GDPR közérthetően - 3. rész

2017/10/23

Bejegyzés sorozatunk előző részeihez hasonlóan, segítünk tovább értelmezni a GDPR rendelet cikkeinek értelmezésében. Jelen bejegyzésünk a következőkkel foglalkozik: adatfeldolgozói szerződések, a személyes adatok EU-n kívüli továbbítása, az adatvédelmi hatóságok valamint a jogorvoslat, kártérítés és bírság kérdése.

 

 

Adatfeldolgozói szerződések

 

Elsőként némi fogalommagyarázattal kezdve tisztázzuk, mi a különbség adatkezelő és adatfeldolgozó között. Adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Adatfeldolgozó pedig az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (például egy informatikai szolgáltatás üzemeltetője). A GDPR új kötelezettségeket állapít meg az adatfeldolgozók számára. A rendelet meghatározza az adatkezelők és az adatfeldolgozók között a személyes adatok kezelésére kötött szerződések kötelező tartalmielemeit.

 

Az adatkezelők és az adatfeldolgozók közötti szerződések

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezésiintézkedések végrehajtására. Az adatkezelő és az adatfeldolgozó között olyan írásbeli szerződést kell kötni, amely minimálisan az alábbiakra tér ki:

 

  • az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli

  • a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak

  • az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálja

  • segíti az adatkezelőt a kötelezettségeinek a teljesítésében

  • az adatkezelési szolgáltatás nyújtásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő

  • lehetővé teszi és elősegíti az adatkezelő általvagy az általa megbízott más ellenőr általvégzett auditokat, beleértve a helyszínivizsgálatokat is.

 

 

Ha az adatfeldolgozó további adatfeldolgozó szolgáltatásait is igénybe veszi, a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben vannak. Az adatfeldolgozók számára a következő kötelezettségeket írja elő a rendelet:

 

  • az adatvédelmi hatóság részére bemutatható módon kell nyilvántartást vezetnie az adatkezelő nevében végzett adatkezelési tevékenységéről

  • az adatvédelmi incidenst, az arról való tudomásszerzést követően haladéktalanul jelentenie kell az adatkezelőnek

  • ha azt a rendelet előírja, adatvédelmi tisztviselőt jelöl ki vagy bíz meg

 

Teendők

 

  • az adatkezelőnek biztosítania kell, hogy valamennyi adatfeldolgozóval kötött szerződése megfelel a rendelet rendelkezéseinek

  • adatkezelési tevékenységek nyilvántartásának elkészítése az adatfeldolgozónál

  • az adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell bevezetnie, ideértve az adatvédelmi incidensek esetén alkalmazandó eljárásrendet

  • annak eldöntése, hogy adatvédelmi tisztviselő kinevezése vagy megbízása kötelező-e vagy szükséges-e?

 

A személyes adatok EU-n kívülre történő továbbítása

 

A GDPR alapelvként rögzíti, hogy a személyes adatoknak az Unión kívülre történő továbbítása esetén sem sérülhet a természetes személyeknek az EU-ban biztosított védelem szintje. Az adattovábbítás csak megfelelő jogi garanciák megléte esetén jogszerű.

Személyes adatok EU-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. Ilyen döntés nyomán továbbítható személyes adat az Egyesült Államokba (Privacy Shield, korábban Safe Harbor). A biztonságos országok listája a Bizottság honlapján megtalálható. A fenti döntés hiányában személyes adat akkor továbbítható az Unión kívülre, ha

 

  • az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmazzák a felek

  • olyan kötelező erejű vállalati szabályokat (BCR) vezet be egy vállalkozás, amelyet azadatvédelmi hatóság jóváhagyott

  • jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra

  • jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják.

 

A fenti garanciák hiányában az Unión kívülre akkor lehet személyes adatot továbbítani, ha

 

  • az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról

  • az adattovábbítás szerződés teljesítéséhez szükséges 

  • az adattovábbítás fontos közérdekből szükséges

  • az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges

  • az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására

  • a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja.

 

Teendők

 

  • az EU-n kívülre továbbított adatok feltérképezése

  • az adattovábbítások jogalapjának felülvizsgálata

  • a bizottsági megfelelőségi döntések folyamatos nyomon követése

 

 

Jogorvoslat, kártérítés, bírság

 

A GDPR megfelelő alkalmazását biztosítandó a rendelet garanciális szabályokat állít a jogszabály megsértése esetére. A jogorvoslati lehetőség, a kártérítéshez való jog és a mamut méretű bírságok mind ezt a célt szolgálják.

 

Jogorvoslatok

 

  • Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet.

  • Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

  • Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait.

 

Felelősség és kártérítés

 

  • Minden olyan személy, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

  • Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

 

Bírságok

 

  • Az adatvédelmi bírság mértékét a GDPR-ban lefektetett szabályok mentén, a jogsértés típusától függően határozza meg az adatvédelmi hatóság.

  • A rendelet szabályainak megsértői maximálisan 20 millió eurót vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összeggel sújthatóak, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.

  • Az adatvédelmi jogsértések esetén a tagállamok jogosultak további, így például büntetőjogi szankciókat alkalmazni.

 

Teendők

 

  • az eljáró hatóságnak és az alkalmazandó jognak a meghatározása

  • az adatkezelői, adatfeldolgozói szerződések felelősségi szabályainak felülvizsgálata, különös figyelemmel a felelősséget korlátozó vagy kizáró rendelkezésekre

  • az adatvédelmi hatóság által az egyes ügyekben kiszabható bírságok mértékének megvizsgálása

 

Adatvédelmi hatóság 

 

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállamban a rendelet alkalmazásának ellenőrzéséért egy vagy több független, szélesellenőrzési és bírságolási hatáskörrel rendelkező adatvédelmi hatóság felel.

Egyablakos rendszer

Több tagállamban tevékenységet folytató vállalatok esetében a tevékenységi központ helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni. Az adatvédelmi hatóságok joggyakorlatuk kialakítása során szorosan együttműködnek egymással és az Európai Bizottsággal. Az Európai Adatvédelmi Testület, amely jogi személyiséggel rendelkező uniós szerv a W29 Munkacsoport hatáskörét fogja átvenni. A Testület minden tagállam adatvédelmi hatóságának vezetőjéből és az európai adatvédelmi biztosból vagy azok képviselőiből áll. A Testület biztosítja a GDPR egységes alkalmazását, melynek keretében:

 

  • ellenőrzi és biztosítja a rendelet helyes alkalmazását

  • iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki

  • véleményt bocsát ki az Európai Bizottság számára a valamely harmadik országban biztosított védelmi szint megfelelőségének megítéléséhez.

 

    Teendők

     

    • multinacionális vállalatok esetében az illetékes adatvédelmi hatóság meghatározása

    • az adatvédelmi hatóság iránymutatásainak nyomon követése

    • az Európai Adatvédelmi Testület legjobb gyakorlatának, iránymutatásainak nyomon követése

     

    Please reload

    ©2018 by GDPR Info Kft.

    +36 30 790 22 97