését, a nem megfelelő kezelésük pedig hatósági szankciót is vonhatnak maguk után.

Adatvédelmi incidensek bekövetkezése esetén követendő eljárás

Tekintettel arra, hogy az adatvédelmi incidenseknek igen súlyos következményei lehetnek, az adatkezelőnek az incidensről való tudomásszerzése esetén kötelezettsége, hogy a GDPR-ban foglaltak szerint kezelje a kialakult helyzetet. Ehhez azonban szükséges, hogy aki észleli, haladéktalanul jelentse a kijelölt adatvédelmi felelős részére. Ennek eljárásrendjét érdemes belső szabályzatban rögzíteni.

Incidensek nyilvántartása

A GDPR értelmében az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Incidensek bejelentése

Az adatvédelmi incidenseket az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak („NAIH”). Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat.

A bejelentéshez a NAIH, egy a honlapján elérhető formanyomtatványt is biztosít, melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő elektronikus úton (pl.: hivatali tárhelyen, vagy e-Papír szolgáltatáson) keresztül nyújthat be.

A bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • illetve az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Végül de nem utolsó sorban a bejelentésnek tartalmaznia kell az incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolatát.

A bejelentést csupán az úgynevezett „bagatell” incidensek esetében lehet mellőzni. Ilyen incidensnek minősül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, de a bekövetkezett incidenst ebben az esetben is rögzíteni kell a nyilvántartásban.

Érintettek tájékoztatása

Amennyiben feltehető, hogy az adatvédelmi incidens magas kockázattal jár az érintettek számára, az adatkezelőnek erről késedelem nélkül kell tájékoztatnia az egyéneket. Ennek az intézkedésnek az a célja, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket (pl. személyazonosító igazolvány ellopásának bejelentése, bankkártya zárolása).

A kockázatok értékelését minden incidens során egyedileg kell elvégezni. A folyamat során olyan szempontokat kell figyelembe venni, mint a személyes adatok típusa (pl.: különleges adat) és mennyisége, érintettek száma, érintettek azonosíthatóságának lehetősége.

A magas kockázattal járó adatvédelmi incidensről abban az esetben nem kell tájékoztatni az érintetteket, ha:

  • a személyes adatok olyan módon vannak titkosítva, amely értelmezhetetlenné teszi az adatokat;
  • az adatkezelő időközben megfelelő védelmi intézkedéseket hajtott végre;
  • vagy az tőle aránytalan erőfeszítést igényelne. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)

Összegzés

Az adatvédelmi incidensek tehát az adatbiztonság igen tág körű módon meghatározott sérülését jelenti. Az incidensek bekövetkezésének komoly vagyoni, illetve nem vagyoni károkat tudnak okozni az érintettek számára, a nem megfelelő módon történő kezelésük pedig akár több millió forintos pénzbírság kiszabását is eredményezhetik. Az adatkezelőknek kötelezettsége, hogy már az adatkezelésük során biztosítsák a személyes adatok védelmét. Elsősorban tehát érdemes a megelőzésre törekedni. A megfelelően kivitelezett biztonsági intézkedések (pl.: jogosultsági rendszerek kiépítése, jelszavak és eszközök megfelelő védelme) alkalmasak lehetnek az incidensek bekövetkezésének megakadályozására. Ezek meghatározására és betartására célszerű előzetesen belső eljárásrendeket és akcióterveket készíteni és rendszeres időközönként felülvizsgálni, valamint az adatkezelésben érintett személyek (pl. munkavállalók) részére megfelelő időközönként adatvédelmi képzést tartani. A konkrét adatvédelmi incidens bekövetkezésekor pedig ajánlott szakértőt bevonását is igényelni, tekintettel a formalizált hatósági eljárás speciális szabályaira, illetve az egyedi mérlegelés szükségességére.

Kép forrása: pixabay, pexels.com

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok Read More »

Az Európai Adatvédelmi Testület új iránymutatása az álnevesítésről

Hírek, Adatvédelem / / , ,

Az Európai Adatvédelmi Testület („EDPB”) 2025. első negyedévében 1/2025 számon új iránymutatást („Iránymutatás”) fogadott el, amely az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerinti álnevesítés alkalmazásával kapcsolatos elveket és előnyöket mutatja be. Jelen hírlevelünkben az Iránymutatás fontosabb, gyakorlatot is érintő megállapításait foglaljuk össze.

Mi a jelentősége?

Az adatkezelés szabályait sokféle szerepkörben kell alkalmazni, gyakran munkáltatóként, beszállító partnerként vagy vállalkozóként is. Az adatkezelés során a megfelelő jogalap kiválasztása és az alapelvek betartása kiemelkedő jelentőségű, ugyanígy a technikai és szervezési intézkedések megléte a kezelt adatok biztonsága érdekében. A GDPR az álnevesítésre az adatkezelés kockázatait csökkentő eszközként tekint, amely alkalmazása során a személyes adatok olyan módon kerülnek kezelésre, hogy további információ felhasználása nélkül nem állapítható meg, hogy azok mely konkrét természetes személyre vonatkoznak, vagyis a személyazonosság csak többletinformációval állítható helyre.

Feltétel, hogy ezek az információk – vagyis az álnév és a további tulajdonság – külön kerüljenek tárolásra és biztosított legyen, hogy az adatok az arra irányadó feltételek hiányában ne legyenek összekapcsolhatók az érintett természetes személlyel. Az álnevesítés alkalmazása esetén meg kell határozni a konkrét kockázatokat, amelyeket a módszerrel kívánnak redukálni, és úgy kell kialakítani az eljárásrendet, hogy hatékony legyen a megjelölt cél eléréséhez. Ez különösen olyan esetekben jöhet szóba, ahol a kezelt adatok jellegéből adódóan a természetes személy könnyen azonosítható lenne. Lényeges azonban, hogy az álnevesítés nem helyettesíti a többi adatvédelmi intézkedést, hanem kiegészíti azokat.

Adatvédelmi elvek betartásának elősegítése

Az álnevesítés – mint az EU Bizottság által is nevesített jó gyakorlat – megfelelően alkalmazva hozzásegítheti az adatkezelést végző szervezetet a Rendelet által előírt alapelvek teljesítéséhez. A GDPR szerint az adatokat csak meghatározott célból lehet gyűjteni, és e célokkal összeegyeztethető módon lehet kezelni. Az álnevesítéssel csökkenthető annak kockázata, hogy a személyes adatokat további olyan módon dolgozzák fel, amely nem egyeztethető össze azzal a céllal, amelyre eredetileg az adatokat gyűjtötték.

Például, nagyon hasonló azonosítókkal rendelkező személyek (pl. Nagy István nevű munkavállalók) adataihoz nagymértékben eltérő álnevek (pl. munkavállalói azonosítók) hozzárendelése nemcsak a titkosságot fokozhatja, hanem hozzájárul a személyes adatok pontosságára és naprakészen tartására vonatkozó követelmény teljesüléséhez azáltal, hogy csökken annak lehetősége, hogy az adatokat (pl. bérszámfejtés) tévesen rossz személyhez rendelik.

Adatkezelés jogalapjának igazolása

Az adatkezelés jogszerűségének alátámasztásához elengedhetetlen a megfelelő jogalap megjelölése. Mivel az álnevesítéssel csökken az érintetti jogokat és szabadságokat érintő kockázat, az álnevesítés megkönnyítheti a jogos érdek jogalapként való alkalmazását (GDPR 6. cikk (1) bekezdés f) pont). Az álnevesítés ugyanis minimalizálja annak az esélyét, hogy az adatok jogosulatlan személyazonosításhoz vezetnek.

Hasonlóképpen, az álnevesítés segíthet az eredeti céllal való összeegyeztethetőség biztosításában (GDPR 6. cikk (4) bekezdés). Az álnevesítés megfelelő biztosíték lehet a további adatkezeléssel kapcsolatos összeegyeztethető célok mérlegelésekor is, mivel korlátozhatja a tervezett további adatkezelés lehetséges következményeit az érintettekre nézve, a további adatkezelési célok így kisebb kockázatot jelentenek.

Hogyan alkalmazható?

Az adatkezelőként eljáró szervezet köteles biztosítani, hogy az álnevesített adatok ne legyenek összekapcsolhatók egy személlyel, amíg a többletinformáció külön kerül kezelésre. Ennek megvalósításához az adatkezelőnek módosítania kell az adatokat, valamint további kulcsokat, információkat elkülönülten kell tárolnia elérve, hogy csak az arra jogosultak tudják az adatokat összekapcsolni.

A módszer hatékonysága érdekében az álnevesített adatok nem tartalmazhatnak közvetlen azonosítókat (pl. ismert azonosítószámokat, mint adóazonosító jel, személyi igazolványszám), mert ezek a közvetlen azonosítók felhasználhatók az adatoknak az érintettekhez való egyszerű hozzárendelésére. Ehelyett olyan azonosítók, egyedi kódok alkalmazhatók, amelyek csak kiegészítő információk felhasználásával rendelhetők az érintettekhez; ez az álnév. Mindezeket pedig megfelelő technikai és szervezési intézkedésekkel szükséges biztosítani, például:

  • titkosítás,
  • értelmezési kulcsok alkalmazása és elkülönült tárolása,
  • csak az arra jogosult személyek részére való hozzáférés biztosítása.

Álnevesítés során kezelt adat mint személyes adat

Fontos, hogy az álnevesített adatok továbbra is személyes adatnak minősülnek, azaz a GDPR hatálya alá tartoznak, ezért az érintett jogait biztosítani kell. Így például, ha az adott személy meg tudja adni azt az álnevet, ami alatt az adatait tárolják, és bizonyítani tudja, hogy ez az álnév rá vonatkozik, az adatkezelőnek képesnek kell lennie az érintett azonosítására és az érintetti joggyakorlás keretében előterjesztett igényeket az esetleges további feltételek fennállása esetén teljesíteni szükséges.

Az adatok álnevesítése csökkenti az érintettekre vonatkozó kockázatokat, mivel egy esetleges jogosulatlan hozzáférés vagy nyilvánosságra hozatal esetén megfelelő álnevesítéssel a természetes személyre vonatkozó közvetlen azonosító adat nem kerül felfedésre (pl. rossz helyre kerül kiküldésre a cafeteria nyilatkozat, de azon csak az álnév szerepel).

Érdekesség: ha az álnevesítéssel érintett adatok biztonsága megsérül, amely az álnevesítés jogosulatlan visszafordításához vezet, akkor az adatvédelmi incidensnek minősülhet és a konkrét eset körülményeitől függően megfelelő intézkedéseket szükséges megtenni.

Zárszó

Az Iránymutatás hasznos keretet kínál az álnevesítés mint adatkezelési garanciális módszer alkalmazásához. Nem csupán egy technikai eszköz, hanem egy olyan adatvédelmi eljárásrend, amely hozzájárul a GDPR szabályainak betartásához, ugyanakkor segíti az adatkezelést és a kapcsolódó jogok biztosítását. Az álnevesítés bevezetése az alkalmazott adatkezelési stratégia felülvizsgálata alapján célszerű, ugyanakkor technikai és szervezési intézkedéseket, valamint az adatkezelési dokumentáció megfelelő kiegészítését is igényli.

Kép forrása: Markus Winkler, Pexels.com

Az Európai Adatvédelmi Testület új iránymutatása az álnevesítésről Read More »

A törléshez való jog érvényesülésének felülvizsgálata 2025-ben

Hírek, Adatvédelem / / , ,

Az Európai Adatvédelmi Testület („EDPB”) 2020. októberében az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerint összehangolt végrehajtási keretről szóló dokumentumot fogadott el, amely értelmében minden évben egy meghatározott adatvédelmi témát vizsgálnak a tagállami hatóságok az EDPB által meghatározott keretek, módszerek alapján. Ezen összehangolt fellépések célja többek között a jogszabályoknak való megfelelés elősegítése, a tudatosság növelése.

Az idei évben az EDPB a törléshez való érintetti jogok gyakorlásának módját, az adatkezelők általi biztosítását kívánják górcső alá venni. Jelen cikkünkben az ezzel kapcsolatos fontosabb tudnivalókat foglaljuk össze.

A felülvizsgálat jelentősége

AZ EDPB 2025-ben a törléshez való jog érvényesülését kívánja vizsgálni, mivel ez az egyik leggyakrabban gyakorolt érintetti jog a GDPR hatályba lépése óta, azonban ennek biztosításával kapcsolatban nagyszámú panasz érkezik a felügyeleti hatóságokhoz. Ennek érdekében az EDPB idén a tagállami hatóságok segítségével a törlési jog biztosításával kapcsolatos gyakorlatokat kívánja megvizsgálni és felmérni, hogy az adatkezelők hogyan kezelik a hozzájuk beérkező törlési kérelmeket, hogyan alkalmazzák az e jog gyakorlására vonatkozó, GDPR-ban meghatározott feltételeket és kivételeket.

Mi a törléshez való jog?

A GDPR meghatározza azokat az alapvető jogokat, amelyekről az adatkezelő – legyen az munkáltató, beszállító partner vagy vállalkozó –köteles az érintettet előzetesen tájékoztatni és ezeket az adatkezelés során részére biztosítani. Többek között az érintett jogosult a rá vonatkozó személyes adatok törlését kérelmezni, amit az adatkezelő indokolatlan késedelem nélkül köteles megtenni.

A törléshez való jog gyakorlásának ugyanakkor feltételei is vannak, arra a következő esetek valamelyikében kerülhet sor:

  • ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat kezelték;
  • ha az adatkezelés az érintett hozzájárulásán alapult és azt az érintett visszavonta;
  • ha az érintett tiltakozik az adatkezelés ellen, amennyiben az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdekeinek védelme;
  • ha az adatok kezelésére jogellenesen került sor; vagy jogi kötelezettség alapján szükséges az adatot törölni.

Érintetti jog biztosítása

Az adatkezelőnek a természetes személyek személyes adatainak kezelése során mindvégig megfelelően biztosítania kell az érintettek adatkezeléshez fűződő jogait. Ehhez az egyik legfontosabb lépés az adatkezelő elérhetőségének garantálása, a kapcsolattartás lehetővé tétele, amelyet célszerű olyan mechanizmusokkal elérni, melyek megkönnyítik az érintett jogainak gyakorlását.

A személyes adatok kezelése kapcsán felmerülő bármely érintetti kérés esetén az adatkezelő köteles a kérés beérkezésétől számított legrövidebb időn belül, de nem később, mint 1 hónapon belül az érintetti jog gyakorlását biztosítani, vagy amennyiben ehhez további információra van szüksége, haladéktalanul felvenni a kapcsolatot az érintettel a kérés ügyintézése céljából, lehetőség szerint az érintett által alkalmazott kommunikációs csatornán. Ha pedig az adatkezelő az érintetti kérelemnek nem tesz eleget, arról is köteles indokolást adnia.

Ahhoz, hogy az adatkezelő az érintett kérelmét el tudja bírálni és annak eleget tudjon tenni, fontos, hogy az adatkezeléshez megfelelő szervezési és technikai intézkedéseket alkalmazzon. A joggyakorlás biztosítása kiemelkedő jelentőségű, ugyanis nem megfelelő adatkezelés esetén az érintett akár az illetékes hatósághoz – Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatósághoz – vagy akár bírósághoz is fordulhat panaszával.

Adatkezeléssel kapcsolatos teendők

A GDPR 2018-ban történt hatálybalépése óta a szervezetek széleskörű adatkezelési gyakorlatra tettek szert, valamint jelentős jogszabályváltozások történtek az adatkezeléssel érintett területeken.

Ugyanakkor tapasztaljuk, hogy a GDPR megfelelést egy egyszeri projektként kezelő vállalkozások nem vizsgálják felül (néhány) évente a folyamataikat, dokumentumaikat és a háttérjogszabályokat, ezért évek múltán az adatkezelési tájékoztató nem a valóságot tükrözi, amiért felelősségre vonhatóak.

Azt javasoljuk, hogy azok a cégek, akik az alábbi kritériumok közül valamelyikben magukra ismernek, vizsgálják meg adatkezelési dokumentációjukat, és ha kell, hozzák összhangba a tényleges folyamataikkal:

  1. Új szoftver bevezetése
  2. Üzletág vagy egyes folyamatok átszervezése
  3. Új beszállítók választása
  4. Megrendelőkkel való együttműködés módosítása
  5. Folyamatok kiszervezése – akár harmadik országba, akár az EU területén belül
  6. Tanúsítványok bevezetése (ISO, Tisax, stb.)
  7. Új jogszabályoknak történő megfelelés (pl. Panasztörvény, GPSR, Pay Transparency Irányelv)
  8. Cégcsoportban történő változások (pl. új befektető tulajdonos)
  9. Kommunikációs platform módosulása (Pl. intranet, chatbot)
  10. Adatbázisok létrehozása vagy egyesítése

Kép forrása: Freepik.com

A törléshez való jog érvényesülésének felülvizsgálata 2025-ben Read More »

Az alkalmassági vizsgálat biztosítására vonatkozó munkáltatói kötelezettség részleges eltörlése

Hírek, Adatvédelem, munkaalkalmasság, Munkajog, munkaköri alkalmasság / / , , ,

Az utóbbi hónapok sok kérdést felvető és bizonytalansággal övezett témája a foglalkoztatók által a dolgozók részére kötelezően biztosított munkaalkalmassági felmérés megszüntetése. A kivezetés hivatalosan kommunikált jogalkotói célja, hogy ezzel (is) csökkentsék a társaságok adminisztrációs terheit. A jelen hírlevelünk célja, hogy útmutatást adjunk ügyfeleink számára a változásokra és a kapcsolódó feladataikra vonatkozóan.

1. A korábbi előírások

Korábban az Mt-ben és a Munkavédelmi törvényben általános jelleggel került rögzítésre, hogy a munkáltató a munkába lépést megelőzően, majd a munkaviszony fennállása alatt rendszeres időközönként köteles ingyenesen biztosítani a dolgozó munkaköri alkalmassági vizsgálatát. A munkaképesség felmérése kapcsán – hacsak a foglalkoztató tevékenysége, illetve a munkakörre meghatározott követelmények okán nem tartozott kivételszabály alá – általánosan az 33/1998. (VI. 24.) NM rendeletet („Rendelet”) kellett alkalmazni.

2. A már hatályba lépett és a várható jogszabálymódosítások

A már említett vállalati kötelezettségek csökkentése érdekében 2024. szeptember 1-jével módosításra került mind az Mt., mind a Munkavédelmi törvény hivatkozott előírása.

Az új megfogalmazás azonban nem tisztázta teljes mértékben a vállalati kötelezettségeket. A rendelkezés szerint általános, azaz nem valamely szakmaspecifikus (pl. katonák szolgálati jogviszonya) követelmény alá tartozó esetekben ugyanis a vizsgálatra akkor kell, hogy sor kerüljön, ha a munkáltató úgy dönt, hogy kötelezettség hiányában is folytatja a gyakorlatot, vagy jogszabály ezt továbbra is előírja.

Utóbbi esetkör kapcsán az elmúlt hetekben jelentek meg azok a társadalmi egyeztetésre bocsátott tervezetek, amelyek közül több a napokban hatályba is lép, amik egyértelműsíteni kívánják, mikor kötelező a vizsgálat. Értelmezésünk szerint azok a cégek lesznek továbbra is kötelesek az alkalmassági vizsgálatok lefolytatására, akik a tervezetekben foglalt ágazatokban működnek (pl. építésgazdaság, kereskedelem). Ugyanakkor az ágazati besorolás alá tartozó cégeknél is csak azon munkavállalókról kell gondoskodni, akik a munkakörükből adódóan az ugyanott listázott kategóriákba tartoznak (pl. fokozott baleseti veszélynek, zajnak, 10 kg feletti kézi tehermozgatásnak kitett foglalkoztatott vagy éjszakai műszakban is dolgozók). Egy olyan eset van, amikor nem az ágazati besorolás és a munkakör lesz irányadó, ugyanis, ha az alkalmazott rendszeresen vagy az éves munkaidejének legalább egynegyedében végez éjszakai munkát, ő a munkáltató ágazati besorolásától függetlenül a kötelező vizsgálati körbe esik.

3. Javaslat

A fent részletezettek alapján értelemszerű ajánlásként lehetne megfogalmazni, hogy a társaságok először vizsgálják meg, hogy valamely tervezetben foglalt ágazat alá tartoznak-e, majd második lépésben mérjék fel a kötelezettség körébe eső munkaköröket és ezen alkalmazottakra vonatkozóan szervezzék meg az alkalmassági vizsgálatot.

A Munkavédelmi törvény azonban továbbra is általános szabályként tartalmazza, hogy a vállalat felel azért, hogy a munkavállaló egészségét a foglalkoztatása károsan ne befolyásolja. Ennek a kötelezettségének pedig akkor lehet nagy biztonsággal eleget tenni, ha – a munkakör sajátosságainak az ismeretében – a társaság esetről-esetre felméri azt is, hogy azok az alkalmazott kapcsán milyen esetleges kockázatot jelentenek. Ennek fényében azt javasoljuk, hogy a vállalatok lehetőség szerint az összes dolgozó tekintetében tartsák fenn az alkalmassági vizsgálatot a Rendelet szerint, amíg a részletszabályok (ideértve a Munkavédelmi törvény végrehajtásához kapcsolódó rendeleteket is) végső formájukban nem ismertek.

Érdemes megjegyezni, hogy a változásnak nem csak munkajogi, hanem adatvédelmi vetülete is van, hiszen a vizsgálati rend immár a cég döntésén alapul sok esetben, ami további adatkezelési dokumentáció elkészítését igényli.

Az alkalmassági vizsgálat biztosítására vonatkozó munkáltatói kötelezettség részleges eltörlése Read More »

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá

Hírek, Adatvédelem, DPO / / , , , , , ,

Aligha van olyan vállalkozás, akinek 2018. május 25. óta ne lett volna teendője adatvédelmi tisztviselővel, úgynevezett DPO-val. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) hatályba lépése óta eltelt több, mint öt év, ez azonban nem jelenti és nem is jelentheti azt, hogy „a gép forog, az alkotó pihen”. A folyamatos joggyakorlat fejlődésre tekintettel időről-időre a szabályzatok felülvizsgálata is esedékessé válhat.

Az Európai Adatvédelmi Tanács („EDPB”) 2023-ban olyan koordinált végrehajtási akció lefolytatását döntötte el, amely kifejezetten az adatvédelmi tisztviselők kijelölésére és működésére koncentrál. A koordinált akcióban 26 európai adatvédelmi hatóság vesz részt.

Az adatvédelmi tisztviselő feladata az érintettek jogainak és szabadságainak védelme, valamint az adatvédelmi előírások betartása. Az elvárások közül a pártatlanság és függetlenség kerül legtöbbször a hatóságok figyelmébe. A pártatlanság és objektivitás lehetővé teszi, hogy a tisztviselő szigorúan felügyelje az adatkezelési folyamatokat, hatékonyan kezelje az adatvédelmi incidenseket és tanácsokat adjon a szervezetnek a GDPR és más vonatkozó, adatvédelmi szabályok betartásához. A pártatlanság biztosítja, hogy a tisztviselő minden érdekelt fél számára azonos mértékben képviselje az adatvédelmi kérdéseket, legyen szó a szervezett alkalmazottairól, partnereiről vagy vezetőségéről. Az adatvédelmi tisztviselőnek olyan szakértőnek kell lennie, aki nem áll érdekelt kapcsolatban a szervezettel vagy annak adatkezelési tevékenységeivel. Az összeférhetetlenség azt is jelenti, hogy a kinevezett adatvédelmi szakembernek nem szabad olyan pozícióban lennie vagy olyan tevékenységet végeznie, ami akadályozza az objektív és független döntéshozatalt.

Az adatvédelmi tisztviselőkkel kapcsolatosan számos tagállami hatósági döntés született a korábbi években, az alábbi tanulságokkal:

  • az adatvédelmi tisztviselőt nem csak az anyavállalat szerint illetékes hatósághoz kell bejelenteni, a szervezetnek értesítenie kell más érintett hatóságot is, ha a fióktelepek miatt máshol is eljár a DPO;
  • nem lehetséges egy külsős céget kiszervezés keretein belül adatvédelmi tisztviselőként alkalmazni és ezzel párhuzamosan egy harmadik személy DPO-t is kijelölni;
  • ha az adatvédelmi tisztviselő vezeti a compliance-, audit- és kockázatkezelési területet is, az sértheti a függetlenség és pártatlanság követelményét;
  • az adatvédelmi tisztviselő nem lehet az adatkezelő képviselője az illetékes adatvédelmi hatóság előtti eljárásban, mert az veszélyezteti a függetlenségét és pártatlanságát;
  • az adatvédelmi tisztviselő visszahívására lehetőség van, ha a DPO már nem rendelkezik megfelelő szakmai képességekkel vagy nem teljesíti az adatvédelmi szabályok előírásait;
  • az adatvédelmi tisztviselő nem utasítható, ezért megsérti a GDRP-t, ha a tisztviselő nem léphet fel önállóan, csak társaság vezetőjének (vagy a vállalatban egyéb döntésre jogosult személy) utasítására. Ellenőrzési terv alapján formalizálható a DPO eljárása, de a közvetlen utasítás nem felel meg a GDPR-nak.
  • ugyancsak az általános adatvédelmi rendeletet sérti, ha a DPO és a társaság felső vezetése közé hierarchikusan több szint is tagozódik, mert ezzel közvetlenül már nem az ügyvezetésnek tartozik felelősséggel az adatvédelmi tisztviselő.
  • nem megfelelő megoldás, ha megtörténik az adatvédelmi tisztviselő kinevezése, de a DPO megfelelőségi feladatokat is ellát a cégnél, ezzel pedig sérül a függetlenség és pártatlanság. Az ügyben eljárt hatóság megerősítette, hogy a DPO nem tölthet be olyan funkciót, amely lehetővé teszi számára, hogy meghatározza a személyes adatok kezelésének célját és módját.
  • hasonlóképp kimondásra került, hogy az összeférhetetlenség tilalmába ütközik, ha egy vállalkozás adatvédelmi tisztviselője két olyan leányvállalat ügyvezetője, amelyek a fővállalkozás részére adatfeldolgozást végeznek, mivel ebben az esetben a DPO úgy felügyeli az adatfeldolgozói feladatok megfelelőségét, hogy közben érdekelt az adatfeldolgozó cégek profitjában és működésében.

Mivel ad EDPB a 2023-as összehangolt végrehajtási akciójában az adatvédelmi tisztviselőkre összpontosít, várhatóan megszaporodnak az olyan határozatok, amelyekben a DPO-k működésével, pártatlanságával mondanak ki elvi jelentőségű döntéseket az eljáró adatvédelmi hatóságok. Előfordulhat, hogy újabb iránymutatás vagy állásfoglalás kerül kiadásra a hazai vagy európai uniós hatóságok részéről.

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá Read More »

A sütikkel kapcsolatos adatkezelés gyakorlati problémái

Hírek, Adatvédelem / / , , , , , ,

Bevezető

Mai digitális világunkban rendkívüli módon elterjedtek a személyes adatok gyűjtésére és kezelésére irányuló módszerek és technológiák (pl.: cookie-k, magyarul: sütik), hiszen ezek révén az adatkezelők igen fontos információkat tudhatnak meg rólunk. Elegendő, ha például arra gondolunk, hogy egy cipő interneten történő egyetlen felkeresését követően szinte borítékolhatóan szembe találkozunk a megtekintett, illetve ahhoz hasonló cipők reklámjaival más platformokon.

Az adatkezelő cégek és a magánszemélyek viszonya alapvetően egyenlőtlen, hiszen az átlag felhasználók tipikusan nincsenek tisztában a személyes adataik sokrétű kezelésével kapcsolatban. Ennek kiegyensúlyozásaként, a magánélet tiszteletben tartása és a személyes adatok védelme érdekében került megalkotásra – többek között – az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv („Elektronikus hírközlési adatvédelmi irányelv”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet („GDPR”). Ezek az uniós jogszabályok olyan minimum követelményeket fogalmaznak meg az adatkezelőkkel szemben, amelyek az aszimmetrikus jogviszonyok kiegyenlítését hivatottak szolgálni.

A jogok tényleges érvényesülését segítik elő az olyan civil szervezetek, mint például a None of Your Business („NOYB”). A NOYB tevékenységének eredményeképpen idén megjelent a sütikkel kapcsolatos legújabb, az Európai Adatvédelmi Testület sütikre szakosodott munkacsoportjának összefoglaló jelentése. A munkacsoport jelentésében 7 főbb süti kezelési gyakorlatot mutatott be, amely álláspontja szerint nem megfelelő az irányadó jogszabályok fényében. Ezeket az alábbiakban röviden és összefoglalóan ismertetjük annak érdekében, hogy a honlapot működtető cégek megfelelően alakítsák gyakorlatukat és a felhasználók is legyenek tudatosabbak:

Visszautasítási gomb hiánya: A hozzájárulással szemben támasztott követelményeknek nem felel meg, ha a hozzájáruláshoz kötött sütikkel kapcsolatos tájékoztató ablakban elsőre kizárólag az “elfogadás”, illetve a “további tudnivalók” lehetősége ugrik fel, de az elutasításra vonatkozó gomb nem.

Előre bejelölt opciók: Csakugyan nem megfelelő az az eljárás, ha a cookie-k beállítása során a lehetséges opciók közül előre be vannak pipálva az adatkezelő által preferált választási lehetőségek.

Link használata: A sütikkel kapcsolatos adatkezelésre vonatkozó elfogadó gomb tipikusan minden oldalon automatikusan felugrik, ugyanakkor vannak olyan adatkezelők, akik az elutasításra vonatkozó lehetőséget csupán egy külön linken keresztül biztosítják, ezzel megnehezítve a felhasználók önkéntes választását és nyomást helyezve rájuk.

Megtévesztő gomb színek, kontrasztok: Az érvényes hozzájáruláshoz az sem elhanyagolható körülmény, hogy a lehetséges opciók vizuálisan miként kerülnek megjelenítésre. Ugyanis, ha a megjelenített gombok színe vagy kontrasztja megtévesztő az érintettek számára (pl.: ha az elfogadás gomb egyértelmű megjelenítése mellett az elutasítás, valamint a további lehetőségek gomb színeinek kontrasztja olyan minimális, hogy az szinte láthatatlan), az így adott hozzájárulás nagy valószínűséggel érvénytelennek fog minősülni. Természetesen ezt mindig esetről-esetre szükséges vizsgálni.

Jogalappal kapcsolatos félrevezetés: Nem jogszerű az a gyakorlat, amikor az oldal kezelője először a látogató hozzájárulására, annak hiányában pedig jogos érdekére alapozza az adatkezelést. E tekintetben különösen jogszerűtlen az, amikor a hozzájárulás kapcsán tiltakozási lehetősége nincsen a felhasználónak arra tekintettel, hogy hozzájárulás hiányában az adatkezelő a jogos érdekére alapozva fogja kezelni azokat, hiszen, ez azt a benyomást keltheti az érintettben, hogy az adatkezeléshez csak hozzájárulni tud, más lehetősége nincs.

Alaptalanul nélkülözhetetlennek feltüntetett sütik: A munkacsoport jelentésében kitért arra az esetre is, miszerint sok adatkezelő alapvető szükségletű, nélkülözhetetlen sütiként tüntet fel olyan cookie-kat, amelyek valójában nem minősülnek annak.

Visszavonási lehetőség hiánya: A hozzájárulással szemben támasztott további követelmény, hogy az bármikor, ugyanolyan egyszerű módon visszavonható legyen, mint annak megadása volt az érintett számára. Így ennek lehetőségét biztosítania kell az adatkezelőknek a sütikkel kapcsolatban is (pl.: egy visszavonásra utaló lebegő gomb, link elhelyezésével).

Összefoglaló

A fentiek alapján látható, hogy az adatkezelőknek úgy kell eljárniuk, hogy a felhasználók részére biztosítsák a megfelelő információkhoz való hozzáférés lehetőségét és azok így kerüljenek döntési helyzetbe. Természetesen az már az érintettek felelőssége, hogy ténylegesen tájékozódjanak, és így, mint jogtudatos felhasználók járjanak el, illetve hozzanak döntést saját adataik vonatkozásában (pl.: adatkezelési beállítások testreszabásával, felkeresett oldalak használat utáni elhagyásával, NAIH tájékoztatók, adatkezelő adatkezelési tájékoztatójának megismerésével).

A sütikkel kapcsolatos adatkezelés gyakorlati problémái Read More »

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról Read More »

A NAIH álláspontja a munkavállalók COVID-19 elleni védettségi adatainak kezeléséről

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , ,

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”, „Hatóság”) 2021. április 1-i tájékoztatójában tette közzé a vakcina adatokkal kapcsolatos álláspontját. A Hatóság tájékoztatója kizárólag munkaviszonyban állókra értelmezhető, és az abban foglaltak csak a járványhelyzet alatt irányadók.

A NAIH hangsúlyozza, hogy a védettségi adatok kizárólag akkor kezelhetők, ha a munkáltató tényleges és szükséges munkavédelmi intézkedéseket tesz a gyűjtött adatok alapján. Tehát ha a munkáltató az adatok kezelése mellett dönt, akkor köteles azok alapján munkavédelmi intézkedéseket és döntéseket hozni, és ezeket dokumentálni, szükség esetén igazolni. Ha a munkáltató nem használja fel a gyűjtött adatokat, azzal készletező adatkezelést valósít meg, ami minden esetben jogellenes.

A munkáltatónak tehát a COVID-fertőzés a munkahelyi biológiai expozíciók felmérésére munkavédelmi kockázatelemzést kell készítenie. A munkavállaló védettségére (azaz az oltás ténye, vagy az a tény, hogy a fertőzésen átesett) vonatkozó adatot a munkáltató akkor kezelheti, ha a kockázatelemzés alapján egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges:

A Hatóság két végletet említ példaként, hogy milyen esetben szükséges vagy nem szükséges a védettségi adat kezelése:

  • az állandó jellegű távmunkavégzés esetén a szükségesség értelemszerűen nem állapítható meg.
  • szükséges az adatkezelés a kórházak COVID-19 osztályain elhelyezett orvostechnikai és egyéb eszközök javítását, karbantartását végző munkavállalónál.

Álláspontunk szerint a két véglet közötti térben több olyan munkakör van, ahol megállapítható a védettség kezelésének szükségessége.

Az adatkezelés előtt a munkáltatónak meg kell határoznia annak jogalapját, amely kapcsán fontos kiemelni, hogy a védettség ténye a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül. Mindezekre tekintettel álláspontunk szerint a megfelelő jogalap a védettségi adatok kezelésére a munkáltató jogos érdeke a munkavédelmi kötelezettségeinek teljesítéséhez. A jogos érdek igazolásához a munkáltatónak érdekmérlegelési tesztet kell végeznie, egyensúlyt teremtve a munkavédelmi kötelezettségek és a munkavállalók magánélethez való joga között. Fontos megjegyezni, hogy a munkavállaló hozzájárulása nem megfelelő jogalap, mivel a hozzájárulás önkéntessége megkérdőjelezhető az alá-fölé rendeltségi viszonyra tekintettel.

Emellett a munkáltatónak adatkezelési tájékoztatót kell készítenie, amiben a munkavállalók számára közérthetően és kellően részletesen meg kell határozni az adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét, valamint az érintetteket tájékoztatni kell az őket a GDPR alapján megillető jogok gyakorlásának a lehetőségéről, illetve a jogorvoslati módokról.

Ha minden feltétel teljesül, a munkáltató legfeljebb az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azaz a védettségi igazolványról nem készíthető másolat, kizárólag a védettség ténye, valamint a védettség, amennyiben ez ismert, az időtartama rögzíthető. A koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen a munkáltató.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

A NAIH álláspontja a munkavállalók COVID-19 elleni védettségi adatainak kezeléséről Read More »

Enyhített a NAIH elnöke a lázméréssel kapcsolatban

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , , ,

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban.
Eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban, eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

Emlékeztetőül, a Hatóság 2020. március 11-én kiadott tájékoztatója és azt megerősítő 2020. április 28. napján közzétett állásfoglalása még aránytalannak tekintett minden diagnosztikai eszközzel végzett általános és kötelező jelleggel bevezetett vizsgálatot, példaként a lázmérőt említve, mivel a tavaszi járványhelyzet ezt nem indokolta.

A NAIH elnök nyilatkozata a korábban kiadott tájékoztató és állásfoglalás többi részét nem érintette, így valamennyi koronavírus járvánnyal kapcsolatos adatkezelés mint a lázmérés továbbra is a munkáltató jogos érdeke alapján, érdekmérlegelési teszt elvégzésével vezethető be, a lázmérést pedig egészségügyi szakember által vagy az ő szakmai felügyelete mellett végezhető a GDPR 9. cikk (3) bekezdése alapján.

A Hatóság változatlanul megköveteli, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás, védőeszközök biztosítása, munkavállalók közötti távolságtartás).

 

 

Enyhített a NAIH elnöke a lázméréssel kapcsolatban Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.