e-privacy
 

Adatvédelem és E-Privacy

Irodánk évtizedes adatvédelmi tapasztalatai alapján nemcsak az írott jog és az elmúlt időszakban divatba jött GDPR szabályaival, hanem az adatvédelmi hatóság (NAIH) irányadó gyakorlatával is tisztában van, amelyek figyelembevételével segíti ügyfelei működését.

A Szabó Gergely Gábor Ügyvédi Iroda vonatkozó tevékenységei többek közt az alábbiak:

  • Adatvédelmi rendszerek kialakítása, felülvizsgálata, GDPR tanácsadás
  • Hatóság (NAIH) és bíróság előtti képviselet személyes adatok kezelésével, közérdekű adatokkal kapcsolatos ügyekben
  • Adatvédelmi szabályzatok, adatvédelmi tájékoztatók, süti (cookie) szabályzatok elkészítése, véleményezése
  • Webshopok, honlapok adatvédelmének kialakítása, véleményezése
  • Reklámjogi tanácsadás (direkt marketing, online marketing, E-Privacy), nyereményjátékokkal kapcsolatos tanácsadás
  • Adatvédelmi hatásvizsgálat végzése
  • Adatvédelmi tisztviselő (DPO) biztosítása
  • Adatvédelmi incidens kezelése, bejelentése
  • Adatvédelmi oktatás, compliance

Kérdések és válaszok

Egy adatvédelmi ügyvéd, avagy adatvédelmi jogász, GDPR ügyvéd értő segítséget tud nyújtani az adatvédelem területén és megoldásokat tud adni az adatkezelés kihívásaira. Az adatvédelmi ügyvéd proaktív módon segíti az ügyfelét az adatvédelmi megfelelőség elérésében és a bírságok elkerülésében. Az adatvédelmi tanácsadás, adatvédelmi audit mellett okiratszerkesztésben (adatkezelési szabályzat, adatkezelési tájékoztató, adatvédelmi nyilvántartás) és NAIH előtti, illetve peres képviseletben is tud segíteni.

Az adatvédelem speciális jogterület és – bár sokan mondják magukat GDPR specialistának – kevesen követik, illetve értik a gyakorlatot. A NAIH adatvédelmi gyakorlata ráadásul az egyik legszigorúbb az EU-n belül, így nem csak a jogszabályok értelmezésének, hanem a joggyakorlat ismeretének okán is szükség van adatvédelmi ügyvédre.

A legfontosabb jogszabályok és jogforrások az alábbiak:

a) 1959. évi IV. törvény a Polgári Törvénykönyvről (”Régi Ptk.”);

b)  2013. évi V. törvény a Polgári Törvénykönyvről (”Ptk.”);

c) 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (”Infotv.”);

d) 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (”Reklámtörvény”, vagy ”Grt.”)

e) 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (”Ekertv.”);

f)      Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (”GDPR”)

g)  2002/58/EK irányelv a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (“Elektronikus hírközlési adatvédelmi irányelv”)

h)  Európai Adatvédelmi Testület és a 29. cikk szerinti Adatvédelmi Munkacsoport és

i) NAIH határozatok, közlemények, állásfoglalások

A GDPR alapján a személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A fenti bonyolult definíciót leegyszerűsítve: személyes adatnak minősül minden olyan információ, amely valamely azonosított, vagy azonosítható természetes személlyel kapcsolatos, illetve amely ezen személy azonosításához vezethet.

Fontos, hogy a nyilvánvaló példákon (pl. név, lakcím, anyja neve) felül személyes adatnak minősül a személy nevét tartalmazó email cím (vezetéknév.keresznév@cégnév.hu) akkor is, ha az céges, a helymeghatározó adatok, az IP cím, sőt a süti (cookie) azonosító is. Ugyanakkor egy cég adószáma, az info@cégnév.hu jellegű email címek, illetve az anonimizált adatok a GDRP gyakorlatában nem minősülnek személyes adatnak.

A GDPR, azaz az általános adatvédelmi rendelet 2018. május 25-én lépett hatályba a teljes EU területén és a korábbinál átláthatóbb, de szigorúbb szabályok mentén egységesítette az adatvédelmi szabályokat, felforgatva az addigi adatvédelmi rutint. A GDPR kifejezés a rendelet nevének (General Data Protection Regulation) kezdőbetűiből összeállított mozaikszó.

A GDPR az EU polgárai személyes adatainak védelmét szolgálja, valamint személyes adataikkal kapcsolatos jogaikat biztosítja, így részletesen tartalmazza az adatgyűjtést, az adatok kezelését, feldolgozását, tárolását, törlését, felhasználását, valamint továbbítását. Minden olyan személynek, aki EU polgárok személyes adatait kezeli, vagy az EU-ban folytat gazdasági tevékenységet, meg kell felelnie a GDPR-nak. Azaz, akár egy USA-ban lévő szerveren működtetett webshopra is kiterjed a GDPR hatálya.

Tekintettel a GDPR-al bevezetett jelentős bírságmaximumra (globális éves bevétel 4%-a, vagy 20 millió EUR) és a NAIH eleve szigorú joggyakorlatára, ezért mindenképp javasolt adatvédelmi ügyvéddel, GDPR ügyvéddel elkészíttetni, illetve felülvizsgáltatni adatvédelmi rendszereinket és gyakorlatunkat.

A személyes adatok védelme a célja a szabályozásnak, így olyan céges adatokra, amelyek nem minősülnek személyes adatnak, nem vonatkozik a szabályozás. Ugyanakkor egy céges kapcsolattartó neve, vagy telefonszáma, illetve nevét tartalmazó email címe személyes adatnak minősül és azok kezelésére, feldolgozására, továbbítására a GDPR és az Infotv. szabályait alkalmazni kell.

Nemcsak jogkövetőnek kell látszani, hanem jogkövetőnek is kell lenni. Mivel minden egyes adatkezelés más, ezért nem lehet mindenféle netes sablont átalakítás és az adott adatkezelésre szabás nélkül felhasználni, mert súlyos következményei lesznek. A sablonokkal megspórolt pénzt általában többszörösen meg kell fizetni egy hatósági ellenőrzés során.

Az adatvédelmi gyakorlat változásakor, illetve rendszeres időközönként mindenképp szükséges az adatvédelmi rendszerek felülvizsgálata.

Emellett az Info tv. alapján ún. kötelező adatkezelés esetén előírás, hogy – eltérő jogszabályi rendelkezés hiányában – annak megkezdésétől számított legalább háromévente felülvizsgálja az adatkezelő, hogy a személyes adatok kezelése szükséges-e az adatkezelés céljának eléréséhez. A GDPR hatálybalépése, azaz 2018. május 25-e előtt megkezdett adatkezelések vonatkozásában az első felülvizsgálatot 2021. május 25-ig kell elvégezni. A vizsgálat eredményét dokumentálni kell és 10 évig meg kell őrizni. A NAIH kérésére az eredményt pedig a hatóság rendelkezésére kell bocsátani.

Kötelező adatkezelésnek azon adatkezelés minősül, amely(et)

a)    személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel;

b)    különleges adatok (pl. egészségügyi adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel

c)     az adatkezelőre vonatkozó jogi kötelezettség (pl. munkavállalókkal kapcsolatos adózási és társadalombiztosítási előírások) teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont),

d)    közérdekből szükséges (GDPR 6. cikk (1) bekezdés e) pont).

A fentiek alapján megállapítható, hogy az esetek túlnyomó többségében nemcsak szükséges, hanem kötelező is az adatkezelés felülvizsgálata.

Az adatvédelmi tisztviselő (DPO) olyan személy, aki tisztában van az adatvédelemmel kapcsolatos jogszabályokkal és gyakorlattal, továbbá (attól függően, hogy hol tevékenykedik) az adatkezelő, vagy az adatfeldolgozó működésével és megfelelő függetlenség mellett segíti az adatvédelmi megfelelést, így többek közt

a)    tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére adatvédelmi, különösen GDPR-al kapcsolatos kérdésekben;

b)    ellenőrzi az adatvédelmi jogszabályoknak, különösen a GDPR-nak, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c)     kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat GDPR 35. cikk szerinti elvégzését;

d)    együttműködik a felügyeleti hatósággal (NAIH); és

e)    az adatkezeléssel összefüggő ügyekben – ideértve a GDPR 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

A GDPR alapján az alábbi esetekben kötelező adatvédelmi tisztviselőt (DPO) kinevezni:

a)    az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)    az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)     az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok GDPR 9. cikk szerinti különleges kategóriáinak (pl. egészségügyi adatok háziorvosi, vagy fogorvosi praxisban) és a GDPR 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Az adatvédelmi tisztviselő (DPO) elérhetőségeit közzé kell tenni és közölni kell a felügyeleti hatósággal. A NAIH külön bejelentő rendszert alkalmaz erre.

Fontos, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, így nem kell minden egyes céghez külön személyt kijelölni.

Az adatvédelmi nyilvántartásba való bejelentkezés és a NAIH azonosító beszerzési kötelezettsége megszűnt 2018. május 25-én. Ugyanakkor minden adatkezelő, illetve adott esetben adatfeldolgozó köteles a GDPR 30. cikke alapján – bizonyos kivételektől eltekintve – saját maga adatkezelési nyilvántartást vezetni és NAIH ellenőrzés esetén a hatóságnak bemutatni.

A GDPR alapján az adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Akkor van adatvédelmi incidens, ha biztonsági incidens éri a kezelt személyes adatokat és ennek folytán sérül a titoktartási kötelezettség, a hozzáférhetőség, vagy az integritás.

Amennyiben az adatvédelmi incidens feltehetően kockázatot jelent a természetes személyek jogaira és szabadságaira nézve (pl. a takarítónő hazaviszi az összes munkavállaló bérszámfejtési adatait tartalmazó pendrive-t és közzéteszi egy facebook csoportban), akkor késedelem nélkül és amennyiben lehetséges, a tudomásra jutástól számítva legkésőbb 72 órán belül be kell azt jelentenie az adatkezelőnek az illetékes hatóság, azaz Magyarországon a NAIH részére. Amennyiben a 72 óra nem lett betartva, akkor mellékelni kell a késedelem igazolására szolgáló indokokat is.

Amennyiben pedig az adatfeldolgozónál történik adatvédelmi incidens, akkor az arról való tudomásszerzést követően indokolatlan késedelem nélkül köteles az incidenst bejelenteni az adatkezelő részére. Az ezzel kapcsolatos eljárási rendet és pontos határidőt érdemes az adatfeldolgozóval kötött adatfeldolgozási szerződésben rögzíteni.

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintetteket az adatvédelmi incidensről kell, kivéve ha vannak korábban bevezetett hatékony technikai és szervezési védelmi intézkedések vagy egyéb intézkedések, amelyek biztosítják, hogy a kockázat bekövetkezése már nem valószínű, vagy esetleg a tájékoztatás aránytalan erőfeszítést igényelne.

Mindezek alapján elsődleges cél, hogy megfelelő szervezési és technikai intézkedésekkel minimalizálva legyen az adatvédelmi incidens lehetősége, mivel nem csak a NAIH-nál kell bejelenteni a bajt, ami komoly ellenőrzéssel és szankciókkal járhat, hanem bizony az érintetteket, azaz saját ügyfeleinket, munkavállalóinkat is tájékoztatni kell, ami pedig a jó hírnevünkre lehet negatív hatással, sőt kártérítési kötelezettséghez is vezethet.

A Reklámtörvény, azaz a Grt. 6. §-a alapján hirdetés (ideértve a hírlevelet is) természetes személynek, mint reklám címzettjének közvetlen megkeresése módszerével, így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján (e-mail, sms, mms, fax) kizárólag akkor közölhető, ha ahhoz az elektronikus hirdetés címzettje előzetesen, egyértelműen és kifejezetten hozzájárult. Ráadásul a hozzájáruló nyilatkozat kérésére vonatkozó közvetlen megkeresés reklámot nem tartalmazhat, ide nem értve a vállalkozás nevét és megjelölését. Ezért a legtöbbször weboldalon való regisztráció, online promóciók, illetve webshopban való vásárlás során szokták külön feliratkozás formájában beszerezni a hozzájárulást.

Mindez azt is jelenti, hogy a hírlevélhez kapcsolódó egyértelmű adatkezelési jogalap az a hozzájárulás. Ugyanakkor meglévő ügyfelek esetén van olyan értelmezés is, miszerint számukra jogos érdekre hivatkozással is küldhető hírlevél. Fontos, hogy cégeknek továbbra is küldhető hirdetés hozzájárulás, vagy jogos érdek hiányában is, de ha a címzett email címe természetes személyre utal (pl. (vezetéknév.keresznév@cégnév.hu) és nem a központi, kapcsolattartás céljából használt és nyilvános helyen közzétett email cím (info@cégnév.hu vagy office@cégnév.hu), akkor már kell hozzájárulás.

Az érintett hozzájáruló nyilatkozata bármely olyan módon tehető, amely tartalmazza a nyilatkozó nevét, illetve – amennyiben az elektronikus hirdetés, amelyre a hozzájárulás vonatkozik, csak meghatározott életkorú személyek számára közölhető – születési helyét és idejét, továbbá azoknak a személyes adatoknak a körét, amelyek kezeléséhez a nyilatkozó hozzájárul, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését. Ez hírlevél esetében a név és email cím megadásával, valamint a hozzájáruló checkbox kipipálásával szokott történni.

Fontos, hogy nem lehet az adatkezelő által nyújtott szolgáltatás, vagy előny (pl. nyeremény) nyújtásának feltételévé tenni olyan adat megadását, vagy hírlevélre való feliratkozást, amely nem szükséges az igénybe vett szolgáltatás teljesítéséhez.

Az elektronikus hirdető, az elektronikus hirdetési szolgáltató, valamint az elektronikus hirdetés közzétevője a hozzájárulást tett személyek adatairól (név és elérhetőség, hozzájárulás időpontja) nyilvántartást vezet.

A hozzájáruló nyilatkozat bármikor ingyenesen és korlátozás, valamint indokolás nélkül visszavonható és annak lehetőségét minden hírlevélben biztosítani kell, az nem lehet bonyolultabb, mint a feliratkozás. Ez a gyakorlatban egy linkre kattintva megtehető.

A hozzájáruló nyilatkozat visszavonása esetében a nyilatkozó személyes adatait haladéktalanul törölni kell a nyilvántartásból és számára a továbbiakban nem küldhető elektronikus hirdetés, hírlevél.

]

A visszavonó nyilatkozat megtételére, illetve az elektronikus hirdetés küldésének megtiltására mind postai úton, mind pedig elektronikus levél útján lehetőséget kell biztosítani akként, hogy a nyilatkozatot tevő személy egyértelműen azonosítható legyen. A hozzájárulás visszavonására biztosított e-mail címről és postai levelezési címről pedig egyértelműen és szembetűnően tájékoztatni kell a címzetteket az elektronikus hirdetésben.

Az E-Privacy rendelet (elektronikus hírközlési adatvédelmi rendelet) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet (“Elektronikus hírközlési adatvédelmi irányelv”) fogja felváltani. Az elektronikus hírközlési adatvédelmi rendelet célja a régóta fennálló jogi keret megújítása és a GDPR-hoz hasonlóan EU-szerte egységessé tétele. Az E-privacy kiegészíti majd a GDPR rendelkezéseit és fontos új szabályokat fog bevezetni, amelyek az elektronikus hírközlési adatok kezelése, az online marketing és a hírlevél küldés szabályait is pontosítani fogják.

Az Európai Unió adatvédelmi reformjának fontos része lesz az E-Privacy rendelet, amely kapcsán az volt az eredeti cél, hogy a GDPR-al nagyjából egyidejűleg lép hatályba, de a jogalkotási folyamat jelentősen elhúzódott és a legutóbbi tervezet sem került elfogadásra 2019 novemberében.