Május 25-től életbe lépett az Európai Unió új általános adatvédelmi rendelete, amire röviden GDPR-ként szoktak hivatkozni. A rendelet egységesen szabályozza az adatkezelés alapvető szabályait, az adatkezelő kötelezettségeit és az érintett személyek jogait. Az adatvédelmi rendeletnek megfelelés sok esetben összetett felkészülést igényel, azonban most kiemelünk néhány fontos tudnivalót, amivel érdemes tisztában lenni az adatvédelmi rendelettel kapcsolatban – írja dr. Szabó Gergely ügyvéd, a Kocsis és Szabó Ügyvédi Iroda irodavezető partnere.
Nem csak név alapján azonosítható az érintett
A személyes adatok olyan információk, amelyek azonosított vagy azonosítható természetes személyre (azaz emberre) vonatkoznak. Ebből a szabályból több adatkezelő is azt a téves következtetést vonja le, hogy az általa kezelt információk csak akkor személyes adatok, ha azok alapján név szerint azonosítható az érintett. Azonban ez nem így van, mivel valakinek az azonosítására nem csak a neve, hanem rá vonatkozó más adat is alkalmas lehet, gondoljunk akár az IP-címekre, földrajzi tartózkodási helyre vonatkozó adatokra, vagy akár internetes böngészési szokásokra. Ezért adatkezelő például az a honlap üzemeltető is, akinek a honlapjáról olyan program települ a látogató gépére, ami gyűjti a látogató egyes internetes barangolási szokásait, majd az adatokat az érintettnek szóló reklámok elhelyezésére használja.
Önkéntes hozzájáruláson kívül is lehetséges az adatkezelés
Az adatkezeléshez megfelelő jogalap szükséges. Az adatvédelmi rendelet előtt gyakran alkalmazott adatkezelési jogalap az érintett személy adatkezeléshez való önkéntes hozzájárulása vagy a törvény által kötelezővé tett adatkezelés volt. Az adatkezelőknek érdemes figyelni arra, hogy a rendelet említ olyan jogalapokat is, ami nem teszi szükségessé az érintett hozzájárulását.
A rendelet szerint személyes adat akkor is jogszerűen kezelhető, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél. Ez azt jelenti, ha például az adatkezelő szerződés alapján nyújt szolgáltatást az érintettnek, akkor hozzájárulás nélkül is kezelheti az érintett azon adatait, amelyek a szolgáltatás nyújtásához szükségesek. Ugyancsak nem szükséges hozzájárulás a szerződéskötést megelőző lépések megtételéhez, ha ezt az érintett kérte. Például ha valaki ajánlatot kér a szolgáltatótól, akkor az ajánlat megküldése érdekében az érintett személyes adatait külön hozzájárulás nélkül is kezelheti.
Előzetes tájékoztatás
Az új adatkezelési rendelet alapján is nagyon fontos az érintett személyek tájékoztatása. Hiába van megfelelő alapja az adatok kezelésének, ha az adatkezelő nem adja meg az érintettnek az adatkezeléssel kapcsolatos tájékoztatást. Így az érintettet többek között tájékoztatni kell a kezelt adatok köréről, az adatkezelés jogalapjáról, céljáról, időtartamáról, az adatokhoz hozzáférők köréről, az érintettet megillető jogokról és jogorvoslati lehetőségekről.
Adatvédelmi szabályzat szükségessége
Az adatvédelmi rendelet egyik alapelve az elszámoltathatóság elve. Ez azt jelenti, hogy az adatkezelőnek szükség esetén képesnek kell lennie igazolni, hogy adatkezelése megfelel a rendeletben megfogalmazott előírásoknak. Az ilyen megfelelés biztosításának fontos eleme az adatvédelmi szabályzat megléte. Az adatvédelmi szabályzat egy olyan belső szabályzat, amely tartalmazza azokat a szabályokat és eljárásokat, amelyek az adatkezelő működésében biztosítják, hogy az adatvédelmi szabályok betartásra kerüljenek.
Adatvédelmi nyilvántartás
A május 25-ig érvényben lévő szabályok szerint az adatvédelmi hatóság vezetett nyilvántartást egyes adatkezelésekről. Az adatkezelőnek pedig az volt a kötelezettsége, hogy az adatkezelés megkezdése előtt bejelentkezzen e nyilvántartásba. Az új adatvédelmi rendelet nem ír elő hatósági nyilvántartásba való bejelentkezést, ugyanakkor az adatkezelőket kötelezi arra, hogy saját adatkezelésükről nyilvántartást vezessenek. Tehát a nyilvántartás megmarad, de azt az adatkezelőnek kell vezetnie és szükség esetén a hatóságnak bemutatnia.
dr. Szabó Gergely