Január 28. az adatvédelem nemzetközi napja, célja pedig, hogy felhívja a figyelmet az adatvédelem fontosságára. A mindennapjainkban is tapasztalható, hogy az Európai Unió a személyiségi jogok és az adatvédelem érdekében egyre határozottabban lép fel. A sokat emlegetett GDPR (General Data Protection Regulation) 2018. májusi bevezetése óta az adatvédelem területén a korábbinál jóval szigorúbb lett az EU szabályozása.
Sokan beszélnek még mindig a GDPR-ról, de mi is az pontosan?
Az Európai Parlament és a Tanács által 2016-ban elfogadott, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet. A téma iránti érdeklődés talán azért is van még mindig napirenden, mert mindeddig az egyének személyes adatai védelmének vonatkozásában csak európai uniós irányelv szolgált. Az irányelvet a belső jog részévé kellett tenni, melyet a tagállamok sokszor eltérő módon ültettek át. Ezzel szemben alapvető változás a GDPR jogi természetének következménye, ugyanis mint rendelet közvetlen hatállyal rendelkezik és közvetlenül alkalmazandó az EU összes tagállamában azonos és egységes tartalommal. Ennél fogva a rendelet teljes egészében egységes jogi szabályozást eredményez a személyes adatok kezelése és védelme vonatkozásában. Ennek következtében a magyar jogrendszer felülvizsgálata is szükségessé vált és oly módon kellett átalakítani, hogy az megfeleljen a GDPR követelményeinek.
Kire és mikortól vonatkozik a GDPR?
A rendeletet alkalmazni kell azon adatkezelőkre és adatfeldolgozókra, akik személyes adatokat automatizált módon kezelnek, illetve akkor is, ha a személyes adatokat manuálisan, papír alapon vagy nyilvántartási rendszerben kezelik. Nem kell alkalmazni a rendelet szabályait a kizárólag személyes vagy otthoni tevékenység keretében végzett, azaz az ún. magáncélú adatkezelés esetére.
Az adatkezelés magában foglal szinte minden, a személyes adatokkal kapcsolatos cselekményt, gondolok itt azok rögzítésére, tárolására, gyűjtésére, felhasználására, módosítására, továbbítására, törlésére, megsemmisítésére hogy csak néhány adatkezelési tevékenységet említsek. Az ezt végző szervezetet (vagy természetes személyt) amely (aki) tevékenységéhez kapcsolódóan vagy feladatának ellátásához személyes adatot kezel, nevezzük adatkezelőnek. Az adatkezelők feladataikat nem ritkán szerződéses partnerek bevonásával teljesítik, ők az adatfeldolgozók, akik az adatkezelők nevében végezik a személyes adatok kezelését és hajtanak végre adatkezelési műveletet. Különbség köztük, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó adatkezelést érintő érdemi döntést nem hozhat, kizárólag az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket.
2018. május 25-től kell a GDPR-t alkalmazni, ha az Unió területén tevékenységi hellyel rendelkező szervezet végez személyes adatkezelést, és ez tevékenységével összefüggésben valósul meg. Ugyanakkor a GDPR azt is kimondja, hogy az adatkezelést nem feltétlenül szükséges az Unió területén végezni, hanem elég ha az adatkezelést az adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzik.
Milyen jogai vannak az adatkezeléssel érintett személyeknek?
Az érintettek jogai között a GDPR meghatározza a tájékoztatáshoz, vagyis az ún. előzetes tájékozódáshoz, a hozzáféréshez, az adatok helyesbítéséhez, és a törléshez való jogot. Továbbá az adatkezelés korlátozásához, az adathordozhatósághoz és a tiltakozáshoz való jogot, tekintettel arra, hogy az érintett jogosult saját helyzetével kapcsolatos okok alapján bármikor tiltakozni személyes adatainak meghatározott okból történő kezelése ellen. Ugyanakkor fontos kiemelni, hogy csak akkor, ha az adatkezelés közérdekből vagy közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, valamint az adatkezelő vagy egy harmadik fél jogos érdekei alapján szükséges.
A rendeletben meghatározott esetkörökben az érintett kérheti személyes adatai törlését az adatkezelőhöz címzett nyilatkozattal, melyet oly módon kell megvalósítani, hogy azokat ne lehessen visszaállítani.
A jogorvoslathoz való jog az adatvédelem szempontjából is alapvető jogállami követelmény, így a GDPR is több jogorvoslati lehetőséget biztosít az érintettek számára, ha annak feltételei fennállnak, így adatvédelmi kifogást nyújthat be vagy kezdeményezhet bírósági eljárást, ha megítélésük szerint személyes adataikat az adatkezelő a személyes adatok kezelésére vonatkozó jogszabályok megsértésével kezeli.
Az Országos Bírósági Hivatal elkészítette az adatvédelmi és adatbiztonsági szabályzatot, illetve gondoskodtak a felelősökről is, melynek során egy adatvédelmi tisztviselő és a tevékenység összetettsége folytán a törvényszékeken és az ítélőtáblákon pedig egy adatvédelmi felelős került kijelölésre. Munkájuk azért fontos, mert ha bekövetkezik egy adatvédelmi incidens, azaz a biztonság oly mértékben sérül, hogy a személyes adatok véletlenül vagy jogellenesen megsemmisülnek, elvesznek, megváltoznak, esetleg azokat jogosulatlanul közlik vagy azokhoz jogosulatlanul hozzáférnek, akkor arra megfelelő időben és hatékonyan tudjon a bíróság reagálni.
Ennek során az adatvédelmi felelős tájékoztatja az OBH adatvédelmi tisztviselőjét, aki a Nemzeti Adatvédelmi és Információszabadság Hatóságához bejelenti az adatvédelmi incidenst.