Az új EU-s adatvédelmi szabályok összefoglalója Dr. Kulcsár Zoltán
GDPR - előzmények Információs társadalom fejlődése Új technológiák A személyes adat, mint termék Nagyobb veszélyek Egységes szabályrendszer Az adatok szabad áramlásának biztosítása 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
2
A rendelet AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE általános adatvédelmi rendelet General Data Protection Regulation GDPR – 2016. április 27. Ezt a rendeletet 2018. május 25-től kell alkalmazni. [99. cikk (2) bek.] 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
3
Sok a bizonytalanság A tagállamok pontosító rendelkezéseket vezethetnek be A különleges adatok tekintetében a tagállamok szabályozhatnak Ágazati jogszabályok is eltéríthetnek az uniós gyakorlattól mikor? Egységes európai hatósági gyakorlat Közérdekű adatok? NAIH jogkörei? 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
4
Infotv. módosító előterjesztés Kötelező adatkezelést tv. vagy önk. r. Személyes adat nyilvánosságra hozható történelmi eseménnyel kapcsolatos kutatás eredményeinek bemutatásához Az elhunytak adatainak kezelése:
még életében rendelkezik, ennek hiányában közeli hozzátartozó gyakorol bizonyos jogokat
A KKV-kedvezmény megszűnik Technikai jellegű módosítások 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
5
A profilalkotás fogalma [4. cikk] személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
6
Profilalkotási területek Pl. távközlési hálózat, retargeting, viselkedés alapú reklám, kockázatértékelés, csalás felderítés, nyomkövetés pl. mobil alkalmazásban, hűségprogramok, egészségügyi adatok monitorozása hordozható eszközök segítségével, kamerás megfigyelőrendszer, intelligens fogyasztásmérő, intelligens autó, otthonautomatizálás, online munkaerő toborzás, hitelezés (meglévő vagy új ügylet) stb. 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
7
Profilalkotáshoz kapcsolódó kötelezettségek
Adatvédelmi hatásvizsgálatot kell végezni Adatvédelmi tisztviselőt kell kinevezni (ha ez a fő tevékenység, vagy ahhoz szorosan kapcsolódik a profilozás) Tájékoztatás 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
8
Automatizált döntéshozatal, profilalkotás [22. cikk] Az érintett joga, hogy ne terjedjen ki rá kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Kivéve, ha: -
az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges jogszabály lehetővé teszi az érintett ehhez kifejezetten hozzájárul
Az érintett jogai az 1. és 3. esetben: -
emberi beavatkozást kérni álláspontját kifejezze (magyarázatot kapjon) a döntéssel szemben kifogást nyújtson be
2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
9
Profilalkotás ≠ automatizált döntéshozatal Profilalkotás
Automatizált döntéshozatal
személyes jellemzők automatizált értékelése, melyet az egyén értékelésére, viselkedésének előrejelzésére használnak
kizárólag automatizált folyamatban hozott – joghatással járó – döntés is születik a profilalkotáson túl
adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő, tájékoztatás a profilalkotás módszeréről
ezeken felül kell egy jogalap (kif. hozzájárulás, szerződés teljesítése, vagy jogsz.) és joga van emberi beavatkozásra, magyarázatra és kifogás benyújtására
„csak” beskatulyáz (és esetleg valaki ebből következtetéseket von le)
a beskatulyázásnak gép úton megállapított (kikalkulált) következménye van
2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
10
Az adatfeldolgozó [28. cikk] Az adatkezelő felelőssége a megfelelő garanciákat biztosító adatfeldolgozó kijelölése Az adatfeldolgozó aladatfeldolgozót eseti vagy általános írásbeli (elektronikus is) felhatalmazással vehet igénybe 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
11
Az adatfeldolgozó kiválasztása, meglévő átvilágítása – 1. Milyen szerződéses felelősségvállalást tud tenni? Milyen garanciát vállalnak a szerződés teljesítéséért, az esetleges károkért való helytállásért? Milyen szakértőkkel rendelkeznek? Az adatfeldolgozásban részt vevők, munkavállalók milyen titoktartási kötelezettséget vállaltak? 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
12
Az adatfeldolgozó kiválasztása, meglévő átvilágítása – 2. Megbízhatóságra vonatkozó információk begyűjtése Milyen pénzügyi erőforrások állnak rendelkezésre? Milyen fizikai erőforrással, adatbiztonsági eszközökkel és intézkedésekkel dolgoznak? Hogyan biztosítja az egyéb rendszereitől, adatbázisaitól való elkülönítést? 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
13
Az adatfeldolgozó kiválasztása, meglévő átvilágítása – 3. Milyen naplózási vagy egyéb eljárásokkal válik az adatkezelő felé elszámoltathatóvá a gyakorlata? Tartozik-e valamilyen magatartási kódexhez vagy tanúsítási mechanizmushoz? Milyen módon és garanciákkal tudja a szerződés megszűnése esetén vállalni az adatok visszaadását és törlését? Mutassa be biztonsági incidens kezelési gyakorlatát! 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
14
Az al-adatfeldolgozó átvilágítása Az adatfeldolgozó alvállalkozójának átvilágítása Az al-adatfeldolgozóért az adatfeldolgozója felel
2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
15
Az adatfeldolgozói szerződés – 1. [28. cikk] Az adatfeldolgozói szerződés tartalma: adatkezelés tárgya, időtartama, jellege és célja a személyes adatok típusa, az érintettek kategóriái az adatkezelő kötelezettségei és jogai
2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
16
Az adatfeldolgozói szerződés – 2. [28. cikk] Az adatfeldolgozói szerződés vagy jogszabály előírja az adatfeldolgozó részére: Kizárólag az adatkezelő utasítása alapján „kezeli” Az adatokkal dolgozó személyes titoktartásra kötelezettek Intézkedik az adatok biztonságáról Tiszteletben tartja az al-adatfeldolgozóra vonatkozó rendelkezéseket Együttműködik az adatkezelővel az érintetti jogok és az adatkezelő jogai gyakorlása érdekében Segíti az adatkezelőt az adatbiztonság megtartásában Törli vagy visszajuttatja az adatokat a megbízás megszűnésekor 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
17
Egyéb kötelezettségek az adatfeldolgozás kapcsán – 1. Külföldi (EU-n kívüli) adatfeldolgozás kizárása/kezelése Adatfeldolgozói szerződés megkötése Az adatfeldolgozónál adatvédelmi tisztviselő vagy felelős személy kijelölése Az adatfeldolgozó köteles vezetni a GDPR 30. cikk (2) bek. szerinti adatkezelési nyilvántartást, és az adatkezelő részére ehhez hozzáférést biztosítani 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
18
Egyéb kötelezettségek az adatfeldolgozás kapcsán – 2. Az adatfeldolgozókkal való kommunikációs csatorna biztosítása, ellenőrzése, a szoros határidőket is figyelembe véve Transzparencia biztosítása, az adatkezelési tájékoztató naprakészen tartása A fentiek folyamatos ellenőrzése 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
19
Az adatvédelmi hatásvizsgálat [35. cikk] Ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő hatásvizsgálatot végez, különösen az alábbi esetekben: -
-
személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen alapul - ideértve a profilalkotást is különleges vagy bűnügyi személyes adatok nagy számban történő kezelése nyilvános helyek nagymértékű, módszeres megfigyelése a hatósági jegyzékben szereplő adatkezelések során
Az adatkezelő kikérheti az érintettek véleményét 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
20
Az adatvédelmi hatásvizsgálat tartalma [35. cikk] a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket; az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata; az érintett jogait és szabadságait érintő kockázatok vizsgálata; és a kockázatok kezelését célzó intézkedések bemutatása, úgy mint garanciák, biztonsági intézkedések és mechanizmusok. 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
21
Az adatvédelmi hatásvizsgálat [WP 248 Iránymutatás tervezet] Értékelés, profilozás, scoring pl. banki hiteladatbázis, egészségteszt, viselkedés alapú marketing profilozás
Automatizált döntéshozatal a profilozásról külön ajánlás készül
Módszeres megfigyelés nyilvános területek megfigyelése pl. kamerarendszer segítségével
Különleges adatok nagyszámú kezelése pl. kórház, magánnyomozás 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
22
Előzetes konzultáció [36. cikk] Ha a hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal A hatóság 8 (+6) héten belül tanácsot ad az adatkezelőnek, adatfeldolgozónak 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
23
Adatvédelmi tisztviselő [37. cikk] Kötelezett: adatkezelő és adatfeldolgozó Alkalmazott vagy külsős Nevét és elérhetőségét közzéteszi és a hatóság részére megküldi A következő esetekben: - közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek - magán szektorban, ha fő tevékenységei: - az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése, vagy - nagy számban kezel különleges adatot vagy bűnügyi adatot
2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
24
Adatvédelmi tisztviselő [WP243] Nagy mértékűnek tekintendők a munkacsoport szerint: - kórház egészségügyi adatkezelése - az utasok követése bérlet segítségével közösségi közlekedési rendszerben - földrajzi adatok feldolgozása egy gyorsétterem láncban - bankok, biztosítók adatelemzése - viselkedésalapú reklámozás - telefon- és internetszolgáltatás Rendszeres és szisztematikus megfigyelés: távközlési hálózatban, retargeting, viselkedés alapú reklám, profilalkotás, kockázatértékelés, nyomkövetés pl. mobil alkalmazásban, hűségprogramok, egészségügyi adatok monitorozása hordozható eszközök segítségével, kamerás megfigyelőrendszer, intelligens fogyasztásmérő, intelligens autó, otthon automatizálás stb. 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
25
Mindenki felkészült? Dr. Kulcsár Zoltán Privacy Policy Online Services 2120 Dunakeszi, Szabadka u. 26. Honlap: https://ppos.hu Blog: https://www.adatvedelmiszakerto.hu GDPR: https://www.adatvedelmirendelet.hu Közösség: www.facebook.com/adatvedelem E-mail:
[email protected] Mobil: 06.20.444.3999 Telefon: 06.27.633.147 2017. október 2.
Dr. Kulcsár Zoltán - ppos.hu
26
