Az alapértelmezett és beépített adatvédelem és ezek érvényesülése az adatvédelmi irányítási keretrendszerben

2016. április 27-én fogadta el az Európai Parlament és a Tanács a 679/2016 EU Rendeletet, az általános adatvédelmi rendelet, közismert nevén a GDPR-t.

A szöveg elfogadása óta eltelt közel két év nem telt el eseménytelenül, azonban erősen vegyes képet mutat. A 29. Cikk szerinti Munkacsoport, illetve azóta Európai Adatvédelmi Testület több állásfoglalással és iránymutatással segítette a felkészülést az GDPR-ral kapcsolatban, sajnos nem minden területen maradéktalanul és sok nyitott kérdést megválaszolatlanul hagyva. Több olyan részletszabály is tisztázatlan maradt, amelyek az adatvédelmi működés szempontjából kulcs fontosságúak, mint például az adatvédelmi tisztviselő (DPO) tényleges helye az adott szervezeten belül, a változó tájékoztatási követelmények értelmezése vagy az alapértelmezett és beépített adatvédelemmel kapcsolatos, kézzel fogható követelmények meghatározása. (tovább…)

Olvasson tovább

A francia adatvédelmi hatóság is kiadta az adatvédelmi hatásvizsgálatokkal kapcsolatos listáját

A hét elején, 2018. november 6-án a francia adatvédelmi hatóság (Commission nationale de l’informatique et des libertés, ~CNIL) is kiadta az angol, német, lengyel, belga hatóságok mellett a GDPR 35. Cikk (4) bekezdése szerinti, az adatvédelmi hatásvizsgálatok elvégzését előíró listát. (tovább…)

Olvasson tovább

A francia adatvédelmi hatóság elemzése a Blockchain és az adatvédelem kapcsolatáról

A francia adatvédelmi hatóság 2018. szeptember 24-én adta ki a blockchain technológiák és a GDPR kapcsolatáról szóló elemzését (Premiers éléments d’analyse de la CNIL). Az elemzés az adatvédelmi jog főbb institúciói mentén vizsgálja a gyakran hangoztatott technológia és a GDPR kapcsolatát a személyes adatok védelmét biztosító megoldások mentén. (tovább…)

Olvasson tovább

Adatkezelő vagy adatfeldolgozó-e az ügyvéd

Az Általános Adatvédelmi Rendelet alkalmazását megelőzően minden egyszerűbbnek tűnt, így az ügyvédi tevékenység adatvédelmi szempontú megítélése is. A Rendeletre való felkészüléssel kapcsolatosan a megbízók bizonyos hányada azzal fordult az ügyvédjéhez, hogy az Általános Adatvédelmi Rendelet 28. cikke szerinti adatfeldolgozói szerződést kíván kötni a jogi szolgáltatójával, bár a Rendelet alkalmazandóvá válása e viszonyrendszerben nem jelentett változást. Ennek oka az adatvédelmi szabályok téves értelmezése és a korábbi értelmezések, iránymutatások és az ügyvédi tevékenységre vonatkozó törvényi és szakmai követelmények ismeretének hiánya lehet. Felvetődik ezért a kérdés, hogy helyes-e és mikor indokolható-e ez a minősítés, illetőleg milyen kockázatokkal, adatvédelmi tisztességességi és ügyvédi etikai korlátokkal jár egy ügyvéd, ügyvédi iroda számára, hogy adatfeldolgozói szerződést kössön a megbízójával, illetőleg milyen korlátozásokról érdemes tudnia egy megbízónak, ha ilyen szerződést kíván kötni az ügyvédjével. (tovább…)

Olvasson tovább

Fontos döntések a közös adatkezelésről

Két, nagyon fontos döntést is hozott az Európai Unió Bírósága a nyár folyamán a közös adatkezeléssel kapcsolatban. Mindkét esetben a 95/46 EK Irányelv (európai adatvédelmi irányelv) szerint értelmezte a bíróság a közös adatkezelést, azonban elvi jelentősége a két döntésnek túlmutat ezen és várhatóan a két ítéletben kifejtett szempontok mentén fog alakulni a jogértelmezés az általános adatvédelmi rendelet (GDPR) alatti érában is. A döntések jelentőségét növeli, hogy várhatóan a magyar adatvédelmi hatóság, a NAIH is ezek mentén fogja – a ténykérdésként kezelt – közös adatkezelői minőséget értelmezni. (tovább…)

Olvasson tovább

A francia GDPR végrehajtási jogszabály

Nemcsak Magyarország nem tudott időben felkészülni a GDPR alkalmazandóvá válására. Franciaországban júniusban kihirdették és hatályba lépett a 2018. június 20-i 2018-493. számú törvény, a francia adatvédelmi jogszabály módosítása. A jogszabály mind a GDPR, mind pedig a bűnügyi személyes adatok szabad áramlásával kapcsolatos 680/2016 EU Irányelv átültetéséről rendelkezik.

A francia törvény – a magyar jogszabályhoz hasonlóan – elsősorban a GDPR nemzeti végrehajtásával kapcsolatos rendelkezéseket tartalmazza. A francia adatvédelmi hatóság (CNIL) álláspontja szerint a nemzeti jogszabályok és a GDPR harmonizációja miatt várhatóan hat hónapon belül a francia adatvédelmi törvény novellája várható. Erre az elfogadott módosító törvény adott felhatalmazást a végrehajtó hatalom számára, hogy Parlamenti vita nélkül elvégezhesse (forrás).
(tovább…)

Olvasson tovább

Ügyvédi adatkezelések és a GDPR

Az Európai Unió Általános Adatvédelmi Rendelete az ügyvédi tevékenység adatkezeléseire is kiterjed. 2018. május 25-től egyes ügyvédi irodáknak adatvédelmi tisztviselőt szükséges kijelölniük, el kell készíteniük az adatkezelési tevékenységek nyilvántartását, illetőleg…

Olvasson tovább

Iránymutatás az Adatvédelmi Hatásvizsgálatról

A 29. cikk szerinti Adatvédelmi Munkacsoport 2017. április 4-én kiadta az Adatvédelmi Hatásvizsgálatokkal és az adatkezelési tevékenység magas kockázatú voltának meghatározásával kapcsolatos iránymutatását.

Az adatvédelmi hatásvizsgálat elvégzése kulcsfontosságú azon adatkezelési tevékenységek esetében, amelyek magas kockázattal járnak. A Munkacsoport által kibocsátott iránymutatás a magas kockázatú adatkezelések azonosításához, illetőleg a hatásvizsgálat elvégzéséhez nyújtanak segítséget.

Az iránymutatás a GDPR szabályozásával kapcsolatos több fehér foltot igyekszik tartalommal megtölteni, azonban sajnos így sem tekinthető teljes körűnek, illetve az nem kötelező erejű. Bizonyos módszertani kérdéseket (pl. mikor, milyen esetekben kötelező elvégezni) maga a GDPR határoz meg, ugyanakkor sajnos több, explicit módon jelen nem lévő követelményt nem tisztáz sem a jogszabály, sem a munkacsoport iránymutatása. (tovább…)

Olvasson tovább

Titkosítás és a GDPR

Az Európai Unió új adatvédelmi rendelete, a GDPR (General Data Protection Regulation) a korábbi, hazai szabályozáshoz képest újdonságként tartalmazza a titkosítás alkalmazását a személyes adatok védelme érdekében. (tovább…)

Olvasson tovább

Érvénytelen az adatmegőrzési irányelv

Az Európai Unió Bírósága 2014. április 8. napján C-293/12. és C-594/12. számú, Digital Rights Ireland, valamint Seitlinger és társai egyesített ügyekben hozott ítéletében érvénytelennek nyilvánította az adatmegőrzési irányelvet (2006/24/EK európai…

Olvasson tovább

Innen indultunk

Tévedtünk :-/