Az értelmezési viták garantáltak

Már a munka törvénykönyve, illetve a polgári törvénykönyv legújabb változatai is sokaknál kiverték a biztosítékot éppen amiatt, hogy konkrétumok helyett előszeretettel alkalmaznak általános szabályokat (méltányos mérlegelés, előreláthatóság), illetve a pontos határokat sok esetben a jogalkalmazásra bízzák. A GDPR elolvasását követően azonban az Mt. és a Ptk. garantáltan érthetőnek fognak tűnni. A rendelet ugyanis hemzseg az olyan előírásoktól, melyeknek pontos tartalma egyértelműen nem állapítható meg.

Ide sorolnám azt a rendelkezést, mely szerint adatvédelmi hatásvizsgálatot kell végezni abban az esetben is, amennyiben természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése történik, amely automatizált adatkezelésen - ideértve a profilalkotást is - alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek. Az első három értelmi megfejtőnek adatvédelmi incidenst küldünk ajándékba.
Ezen túlmenően az adatkezelő vagy egy harmadik fél jogos érdeke mellet jogalapként emeli be a rendelet például az érintett vagy másik természetes személy létfontosságú érdekét.

Számos kötelezettséget pedig az adatvédelmi kockázat fokához köt, amelyet gondolom, hogy a hatóság és a vállalkozások nem fognak azonos módon megítélni. Az adatkezelési tevékenységek nyilvántartására előírt kötelezettségek például nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általuk végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár (de hát mi nem jár azzal), ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

Adatvédelmi hatásvizsgálatot abban az esetben kell végezni, amennyiben az adatkezelés hatókörére, céljára, illetve körülményeire tekintettel feltehetően magas kockázattal jár a természetes személyes jogaira vagy szabadságára tekintettel.

Az adatvédelmi incidenseket pedig indokolatlan késedelem nélkül, de legfeljebb 72 órán belül be kell jelenteni az adatvédelmi hatóságnak kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve. Késedelem esetén ugyanakkor az azt igazoló indokokat tanúsítani szükséges.

Remélhetően a NAIH proaktív lesz

A tagállami adatvédelmi hatóságok sorra bocsátják ki az állásfoglalásokat arról, hogy pontosan milyen követelmények érvényesülnek az egyes adatkezelések vonatkozásában (direkt marketing, harmadik országba irányuló adattovábbítás stb.). A NAIH 2017. május 25. napján egy rövidke tájékoztatóban foglalta össze a GDPR lényegét, melyben egyben arra hívta fel az érintett adatkezelők figyelmét, hogy költségvetésükbe tervezzék bele a megfeleléshez szükséges humán, szervezeti és anyagi erőforrásokat. Remélhetőleg ezt konkrét tájékoztatók sora fogja követni.

Dr. Kéri Ádám
ügyvéd
KRS Ügyvédi Iroda

Cikkünk több oldalas! Lapozzon!
1. oldal - A jövő nyár slágere nem az olimpia, hanem az adatvédelem lesz a vállalkozások számára
2. oldal - Az értelmezési viták garantáltak