CLVPartners

CLV-02
Menu

EDPB

A törléshez való jog érvényesülésének felülvizsgálata 2025-ben

Hírek, Adatvédelem / / , ,

Az Európai Adatvédelmi Testület („EDPB”) 2020. októberében az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerint összehangolt végrehajtási keretről szóló dokumentumot fogadott el, amely értelmében minden évben egy meghatározott adatvédelmi témát vizsgálnak a tagállami hatóságok az EDPB által meghatározott keretek, módszerek alapján. Ezen összehangolt fellépések célja többek között a jogszabályoknak való megfelelés elősegítése, a tudatosság növelése.

Az idei évben az EDPB a törléshez való érintetti jogok gyakorlásának módját, az adatkezelők általi biztosítását kívánják górcső alá venni. Jelen cikkünkben az ezzel kapcsolatos fontosabb tudnivalókat foglaljuk össze.

A felülvizsgálat jelentősége

AZ EDPB 2025-ben a törléshez való jog érvényesülését kívánja vizsgálni, mivel ez az egyik leggyakrabban gyakorolt érintetti jog a GDPR hatályba lépése óta, azonban ennek biztosításával kapcsolatban nagyszámú panasz érkezik a felügyeleti hatóságokhoz. Ennek érdekében az EDPB idén a tagállami hatóságok segítségével a törlési jog biztosításával kapcsolatos gyakorlatokat kívánja megvizsgálni és felmérni, hogy az adatkezelők hogyan kezelik a hozzájuk beérkező törlési kérelmeket, hogyan alkalmazzák az e jog gyakorlására vonatkozó, GDPR-ban meghatározott feltételeket és kivételeket.

Mi a törléshez való jog?

A GDPR meghatározza azokat az alapvető jogokat, amelyekről az adatkezelő – legyen az munkáltató, beszállító partner vagy vállalkozó –köteles az érintettet előzetesen tájékoztatni és ezeket az adatkezelés során részére biztosítani. Többek között az érintett jogosult a rá vonatkozó személyes adatok törlését kérelmezni, amit az adatkezelő indokolatlan késedelem nélkül köteles megtenni.

A törléshez való jog gyakorlásának ugyanakkor feltételei is vannak, arra a következő esetek valamelyikében kerülhet sor:

  • ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat kezelték;
  • ha az adatkezelés az érintett hozzájárulásán alapult és azt az érintett visszavonta;
  • ha az érintett tiltakozik az adatkezelés ellen, amennyiben az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdekeinek védelme;
  • ha az adatok kezelésére jogellenesen került sor; vagy jogi kötelezettség alapján szükséges az adatot törölni.

Érintetti jog biztosítása

Az adatkezelőnek a természetes személyek személyes adatainak kezelése során mindvégig megfelelően biztosítania kell az érintettek adatkezeléshez fűződő jogait. Ehhez az egyik legfontosabb lépés az adatkezelő elérhetőségének garantálása, a kapcsolattartás lehetővé tétele, amelyet célszerű olyan mechanizmusokkal elérni, melyek megkönnyítik az érintett jogainak gyakorlását.

A személyes adatok kezelése kapcsán felmerülő bármely érintetti kérés esetén az adatkezelő köteles a kérés beérkezésétől számított legrövidebb időn belül, de nem később, mint 1 hónapon belül az érintetti jog gyakorlását biztosítani, vagy amennyiben ehhez további információra van szüksége, haladéktalanul felvenni a kapcsolatot az érintettel a kérés ügyintézése céljából, lehetőség szerint az érintett által alkalmazott kommunikációs csatornán. Ha pedig az adatkezelő az érintetti kérelemnek nem tesz eleget, arról is köteles indokolást adnia.

Ahhoz, hogy az adatkezelő az érintett kérelmét el tudja bírálni és annak eleget tudjon tenni, fontos, hogy az adatkezeléshez megfelelő szervezési és technikai intézkedéseket alkalmazzon. A joggyakorlás biztosítása kiemelkedő jelentőségű, ugyanis nem megfelelő adatkezelés esetén az érintett akár az illetékes hatósághoz – Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatósághoz – vagy akár bírósághoz is fordulhat panaszával.

Adatkezeléssel kapcsolatos teendők

A GDPR 2018-ban történt hatálybalépése óta a szervezetek széleskörű adatkezelési gyakorlatra tettek szert, valamint jelentős jogszabályváltozások történtek az adatkezeléssel érintett területeken.

Ugyanakkor tapasztaljuk, hogy a GDPR megfelelést egy egyszeri projektként kezelő vállalkozások nem vizsgálják felül (néhány) évente a folyamataikat, dokumentumaikat és a háttérjogszabályokat, ezért évek múltán az adatkezelési tájékoztató nem a valóságot tükrözi, amiért felelősségre vonhatóak.

Azt javasoljuk, hogy azok a cégek, akik az alábbi kritériumok közül valamelyikben magukra ismernek, vizsgálják meg adatkezelési dokumentációjukat, és ha kell, hozzák összhangba a tényleges folyamataikkal:

  1. Új szoftver bevezetése
  2. Üzletág vagy egyes folyamatok átszervezése
  3. Új beszállítók választása
  4. Megrendelőkkel való együttműködés módosítása
  5. Folyamatok kiszervezése – akár harmadik országba, akár az EU területén belül
  6. Tanúsítványok bevezetése (ISO, Tisax, stb.)
  7. Új jogszabályoknak történő megfelelés (pl. Panasztörvény, GPSR, Pay Transparency Irányelv)
  8. Cégcsoportban történő változások (pl. új befektető tulajdonos)
  9. Kommunikációs platform módosulása (Pl. intranet, chatbot)
  10. Adatbázisok létrehozása vagy egyesítése

Kép forrása: Freepik.com

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá

Hírek, Adatvédelem, DPO / / , , , , , ,

Aligha van olyan vállalkozás, akinek 2018. május 25. óta ne lett volna teendője adatvédelmi tisztviselővel, úgynevezett DPO-val. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) hatályba lépése óta eltelt több, mint öt év, ez azonban nem jelenti és nem is jelentheti azt, hogy „a gép forog, az alkotó pihen”. A folyamatos joggyakorlat fejlődésre tekintettel időről-időre a szabályzatok felülvizsgálata is esedékessé válhat.

Az Európai Adatvédelmi Tanács („EDPB”) 2023-ban olyan koordinált végrehajtási akció lefolytatását döntötte el, amely kifejezetten az adatvédelmi tisztviselők kijelölésére és működésére koncentrál. A koordinált akcióban 26 európai adatvédelmi hatóság vesz részt.

Az adatvédelmi tisztviselő feladata az érintettek jogainak és szabadságainak védelme, valamint az adatvédelmi előírások betartása. Az elvárások közül a pártatlanság és függetlenség kerül legtöbbször a hatóságok figyelmébe. A pártatlanság és objektivitás lehetővé teszi, hogy a tisztviselő szigorúan felügyelje az adatkezelési folyamatokat, hatékonyan kezelje az adatvédelmi incidenseket és tanácsokat adjon a szervezetnek a GDPR és más vonatkozó, adatvédelmi szabályok betartásához. A pártatlanság biztosítja, hogy a tisztviselő minden érdekelt fél számára azonos mértékben képviselje az adatvédelmi kérdéseket, legyen szó a szervezett alkalmazottairól, partnereiről vagy vezetőségéről. Az adatvédelmi tisztviselőnek olyan szakértőnek kell lennie, aki nem áll érdekelt kapcsolatban a szervezettel vagy annak adatkezelési tevékenységeivel. Az összeférhetetlenség azt is jelenti, hogy a kinevezett adatvédelmi szakembernek nem szabad olyan pozícióban lennie vagy olyan tevékenységet végeznie, ami akadályozza az objektív és független döntéshozatalt.

Az adatvédelmi tisztviselőkkel kapcsolatosan számos tagállami hatósági döntés született a korábbi években, az alábbi tanulságokkal:

  • az adatvédelmi tisztviselőt nem csak az anyavállalat szerint illetékes hatósághoz kell bejelenteni, a szervezetnek értesítenie kell más érintett hatóságot is, ha a fióktelepek miatt máshol is eljár a DPO;
  • nem lehetséges egy külsős céget kiszervezés keretein belül adatvédelmi tisztviselőként alkalmazni és ezzel párhuzamosan egy harmadik személy DPO-t is kijelölni;
  • ha az adatvédelmi tisztviselő vezeti a compliance-, audit- és kockázatkezelési területet is, az sértheti a függetlenség és pártatlanság követelményét;
  • az adatvédelmi tisztviselő nem lehet az adatkezelő képviselője az illetékes adatvédelmi hatóság előtti eljárásban, mert az veszélyezteti a függetlenségét és pártatlanságát;
  • az adatvédelmi tisztviselő visszahívására lehetőség van, ha a DPO már nem rendelkezik megfelelő szakmai képességekkel vagy nem teljesíti az adatvédelmi szabályok előírásait;
  • az adatvédelmi tisztviselő nem utasítható, ezért megsérti a GDRP-t, ha a tisztviselő nem léphet fel önállóan, csak társaság vezetőjének (vagy a vállalatban egyéb döntésre jogosult személy) utasítására. Ellenőrzési terv alapján formalizálható a DPO eljárása, de a közvetlen utasítás nem felel meg a GDPR-nak.
  • ugyancsak az általános adatvédelmi rendeletet sérti, ha a DPO és a társaság felső vezetése közé hierarchikusan több szint is tagozódik, mert ezzel közvetlenül már nem az ügyvezetésnek tartozik felelősséggel az adatvédelmi tisztviselő.
  • nem megfelelő megoldás, ha megtörténik az adatvédelmi tisztviselő kinevezése, de a DPO megfelelőségi feladatokat is ellát a cégnél, ezzel pedig sérül a függetlenség és pártatlanság. Az ügyben eljárt hatóság megerősítette, hogy a DPO nem tölthet be olyan funkciót, amely lehetővé teszi számára, hogy meghatározza a személyes adatok kezelésének célját és módját.
  • hasonlóképp kimondásra került, hogy az összeférhetetlenség tilalmába ütközik, ha egy vállalkozás adatvédelmi tisztviselője két olyan leányvállalat ügyvezetője, amelyek a fővállalkozás részére adatfeldolgozást végeznek, mivel ebben az esetben a DPO úgy felügyeli az adatfeldolgozói feladatok megfelelőségét, hogy közben érdekelt az adatfeldolgozó cégek profitjában és működésében.

Mivel ad EDPB a 2023-as összehangolt végrehajtási akciójában az adatvédelmi tisztviselőkre összpontosít, várhatóan megszaporodnak az olyan határozatok, amelyekben a DPO-k működésével, pártatlanságával mondanak ki elvi jelentőségű döntéseket az eljáró adatvédelmi hatóságok. Előfordulhat, hogy újabb iránymutatás vagy állásfoglalás kerül kiadásra a hazai vagy európai uniós hatóságok részéről.

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , , , ,

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB”) tájékoztatót tett közzé honlapján a koronavírus járvány alatti adatkezelésről. A tájékoztató részleteit az alábbiakban foglaltuk össze:
1. Az egészségügyi adatok, mint különleges adatok, munkáltató általi kezelésének feltételeit a nemzeti jognak kell meghatároznia a GDPR szerint. Ebben a körben a GDPR megköveteli, hogy a jogalkotó meghatározza a konkrét intézkedéseket és az érintettek jogait védő megfelelő garanciákat.

2. Ahogy a NAIH álláspontja is hangsúlyozta, az egészségügyi vizsgálatoknál, mint amilyen a lázmérés is, ez a garancia az egészségügyi szakember jelenléte, ezért továbbra sincs lehetőség szakember jelenléte nélkül lázmérés bevezetésére a munkahelyen.

3. Az EDPB álláspontja szerint a munkáltatónak közölnie kell a munkavállalókkal, ha a munkahelyen koronavírus fertőzött személyt azonosítottak (hogy megtegyék a szükséges védelmi intézkedéseket), anélkül, hogy felfednék ezen személy kilétét. Az érintett munkavállalókat előzetesen kell értesíteni, a méltóságuk megóvása mellett. A fertőzésről való információkat elsősorban az ilyen adatok kezelésére jogosult hatóságoknak, illetve kezelő orvosoknak kell az ő kérésükre átadni.

Mivel a GDPR széles körben enged eltérést a nemzeti jognak, a járvánnyal kapcsolatos adatkezelésről részletesebb magyar szabályozásra számíthatunk a közeljövőben.

A jelen cikk tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.