CLVPartners

Adatvédelem

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai

Olvasási idő: 7 perc

Az utóbbi időszakban ügyfeleinktől egyre gyakrabban érkezik kérdés azzal kapcsolatban, hogy pontosan meddig terjed az érintetti hozzáférési jog gyakorlása, és milyen gyakorlati elvárásoknak kell megfelelni a teljesítés során. A téma aktualitását az is növeli, hogy jelenleg az Általános Adatvédelmi Rendelet, azaz a GDPR egyes eljárási szabályainak módosítására irányuló jogalkotási folyamat is zajlik.

A GDPR alapján a hozzáférési jog az érintetti jogok egyik központi eleme. Egyrészt az átlátható adatkezelés alapját képezi, másrészt a gyakorlatban gyakran vezet jogvitákhoz: a felügyeleti hatósági eljárások és bírósági ügyek jelentős része ehhez a joghoz kapcsolódik. A hozzáférési jog teljesítése ugyanakkor nem pusztán az adatok rendelkezésre bocsátását jelenti. Magában foglalja az érintett megfelelő azonosítását, az adattakarékosság elvének érvényesítését, valamint az esetleges visszaélésszerű kérelmek kezelését is.

Jelen hírlevelünkben áttekintjük a hozzáférési jog tartalmát, az európai jogalkalmazási gyakorlatot formáló iránymutatásokat, valamint a közelmúltbeli és várható jogalkotási fejleményeket.

A hozzáférési jog tartalma

A GDPR 15. cikke alapján az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, jogosult hozzáférni az alábbi információkhoz:

az adatkezelés célja,

a kezelt személyes adatok köre,

az adattovábbítás címzettjei, akikkel a személyes adatokat megosztják,

az adatok tárolásának időtartama,

az érintettet megillető jogokról, miszerint kérheti a személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

felügyeleti hatósághoz panasz benyújtásáról, annak módjáról,

valamint az adatok forrása (amennyiben nem az érintettől származnak).

A jog gyakorlásának egyik kritikus eleme az adatmásolat biztosítása. A joggyakorlat egyértelművé tette, hogy ez nem pusztán összefoglaló jellegű tájékoztatást jelent, hanem az érintettre vonatkozó konkrét adatok tényleges rendelkezésre bocsátását. Ez adott esetben teljes dokumentumok (pl. e-mailek, jelentések) releváns részeinek átadását is magában foglalhatja.

A hozzáférési kérelmek kezelésének jelentősége

A hozzáférési jog megfelelő teljesítése nem csupán formai kötelezettség, hanem az adatvédelmi megfelelés egyik központi eleme, mivel közvetlenül az átláthatóság és az elszámoltathatóság elvét érvényesíti.

Amennyiben az adatkezelő helyesen teljesíti a hozzáférési kérelmeket, azzal:

biztosítja a GDPR egyik alapelvének, az átlátható adatkezelésnek az érvényesülését,

biztosítja az érintetti jogok tényleges gyakorlását,

csökkenti a hatósági eljárások és bírságok kockázatát,

mérsékli a jogviták kialakulásának esélyét,

és erősíti az érintettek bizalmát az adatkezelési folyamatok iránt.

Ezzel szemben a hibás vagy hiányos teljesítés – például hiányzó adatmásolat, nem megfelelő anonimizálás vagy indokolatlan elutasítás – önálló jogsértéshez vezethet, gyakran az érintett hatóságnál tett panaszán alapuló vizsgálatok kiindulópontja is.

10 legfontosabb tudnivaló a hozzáférési jog gyakorlásáról

Az Európai Adatvédelmi Testület (EDPB) iránymutatása alapján a hozzáférési jog gyakorlásával kapcsolatban az alábbi gyakorlati szempontokra érdemes kiemelten figyelni:

  1. A hozzáférési kérelmeket tartalmuk szerint kell elbírálni; nem utasíthatók el pusztán formai okokból, és minden, a személyes adatok megismerésére irányuló megkeresést hozzáférési kérelemként kell kezelni.
  2. Az adatkezelő köteles minden releváns rendszerben keresést végezni, így különösen az elektronikus rendszerekben, e-mail fiókokban és archivált adatokban, szükség esetén papíralapú dokumentumokban is.
  3. Ha az érintett adatmásolatot kér, ténylegesen a róla kezelt személyes adatokat kell kiadni, nem elegendő egy összefoglaló vagy lista. Ez adott esetben dokumentumok (pl. e-mailek, jelentések) releváns részleteinek kiadását is jelentheti, természetesen az üzleti titkok megtartásával.
  4. A kiadott információnak közérthetőnek kell lennie; technikai vagy kódolt adatok esetén magyarázat biztosítása is szükséges lehet.
  5. Ha a kiadandó dokumentum más személyek adatait is tartalmazza, az adatkezelő köteles anonimizálást vagy kitakarást alkalmazni; a teljes dokumentum visszatartása csak kivételesen indokolt.
  6. Ha az adatkezelőnek megalapozott kétsége merül fel a kérelmező személyazonosságával kapcsolatban, az érintettet azonosítania kell, hogy a személyes adatok biztosan a jogosult személyhez kerüljenek, így biztosítva a személyes adatok védelmét és az érintetti joggyakorlást.
  7. Az azonosítás során az adatkezelő elsősorban a saját rendszerében már rendelkezésre álló adatok alapján jár el, szükség esetén kiegészítő egyeztetést (pl. e-mail ellenőrzés, online vagy személyes azonosítás) alkalmazva.
  8. Csak a feltétlenül szükséges mértékű adat kérhető az azonosításhoz; a túlzott vagy indokolatlan hitelesítési követelmény önmagában is jogsértést eredményezhet.
  9. Az azonosításnak mindig arányosnak és biztonságosnak kell lennie, figyelembe véve az adatok érzékenységét, a kérelem körülményeit és a visszaélés kockázatát.
  10. Az adatkezelőnek indokolt esetben dokumentálnia és igazolnia kell, hogy az alkalmazott azonosítási és teljesítési megoldások szükségesek és arányosak voltak.

GDPR módosítási javaslat – eljárásjogi reform

A GDPR jelenlegi szabályai szerint az érintetti kérelmeket alapvetően díjmentesen kell teljesíteni. Az adatkezelő csak akkor számíthat fel díjat vagy tagadhatja meg a kérelem teljesítését, ha az nyilvánvalóan megalapozatlan vagy túlzó, például ismétlődő jellegű. Ebben az esetben a bizonyítás az adatkezelőt terheli.

A tervezett GDPR-módosítás ezt a keretet pontosítaná, és külön nevesítené a „visszaélésszerű” kérelmek esetét. Ilyennek minősülhet például, ha valószínűsíthető, hogy az érintett nem az adatvédelem érvényesítése érdekében, hanem más célból – például nyomásgyakorlás vagy jogvita előkészítése miatt – él a jogával.

A javaslat egyik lényeges eleme, hogy az adatkezelő helyzete enyhülne: nem feltétlenül kellene teljes bizonyossággal igazolnia a visszaélést, elegendő lehet annak megalapozott valószínűsítése is.

Ugyanakkor az Európai Adatvédelmi Testület (EDPB) hangsúlyozza, hogy a hozzáférési jog korlátozása továbbra is kivételes marad, és a „visszaélésszerű kérelem” fogalmát szűken kell értelmezni. A javaslat nem a hozzáférési jog tartalmát változtatná meg, hanem várhatóan elsősorban az eljárások gyorsítását és a hatósági gyakorlat egységesítését szolgálná.

Összegzés

A hozzáférési jog továbbra is az adatvédelmi megfelelés egyik legkritikusabb területe. A joggyakorlat egyre inkább az érintettek tényleges információhoz jutását helyezi előtérbe, miközben az adatkezelőknek egyensúlyt kell teremteniük az érintetti jogok biztosítása, az adattakarékosság és az adatbiztonság követelményei között.

Az adatkezelők számára ezért különösen fontos a naprakész adatleltár fenntartása, egységes belső eljárásrend kialakítása az érintetti kérelmek kezelésére, megfelelő anonimizálási és dokumentumszűrési mechanizmusok alkalmazása, valamint az érintett munkavállalók rendszeres képzése. Különösen lényeges, hogy az adatkezelők dokumentálják az érintetti kérelmek kezelésével kapcsolatos döntéseiket, így az azonosítás lépéseit és az esetlegesen visszaélésszerűnek ítélt kérelmek megítélésének szempontjait is. Ez azért is fontos, mert a várható szabályozási változások és a fokozott hatósági figyelem mellett ezek a folyamatok kiemelt ellenőrzési ponttá válhatnak.

Kép forrása: pexels.com, El Jundi

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai Read More »

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után

Olvasási idő: 4 perc

A 2026. június 29-én meghozott amerikai legfelsőbb bírósági döntés (Trump v. Slaughter; a továbbiakban: „Döntés”) valószínűleg hatással lesz az Európai Unió és az Egyesült Államok közötti nemzetközi adattovábbítások jogi megítélésére, és fordulatot hozhat az e területet érintő jelenlegi gyakorlatban.

Az Amerikai Egyesült Államok Legfelsőbb Bírósága („Legfelsőbb Bíróság”) a döntésben az egységes végrehajtó hatalom elméletére támaszkodva arra a következtetésre jutott, hogy az Egyesült Államokban működő valamennyi független végrehajtó hatóság alkotmányellenesnek minősül. A Döntés közvetlenül érinti a Szövetségi Kereskedelmi Bizottságot („FTC”) is.

Ez a fejlemény az európai adatvédelmi jog szempontjából kiemelt jelentőséggel bír, mivel az Európai Bizottság („Bizottság”) 2023/1795. számú végrehajtási határozatával elfogadott, jelenleg hatályos EU–USA Adatvédelmi Keret („EU–USA Data Privacy Framework”, a továbbiakban: „Keret”) az FTC-t nevezte meg, mint az adatvédelmi szabályok betartásáért felelős független felügyeleti szerv.

Hírlevelünkben összefoglaljuk az Európai Unió és az Egyesült Államok közötti adattovábbítási gyakorlat legfontosabb szabályait, valamint áttekintjük, hogy a vállalatoknak milyen változásokra kell felkészülniük a Döntés következtében.

A GDPR szerinti harmadik országokba történő adattovábbítás szabályozási rendszere és a Schrems-ítéletek öröksége

A személyes adatok védelméről szóló 2016/679 rendelet („GDPR”) alapján a személyes adatok harmadik országba történő továbbítása főszabály szerint kizárólag akkor jogszerű, ha az adott ország megfelelő védelmi szintet biztosít. A megfelelőség vizsgálata során kiemelt szempont, hogy a harmadik ország rendelkezik-e olyan független és hatékony adatvédelmi felügyeleti hatósággal, amely képes az adatvédelmi szabályok betartásának tényleges érvényesítésére és kikényszerítésére. Ennek hiánya vagy elégtelen működése esetén ugyanis nem biztosítható az uniós szintű védelemhez hasonló garanciarendszer. Éppen ezért a Bizottság csak akkor fogadhat el megfelelőségi határozatot egy harmadik ország vonatkozásában, ha a vizsgált ország jogrendszere – többek között egy ilyen független felügyeleti szerv révén – biztosítja a személyes adatok megfelelő szintű védelmét.

E körben szükséges továbbá megemlíteni, hogy az Európai Unióból az Egyesült Államokba irányuló adattovábbítások jogi keretrendszere hosszú ideje bizonytalanságokkal terhelt. Az Európai Unió Bírósága a Schrems I és Schrems II ügyekben hozott ítéleteiben korábban érvénytelenítette az EU és USA közötti adattovábbításokra vonatkozó Safe Harbor, majd a Privacy Shield keretrendszert is. A bíróság döntését azzal indokolta, hogy az Egyesült Államokban alkalmazott tömeges megfigyelési gyakorlatok, valamint a hatékony jogorvoslati lehetőségek hiánya miatt az érintettek számára nem biztosított az uniós adatvédelmi szabályoknak megfelelő védelmi szint.

Ezt követően egyfajta „harmadik generációs” adattovábbítási megfelelőségi határozatként került bevezetésre a jelenlegi Keret, amely az Egyesült Államok vonatkozásában az FTC-t nevesíti független felügyeleti hatóságként. A Döntés következtében ugyanakkor kétségessé vált, hogy az FTC esetében a függetlenség fennállásához szükséges feltételek továbbra is biztosítottak.

Miért releváns ez uniós adatkezelők számára?

Az elmúlt évtizedekben számos uniós vállalat szervezte ki adatfeldolgozási tevékenységeit amerikai felhőszolgáltatókhoz. A GDPR azonban egyértelműen rögzíti, hogy a vállalatok személyes adatokat harmadik országba – így az Egyesült Államokba is – kizárólag abban az esetben továbbíthatnak jogszerűen, ha az adattovábbítás megfelelő garanciák és jogalap mellett történik.

Az adattovábbítások egyik lehetséges jogalapját az úgynevezett megfelelőségi határozatok jelentik. Az Európai Unió és az Egyesült Államok közötti viszonylatban jelenleg a Keret tölti be ezt a funkciót. Megfelelőségi határozat hiányában az adattovábbításra kizárólag akkor kerülhet sor jogszerűen, ha az érintett szervezet megfelelő garanciákat biztosítanak, például az Európai Bizottság által elfogadott általános adatvédelmi kikötések („SCC”) alkalmazása, illetve kötelező erejű vállalati szabályok („BCR”) bevezetése mellett.

Ha megállapításra kerül, hogy az FTC a továbbiakban nem felel meg a Keretben előírt függetlenségi követelményeknek, valószínűsíthető, hogy az Európai Bizottság a jövőben felülvizsgálja, illetve adott esetben hatályon kívül helyezi a Keretet.

Hangsúlyozzuk, hogy e fejlemény nem kizárólag a Keret alapján megvalósuló adattovábbításokat érintheti. Azok az adatkezelők is érintetté válhatnak, amelyek SCC-ket vagy BCR-eket alkalmaznak, mivel a GDPR szerinti elszámoltathatóság elvéből következően a vállalatok az adattovábbítási hatásvizsgálat keretében kötelesek értékelni, hogy a harmadik ország joga biztosítja-e a szükséges védelmi szintet. Amennyiben e vizsgálat eredményeként az állapítható meg, hogy az amerikai jogrend – különösen a hatósági hozzáférés vagy a jogorvoslati mechanizmusok tekintetében – nem nyújt megfelelő garanciákat, úgy az SCC-k vagy a BCR-ek alkalmazása önmagában nem elegendő az adattovábbítás jogszerűségének fenntartásához, így azok sem biztosíthatnak megfelelő alapot az Egyesült Államokba történő adattovábbításhoz.

Javasolt lépések

Mindezek alapján a jelenlegi fejlemények fokozott körültekintést tesznek szükségessé minden olyan adatkezelő részéről, amely az Egyesült Államokba irányuló nemzetközi adattovábbításban érintett. Közvetlen, azonnali lépést nem kíván meg a döntés, inkább a belső folyamatok felülvizsgálata és kockázatmenedzsment indokolt:

az adattovábbításokra vonatkozó belső eljárásrendek átfogó felülvizsgálata;

az adattovábbítási hatásvizsgálatok naprakésszé tétele;

annak mérlegelése, hogy szükséges-e további technikai intézkedéseket bevezetni, ideértve például a titkosítás alkalmazását;

alternatív adatfeldolgozási megoldások feltérképezése.

Összegzés

Megállapítható tehát, hogy a Keret megfelelőségének bizonyossága nem egyértelmű, ugyanakkor maga a Keret mindaddig hatályban marad, amíg azt a Bizottság vissza nem vonja, vagy az Európai Unió Bírósága meg nem semmisíti. Ennek következtében a Döntés jelenleg nem gyakorol közvetlen hatást az uniós adatkezelőkre. A vállalatoknak ugyanakkor érdemes felülvizsgálni az Egyesült Államokba történő adattovábbításokkal kapcsolatos gyakorlatukat, és szükség esetén alternatív megoldások bevezetését előkészíteni.

Kép forrása: pexels.com, Mark Stebnicki

Bizonytalanság az amerikai adattovábbításokban: Mi várható a Trump v. Slaughter döntés után Read More »

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben

Olvasási idő: 6 perc

Az Európai Adatvédelmi Biztos (EDPS) közzétette 2025. évi éves jelentését (a továbbiakban: „Jelentés”) amelyben részletesen bemutatja a gyorsan változó digitális világban a személyes adatok védelme érdekében végzett tevékenységét. A Jelentés egyértelműen jelzi, hogy az európai adatvédelmi és digitális szabályozási környezet új szakaszba lépett: a hangsúly már nem pusztán a formális GDPR-szabályzatokon, hanem az AI-rendszerek, a felhőszolgáltatások és a nemzetközi adattovábbítások tényleges működési kontrolljain van. A vizsgálatok középpontjában tipikusan azok az eszközök és folyamatok állnak, amelyeket a legtöbb szervezet napi szinten használ: Microsoft 365, cloud infrastruktúra, generatív AI-megoldások, mobilalkalmazások, HR-rendszerek. Jelen cikkünkben bemutatjuk a Jelentés főbb megállapításait és a megfeleléshez szükséges szempontokat, javaslatokat vetünk fel.

MI-irányítás: a megfelelőség új dimenziója

A Jelentés egyik legfontosabb üzenete, hogy a mesterséges intelligencia (a továbbiakban: „MI”, vagy „AI”) feletti vállalati kontroll (AI governance) rövid időn belül önálló, kiemelt megfelelőségi (compliance) területté növi ki magát. A mesterséges intelligencia már nem kísérleti technológia, hanem a mindennapi működés részévé vált az uniós intézményekben és egyre több szervezetnél is. Az EDPS a felkészülés jegyében már meg is tette az első komoly lépéseket:

Külön AI-részleget hozott létre: megerősítette az újonnan létrehozott MI-egységet, hogy felkészüljön a mesterséges intelligenciáról szóló EU rendelet alapján a felügyeleti feladatokra.

Feltérképezte a generatív AI-használatot: felmérte a jelenlegi MI-ökoszisztémát a tiltott gyakorlatok és a nagy kockázatú rendszerek tekintetében, és közzétett egy jelentést, amely rávilágít az MI-használat domináns területeire és a jogérvényesítési prioritásokra.

AI regulatory sandbox programot indított: egy szabályozási tesztkörnyezet mintaprojekt keretében biztonságos környezetet teremtett az innovatív MI-rendszerek hatósági felügyelet melletti fejlesztéséhez és teszteléséhez.

Új AI kockázatkezelési útmutatót adott ki az AI-rendszerek fejlesztéséhez és bevezetéséhez kapcsolódó technikai kockázatok azonosítására és mérséklésére.

A szabályozói fókusz különösen az alábbi specifikus területeken erősödik:

a generatív AI-eszközök vállalati használata;

a „dobozos” (off-the-shelf) AI-megoldások megfelelősége;

a magas kockázatú AI-rendszerek szigorú kontrollja;

az AI és a személyes adatok jogi kapcsolata;

az AI-rendszerek technikai kockázatkezelése.

Nagyvállalati környezetben ez azt jelenti, hogy az AI használata már nem kizárólag IT- vagy innovációs kérdés, hanem kiemelt jogi, compliance- és adatvédelmi kockázati terület is, ezért a szervezeteknek már most fel kell készülniük arra, hogy az AI-megoldásokat a GDPR és az mesterséges intelligenciáról szóló EU rendelet követelményeinek megfelelően vezessék be, dokumentálják, felügyeljék és használják a mindennapi működés során.

Microsoft 365 és nagyvállalati IT-rendszerek:

Az EDPS 2025-ben tovább erősítette a nagy informatikai rendszerek – köztük a Microsoft 365-höz hasonló felhőszolgáltatások – feletti felügyeletet. A korábbi vizsgálatok tanulsága, hogy a megfelelőség nem kizárólag szerződéses kérdés, hanem az adatfeldolgozás teljes életciklusára kiterjedő vizsgálatot igényel.

A vizsgálat fókuszában a nagyvállalatok számára is kritikus kérdések álltak:

a harmadik országokba irányuló nemzetközi adattovábbítások;

az összetett aladatfeldolgozó-láncok átláthatósága;

az adatokhoz való hozzáférések kontrollja;

a megfelelő technikai és szervezeti garanciák megléte.

A Jelentés egyik legfontosabb üzenete, hogy önmagában a szolgáltatói szerződés vagy a „GDPR-kompatibilis” megjelölés már nem elegendő. A felügyeleti gyakorlat egyre inkább a tényleges működési kontrollokat, a technikai intézkedéseket és a dokumentált kockázatelemzéseket vizsgálja. Emiatt mindenképpen javasolt a beszállítói szerződések limitált, adatvédelmi szempontú felülvizsgálata – javaslatunk alapján ezt elegendő egyszer megtenni és azt követően beépíteni a folyamatba egy olyan kontrollt, ami változás esetén szintén biztosítja a megfelelést vagy ami lehetővé teszi az időszakos felülvizsgálatot, visszaellenőrzést.

Nemzetközi adattovábbítások

A harmadik országokba irányuló adattovábbítások továbbra is kiemelt ellenőrzési területet jelentenek. Az EDPS itt is hangsúlyozza, hogy a megfelelő szerződések önmagukban nem elegendők. A megfelelés megítélése során egyre nagyobb szerepet kap az adattovábbítási hatásvizsgálat (TIA) tényleges tartalma, a harmadik országok jogi és gyakorlati környezetének értékelése, valamint az alkalmazott technikai és szervezeti intézkedések valós működése.  A modern felhőalapú rendszereknél az adatvédelmi jog szerint a távoli hozzáférés is adattovábbításnak minősül. Ha egy harmadik országbeli (pl. indiai vagy amerikai) IT-mérnök support vagy rendszerkarbantartás céljából belép egy Európában tárolt adatbázisba, az adat jogilag elhagyja az EGT-t. Ennek kockázatait kizárólag egy TIA képes érdemben felmérni. Ez különösen releváns olyan környezetekben, ahol globális cloud infrastruktúrák, vagy központi IT-támogatás működnek. A gyakorlatban ez azt jelenti, hogy a vállalatoknak érdemes feltérképezni, hogy akár a beszállító működési jellege, akár a cégcsoport által előírt folyamatok miatt történik-e adattovábbítás az unión kívül és azt megfelelően minősíteni.

A jövő adatvédelme technológiai fókuszú lesz

Az EDPS Jelentése alapján az európai adatvédelmi gyakorlat végérvényesen technológiai irányba mozdult el. A felügyeleti fókusz középpontjában a mesterséges intelligencia érthető és elszámoltatható működése, a felhőszolgáltatások folyamatos ellenőrzése, valamint a kiberbiztonság és az adatvédelem teljes fúziója áll. Az adatvédelmi megfelelés így többé nem egy elszigetelt jogi feladat, hanem a cégvezetés, a beszerzés, a digitális transzformáció és az IT-biztonság közös, mindennapi felelőssége.

Az EDPS Jelentése alapján jól látható: a következő években azok a szervezetek lesznek versenyelőnyben, amelyek felismerik a paradigmaváltást, és nem pusztán formális, papíralapú GDPR-megfelelést, hanem valódi, auditálható technológiai governance-rendszert építenek ki.

Kép forrása: pexels.com, Fotó: Jcmotive

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben Read More »

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében

Olvasási idő: 7 perc

Az Európai Adatvédelmi Testület közzétette a 2026. február 11-én elfogadott, a 2026–2027. évekre szóló munkaprogramját (a továbbiakban: „Program”). A Program nemcsak stratégiai irányokat, hanem konkrét, a szervezetek mindennapi megfelelését segítő eszközöket is kijelöl. Jelen cikkünkben a konzultáció eredményét és az Európai Adatvédelmi Testület Programban foglalt terveit foglaljuk össze.

Előzmények

Az Európai Adatvédelmi Testület a 2024–2027-es stratégiájában négy, egymásra épülő prioritást jelölt ki. Ezek közé tartozik az adatvédelmi szabályok egységes és következetes érvényesítésének erősítése, valamint a szervezetek jogkövető működésének támogatása. Kiemelt cél továbbá az adatvédelmi hatóságok közötti – különösen határokon átnyúló – együttműködés elmélyítése. A stratégia hangsúlyt helyez arra is, hogy az adatvédelem megfelelően érvényesüljön a gyorsan fejlődő digitális és több szabályozási területet érintő környezetben – ideértve például a mesterséges intelligencia alkalmazásait is. Emellett az Európai Adatvédelmi Testület célja a magánélet és a személyes adatok védelméről szóló nemzetközi párbeszéd aktív ösztönzése és formálása. A Program az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájának végrehajtását segíti, az abban meghatározott prioritásokon és az érdekelt felek számára legfontosabbnak ítélt szükségleteken alapul.

A Program fő elemei

A Program az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) következetes alkalmazására épít, és négy pillér mentén határozza meg az Európai Adatvédelmi Testület 2026-2027 évi tevékenységét: harmonizáció és megfelelés, közös végrehajtási kultúra, a digitális szabályozási környezet kihívásai, valamint a globális adatvédelmi párbeszéd.

Harmonizáció és jogértelmezési egyértelműség

Az Európai Adatvédelmi Testület továbbra is részletes, ugyanakkor közérthető iránymutatásokat kíván kiadni olyan témákban, melyeket kulcsfontosságúnak tart az érdekelt felek rendezvényeken és konzultációkon jelzett tapasztalatai, visszajelzései alapján, mint anonimizálás és álnevesítés; jogos érdek alapján történő adatkezelés; „consent or pay” modellek; az adatvédelmi tisztviselőkre vonatkozó iránymutatás célzott frissítése.

Az Európai Adatvédelmi Testület emellett új eszközökkel kívánja elősegíteni a GDPR alkalmazását, különösen a kis-és középvállalkozások számára, így sablonok, útmutatók kiadását tervezik. Az Európai Adatvédelmi Testület ennek érdekében 2025. november 5. és december 3. között nyilvános konzultációt folytatott annak feltérképezésére, hogy milyen gyakorlati sablonok segítenék leginkább a szervezetek GDPR-megfelelését.

A visszajelzések alapján a legnagyobb igény az adatkezelési tevékenységek nyilvántartására, az adatvédelmi hatásvizsgálatra, a jogos érdek mérlegelési tesztre, az adatvédelmi tájékoztató sablonjára, az adattovábbítási hatásvizsgálatra, az adatfeldolgozási szerződésmintára, az adatvédelmi incidens-bejelentő űrlapra és a kockázatértékelési sablonra mutatkozott. Az Európai Adatvédelmi Testület a Programba végül három kiemelt sablon – a jogos érdek mérlegelési teszt, az adatkezelési tevékenységek nyilvántartása és az adatvédelmi tájékoztató – kidolgozását emelte be, azzal a céllal, hogy ezek egységes, gyakorlatorientált támogatást nyújtsanak a szervezetek számára, különösen a kisebb erőforrással rendelkező szereplők esetében.

Az Európai Adatvédelmi Testület ezen felül támogatja az adatkezelők és adatfeldolgozók számára előírt megfelelési intézkedések kidolgozását és végrehajtását például tanúsítási rendszerekkel, magatartási kódexekkel és akkreditációval kapcsolatos vélemények kiadásával.

Erősebb végrehajtási kultúra és együttműködés

A második pillér célja a GDPR alkalmazásának és végrehajtásának következetessége, valamint tagjai közötti együttműködés fokozása. Az Európai Adatvédelmi Testület továbbra is támogatni fogja az együttműködés és a végrehajtási eszközök fejlesztését, valamint előmozdítja a szakértelem megosztását. Az erőfeszítések arra is összpontosulnak, hogy a prioritást élvező kérdésekre nagyobb figyelmet fordítsanak és megteremtsék az összhangot.

E célok mentén az Európai Adatvédelmi Testület a GDPR következetes alkalmazására és a hatóságok közötti hatékony együttműködésre koncentrál. Ennek érdekében frissíti többek között a határokon átnyúló ügyek kezelésére vonatkozó iránymutatásokat, a bírságkiszabási elveket, a kölcsönös segítségnyújtás és sürgősségi eljárások szabályait. A koordinált végrehajtási kerettel (CEF) kapcsolatos fellépés körében 2026-ban a GDPR 12-14. cikkei szerinti, az érintettek részére nyújtandó átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedésekkel kapcsolatos kötelezettségek teljesítésére fókuszál. Szükség esetén munkacsoportokat hoz létre, hogy operatív platformokat biztosítsanak az érvényesítéssel kapcsolatos ügyekben történő együttműködést igénylő esetekhez. A következetességi mechanizmus hatékony működésének biztosítása érdekében a nemzeti felügyeleti hatóságok részére szóló véleményeket fogad el, melyek célja a következetes döntéshozatal támogatása.

Adatvédelem a digitális jogszabályok metszéspontjában

Az Európai Adatvédelmi Testület kiemelt célja a különböző uniós digitális jogszabályok közötti koherencia biztosítása. A gyorsan változó technológiai és piaci környezetben az adatvédelem már nem önálló szabályozási terület, hanem számos más uniós jogszabállyal (mint például a mesterséges intelligenciáról szóló rendelet) szoros kölcsönhatásban érvényesül. Ennek megfelelően egyre nagyobb jelentősége van az egységes értelmezésnek, a hatóságok közötti összehangolt fellépésnek és a világos iránymutatásoknak. Ezért az Európai Adatvédelmi Testület együttműködik más szabályozó hatóságokkal az adatvédelemmel kapcsolatos kérdésekben, hogy támogassa az új, szabályozási határokon átnyúló környezetet, például a versenyhatóságokkal, a fogyasztóvédelmi hatóságokkal és más jogi aktusok alapján illetékes hatóságokkal. Technológiai szinten napirenden lesz a generatív mesterséges intelligencia, a telemetriai és diagnosztikai adatok, valamint a blokklánc adatvédelmi kérdéseinek vizsgálata.

Globális adatvédelmi párbeszéd és adattovábbítás

Az Európai Adatvédelmi Testület továbbra is előmozdítja a magánélet és az adatvédelemről szóló globális párbeszédet, különös tekintettel a tagjai és a harmadik országok hatóságai közötti nemzetközi együttműködésre a végrehajtás terén. Cél a harmadik országok hatóságaival való együttműködés erősítése, különösen azokkal, amelyek uniós megfelelőségi határozattal rendelkeznek.

Összegzés: több támogatás, nagyobb jogbiztonság

A Program egyik legfontosabb üzenete, hogy az adatvédelmi megfelelés nem pusztán ellenőrzési kérdés, hanem támogatható, strukturálható folyamat. A sablonok kidolgozása, a harmonizált iránymutatások és a megerősített hatósági együttműködés mind azt a célt szolgálják, hogy a GDPR alkalmazása kiszámíthatóbbá és gyakorlatiasabbá váljon. Ugyanakkor továbbra is minden szervezetnek a saját üzleti folyamataira és adatkezelési kockázataira kell szabnia az adatkezelési dokumentumokat és folyamatokat. Az Európai Adatvédelmi Testület ezzel egyszerre kívánja erősíteni az alapjogok védelmét, támogatni a szervezetek működését és biztosítani, hogy az európai adatvédelem a gyorsan változó digitális környezetben is koherens és versenyképes maradjon.

Kép forrása: pexels.com, MART PRODUCTION

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében Read More »

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata

Olvasási idő: 6 perc

A digitalizáció és az adatalapú döntéshozatal térnyerése következtében az érzékeny információk száma, és ezáltal a kiberfenyegetések kockázata is megnőtt. Szükségesé vált egy szabályrendszer kialakítása, ami iránymutatást nyújt a technológiai környezet által formált szemlélet, elvárások, és felelősségek kezelésére. Ennek két fő alappillére az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”), melyet a hazai szabályozás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvénnyel („Kiberbiztonsági Törvény”) ültetett át, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”), amely az adatvédelemi megfelelés biztosítását szolgálja.

A NIS2 Irányelv, ennek nyomán a hazai kiberbiztonsági előírások és a GDPR szabályozása más szempontrendszert alkalmaznak, azonban az érintett területek a gyakorlatban gyakran átfedésben vannak, különösen olyan elektronikus információs rendszerek esetében, amelyek személyes adatokat is kezelnek. Emiatt a két szabályrendszer által támasztott követelmények összehangolása elengedhetetlen az érintett vállalatok jogszerű és biztonságos működéshez. A jelen cikk a NIS2 Irányelv és a hazai szabályozás GDPR-ral való kapcsolatát, egymás közti átfedéseit, ütközéseit és azok gyakorlati feloldását mutatja be.

NIS2 és GDPR hatálya: kettős kötelezettségek

A GDPR hatálya valamennyi szervezetre kiterjed, amely adatkezelőnek minősül, azaz a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A NIS2 hatálya összetett szempontrendszer alapján került meghatározásra, ide tartozhat számos vállalkozás a végzett tevékenysége, valamit a mérete és árbevétele alapján. Így, ha egy entitás mind a NIS2 mind pedig a GDPR hatálya alá tartozik, mindkét rendszer szabályainak párhuzamosan kell megfelelnie. Például egy gyártási ágazatban működő közép-vagy nagyvállalat tevékenysége és mérete alapján a kiberbiztonsági szabályozás hatálya alá tartozhat, a tevékenysége során pedig jellemzően adatkezelőként legalább munkavállalói és beszállítói adatokat kezel, így a GDPR és a NIS2 rendelkezéseit is alkalmazni szükséges.

A gyakorlatban az elektronikus információs rendszerekben többnyire személyes adatokat is kezelnek, mint a HR rendszerek, ügyféladatbázis. Incidens bekövetkezése esetén mind a GDPR, mind a NIS2 szabályrendszere kötelezettséget ír elő a szervezet részére. Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a kiberbiztonsági incidens pedig olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. Így, ha egy kiberbiztonsági incidens esetén személyes adat is érintett, például phishing e-mail vagy zsarolóvírus támadás következtében adatvesztés, adatszivárgás történik, az egyúttal adatvédelmi incidenst is megvalósít. Ezért mindkét szabályozás alapján szükséges vizsgálni az incidenskezelésre vonatkozó előírásokat, a feltételek fennállása esetén az illetékes hatóságok felé a szükséges bejelentéseket megtenni. Ennek érdekében célszerű olyan belső eljárásrendet kialakítani, amely mind a két rendszer által megkívánt kötelezettségeket figyelembe veszi.

Az incidensek megfelelő minősítése kiemelten fontos, mivel a különböző incidensfajtákhoz eltérő bejelentési kötelezettségek, tartalmi követelmények és határidők kapcsolódnak. Adatvédelmi incidens esetén a szervezetnek mindenekelőtt azt kell mérlegelnie, hogy az esemény kockázatot jelent-e a természetes személyek jogaira és szabadságaira. Ha ez a kockázat valószínűsíthető, akkor az incidenst 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, magas kockázat valószínűsítése esetén pedig az érintettek tájékoztatása is kötelező. A kiberbiztonsági incidensekre ezzel szemben más eljárási rend vonatkozik: a szervezetnek a tudomásszerzéstől számított 24 órán belül bejelentést kell tennie a rendelkezésre álló adatok alapján, majd 72 órán belül részletes jelentést kell benyújtania, a teljes kivizsgálás lezárását követően pedig legkésőbb 30 napon belül zárójelentést kell eljuttatnia a nemzeti kiberbiztonsági incidenskezelő központ részére. Mivel a GDPR és a kiberbiztonsági szabályok az incidens fogalmát és a kapcsolódó feladatokat is eltérően határozzák meg, előfordulhat olyan helyzet, hogy egy esemény kiberbiztonsági incidensnek minősül ugyan, de nem igényel adatvédelmi incidensbejelentést.

A kettős megfelelés gyakorlati jelentőségét jól mutatja egy olyan közép-vagy nagyvállalat példája, amely „máshova nem sorolt gépgyártás” tevékenységet folytat, így a NIS2 irányelv hatálya alá tartozik. Ha a vállalatot olyan incidens éri, amelynek eredményeként a támadó jogosulatlanul hozzáfér egy olyan szerverhez, amelyen munkavállalók személyes adatai is találhatók, az eseményt nemcsak adatvédelmi szempontból szükséges értékelni, hanem a Kiberbiztonsági Törvény alapján is vizsgálni kell. A jogszabály értelmében minden olyan fenyegetést, incidensközeli helyzetet vagy tényleges incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst –, amely a szervezet működésében vagy szolgáltatásnyújtásában súlyos zavart vagy vagyoni hátrányt okoz, illetve más személyek számára jelentős vagyoni vagy nemvagyoni kárt eredményez, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül be kell jelenteni az illetékes kiberbiztonsági incidenskezelő központnak. Ez a helyzet jól rávilágít arra, hogy a szervezeteknek mindkét jogi követelményrendszernek egyszerre kell megfelelniük, és az incidensek kezelését ennek megfelelően kell kialakítaniuk.

Folyamatok összehangolása dokumentációs és operatív szinten

Amennyiben a szervezet a GDPR és a kiberbiztonsági szabályozás hatálya alá is tartozik, a kettős megfelelés érdekében a két szabályozás által megkövetelt dokumentációs és működési folyamatokat is szükséges összehangolni. A GDPR megköveteli, hogy a szervezet rendelkezzen adatvédelmi szabályzattal, érintettek részére adatkezelési tájékoztatóval, valamint egyes esetekben adatvédelmi hatásvizsgálat lefolytatását is előírja. A kiberbiztonsági szabályok hasonlóképp megkövetelik az információbiztonsági szabályzat megalkotását. Ezeken felül pedig mindkét rendszer megköveteli az incidenskezelési folyamatok szabályozását, valamint az érintett munkatársak képzését, tudatosságnövelését.

A NIS 2 és a GDPR előírásainak betartásáért a szervezet vezetője felel, a szakmai megfelelés biztosításában pedig az adatvédelmi tisztviselő és az elektronikus információs rendszerek biztonságáért felelős szakember játszik meghatározó szerepet. Ahhoz azonban, hogy a szervezet ne párhuzamos, egymástól elszigetelt folyamatokkal dolgozzon, elengedhetetlen az információbiztonsági és adatvédelmi felelősök valódi, napi szintű együttműködése. A két szabályozás követelményeinek összehangolása nem pusztán adminisztratív kérdés: jelentősége abban áll, hogy mindkét terület ugyanazokra az információs rendszerekre, adatfolyamatokra és kockázatokra épül, még ha eltérő szempontok szerint is vizsgálja azokat. Ha a szervezet egységesen, koherens módon alakítja ki folyamatait, akkor elkerülhetők az átfedések, csökkenthetők a hibalehetőségek, és biztosítható, hogy a kiberbiztonsági és adatvédelmi elvárások egyaránt teljesüljenek. Különösen az incidenskezelési folyamatokat érdemes úgy kialakítani, hogy egy esetlegesen bekövetkező esemény során egységes eljárásrend biztosítsa mindkét szabályrendszer szerinti kötelezettségek teljesítését. Ez nemcsak erőforrás-hatékony működést eredményez, hanem erősíti a szervezet jogszabályi megfelelését és a rendszerek biztonságát, miközben növeli az ügyfelek, partnerek és munkavállalók bizalmát is.

A NIS2 és a GDPR eltérő célokat szolgál, és más logikával közelíti meg ugyanazokat az eseményeket. Míg a GDPR elsődleges célja a természetes személyek jogainak és szabadságainak védelme, addig a NIS2 az információs rendszerek biztonságának megerősítésére, a szolgáltatások folytonosságának védelmére és a kiberfenyegetésekkel szembeni ellenállóképesség növelésére fókuszál. Ennek megfelelően a két rendszer mást vár el a szervezetektől: a GDPR az adattakarékosságot és a célhoz kötöttséget hangsúlyozza, míg a NIS2 kifejezetten megköveteli a részletes naplózást, a folyamatos monitorozást és a naplóállományok megőrzését. Ez sok esetben azt eredményezi, hogy a NIS2-nek való megfelelés nagy mennyiségű, technikailag kezelt személyes adat tárolását vonhatja maga után, amelyet adatvédelmi szempontból körültekintően kell kezelni.

A két szabályozás közötti látszólagos ütközések a gyakorlatban összehangolt megközelítéssel oldhatók fel. Az egyik legfontosabb lépés az információbiztonsági kockázatértékelések és a GDPR szerinti adatvédelmi hatásvizsgálatok integrálása, hiszen mindkettő ugyanazokat a rendszereket, adatfolyamatokat és kockázati tényezőket vizsgálja, csak eltérő nézőpontból. Emellett kiemelt jelentőségű a belső szabályzatok olyan módon történő kialakítása, hogy azok egyszerre feleljenek meg a kiberbiztonsági szabályok által előírt kötelező védelmi intézkedéseknek és a GDPR rendelkezéseinek.

A NIS 2 és a GDPR egyaránt megköveteli, hogy a szervezetek megfelelően képezzék mindazokat, akik hozzáférnek az információs rendszerekhez vagy személyes adatokat kezelnek. Érdemes ezért az oktatások stratégiai tervezését és tartalmi elemeit is összehangolni, figyelembe véve a kockázatelemzések eredményeit, a korábbi incidenseket, a jogszabályi változásokat és a szervezet biztonsági szakértőinek szakmai véleményét. A két szabályozási terület közötti valódi összhang nemcsak a jogszabályoknak való megfelelés miatt fontos, hanem a szervezet működésének biztonsága, a kockázatok csökkentése és a belső és külső bizalom megőrzése szempontjából is meghatározó.

Összegzés

A GDPR és a NIS2 irányelv eltérő célt szolgál, de sok ponton találkozik az információbiztonság követelményeiben. A kettős megfelelés ezért gondos összehangolást igényel: a szabályozások előírásainak közös értelmezése és a kapcsolódó eljárások integrálása eredményezheti, hogy egy szervezet egyszerre teljesíti mindkét rendszer elvárásait. A szakmai dokumentációk és működési folyamatok koherens átdolgozása, a belső felelősségi körök egyeztetése, valamint a rendszeres oktatás és auditok összehangolása elősegíti, hogy a GDPR adatvédelmi és a NIS2 kiberbiztonsági céljai egyaránt teljesüljenek. Mindezek betartása erősíti a szervezet információbiztonsági és adatvédelmi rezilienciáját, megfelelve a vonatkozó uniós és nemzeti jogszabályi követelményeknek.

Fotó forrása: pexels.com, Kevin Ku

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata Read More »

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

Olvasási idő: 4 perc

A digitális platformok fejlődésével ma már bárkiből válhat tartalomgyártó: egy okostelefon, egy jó ötlet és néhány kattintás elég ahhoz, hogy üzeneteink, videóink vagy képeink akár több ezer emberhez is eljussanak. Az online jelenlét azonban nem csupán kreatív lehetőségeket, hanem jelentős jogi és adatvédelmi felelősséget és kockázatot is magában hordoz. A különféle tartalmak, így például posztok és videók megosztása során – különösen, ha azokban felismerhető személyek jelennek meg– személyes adatok kezelése valósul meg.

GDPR alkalmazhatósága általánosságban

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) kettős célt szolgál: egyrészt a természetes személyek személyes adatainak védelmét biztosítja, másrészt keretet ad az adatok Európai Unión belüli szabad áramlásának. A GDPR részletesen meghatározza, hogy az érintetteket milyen jogok illetik meg, és az adatkezelőket milyen kötelezettségek terhelik.

Ugyanakkor a GDPR-t egyes kivételes esetekben nem kell alkalmazni; ilyen kivétel például, amikor egy magánszemély kizárólag személyes célból kezel adatokat. Ilyennek minősül például a magánlevelezés akár papír alapon, akár elektronikus formában; címek, elérhetőségek tárolása; otthoni jegyzetek, napló; családi fotók; közösségi hálózatokon kapcsolattartás; egyéb online tevékenység. E kivételeket szűken kell értelmezni, és az adatkezelés csak akkor esik a GDPR hatályán kívül, ha az kizárólag magánjellegű célt szolgál, vagyis sem közösségi, sem szakmai, sem gazdasági vonatkozása nincs. Így például, ha az adatot meghatározhatatlan számú személy ismerheti meg vagy az nyilvánosságra kerül, már nem a magáncélú adatkezelés körébe tartozik. Gazdasági társaságok általi adatkezelés esetén pedig nem jöhet szóba a magáncélú használat, ezért bármely online tartalom közzététele, melyben személyes adatok szerepelnek (fénykép, hangfelvétel, más adat), legyen az munkavállaló, vagy bármely természetes személy, mindenképp megfelelő jogi körültekintést igényel.

Online tartalomkészítéssel kapcsolatos adatkezelés

A digitális platformok széles körben lehetővé teszik a felhasználóik részére, hogy fotókat, videókat vagy hangfelvételeket készítsenek és osszanak meg – akár más emberekről is. Felmerülhet a kérdés, hogy ilyen esetekben alkalmazandóak-e az adatvédelmi rendelkezések. Tekintettel arra, hogy a feltöltött felvételek – legyen szó arcról, hangról vagy más, személyhez köthető információról– személyes adatnak minősülnek, és e tartalmak a nyilvánosság számára is hozzáférhetővé válnak, azok kezelésére a GDPR rendelkezései irányadók.

Az adatvédelem egyik alapelve, hogy a személyes adatok kezeléséhez minden esetben szükség van érvényes jogalapra. Amikor egy adatkezelő személyes adatok kezelésével járó tevékenységbe kezd, mindig gondosan mérlegelnie kell, melyik jogalap felel meg leginkább a tervezett adatkezelés céljának. A tartalomgyártással összefüggő adatkezelések leggyakrabban az érintett hozzájárulásán alapulnak.

A hozzájárulás megszerzése kulcskérdés, hiszen más emberről felvételt készíteni és közzétenni csak akkor lehet jogszerűen, ha az érintett előzetesen, kifejezetten és megfelelő tájékoztatás birtokában egyezett bele. A kamera puszta jelenlétének eltűrése vagy egy kérdésre adott válasz önmagában még nem számít érvényes beleegyezésnek. Ez mutatja, hogy az adatvédelem területén milyen szigorúan értelmezett jogalapokra van szükség: a GDPR nem tartalmaz olyan kivételi szabályokat a tömegfelvétel vagy a közszereplés esetére, mint amelyeket a Polgári Törvénykönyvről szóló 2013. évi törvény („Ptk.”) a személyiségi jogoknál ismer. Ez az adatvédelem és más jogszabályok szerinti jogcímek párhuzamos valóságát jelzi, hiszen a Ptk.-nak megfelelő eljárás még megvalósíthat adatvédelmi szabálysértést, tehát eltérő feltételek szükségesek az egyes jogszabályok által megkövetelt jogszerűség biztosításához.

Megfelelés hiánya esetén felmerülő jogkövetkezmények

Az online térben való közzététel, amennyiben hozzájárulás, vagy más megfelelő jogalap nélkül valósul meg, az adatvédelmi előírások megsértését eredményezi. A jogsértő adatkezelésnek súlyos következményei lehetnek: hatósági eljárást és az adatvédelmi bírság kiszabását vonhatja maga után. Ha egy felvétel engedély nélkül készül és annak közzététele jelentős érdeksérelmet okoz, akkor a tevékenység nem csupán adatvédelmi szempontból jogellenes, hanem akár bűncselekményt is megvalósíthat, és megalapozhatja a Ptk. szerinti sérelemdíj-igényt is az eset körülményeitől függően. A felelősség minden esetben a felvétel készítőjét, illetve a tartalom közzétevőjét terheli.

Különösen kockázatos helyzet, ha gyermekekről, egészségügyi ellátásról, politikai véleményekről vagy más érzékeny adatokról készül felvétel. Ha a közzététel az érintett tudta és hozzájárulása nélkül történik, az nem esik a magáncélú kivétel alá, hanem teljes mértékben adatkezelésnek számít a GDPR alapján. Az érintetteknek ilyenkor joguk van tájékoztatást kérni, a hozzájárulásukat visszavonni, a felvételek törlését kérni, és akár jogi útra terelni az ügyet.

Összegzés

Az online térben való jelenlét – különösen vállalati kommunikáció, marketing vagy HR-tartalomgyártás esetén – körültekintő adatvédelmi gyakorlatot igényel. Ami a Ptk. alapján nem jár jogkövetkezménnyel, az adatvédelmi szempontból még jogsértő lehet.

A hozzájárulás tehát nem puszta formalitás, hanem a jogszerű adatkezelés egyik alapfeltétele. A szervezeteknek – akár tartalomkészítők, akár munkáltatók – ajánlott belső eljárásrendet, oktatást vagy szabályzatot kialakítaniuk az online tartalomkészítés adatvédelmi kockázatainak kezelésére.

Az érintetti jogok tiszteletben tartása, a hozzájárulások megfelelő dokumentálása és a GDPR-előírások betartása nemcsak jogi megfelelés kérdése, hanem a vállalati reputáció és bizalom megőrzésének záloga is.

Fotó forrása: pexels.com, Plann

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben Read More »

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért

Olvasási idő: 4 perc

Az Európai Adatvédelmi Testület az idei évben is közzétette a 2024-re vonatkozó jelentését („Jelentés”), egyúttal kijelölte a 2027-ig tartó stratégiájának alapvető céljait, ezek közül egyik azadatvédelmi szabályoknak való megfelelés elősegítése. Az Európai Bizottság („Bizottság”) pedig idén májusban a vállalkozások adminisztratív terheinek csökkentése érdekében benyújtotta a GDPR egyszerűsítésre irányuló javaslatát („Egyszerűsítési Javaslat”), melyet az EPDB is üdvözölt. Jelen cikkünkben a Jelentésben foglalt főbb megállapításokat és Testület jövőbeni terveit foglaljuk össze, valamint kitérünk az Egyszerűsítési  Javaslatra is.

Az Európai Adatvédelmi Testület szerepe az adatvédelemben

Az Európai Adatvédelmi Testület küldetése és jogi feladata sokrétű:

  • biztosítja az uniós adatvédelmi szabályok következetes alkalmazását;
  • előmozdítja a hatékony együttműködést az adatvédelmi hatóságok között az Európai Gazdasági Térségben (EGT);
  • segíti a GDPR egységes alkalmazását;
  • megvizsgálja a rendelet alkalmazását érintő kérdéseket, valamint
  • a GDPR egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki és azok alkalmazását szükség szerint felülvizsgálja.

A Jelentésben foglalt főbb eredmények

Az Európai Adatvédelmi Testület bármely felügyeleti hatóság, az Európai Adatvédelmi Testület elnöke vagy az Európai Bizottság kérelmére megvizsgálhat általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és arról véleményt bocsáthat ki. Az idei évben is folytatja tevékenységét, így új iránymutatást fogadott el az álnevesítéssel kapcsolatban, melyet ebben a cikkünkben ismertettünk. A Testület minden évben koordinált végrehajtási akciót is hirdet, 2024-ben a hozzáférési jogra összpontosított, míg a 2025. évre a törléshez való jog érvényesülésének felülvizsgálatát tűzte ki célul, erről ebben a cikkünkben adtunk hírt.

Az Európai Adatvédelmi Testület ezen kívül folytatta az adatkezelésben érintett személyekkel és szervekkel történő aktív párbeszédjét, mely eredményképpen megindította közérthető tájékoztató anyagok (factsheet-ek) közzétételét. Ilyen tájékoztató anyagban ismertette a Testület a mesterséges intelligencia kiberbiztonságra gyakorolt legjelentősebb pozitív és negatív hatásait. (A factsheet angolul ezen a linken érhető el)

Stratégia a 2024-2027 közötti időszakra

Az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájában négy fő pilléren alapuló célkitűzést határozott meg:

  • az adatvédelmi szabályok következetes alkalmazásának és a megfelelés előmozdítása;
  • az adatvédelmi hatóságok közötti nemzetközi együttműködés megerősítése;
  • az adatvédelem biztosítása a kialakulóban lévő digitális és több szabályozási területet (pl.: mesterséges intelligencia) felölelő környezetben, valamint
  • a magánélet és az adatok védelmének kérdéséről folytatott globális párbeszéd támogatása.

A Testület továbbá megerősítette, hogy a jövőben is aktív szerepet kíván vállalni a kis- és középvállalkozásokat („Kkv.”) érintő szabályozási környezet alakításában. Emellett kiemelt célként határozta meg, hogy konkrét eszközökkel segítse a Kkv.-kat a jogszabályoknak való megfelelésben, valamint hozzájáruljon az adatvédelmi jogok jelentőségéről szóló társadalmi tudatosság erősítéséhez.

Az Egyszerűsítési Javaslat

A Bizottság rámutatott, hogy az uniós jogszabályok összetettsége akadályozza a piacra lépést és korlátozza a növekedés lehetőségét. A Jelentésben megfogalmazott célok megvalósítása érdekében 2025. májusában közzétette negyedik úgynevezett omnibusz csomagot, melyben a Bizottság több uniós szabály – köztük a GDPR nyilvántartásra vonatkozó – módosítását javasolta.

A GDPR szerint jelenleg a nyilvántartás az adatkezelők és adatfeldolgozók alapvető eszköze, amellyel az adatkezeléseiket azonosítják és dokumentálják. Csupán példálózó jelleggel említjük meg, hogy ennekeleme az adatkezelés célja, az érintettek és címeztettek kategóriája, a megőrzési idő, adott esetben a harmadik országba történő adattovábbítás.

A hatályos szabályozás értelmében kizárólag abban az esetben mentesülhetnek az adatkezelők és adatfeldolgozók a nyilvántartás vezetése alól, ha 250 főnél kevesebb személyt foglalkoztatnak. Ugyanakkor a 250 főnél kisebb vállalatok is kötelesek nyilvántartást vezetni, ha

  • az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár;
  • az adatkezelés nem alkalmi jellegű;
  • ha az adatkezelés kiterjed különleges adatokra vagy egyéb büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

A felsorolás szubjektív jellege miatt a megfelelősége törekvő, compliance szemléletű vállalatoknak ezért minden esetben nyilvántartás készítését javasoljuk a kockázatok minimalizálása érdekében.

Ezt ismerte fel a Bizottság is, vagyis hogy a 250 főben meghatározott alkalmazotti létszám fennállása esetén is nagyon kevés esetben tudtak a vállalkozások mentesülni a nyilvántartási kötelezettség alól. Ezért – az Egyszerűsítési Javaslat szerint – a jövőben azon vállalkozások, amelyek kevesebb mint 750 munkavállalót foglalkoztatnak és forgalmuk nem haladja meg a 150 millió eurót, vagy teljes eszközállományuk nem haladja meg a 129 millió eurót, nem kötelesek nyilvántartást vezetni. Azon adatkezelési tevékenységek körében, amelyek várhatóan magas kockázattal járnak az érintettek – például a munkavállalók vagy ügyfelek – számára,továbbra is kiterjedne a vállalkozás nyilvántartási kötelezettsége.

A Bizottság becslései szerint ez az intézkedés az EU-ban mintegy 38.000 vállalkozást mentesítene a nyilvántartási kötelezettség alól és évente mintegy 400 millió euróval csökkentené a vállalkozások adminisztratív terheit.

Az Európai Adatvédelmi Testület támogatását fejezte ki a Egyszerűsítési Javaslattal kapcsolatban. Ugyanakkor felhívta az adatkezelők figyelmét arra is, hogy az adatkezelési műveletek nyilvántartása nemcsak a megfelelést segíti elő, hanem egyben hasznos eszközként szolgál más GDPR-követelmények teljesítéséhez is.

A fentiek összegzéseként tehát látható, hogy továbbra is elvárás a cégektől, hogy:

  • naprakész információval rendelkezzenek adatkezelései vonatkozásában (akár nyilvántartással, akár anélkül);
  • átlátható legyen az adatok kezelése és már a folyamatok kialakításakor vegyék figyelembe az adatkezelési szempontokat;
  • tudatosan mérlegeljék, milyen dokumentációs kötelezettséggel rendelkezzenek;
  • a kiemelt területeken továbbra is tartsák be a szigorúbb előírásokat.

Fotó: Marco, pexels.com

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért Read More »

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok

A technológiai fejlődéssel párhuzamosan számos olyan eszköz és módszer is megjelent, melyek célja a személyes adatokhoz való jogosulatlan hozzáférés szerzése. Bár a kibertámadásokhoz használt eszközök egyre fejlettebbek, a személyes adatokat továbbra is leginkább az emberi mulasztás és a figyelmetlenség veszélyezteti leginkább. Az Európai Unió 2016/679 számú rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében, ezek betartása elengedhetetlen a személyes adatok védelmének és az adatbiztonság megfelelő érvényesülése érdekében. A GDPR előírásokat tartalmaz arra vonatkozóan is, hogyan kell az adatkezelőknek eljárniuk egy adatvédelmi incidens esetén. Jelen cikkünkben az adatvédelmi incidensekkel kapcsolatos legfontosabb tudnivalókat foglaljuk össze.

Adatvédelmi incidens fogalma

A személyes adatok kezelése során az adatkezelőnek a GDPR -ban meghatározott intézkedéseket kell megtenniük, melyekkel biztosítják adatkezelésük biztonságát. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ahhoz, hogy egy sérülést incidensnek tekintsünk, az adatbiztonság sérülésének olyan mértékűnek kell lennie, hogy az érdemi kockázatot jelentsen a személyes adatok védelmére nézve. Az adatkezelőknek szükséges tisztában lenniük azzal, hogy nemcsak a személyes adatok elvesztése jelent adatvédelmi incidenst. Az adatvédelmi incidensek közé tartoznak:

  • Bizalmassági incidensek, melyek egyrészt a személyes adatok jogosulatlan közlésével valósulhatnak meg (pl.: egy téves címzettnek küldött e-mail, vagy ha személyes adatokat tartalmazó dokumentumok mentése nem megfelelő helyre történik, ezáltal megosztásra kerülhet egyébként hozzáférésre nem jogosult személlyel – aki akár a társaság más munkavállalója is lehet). Ugyanakkor bizalmassági incidenst szándékos magatartásból fakadó tevékenység is előidézhet (pl.: adathalász támadások révén történő jogosulatlan hozzáférés).
  • Integritási incidensek, melyek akkor következnek be, ha a kezelt személyes adatok megváltoznak (pl.: ha a könyveléshez – akár jogosultsággal rendelkező, akár jogsértést elkövető – hozzáférő személy átírja a fizetéseket, vagy az adatbázist oly módon törik fel, hogy személyes adatokat törölnek belőle).
  • Elérhetőségi incidensek melyekről a kezelt adat megsemmisülése (akár véletlen törlés, vagy ideiglenes szerverleállás által) valamint az adatokhoz való hozzáférés elvesztése esetében beszélünk (pl.: az ügyféladatbázis példányát tartalmazó laptop vagy adattároló elvész, vagy ellopják).

Összefoglalva, adatvédelmi incidensnek minősül, ha személyes adatokhoz illetéktelenül hozzáférnek, azokat engedély nélkül továbbítják, vagy ha azok elérhetetlenné válnak például zsarolóprogram általi titkosítás, véletlen elvesztés vagy megsemmisülés következtében.

Adatvédelmi incidensek következménye

Az adatvédelmi incidensek, amennyiben nem kezelik megfelelően és időben, súlyos fizikai, vagyoni vagy nem vagyoni kárt okozhat az érintett személyeknek. Ilyen következmény lehet például a pénzügyi veszteség, személyazonosság-lopás, jó hírnév sérelme, illetve a bizalmas adatok nyilvánosságra kerülése. Ezen felül az adatvédelmi incidenseknek az ügyfelek társaságba mint adatkezelőbe vetett bizalmának csökkenését, a nem megfelelő kezelésük pedig hatósági szankciót is vonhatnak maguk után.

Adatvédelmi incidensek bekövetkezése esetén követendő eljárás

Tekintettel arra, hogy az adatvédelmi incidenseknek igen súlyos következményei lehetnek, az adatkezelőnek az incidensről való tudomásszerzése esetén kötelezettsége, hogy a GDPR-ban foglaltak szerint kezelje a kialakult helyzetet. Ehhez azonban szükséges, hogy aki észleli, haladéktalanul jelentse a kijelölt adatvédelmi felelős részére. Ennek eljárásrendjét érdemes belső szabályzatban rögzíteni.

Incidensek nyilvántartása

A GDPR értelmében az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Incidensek bejelentése

Az adatvédelmi incidenseket az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak („NAIH”). Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat.

A bejelentéshez a NAIH, egy a honlapján elérhető formanyomtatványt is biztosít, melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő elektronikus úton (pl.: hivatali tárhelyen, vagy e-Papír szolgáltatáson) keresztül nyújthat be.

A bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • illetve az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Végül de nem utolsó sorban a bejelentésnek tartalmaznia kell az incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolatát.

A bejelentést csupán az úgynevezett „bagatell” incidensek esetében lehet mellőzni. Ilyen incidensnek minősül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, de a bekövetkezett incidenst ebben az esetben is rögzíteni kell a nyilvántartásban.

Érintettek tájékoztatása

Amennyiben feltehető, hogy az adatvédelmi incidens magas kockázattal jár az érintettek számára, az adatkezelőnek erről késedelem nélkül kell tájékoztatnia az egyéneket. Ennek az intézkedésnek az a célja, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket (pl. személyazonosító igazolvány ellopásának bejelentése, bankkártya zárolása).

A kockázatok értékelését minden incidens során egyedileg kell elvégezni. A folyamat során olyan szempontokat kell figyelembe venni, mint a személyes adatok típusa (pl.: különleges adat) és mennyisége, érintettek száma, érintettek azonosíthatóságának lehetősége.

A magas kockázattal járó adatvédelmi incidensről abban az esetben nem kell tájékoztatni az érintetteket, ha:

  • a személyes adatok olyan módon vannak titkosítva, amely értelmezhetetlenné teszi az adatokat;
  • az adatkezelő időközben megfelelő védelmi intézkedéseket hajtott végre;
  • vagy az tőle aránytalan erőfeszítést igényelne. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)

Összegzés

Az adatvédelmi incidensek tehát az adatbiztonság igen tág körű módon meghatározott sérülését jelenti. Az incidensek bekövetkezésének komoly vagyoni, illetve nem vagyoni károkat tudnak okozni az érintettek számára, a nem megfelelő módon történő kezelésük pedig akár több millió forintos pénzbírság kiszabását is eredményezhetik. Az adatkezelőknek kötelezettsége, hogy már az adatkezelésük során biztosítsák a személyes adatok védelmét. Elsősorban tehát érdemes a megelőzésre törekedni. A megfelelően kivitelezett biztonsági intézkedések (pl.: jogosultsági rendszerek kiépítése, jelszavak és eszközök megfelelő védelme) alkalmasak lehetnek az incidensek bekövetkezésének megakadályozására. Ezek meghatározására és betartására célszerű előzetesen belső eljárásrendeket és akcióterveket készíteni és rendszeres időközönként felülvizsgálni, valamint az adatkezelésben érintett személyek (pl. munkavállalók) részére megfelelő időközönként adatvédelmi képzést tartani. A konkrét adatvédelmi incidens bekövetkezésekor pedig ajánlott szakértőt bevonását is igényelni, tekintettel a formalizált hatósági eljárás speciális szabályaira, illetve az egyedi mérlegelés szükségességére.

Kép forrása: pixabay, pexels.com

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok Read More »

Az Európai Adatvédelmi Testület új iránymutatása az álnevesítésről

Az Európai Adatvédelmi Testület („EDPB”) 2025. első negyedévében 1/2025 számon új iránymutatást („Iránymutatás”) fogadott el, amely az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerinti álnevesítés alkalmazásával kapcsolatos elveket és előnyöket mutatja be. Jelen hírlevelünkben az Iránymutatás fontosabb, gyakorlatot is érintő megállapításait foglaljuk össze.

Mi a jelentősége?

Az adatkezelés szabályait sokféle szerepkörben kell alkalmazni, gyakran munkáltatóként, beszállító partnerként vagy vállalkozóként is. Az adatkezelés során a megfelelő jogalap kiválasztása és az alapelvek betartása kiemelkedő jelentőségű, ugyanígy a technikai és szervezési intézkedések megléte a kezelt adatok biztonsága érdekében. A GDPR az álnevesítésre az adatkezelés kockázatait csökkentő eszközként tekint, amely alkalmazása során a személyes adatok olyan módon kerülnek kezelésre, hogy további információ felhasználása nélkül nem állapítható meg, hogy azok mely konkrét természetes személyre vonatkoznak, vagyis a személyazonosság csak többletinformációval állítható helyre.

Feltétel, hogy ezek az információk – vagyis az álnév és a további tulajdonság – külön kerüljenek tárolásra és biztosított legyen, hogy az adatok az arra irányadó feltételek hiányában ne legyenek összekapcsolhatók az érintett természetes személlyel. Az álnevesítés alkalmazása esetén meg kell határozni a konkrét kockázatokat, amelyeket a módszerrel kívánnak redukálni, és úgy kell kialakítani az eljárásrendet, hogy hatékony legyen a megjelölt cél eléréséhez. Ez különösen olyan esetekben jöhet szóba, ahol a kezelt adatok jellegéből adódóan a természetes személy könnyen azonosítható lenne. Lényeges azonban, hogy az álnevesítés nem helyettesíti a többi adatvédelmi intézkedést, hanem kiegészíti azokat.

Adatvédelmi elvek betartásának elősegítése

Az álnevesítés – mint az EU Bizottság által is nevesített jó gyakorlat – megfelelően alkalmazva hozzásegítheti az adatkezelést végző szervezetet a Rendelet által előírt alapelvek teljesítéséhez. A GDPR szerint az adatokat csak meghatározott célból lehet gyűjteni, és e célokkal összeegyeztethető módon lehet kezelni. Az álnevesítéssel csökkenthető annak kockázata, hogy a személyes adatokat további olyan módon dolgozzák fel, amely nem egyeztethető össze azzal a céllal, amelyre eredetileg az adatokat gyűjtötték.

Például, nagyon hasonló azonosítókkal rendelkező személyek (pl. Nagy István nevű munkavállalók) adataihoz nagymértékben eltérő álnevek (pl. munkavállalói azonosítók) hozzárendelése nemcsak a titkosságot fokozhatja, hanem hozzájárul a személyes adatok pontosságára és naprakészen tartására vonatkozó követelmény teljesüléséhez azáltal, hogy csökken annak lehetősége, hogy az adatokat (pl. bérszámfejtés) tévesen rossz személyhez rendelik.

Adatkezelés jogalapjának igazolása

Az adatkezelés jogszerűségének alátámasztásához elengedhetetlen a megfelelő jogalap megjelölése. Mivel az álnevesítéssel csökken az érintetti jogokat és szabadságokat érintő kockázat, az álnevesítés megkönnyítheti a jogos érdek jogalapként való alkalmazását (GDPR 6. cikk (1) bekezdés f) pont). Az álnevesítés ugyanis minimalizálja annak az esélyét, hogy az adatok jogosulatlan személyazonosításhoz vezetnek.

Hasonlóképpen, az álnevesítés segíthet az eredeti céllal való összeegyeztethetőség biztosításában (GDPR 6. cikk (4) bekezdés). Az álnevesítés megfelelő biztosíték lehet a további adatkezeléssel kapcsolatos összeegyeztethető célok mérlegelésekor is, mivel korlátozhatja a tervezett további adatkezelés lehetséges következményeit az érintettekre nézve, a további adatkezelési célok így kisebb kockázatot jelentenek.

Hogyan alkalmazható?

Az adatkezelőként eljáró szervezet köteles biztosítani, hogy az álnevesített adatok ne legyenek összekapcsolhatók egy személlyel, amíg a többletinformáció külön kerül kezelésre. Ennek megvalósításához az adatkezelőnek módosítania kell az adatokat, valamint további kulcsokat, információkat elkülönülten kell tárolnia elérve, hogy csak az arra jogosultak tudják az adatokat összekapcsolni.

A módszer hatékonysága érdekében az álnevesített adatok nem tartalmazhatnak közvetlen azonosítókat (pl. ismert azonosítószámokat, mint adóazonosító jel, személyi igazolványszám), mert ezek a közvetlen azonosítók felhasználhatók az adatoknak az érintettekhez való egyszerű hozzárendelésére. Ehelyett olyan azonosítók, egyedi kódok alkalmazhatók, amelyek csak kiegészítő információk felhasználásával rendelhetők az érintettekhez; ez az álnév. Mindezeket pedig megfelelő technikai és szervezési intézkedésekkel szükséges biztosítani, például:

  • titkosítás,
  • értelmezési kulcsok alkalmazása és elkülönült tárolása,
  • csak az arra jogosult személyek részére való hozzáférés biztosítása.

Álnevesítés során kezelt adat mint személyes adat

Fontos, hogy az álnevesített adatok továbbra is személyes adatnak minősülnek, azaz a GDPR hatálya alá tartoznak, ezért az érintett jogait biztosítani kell. Így például, ha az adott személy meg tudja adni azt az álnevet, ami alatt az adatait tárolják, és bizonyítani tudja, hogy ez az álnév rá vonatkozik, az adatkezelőnek képesnek kell lennie az érintett azonosítására és az érintetti joggyakorlás keretében előterjesztett igényeket az esetleges további feltételek fennállása esetén teljesíteni szükséges.

Az adatok álnevesítése csökkenti az érintettekre vonatkozó kockázatokat, mivel egy esetleges jogosulatlan hozzáférés vagy nyilvánosságra hozatal esetén megfelelő álnevesítéssel a természetes személyre vonatkozó közvetlen azonosító adat nem kerül felfedésre (pl. rossz helyre kerül kiküldésre a cafeteria nyilatkozat, de azon csak az álnév szerepel).

Érdekesség: ha az álnevesítéssel érintett adatok biztonsága megsérül, amely az álnevesítés jogosulatlan visszafordításához vezet, akkor az adatvédelmi incidensnek minősülhet és a konkrét eset körülményeitől függően megfelelő intézkedéseket szükséges megtenni.

Zárszó

Az Iránymutatás hasznos keretet kínál az álnevesítés mint adatkezelési garanciális módszer alkalmazásához. Nem csupán egy technikai eszköz, hanem egy olyan adatvédelmi eljárásrend, amely hozzájárul a GDPR szabályainak betartásához, ugyanakkor segíti az adatkezelést és a kapcsolódó jogok biztosítását. Az álnevesítés bevezetése az alkalmazott adatkezelési stratégia felülvizsgálata alapján célszerű, ugyanakkor technikai és szervezési intézkedéseket, valamint az adatkezelési dokumentáció megfelelő kiegészítését is igényli.

Kép forrása: Markus Winkler, Pexels.com

Az Európai Adatvédelmi Testület új iránymutatása az álnevesítésről Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.