GDPR rendelet összefoglaló: mit jelent, mi a lényege?

Mi a GDPR jelentése?

A GDPR (angolul: General Data Protection Regulation, magyarul: Általános Adatvédelmi Rendelet) az Európai Unió rendelete, amely az Unió területén tartózkodó természetes személyek adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról.

Miért jött létre a GDPR rendelet? Mi a GDPR rendelet lényege, miért szükséges az adatok védelme?

A globalizáció és a technikai fejlődés eredményeként a személyes adatok egyre szélesebb körben ismerhetők meg, valamint kerülnek felhasználásra. Az adat hatalmas értékkel rendelkezik a globális nagyvállalatok számára, az adatvagyonnal való tudatos gazdálkodás pedig a vállalati stratégiák, innovációk egyik legfontosabb központi témájává vált, így érthető, hogy egyre fokozottabbá válik személyes adataink jogi védelme.

A jogi védelem célja elsődlegesen az adatvédelmi incidensek, valamint az incidensek másodlagos hatásainak (személyiség lopás, személyazonossággal való visszaélés stb.) megelőzése. A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

Alapvető fogalmak

A GDPR rendelet, valamint a cikkünkben használt kifejezések megfelelő értelmezéséhez nem árt az alapvető fogalmak tisztázása:

• érintett: egy adott gazdasági társasággal kapcsolatba kerülő, bármely információ alapján azonosítható természetes személy;
• személyes adat: az érintettre vonatkozó bármilyen információ;
• adatkezelés: bármely személyes adat gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, törlése és megsemmisítése;
• adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelésre vonatkozó döntéseket meghozza, majd végrehajtja, vagy végrehajtatja;
• adatfeldolgozó: az adatkezelő megbízásából adatkezelést végző harmadik fél;
• adatvédelmi tájékoztató: olyan írott szöveg, mely megfelelően tájékoztatja az érintetteket személyes adataik kezeléséről, beleértve a jogalapot, célt, az adatkezelés idejét, és az érintettek jogait;
• adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

A GDPR Rendelet hatálya, GDPR szabályok

A Rendelet által használt alapvető fogalmak tisztázása után érdemes kitérni a Rendelet tárgyi (mire is terjed ki a szabályozás, milyen tevékenységeket szabályoz), valamint területi (hol alkalmazandó a Rendelet) hatályának kérdésére is.

Ami a tárgyi hatályt illeti, a GDPR Rendeletet a természetes személyek személyes adatainak részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére vonatkozik, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Az automatizált adatkezelés fogalmába az automatizált eszköz útján történő adatkezelések tartoznak, amelyek jellemzően az adatokon elektronikus eszközzel, számítógéppel végzett adatkezelési műveleteket jelentik. A GDPR tehát minden automatizált adatkezelés esetében alkalmazandó, a manuálisan végzett adatkezelések tekintetében azonban megszorító rendelkezést tartalmaz a Rendelet.

A kézi, azaz nem automatizált (más kifejezéssel: papír alapú) adatkezelések esetében a Rendelet hatálya csak azokra az adatokra terjed ki, amelyek valamely nyilvántartási rendszer részei, vagy amelyek kezelése nyilvántartási céllal történik.

Azt, hogy mi minősül nyilvántartási rendszernek, a GDPR 4. cikk 6. pontja határozza meg, amely szerint nyilvántartási rendszer a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető. A területi hatállyal kapcsolatban elmondható, hogy a Rendeletet a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységével összefüggésben végzett kezelésére kell alkalmazni, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.

Mik lehetnek a jogszerű adatkezelés jogalapjai?

Az adatkezeléshez minden esetben jogalap szükséges, ennek megfelelően az adatkezelő abban az esetben kezeli jogszerűen az érintett adatait, ha a következő feltételek valamelyike teljesül:

• az érintett hozzájárulását adta személyes adatainak kezeléséhez;
• az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges (szerződés áll fenn az ön vállalkozása/szervezete és egy ügyfél között);
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (uniós vagy nemzeti jogszabályok alapján);
• az adatkezelés közérdekű feladat végrehajtásához szükséges (uniós vagy nemzeti jogszabályok alapján);
• az adatkezelés egy személy létfontosságú érdekeinek védelme miatt szükséges;
• az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges (de ekkor ellenőrizni kell, hogy az adatkezelés során az érintettek alapvető jogai nem sérülnek-e súlyosan)

GDPR alkalmazása: hogyan valósulnak meg a GDPR rendelet által kimondottak a gyakorlatban?

Milyen intézkedések szükségesek a GDPR-nak való megfeleléshez?

Az első és legfontosabb követelmény

Amikor egy gazdasági társaság vezetése a GDPR rendeletnek való megfelelés jegyében a meghozandó intézkedéseket készíti elő, az első és legfontosabb kiemelendő követelmény, amit szem előtt kell tartania, az a jóhiszemű hozzáállás: a jóhiszeműség már abban is megmutatkozik, ha egy társaság tisztában van azzal, hogy intézkedéseket kell hoznia a megfelelés érdekében, és ezért előkészületeket végez, valamint arra is kiterjed, hogy ezeket az intézkedéseket ténylegesen meg is valósítja.

A második legfontosabb követelmény

A második legfontosabb követelmény az adatkezeléssel érintett természetes személyek tájékoztatása az adatkezelésről, ideértve többek közt az adatkezelés jogalapját, célját, időtartamát, valamint az érintett adatkezeléssel kapcsolatos jogait, jogorvoslati lehetőségeit.

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.

A weboldalakon használt adatvédelmi tájékoztató esetében ennek legegyszerűbb és a társaságok által leggyakrabban használt módja a ma már számos weboldalon megtalálható ún. “jelölőnégyzet” alkalmazása, amely kipipálásával az érintett hozzájárulását adja az adatkezeléshez, de ide tartozik bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.

Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

Nem mindegy, hogy ilyen adatok kezeléséről van szó

A Rendeletnek való megfelelés természetesen attól is függ, hogy az adott gazdasági társaság milyen adatokat kezel: ennek megfelelően sokszor nem elegendő a társaság weboldalán közzétett, szinte kivétel nélkül a társaság ügyfelei számára készült adatvédelmi tájékoztató, hanem gondolni kell példának okáért a társaság munkavállalóival kapcsolatos adatvédelmi kérdésekre is. A konkrét adatvédelmi stratégia kialakítása előtt tehát érdemes egy adatvédelemben jártas jogi képviselő segítségét kérni, így biztonsággal körbejárható a társaság működésével kapcsolatos összes adatvédelmi kérdés, amely elengedhetetlen előfeltétele a GDPR-nak való teljes megfelelésnek.

Sokan azt hiszik, hogy a Rendeletnek való megfelelés kimerül egy egyszeri intézkedésben, ez azonban téves hozzáállás. A megfelelés folyamatos tevékenység: ide tartozik az adatok megfelelő tárolását végezni képes szoftveres, IT megoldások bevezetése és alkalmazása, az esetlegesen felmerülő adatvédelmi incidensek hatékony kezelése, az adatkezeléssel érintettek kérelmére megfelelő tájékoztatás adása, stb.

Milyen esetekre, személyekre nem vonatkozik a GDPR rendelet?

Az általános adatvédelmi rendeletet nem kell alkalmazni, ha:

• az érintett már nem él,
• az érintett jogi személy,
• az adatkezelést nem a szakmája, üzleti tevékenysége vagy foglalkozása keretében eljáró személy végzi,
• az adatkezelést az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

GDPR megsértése: mi történik akkor, ha nem a Rendeletnek megfelelően jár el valaki, megbüntethetik?

A gyakorlat azt mutatja, hogy lejárt a türelmi időszak a GDPR-nak nem megfelelő társaságokkal szemben, ugyanis az utóbbi két évben már jelentős számú bírság került kiszabásra a magyarországi felügyeleti hatóság, vagyis a NAIH (Nemzeti Adatvédelmi Hivatal), valamint a európai tagállami felügyeleti hatóságok által is.

A NAIH legfeljebb 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni. A NAIH adatvédelmi ellenőrzései kapcsán jellemzően a jogalap nélküli adatkezelés, az előzetes tájékoztatási kötelezettség megszegése, az előzetes tájékoztatás hiánya vagy az előzetes tájékoztatás hiányossága, valamint az adatkezelési alapelvek megsértése miatt szab ki bírságokat.

Gyakran Ismételt Kérdések