CLVPartners

GDPR

A törléshez való jog érvényesülésének felülvizsgálata 2025-ben

Az Európai Adatvédelmi Testület („EDPB”) 2020. októberében az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerint összehangolt végrehajtási keretről szóló dokumentumot fogadott el, amely értelmében minden évben egy meghatározott adatvédelmi témát vizsgálnak a tagállami hatóságok az EDPB által meghatározott keretek, módszerek alapján. Ezen összehangolt fellépések célja többek között a jogszabályoknak való megfelelés elősegítése, a tudatosság növelése.

Az idei évben az EDPB a törléshez való érintetti jogok gyakorlásának módját, az adatkezelők általi biztosítását kívánják górcső alá venni. Jelen cikkünkben az ezzel kapcsolatos fontosabb tudnivalókat foglaljuk össze.

A felülvizsgálat jelentősége

AZ EDPB 2025-ben a törléshez való jog érvényesülését kívánja vizsgálni, mivel ez az egyik leggyakrabban gyakorolt érintetti jog a GDPR hatályba lépése óta, azonban ennek biztosításával kapcsolatban nagyszámú panasz érkezik a felügyeleti hatóságokhoz. Ennek érdekében az EDPB idén a tagállami hatóságok segítségével a törlési jog biztosításával kapcsolatos gyakorlatokat kívánja megvizsgálni és felmérni, hogy az adatkezelők hogyan kezelik a hozzájuk beérkező törlési kérelmeket, hogyan alkalmazzák az e jog gyakorlására vonatkozó, GDPR-ban meghatározott feltételeket és kivételeket.

Mi a törléshez való jog?

A GDPR meghatározza azokat az alapvető jogokat, amelyekről az adatkezelő – legyen az munkáltató, beszállító partner vagy vállalkozó –köteles az érintettet előzetesen tájékoztatni és ezeket az adatkezelés során részére biztosítani. Többek között az érintett jogosult a rá vonatkozó személyes adatok törlését kérelmezni, amit az adatkezelő indokolatlan késedelem nélkül köteles megtenni.

A törléshez való jog gyakorlásának ugyanakkor feltételei is vannak, arra a következő esetek valamelyikében kerülhet sor:

  • ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat kezelték;
  • ha az adatkezelés az érintett hozzájárulásán alapult és azt az érintett visszavonta;
  • ha az érintett tiltakozik az adatkezelés ellen, amennyiben az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdekeinek védelme;
  • ha az adatok kezelésére jogellenesen került sor; vagy jogi kötelezettség alapján szükséges az adatot törölni.

Érintetti jog biztosítása

Az adatkezelőnek a természetes személyek személyes adatainak kezelése során mindvégig megfelelően biztosítania kell az érintettek adatkezeléshez fűződő jogait. Ehhez az egyik legfontosabb lépés az adatkezelő elérhetőségének garantálása, a kapcsolattartás lehetővé tétele, amelyet célszerű olyan mechanizmusokkal elérni, melyek megkönnyítik az érintett jogainak gyakorlását.

A személyes adatok kezelése kapcsán felmerülő bármely érintetti kérés esetén az adatkezelő köteles a kérés beérkezésétől számított legrövidebb időn belül, de nem később, mint 1 hónapon belül az érintetti jog gyakorlását biztosítani, vagy amennyiben ehhez további információra van szüksége, haladéktalanul felvenni a kapcsolatot az érintettel a kérés ügyintézése céljából, lehetőség szerint az érintett által alkalmazott kommunikációs csatornán. Ha pedig az adatkezelő az érintetti kérelemnek nem tesz eleget, arról is köteles indokolást adnia.

Ahhoz, hogy az adatkezelő az érintett kérelmét el tudja bírálni és annak eleget tudjon tenni, fontos, hogy az adatkezeléshez megfelelő szervezési és technikai intézkedéseket alkalmazzon. A joggyakorlás biztosítása kiemelkedő jelentőségű, ugyanis nem megfelelő adatkezelés esetén az érintett akár az illetékes hatósághoz – Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatósághoz – vagy akár bírósághoz is fordulhat panaszával.

Adatkezeléssel kapcsolatos teendők

A GDPR 2018-ban történt hatálybalépése óta a szervezetek széleskörű adatkezelési gyakorlatra tettek szert, valamint jelentős jogszabályváltozások történtek az adatkezeléssel érintett területeken.

Ugyanakkor tapasztaljuk, hogy a GDPR megfelelést egy egyszeri projektként kezelő vállalkozások nem vizsgálják felül (néhány) évente a folyamataikat, dokumentumaikat és a háttérjogszabályokat, ezért évek múltán az adatkezelési tájékoztató nem a valóságot tükrözi, amiért felelősségre vonhatóak.

Azt javasoljuk, hogy azok a cégek, akik az alábbi kritériumok közül valamelyikben magukra ismernek, vizsgálják meg adatkezelési dokumentációjukat, és ha kell, hozzák összhangba a tényleges folyamataikkal:

  1. Új szoftver bevezetése
  2. Üzletág vagy egyes folyamatok átszervezése
  3. Új beszállítók választása
  4. Megrendelőkkel való együttműködés módosítása
  5. Folyamatok kiszervezése – akár harmadik országba, akár az EU területén belül
  6. Tanúsítványok bevezetése (ISO, Tisax, stb.)
  7. Új jogszabályoknak történő megfelelés (pl. Panasztörvény, GPSR, Pay Transparency Irányelv)
  8. Cégcsoportban történő változások (pl. új befektető tulajdonos)
  9. Kommunikációs platform módosulása (Pl. intranet, chatbot)
  10. Adatbázisok létrehozása vagy egyesítése

Kép forrása: Freepik.com

A törléshez való jog érvényesülésének felülvizsgálata 2025-ben Read More »

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá

Aligha van olyan vállalkozás, akinek 2018. május 25. óta ne lett volna teendője adatvédelmi tisztviselővel, úgynevezett DPO-val. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) hatályba lépése óta eltelt több, mint öt év, ez azonban nem jelenti és nem is jelentheti azt, hogy „a gép forog, az alkotó pihen”. A folyamatos joggyakorlat fejlődésre tekintettel időről-időre a szabályzatok felülvizsgálata is esedékessé válhat.

Az Európai Adatvédelmi Tanács („EDPB”) 2023-ban olyan koordinált végrehajtási akció lefolytatását döntötte el, amely kifejezetten az adatvédelmi tisztviselők kijelölésére és működésére koncentrál. A koordinált akcióban 26 európai adatvédelmi hatóság vesz részt.

Az adatvédelmi tisztviselő feladata az érintettek jogainak és szabadságainak védelme, valamint az adatvédelmi előírások betartása. Az elvárások közül a pártatlanság és függetlenség kerül legtöbbször a hatóságok figyelmébe. A pártatlanság és objektivitás lehetővé teszi, hogy a tisztviselő szigorúan felügyelje az adatkezelési folyamatokat, hatékonyan kezelje az adatvédelmi incidenseket és tanácsokat adjon a szervezetnek a GDPR és más vonatkozó, adatvédelmi szabályok betartásához. A pártatlanság biztosítja, hogy a tisztviselő minden érdekelt fél számára azonos mértékben képviselje az adatvédelmi kérdéseket, legyen szó a szervezett alkalmazottairól, partnereiről vagy vezetőségéről. Az adatvédelmi tisztviselőnek olyan szakértőnek kell lennie, aki nem áll érdekelt kapcsolatban a szervezettel vagy annak adatkezelési tevékenységeivel. Az összeférhetetlenség azt is jelenti, hogy a kinevezett adatvédelmi szakembernek nem szabad olyan pozícióban lennie vagy olyan tevékenységet végeznie, ami akadályozza az objektív és független döntéshozatalt.

Az adatvédelmi tisztviselőkkel kapcsolatosan számos tagállami hatósági döntés született a korábbi években, az alábbi tanulságokkal:

  • az adatvédelmi tisztviselőt nem csak az anyavállalat szerint illetékes hatósághoz kell bejelenteni, a szervezetnek értesítenie kell más érintett hatóságot is, ha a fióktelepek miatt máshol is eljár a DPO;
  • nem lehetséges egy külsős céget kiszervezés keretein belül adatvédelmi tisztviselőként alkalmazni és ezzel párhuzamosan egy harmadik személy DPO-t is kijelölni;
  • ha az adatvédelmi tisztviselő vezeti a compliance-, audit- és kockázatkezelési területet is, az sértheti a függetlenség és pártatlanság követelményét;
  • az adatvédelmi tisztviselő nem lehet az adatkezelő képviselője az illetékes adatvédelmi hatóság előtti eljárásban, mert az veszélyezteti a függetlenségét és pártatlanságát;
  • az adatvédelmi tisztviselő visszahívására lehetőség van, ha a DPO már nem rendelkezik megfelelő szakmai képességekkel vagy nem teljesíti az adatvédelmi szabályok előírásait;
  • az adatvédelmi tisztviselő nem utasítható, ezért megsérti a GDRP-t, ha a tisztviselő nem léphet fel önállóan, csak társaság vezetőjének (vagy a vállalatban egyéb döntésre jogosult személy) utasítására. Ellenőrzési terv alapján formalizálható a DPO eljárása, de a közvetlen utasítás nem felel meg a GDPR-nak.
  • ugyancsak az általános adatvédelmi rendeletet sérti, ha a DPO és a társaság felső vezetése közé hierarchikusan több szint is tagozódik, mert ezzel közvetlenül már nem az ügyvezetésnek tartozik felelősséggel az adatvédelmi tisztviselő.
  • nem megfelelő megoldás, ha megtörténik az adatvédelmi tisztviselő kinevezése, de a DPO megfelelőségi feladatokat is ellát a cégnél, ezzel pedig sérül a függetlenség és pártatlanság. Az ügyben eljárt hatóság megerősítette, hogy a DPO nem tölthet be olyan funkciót, amely lehetővé teszi számára, hogy meghatározza a személyes adatok kezelésének célját és módját.
  • hasonlóképp kimondásra került, hogy az összeférhetetlenség tilalmába ütközik, ha egy vállalkozás adatvédelmi tisztviselője két olyan leányvállalat ügyvezetője, amelyek a fővállalkozás részére adatfeldolgozást végeznek, mivel ebben az esetben a DPO úgy felügyeli az adatfeldolgozói feladatok megfelelőségét, hogy közben érdekelt az adatfeldolgozó cégek profitjában és működésében.

Mivel ad EDPB a 2023-as összehangolt végrehajtási akciójában az adatvédelmi tisztviselőkre összpontosít, várhatóan megszaporodnak az olyan határozatok, amelyekben a DPO-k működésével, pártatlanságával mondanak ki elvi jelentőségű döntéseket az eljáró adatvédelmi hatóságok. Előfordulhat, hogy újabb iránymutatás vagy állásfoglalás kerül kiadásra a hazai vagy európai uniós hatóságok részéről.

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá Read More »

A sütikkel kapcsolatos adatkezelés gyakorlati problémái

Bevezető

Mai digitális világunkban rendkívüli módon elterjedtek a személyes adatok gyűjtésére és kezelésére irányuló módszerek és technológiák (pl.: cookie-k, magyarul: sütik), hiszen ezek révén az adatkezelők igen fontos információkat tudhatnak meg rólunk. Elegendő, ha például arra gondolunk, hogy egy cipő interneten történő egyetlen felkeresését követően szinte borítékolhatóan szembe találkozunk a megtekintett, illetve ahhoz hasonló cipők reklámjaival más platformokon.

Az adatkezelő cégek és a magánszemélyek viszonya alapvetően egyenlőtlen, hiszen az átlag felhasználók tipikusan nincsenek tisztában a személyes adataik sokrétű kezelésével kapcsolatban. Ennek kiegyensúlyozásaként, a magánélet tiszteletben tartása és a személyes adatok védelme érdekében került megalkotásra – többek között – az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv („Elektronikus hírközlési adatvédelmi irányelv”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet („GDPR”). Ezek az uniós jogszabályok olyan minimum követelményeket fogalmaznak meg az adatkezelőkkel szemben, amelyek az aszimmetrikus jogviszonyok kiegyenlítését hivatottak szolgálni.

A jogok tényleges érvényesülését segítik elő az olyan civil szervezetek, mint például a None of Your Business („NOYB”). A NOYB tevékenységének eredményeképpen idén megjelent a sütikkel kapcsolatos legújabb, az Európai Adatvédelmi Testület sütikre szakosodott munkacsoportjának összefoglaló jelentése. A munkacsoport jelentésében 7 főbb süti kezelési gyakorlatot mutatott be, amely álláspontja szerint nem megfelelő az irányadó jogszabályok fényében. Ezeket az alábbiakban röviden és összefoglalóan ismertetjük annak érdekében, hogy a honlapot működtető cégek megfelelően alakítsák gyakorlatukat és a felhasználók is legyenek tudatosabbak:

Visszautasítási gomb hiánya: A hozzájárulással szemben támasztott követelményeknek nem felel meg, ha a hozzájáruláshoz kötött sütikkel kapcsolatos tájékoztató ablakban elsőre kizárólag az “elfogadás”, illetve a “további tudnivalók” lehetősége ugrik fel, de az elutasításra vonatkozó gomb nem.

Előre bejelölt opciók: Csakugyan nem megfelelő az az eljárás, ha a cookie-k beállítása során a lehetséges opciók közül előre be vannak pipálva az adatkezelő által preferált választási lehetőségek.

Link használata: A sütikkel kapcsolatos adatkezelésre vonatkozó elfogadó gomb tipikusan minden oldalon automatikusan felugrik, ugyanakkor vannak olyan adatkezelők, akik az elutasításra vonatkozó lehetőséget csupán egy külön linken keresztül biztosítják, ezzel megnehezítve a felhasználók önkéntes választását és nyomást helyezve rájuk.

Megtévesztő gomb színek, kontrasztok: Az érvényes hozzájáruláshoz az sem elhanyagolható körülmény, hogy a lehetséges opciók vizuálisan miként kerülnek megjelenítésre. Ugyanis, ha a megjelenített gombok színe vagy kontrasztja megtévesztő az érintettek számára (pl.: ha az elfogadás gomb egyértelmű megjelenítése mellett az elutasítás, valamint a további lehetőségek gomb színeinek kontrasztja olyan minimális, hogy az szinte láthatatlan), az így adott hozzájárulás nagy valószínűséggel érvénytelennek fog minősülni. Természetesen ezt mindig esetről-esetre szükséges vizsgálni.

Jogalappal kapcsolatos félrevezetés: Nem jogszerű az a gyakorlat, amikor az oldal kezelője először a látogató hozzájárulására, annak hiányában pedig jogos érdekére alapozza az adatkezelést. E tekintetben különösen jogszerűtlen az, amikor a hozzájárulás kapcsán tiltakozási lehetősége nincsen a felhasználónak arra tekintettel, hogy hozzájárulás hiányában az adatkezelő a jogos érdekére alapozva fogja kezelni azokat, hiszen, ez azt a benyomást keltheti az érintettben, hogy az adatkezeléshez csak hozzájárulni tud, más lehetősége nincs.

Alaptalanul nélkülözhetetlennek feltüntetett sütik: A munkacsoport jelentésében kitért arra az esetre is, miszerint sok adatkezelő alapvető szükségletű, nélkülözhetetlen sütiként tüntet fel olyan cookie-kat, amelyek valójában nem minősülnek annak.

Visszavonási lehetőség hiánya: A hozzájárulással szemben támasztott további követelmény, hogy az bármikor, ugyanolyan egyszerű módon visszavonható legyen, mint annak megadása volt az érintett számára. Így ennek lehetőségét biztosítania kell az adatkezelőknek a sütikkel kapcsolatban is (pl.: egy visszavonásra utaló lebegő gomb, link elhelyezésével).

Összefoglaló

A fentiek alapján látható, hogy az adatkezelőknek úgy kell eljárniuk, hogy a felhasználók részére biztosítsák a megfelelő információkhoz való hozzáférés lehetőségét és azok így kerüljenek döntési helyzetbe. Természetesen az már az érintettek felelőssége, hogy ténylegesen tájékozódjanak, és így, mint jogtudatos felhasználók járjanak el, illetve hozzanak döntést saját adataik vonatkozásában (pl.: adatkezelési beállítások testreszabásával, felkeresett oldalak használat utáni elhagyásával, NAIH tájékoztatók, adatkezelő adatkezelési tájékoztatójának megismerésével).

A sütikkel kapcsolatos adatkezelés gyakorlati problémái Read More »

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról Read More »

Enyhített a NAIH elnöke a lázméréssel kapcsolatban

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban.
Eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban, eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

Emlékeztetőül, a Hatóság 2020. március 11-én kiadott tájékoztatója és azt megerősítő 2020. április 28. napján közzétett állásfoglalása még aránytalannak tekintett minden diagnosztikai eszközzel végzett általános és kötelező jelleggel bevezetett vizsgálatot, példaként a lázmérőt említve, mivel a tavaszi járványhelyzet ezt nem indokolta.

A NAIH elnök nyilatkozata a korábban kiadott tájékoztató és állásfoglalás többi részét nem érintette, így valamennyi koronavírus járvánnyal kapcsolatos adatkezelés mint a lázmérés továbbra is a munkáltató jogos érdeke alapján, érdekmérlegelési teszt elvégzésével vezethető be, a lázmérést pedig egészségügyi szakember által vagy az ő szakmai felügyelete mellett végezhető a GDPR 9. cikk (3) bekezdése alapján.

A Hatóság változatlanul megköveteli, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás, védőeszközök biztosítása, munkavállalók közötti távolságtartás).

 

 

Enyhített a NAIH elnöke a lázméréssel kapcsolatban Read More »

GDPR a Brexit után – Adattovábbítás EU-n kívülre

Több évnyi tárgyalást követően az Egyesült Királyság („UK”) hivatalosan is kilépett az Európai Unióból, ez által az UK „harmadik országgá” vált. Szeretnénk megragadni ezt az alkalmat, hogy bemutassuk az UK-ra vonatkozó speciális szabályokat és az EU-n kívülre történő adattovábbítások általános szabályokat.
Adattovábbítás az Egyesült Királyságba

Ahogy a Brexitről szóló legutóbbi cikkünkben megjegyeztük, bizonyos változások csak idővel lépnek életbe. Az EU és az UK közötti kilépési megállapodás alapján a kilépést egy átmeneti időszak követi 2020. december 31-ig. Ebben az átmeneti időszakban a GDPR továbbra is hatályos marad az UK-ban, így az UK az idei év végéig nem számít harmadik országnak.

Mi történik az átmeneti időszakot követően?

Fontos megjegyezni, hogy bármely adat, amelynek kezelését az átmeneti időszak végét megelőzően kezdték el, a továbbiakban is a GDPR szabályai alapján kell kezelni. Így az átmeneti időszak alatt UK-ba továbbított adatok részére a GDPR-ral azonos szintű védelmet kell garantálni.

Az átmeneti időszakot követően az UK-nak és az EU-nak kell tisztáznia az adatvédelem részletszabályait. Természetesen a legtöbb adatkezelőnek az lenne a legkézenfekvőbb, ha az UK továbbra is a GDPR-t alkalmazná.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

Azonban egy megállapodás nélküli, „no-deal” Brexit esetén, illetve ha a megállapodás az adatvédelemről nem rendelkezik, az UK-ra is az EU-n kívülre történő adattovábbítás szabályait kellene alkalmazni.

Az EU-n kívülre történő adattovábbítás

Az egyik legjobban kihangsúlyozott általános szabálya a GDPR-nak az, hogy az EU területén kívülre történő adattovábbítás nem megengedett, csak kevés kivétel esetén. Ezen kivételeknek három kategóriáját különböztethetjük meg, a megfelelőségi határozatokat a 45. cikk alapján, a megfelelő garanciákat a 46. cikk alapján és különös helyzetekben biztosított eltéréseket a 49. cikk szerint.

Megfelelőségi határozatok

A Brexit szempontjából a második legjobb megoldás az EU Bizottság által meghozott megfelelőségi határozat lenne. Az adat speciális szabály vagy jóváhagyás nélkül továbbítható azon harmadik országokba, amelyekben az adatvédelem szintje megfelelőnek ítéltetik. A döntés ugyan a Bizottság mérlegelésére tartozik, ezt egy meglehetősen valószínű végkimenetel, mivel az UK nemzeti joga is magas adatvédelmi követelményeket támaszt.

Megfelelő garanciák

Ha az UK-t nem találnák megfelelőnek, a következő lehetőség, hogy az adatkezelők, illetve adatfeldolgozók nyújtsanak megfelelő garanciákat. Ezen garanciákat a Bizottság, illetve a felügyeleti hatóság kell jóváhagyja/ elfogadja. A legrelevánsabb garanciák az alábbiak:

• vállalatcsoport kötelező erejű vállalati szabályai (a felügyeleti hatóság hagyja jóvá);
• általános adatvédelmi kikötések (a Bizottság fogadja el);
• általános adatvédelmi kikötések (a felügyeleti hatóság elfogadja, a Bizottság jóváhagyja);
• jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy;
• jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

A fent említett lehetőségek vagy az adatkezelő részéről igényelnek nagy erőfeszítéseket (pl. kötelező erejű vállalati szabályok vagy magatartási kódexek előkészítése) vagy a felügyeleti hatóság proaktivitását igénylik (általános adatvédelmi kikötések elfogadása). A GDPR hatályba lépése óta általános adatvédelmi kikötések még nem kerültek elfogadásra. Ennek következtében a legtöbb adatkezelő számára a megfelelő garanciák biztosítása túl magas belépési küszöböt jelenthet.

Különös helyzetekben biztosított eltérések

Az utolsó lehetőség az különös helyzetekben biztosított eltérések, amelyeket kizárólag kivételes esetekben lehet alkalmazni és nem szolgálhatnak rendszeres adattovábbítás jogalapjaként. Ezen esetek közül a legrelevánsabbak az alábbiak:

• az érintett kifejezett hozzájárulását adta, miután tájékoztatták a harmadik országba történő adattovábbítás veszélyeiről;
• az adattovábbítás olyan szerződés teljesítéséhez szükséges, amelyben egyik fél az érintett, másik fél az adatkezelő, vagy amelyet az érintett érdekében kötöttek;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• z adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

Mindenesetre, amennyiben az adatkezelő ezen eltéréseket alkalmazza az EU-n kívüli adattovábbítás jogalapjaként, az adattovábbításra csak akkor kerülhet sor, ha az nem ismétlődő jellegű és csak korlátozott számú érintettre vonatkozik, továbbá az adatkezelő köteles bizonyítani a kényszerítő erejű jogi érdekét és tájékoztatni mind a felügyeleti hatóságot, mind az érintetteket. Ez tekinthető a legkevésbé kedvező lehetőségnek az adatkezelők részére a tájékoztatási kötelezettségek miatt.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

GDPR a Brexit után – Adattovábbítás EU-n kívülre Read More »

A GDPR salátatörvény felülírja a megszokott HR folyamatokat

Alig néhány hónap telt el azóta, hogy a munkáltatók a GDPR miatt újraszabályozták a folyamataikat, máris itt van a GDPR salátatörvény, amely többek között a Munka Törvénykönyvét is módosítja.

A módosítás azonnali és jelentős munkát ró a HR-re, ugyanakkor sok a nyitott – munkajogászok, valamint HR és adatvédelmi szakemberek értelmezésére váró – kérdés, főként, hogy a munkáltatók HR gyakorlata hogyan feleltethető meg az új és nem teljesen egyértelmű rendelkezéseknek. A gond az, hogy bár a magyar törvényhozók jelentős késedelemben voltak a GDPR implementációjával, a HR folyamatok felülvizsgálatára és a mögöttes dokumentumok ki-, illetve átdolgozására április 26-ig csak néhány napot hagytak, annak ellenére, hogy minden munkáltató számára kötelezően alkalmazandóak az új követelmények az első naptól. Erősen reméljük, hogy – amint az már előfordult számos esetben-, a saláta törvény pontosítása hamarosan megtörténik.

Amint már korábbi hírlevelünkben jeleztük, a GDPR salátatörvény 2019. április 26-ai hatálybalépésével összesen 86 törvényt módosít a GDPR rendeletnek való megfelelés érdekében. Ezek között szerepel a Munka Törvénykönyve is. Az említett módosítás és számos fontos HR folyamat újragondolását és alapvető szabályzatok, a munkaszerződések felülvizsgálatát követeli meg, mint a toborzás-kiválasztás, a munkaviszony létesítése/beléptetés, az adatok kezelése a munkahelyi beléptető rendszerek működtetése, valamint a munkáltatói eszközök használata, csak néhány jellemző területet említve. A felkészülésre a jogalkotó mindössze néhány napot hagyott, így minden cégnek ilyen rövid időn belül kellene megfelelnie az új törvényi előírásoknak.

Az új rendelkezések ugyan a korábban közzétett törvényjavaslathoz képest részletesebbek, de még így is sok nyitott kérdést hagy a gyakorlati jogalkalmazók számára, úgymint a munkavállalók személyiségi jogainak (pld. levelező rendszer, eszköz, internet használat ellenőrzése vagy kamerás megfigyelés stb.,) korlátozására vonatkozó a szükségességi-arányossági teszt fogalma és szempontjai, hiszen a GDPR érdekmérlegelési tesztet és adatvédelmi hatásvizsgálatot kíván meg.

A munkáltatók új munkavállaló beléptetésére alkalmazott folyamatait alapjaiban írja át az a szabály, miszerint a munkavállaló munkaviszony létesítése/teljesítése szempontjából lényeges iratainak csak a bemutatása kérhető, az iratokat lemásolni és így dokumentálni nem lehet, még a munkavállaló hozzájárulásával sem, ami a személyazonosság ellenőrzését nem teszi lehetővé, bár a hamis adatszolgáltatás a munkaviszony érvénytelenséghez vezethet, de dokumentáció hiányában munkáltató nem léphet fel.

A bűnügyi adatok kezelése tekintetében a munkáltatói érdekek szempontjából ugyancsak szigorúbbá válik a szabályozás, és a jövőben főszabályként, a pályázóktól/munkavállalóktól nem lehet erkölcsi bizonyítvány kérni. A módosítás kivételként és nagyon szigorúan határozza meg azokat a szempontokat, amelyre hivatkozással erkölcsi bizonyítvány kérhető, de ezek pontos kimunkálása is a munkáltatókra vár, miközben kétségtelenül komoly üzleti kockázatot hordoz, ha a munkáltató nem tudja, vagy vele nem közlik, hogy valamely munkakör esetleg büntetett előéletű személy által kerül betöltésre.
Végezetül, a módosítás érinti továbbá a biometrikus adatokat használó beléptető rendszereket (pl. ujjlenyomat, írisz- és retina azonosító, arcfelismerő rendszer), valamint a munkahelyi eszközök használata tekintetében is új alapelvre helyezkedik, amely a vonatkozó szabályzatok mielőbbi felülvizsgálatát teszi szükségessé.

A GDPR salátatörvény felülírja a megszokott HR folyamatokat Read More »

Kihirdették a GDPR-ral kapcsolatos törvénymódosításokat

A mai napon kihirdették az április 1-jén az Országgyűlés által elfogadott GDPR-ral kapcsolatos törvénymódosításokat.

A törvénymódosítás az Európai Uniós adatvédelmi rendeletnek megfelelően módosít több mint 80 törvényt, beleértve a Munka Törvénykönyvét is.

A törvénymódosítások nagy része április végén, míg a nemzeti akkreditálással és a találmányok szabadalmi oltalmával kapcsolatos módosítások majd csak május közepén lépnek hatályba.

Kihirdették a GDPR-ral kapcsolatos törvénymódosításokat Read More »

A GDPR-hoz kapcsolódó törvényjavaslatok újdonságai

A GDPR hatályba lépésével és alkalmazásával szükségessé vált, hogy az egyes hazai ágazati törvényeket érintő módosító rendelkezések is megalkotásra kerüljenek, amelyek javaslatát az Országgyűlés várhatóan a héten fogadja el. A módosítás többek között érinti a munka törvénykönyve rendelkezéseit is.

A munkahelyi adatkezeléssel kapcsolatos rendelkezések a személyiségi jogok védelmét követően egy új alcím, az Adatkezelés alatt kerülnek meghatározásra. Eszerint a munkáltatón kívül az üzemi tanács és a szakszervezet is követelheti nyilatkozat megtételét vagy adat közlését a munkavállalóktól az Mt.-ben meghatározott jogaik gyakorlása vagy kötelességeik teljesítése céljából. Ez alapján követelhetik továbbá okirat bemutatását, így azok tárolására, fénymásolására a fenti okokból nem lehet szükség, elegendő azok bemutatása és a szükséges adatok feljegyzése.

A tervezet alapján a biometrikus azonosítók kezelése is további szabályozás alá került, miszerint a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely vagy a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A munkahelyi ellenőrzés körében sokak számára meglepő szabályként került rögzítésre a tervezetben, hogy a munkavállaló kizárólag a munkaviszony teljesítése érdekében használhatja a munkáltató által biztosított számítástechnikai eszközt. Ettől a felek közös megállapodással eltérhetnek, azonban főszabály szerint ezeket az eszközöket a munkavállaló magáncélokra már egyáltalán nem használhatja. Bár a javaslat úgy rendelkezik, hogy a munkáltató ellenőrzése során csak a munkaviszonnyal összefüggő adatokba tekinthet be, a fenti jogosultság szempontjából annak minősíti a magáncélú használati korlátozás betartásának ellenőrzéséhez szükséges adatot is.

A fent ismertetett tervezet rendelkezései elfogadásra még nem kerültek, így annak későbbi elfogadásáról vagy esetleges módosításairól későbbi cikkünkben adunk tájékoztatást.

A GDPR-hoz kapcsolódó törvényjavaslatok újdonságai Read More »

Egymilliós bírságot szabott ki a NAIH

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

Egymilliós bírságot szabott ki a NAIH Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.