Barkassy Grünfeld: hogyan alkalmazzuk a GDPR-t? (1. rész)

2018.08.21. 12:42

2018. május 25. napjától az Európai Unió tagállamaiban, így hazánkban is az Európai Unió általános adatvédelmi rendelete, azaz a GDPR határozza meg az adatkezelésre vonatkozó lényeges szabályokat, mégpedig akként, hogy a hatálya alá tartozó jogviszonyok tekintetében, jellegéből adódóan közvetlenül alkalmazandónak minősül. A Barkassy Grünfeld Ügyvédi Iroda szakértője kétrészes írásban járja körül a jogi környezetet, most az első részt olvashatják.

Dr. Korim Balázs szerint mindez pedig azt jelenti, hogy az adatkezelőknek pontosan ismeretében kell lenniük a GDPR vonatkozó szabályainak, az azokból rájuk háramló jogoknak és kötelezettségeknek, hogy adatkezelési tevékenységüket jogszerűen végezhessék.

Abból kifolyólag, hogy a rendelet igen összetett szabályozást intézményesít, számos esetben jogértelmezési kérdést vethetnek fel egyes rendelkezései a gyakorlatban.

Éppen ezért érdemes áttekinteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapját, ahol számos gyakorlati kérdés kapcsán olvashatunk állásfoglalásokat. A Barkassy Grünfeld Ügyvédi Iroda szakértője szerint érdemes néhány állásfoglalást áttekinteni.

A GDPR 57. cikk (1) bekezdés d) és e) pontjai alapján, a felügyeleti hatóság, azaz Magyarországon a NAIH felhívja az adatkezelők és az adatfeldolgozók figyelmét a rendelet szerinti kötelezettségeikre, illetve kérésre tájékoztatást ad bármely érintettnek a GDPR alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival.

Mindazonáltal, ahogy arra állásfoglalásaiban a NAIH is felhívja a figyelmet, elsősorban az adatkezelő feladata és felelőssége annak meghatározása, hogy egyes esetekben pontosan milyen technikai és szervezési intézkedések megtétele és foganatosítása szükséges a jogszabályoknak való megfelelés érdekében, hiszen az ehhez szükséges információk nála állnak rendelkezésre.

A GDPR (78) preambulum bekezdése támpontot nyújt e tekintetben, amikor egyebek mellett a személyes adatok kezelésének minimálisra csökkentését, azok álnevesítését, belső szabályzat létrehozását javasolja. Lássunk tehát, néhány állásfoglalást a NAIH részéről.

Üzemterület kamerarendszerrel történő megfigyelése

Bár a GDPR 30. cikke kimondja, hogy minden adatkezelő és adatfeldolgozó a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet, 2018. május 25. napjától megszűnt az információs önrendelkezési jogról és az információszabadságról szóló törvény és a korábbi uniós adatvédelmi irányelv által korábban előírt azon kötelezettség, hogy az adatkezelők bejelentési kötelezettséggel tartoznak e tekintetben a felügyeleti hatóság irányába.

A kamerarendszer útján történő megfigyelés tekintetében a NAIH a jogalap fontosságára hívja fel a figyelmet. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a GDPR 6. cikk (1) bekezdésében meghatározott feltételek legalább egyike teljesül.

Forrás: Barkassy Grünfeld Ügyvédi Iroda

A kamerarendszer útján történő megfigyelés esetén, a NAIH e jogalapok közül kettőt emel ki, mégpedig a 6. cikk (1) bekezdés a) pontjában meghatározott érintetti hozzájárulást s a 6. cikk (1) bekezdés f) pontjában körülírt jogos érdek érvényesítését – mutatott rá dr. Korim Balázs.

Ez utóbbi kapcsán az állásfoglalás rögzíti, hogy elengedhetetlen az érdekmérlegelési teszt elvégzése és dokumentálása az adatkezelő részéről, annak megállapítására, hogy példának okáért vagyonvédelmi érdeke elsőbbséget élvez-e az érintettek érdekeivel, alapvető jogaival és szabadságaival szemben.

Mindezzel együtt is, a felügyeleti hatóság rögzíti, hogy garanciális követelmény az érintettek megfelelő tájékoztatása, ráadásul az úgynevezett elszámoltathatóság elve alapján az adatkezelőnek képesnek kell lennie a rendeletben foglaltaknak való megfelelés igazolására.

(A Barkassy Grünfeld Ügyvédi Iroda szakértője írásának második részét hamarosan közöljük – a szerk.)