GDPR a privát szektorban és az információs és technológiai szolgáltatások területén

Az ismeretlen technológiák a joggal szemben kettős elvárást támasztanak:

egyrészről biztosítani kell, hogy a technológiai fejlődése mellett az emberi szabadságjogok ne sérüljenek. Másfelől szükséges azonban az is, hogy a jog ne korlátozza a technológiai fejlődést. A technológiai fejlődés nem szükség-szerűen hoz létre új piacokat, hanem a már meglévőket is átalakíthatja. A technológiai társadalom magával hozza a szabályozás bizonytalanságát, és ezáltal a befektetői környezet kiszámíthatatlanságát is.¹² Az ITU (International Telecommunication Union) és a W3C (World Wide Web Consortium) hirdeti ki a technológia sztenderdeket, melyek összefüggésben van az adatvédelmi szabályozással. A hatályos szabályozás többről szól, mint egy technológia használata. A technológiának nagyobb szerepe van a határokon átívelő adat transzformációban, mint korábban. A vállalatok informatikai rendszerének, és a használt technológiáknak meg kell felelniük az adatvédelmi szabályozás szintjének.¹³ Először átfogóan bemutatom, hogy miben hozott változást a GDPR a privát szektorban, majd részletesen kitérek néhány technológiai szolgáltatásra, illetve a hozzájuk kapcsolódó elsősorban a GDPR megfeleléssel összefüggésbe hozható jogi, és egyéb kérdésre.

A GDPR az érintetteknek szélesebb körű jogokat biztosít. A 95. évi irányelv értelmében létező érintetti jogok, mint például az információhoz való jog, a hoz-záféréshez, a tiltakozáshoz, a helyesbítéshez, és a törléshez való jog a GDPR-ban is fennmaradtak. Az információhoz, és törléshez való jog azonban kiterjedtebbé válik. Többek között például a személyes adatok tárolásának időtartama tekin-tetében, vagy a szabályozás azon része mikor az adatkezelő személyes adatokat kíván továbbítani egy harmadik országba. Abban az esetben, ha a törlést az érintett kérte, az adatkezelőnek ésszerű lépéseket kell tennie annak érdekében, hogy tájékoztassa a többi adatkezelőt, akinek ezt a személyes adatot megadta.

A GDPR szerint szigorúbbak az érintett hozzájárulásának követelményei.

A hozzájárulás kifejezésének egyértelműen megkülönböztethetőnek kell lennie más írott nyilatkozattól, valamint érthetőnek, világosnak, és könnyen hozzá-férhetőnek kell lennie. Szintén fokozottabb követelményeket állít fel a GDPR az elszámoltathatóság terén. Az adatkezelőknek, és az adatfeldolgozóknak

12 K Tamás – S Endre Győző – T András: Technológia jog – Robotjog – Cyberjog.

Budapest, Wolters Kluver, 2018. 2.

13 Christopher K : The internet and the global reach of EU Law, SE. Law, Society and Economy Working Papers, 4/2017, London School of Economics and Political Science, 6.

kötelességük önállóan ellenőrizni a GDPR megfelelőségüket, és tudni kell bi-zonyítaniuk, hogy a szabályozásnak megfelelően járnak el. A magas kockázatot valószínűsítő feldolgozási tevékenységekhez előzetesen dokumentált kockázat-értékelés szükséges (adatvédelmi hatásvizsgálat).

A 95-ös irányelvvel ellentétben az adatok védelmére vonatkozó megfe-lelő intézkedések végrehajtására vonatkozó kötelezettség – mint pl. álnév és titkosítás – GDPR szerint már nem kizárólag adatkezelői kötelezettség, ez az adatfeldolgozó jogi kötelezettsége is. Az adatfeldolgozónak biztosítania kell az adatkezelő számára megfelelő technikai és szervezeti intézkedések végre-hajtására vonatkozó előzetes garanciákat (különösen szakértői ismeretek, megbízhatóság, és erőforrások tekintetében). Ezenkívül meg kell valósítani a technikai, és szervezési intézkedések rendszeres tesztelését, értékelését, továb-bá az adatfeldolgozó köteles segíteni az adatkezelőt a megfelelő szintű védelem biztosításában.

Az úgynevezett „privacy by default” (alapértelmezett adatvédelem) a szük-ségesség mércéjét állítja az adatkezelővel szemben, mely magába foglalja az adat mennyiségét, a feldolgozás mértékét, a tárolás időtartamát, és az adatok hozzáférhetőségét. Továbbá a vállalatoknak át kell gondolniuk, hogyan tudnak erőforrások tekintetében, technológiai, és eljárási szempontból a leghatéko-nyabban megfelelni az új adatvédelmi követelményeknek (Privacy by design, beépített adatvédelem elve).¹⁴ A beépített adatvédelem elve alapján az adatkeze-lő köteles fi gyelembe venni a tudomány és a technológia állását, a megvalósítás költségeit, az adatkezelés jellegét, hatókörét, körülményeit és céljait akkor, amikor a megfelelő szervezeti és technikai intézkedéseket kiválasztja és meg-valósítja. Mindemellett a természetes személyek jogaira jelentett kockázatokat is fi gyelembe kell vennie.¹⁵

Az adatvédelmi incidensekre vonatkozó bejelentési kötelezettség tekinteté-ben is hozott változást a GDPR. Az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóságnak haladéktalanul, vagy legkésőbb 72 órával azután, hogy az adatkezelő tudomást szerzett róla amennyiben a jogsértés nagy valószínű-séggel az egyén/egyének jogait, és szabadságait veszélyezteti. A jogsértés által érintett személyek számára pedig késedelem nélkül, Az adatfeldolgozónak in-dokolatlan késedelem nélkül értesítenie kell az adatkezelőt a személyes adatok

14 Edward G : General Data Protection Regulation and the Public Sector, 2017. Elérhető:

https://www.mhc.ie/uploads/05_30_17_GDPR_for_Public_Sector_MASTER_SLIDES_

FINAL_.pdf

15 K –S –T i. m. 10.

megsértéséről, és segítenie kell az adatkezelőt a fent meghatározott jelentési kötelezettségének teljesítésében.

Az előbbiekben is megjelenik a GDPR által támasztott fokozottabb adatfeldol-gozói kötelezettség. Mivel a 95.évi irányelv értelmében az adatkezelő elsődleges felelőssége az adatvédelmi törvény betartásának biztosítása, a GDPR közvetlen kötelezettséget ró az adatfeldolgozókra. Ezen adatfeldolgozói kötelezettségek egy részét már a fentiek tartalmazzák. Ezenkívül az adatfeldolgozónak szemé-lyes adatainak feldolgozásakor írásos adatvédelmi megállapodást kell kötnie az adatkezelővel. Az adatfeldolgozónak lehetővé kell tennie, hogy az adatkezelő, vagy az adatkezelő által megbízott harmadik fél ellenőrizhesse a GDPR meg-felelést.

Nemzetközi adattovábbításra vonatkozóan a nem uniós országokba történő átruházás jelenlegi mechanizmusa (például az EU modell klauzulái, vagy a kötelező erejű vállalati szabályok) továbbra is érvényben maradtak a GDPR szerint. Ugyanez vonatkozik az Európai Bizottság megfelelőségi döntéseire is (például Svájc, Izrael, Kanada). A GDPR szerint az általánosan elfogadott mechanizmusok többé már nem igénylik az adatvédelmi hatóság jóváhagyását, ahogyan azt a 95-ös irányelv értelmében bizonyos európai országokban (pl.

Spanyolországban és Ausztriában) megkövetelték.

A GDPR – a 95-ös irányelvhez hasonlóan – az EU-ban székhellyel rendelke-ző, a személyes adatok feldolgozásával, és kezelésével foglalkozó jogalanyokra vonatkozik. Ezenkívül a GDPR az EU-n kívül letelepedett szervezetekre is alkalmazandó, amelyek az EU-ban magánszemélyeknek kínálnak árukat, szol-gáltatásokat, vagy az egyének viselkedését nyomon követik (extra-territorial reach). Ez azt jelenti, hogy a GDPR alkalmazhatóságának megítélésekor egy adott szolgáltatás, vagy termék vonatkozásában nemcsak az adatkezelő, vagy az adatfeldolgozó helyét kell fi gyelembe venni, hanem annak a helyét is, ahol a szolgáltatásokat vagy termékeket megrendelik vagy értékesítik – ha az egyik, vagy mindkettő EU-ország, akkor a GDPR alkalmazható.

Továbbá jelentősebb szankciókat, és szigorúbb felelősségi mércét is magával hozott a GDPR. A jogsértések esetleges szankcionálása az előző pénzügyi év teljes világpiaci forgalmának 4%-a vagy 20 millió Euro lehet, illetve az adat-kezelővel, és az adatfeldolgozóval szemben is kiszabható. Az adatkezelőnek az érintettel szemben fennálló közvetlen felelősségének hiánya esetén a GDPR ki-terjeszti ezt a felelősséget az adatfeldolgozóra. Ez azt jelenti, hogy az érintettek felé (általában a vállalat ügyfelei) a vállalat, mint adatfeldolgozó közvetlenül felelős, és kártérítési igény támasztható vele szemben.