Május 25. - Pontosan 5 éve alkalmazandó a GDPR - Az adatvédelem múltja, jelene és jövője!

Az elmúlt 5 év az érdeklődés középpontjába helyezte az adatvédelmet – köszönhetően az a GDPR-nak, vagyis az Európai Unió Általános Adatvédelmi Rendeletének. Két év felkészülési időt követően idén május 25-dikével immáron 5 éve alkalmazandó a jogszabály az EU valamennyi tagállamában.

GDPR – Ma már talán nem is létezik a globális szintű információs társadalomban olyan felhasználó, aki ne találkozott volna ezzel a 4 betűs mozaikszóval. De mióta is beszélünk adatvédelemről? És miért volt / van szükség egységes uniós szabályrendszerre? Mikor jogszerű az adatkezelés? Mire számíthatunk, ha jogellenes? No és mennyi az annyi? – Az elmúlt 5 év margójára!

Az adatvédelem megjelenése óta egy folyamatosan és dinamikusan változó terület, egyértelmű és nagyléptékű paradigmaváltás azonban az elmúlt évtized technológiai fejlődésének hozományaként érzékelhető. A sokrétű és rohamos innovációs folyamatok új kommunikációs platformokat, szokásokat és trendeket generáltak mind az üzleti, mind a civil életben, az új élet- és konfliktushelyzetek pedig új és speciális jogi szabályokért kiálltottak. A jogfejlődés eredményeként az Európai Bizottság 2012-ben kidolgozta Rendelet-tervezetét, amely szabályozási alapként szolgált az idén 7 éve hatályba lépett és 5 éve közvetlenül alkalmazandó Európai Adatvédelmi Rendeletnek, azaz a GDPR-nak.

De mióta is beszélünk adatvédelemről? És miért volt / van szükség egységes uniós szabályrendszerre? – Út a GDPR felé

Az adatvédelem kifejezés alapjai a második világháború után jelentek meg a nemzetközi jogban – 1948-ban fogadták el az Emberi Jogok Egyetemes Nyilatkozatát, mely először tesz említést a személyes adatok védelméről.

Az 1970-es évekre az informatika világában zajló fejlődés eredményeként merült fel az igény az adatok megfelelő szintű védelmének biztosítására – a papír alapú adatbázisokat lassan felváltották a számítógépes rendszerek által vezérelt nyilvántartások, ennek köszönhetően pedig sérülékenyebbé vált az adatbiztonság. A ’80-as években elterjedt a személyi számítógéphasználat, a ’90-es években pedig már internet kötötte össze a világ PC-it (PC – personal computer – személyi számítógép), vagyis kialakult egy világháló (angol eredetiben: World Wide Web, WWW vagy röviden Web – az interneten működő, egymással úgynevezett hiperhivatkozásokkal összekötött dokumentumok rendszere), amely markáns változást eredményezett a kommunikációs és információs technológia világában is.

A határon átnyúló adatáramlás problematikája új megoldások bevezetését sürgette, mivel egyrészt elő kellett segíteni az adatok és információk szabad áramlását, másrészt óvni kellett a gyakran jelentős, akár üzleti értékkel is bíró adatállományokat.

Az internethasználat növelte a magánszemélyek online jelenlétét is, ami további adatvédelmi és fogyasztóvédelmi szabályok megalkotására ösztönözte a jogalkotókat.

Az Európai Unió kommunikációs törekvései a tagállamok közötti információcsere és nyilvántartási rendszerek összekapcsolása irányába fordultak, amely szükségessé tette egy konzisztens adatvédelmi szabályrendszer megalkotását.

A 21. század adatvédelmi szempontból egyik legnagyobb kihívása a „social media” (közösségi média) platformok megjelenése, mely kialakulása óta a társadalmi kapcsolatok fontos és jelentős színterévé vált, és melyet a mai kor embere már nem kizárólag magáncélból, hanem üzleti célból is használ.

Fenti folyamatok, az egyre fokozódó globalizáció egyenes következményeként a 2000-es évek elejétől az uniós adatvédelmi szabályozást jelentő 1995. évi 95/46/EK irányelv sok szempontból elavult, így egy 2009-ben indult szabályozási ciklus eredményeként

2016. április 27-én az Európai Parlament és a Tanács elfogadta Általános Adatvédelmi Rendelet (General Data Protection Regulation), vagyis a GDPR-t.

A rendelet a kihirdetését követően 2016. május 24-én lépett hatályba, ezzel egyidejűleg pedig a 95/46/EK irányelvet hatályon kívül is helyezték. Az Általános Adatvédelmi Rendelet kétéves felkészülési időt követően,

2018. május 25-én vált az EU minden tagállamában a joganyag részévé, kötelezően és közvetlenül alkalmazandóvá.

Az információs társadalmban (information society) az információ előállítása, elosztása, terjesztése, használata és kezelése jelentős gazdasági, politikai és kulturális tevékenységgé nőtte ki magát, így az adatok és adatállományok egyre nagyobb értéket képviselnek. Ezt a tendenciát látva és szem előtt tartva

a GDPR megalkotóinak legfőbb célkitűzése a tudatos adatkezelés ösztönzése volt.

A személyes adatok védelméhez való jog az emberi méltóság sérthetetlenségéből, mint anyajogból származtatható. Ezen alapjog kiemelt védelmének biztosításához a GDPR mind a magánszemélyek, mind a vállalkozások számára szigorú követelményrendszert írt elő, amely szabályok áthágása egy következetes – és az évek során egyre magasabb összegű – bírságolási gyakorlatot eredményezett.

A GDPR – kisebb kiegészítéstől eltekintve – az alapfogalmak és alapelvek vonatkozásában a 95/46/EK irányelvet vette alapul.

A rendelet 5. cikkében a személyes adatok kezelésére vonatkozóan 7 alapelvet fogalmaz meg:

jogszerűség, tisztességes eljárás és átláthatóság,
célhoz kötöttség,
adattakarékosság,
pontosság,
korlátozott tárolhatóság,
integritás és bizalmas jelleg,
elszámoltathatóság.

Az adatkezelés jogszerűségének vizsgálatára a GDPR jogalapok szolgálnak iránytűként – a megfelelő jogalap hiányában jogellenes adatkezelésről beszélünk, ami súlyos bírságokat vonhat maga után.

A megfelelő jogalap

Az adatkezelés jogszerűségét alátámasztó jogalapokat a GDPR 6. cikk (1) bekezdése taxatíve felsorolja:

az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az adatkezelőnek mindenekelőtt mérlegelnie kell, hogy a tervezett adatkezelés milyen jogalapon végezhető – tekintettel arra, hogy egyes jogalapokhoz eltérő érintetti jogok kapcsolódhatnak. Az elszámoltathatóság elvének megfelelően pedig fontos, hogy igazolni is tudja a jogalap meglétét. “Elegendő” egyetlen jogalapot igazolnia.

Fontos, hogy az adatkezelés önmagában a megfelelő jogalap biztosításától nem lesz jogszerű – a jogszerűség feltétele, hogy az adatkezelés megfeleljen a GDPR-ban és más szektorális szabályokban megfogalmazott egyéb követelményeknek.

A jogellenes adatkezelés – avagy a „jogszerűség”, mint alapelvi szintű norma megsértésének – következményei

A GDPR hatálybalépését követően a „mennyi az annyi” kérdéskör foglalkoztatta leginkább a vállalati szféra vezetőit. 2017. októberében a 29-es cikk szerinti Munkacsoport közzétette a bírságolás koordinátáit, miszerint az – a jogsértés mértékétől függően – akár 20 millió euró vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg is lehet. A bírságkiszabási szempontokat és feltételrendszert a GDPR 83. cikk (2) bekezdése töltötte meg tartalommal.

Hosszú ideig – jellemzően – a GDPR hallatán a közvéleményt csak a 20 millió eurós bírság foglalkoztatta, amellyel a sajtó kiemelten foglalkozott. De mi történt az elmúlt 5 évben?

Az elmúlt 5 év margójára – elrettentően magas bírságok időszaka

Az uniós tagállamok felügyeleti hatóságai nem szűkölködtek bírságkiszabásban: amíg 2019-ben mindössze közel 60 millió euró összegű bírságot szabtak ki összesen, addig 2022-re ez az összeg már 1,64 milliárd euróra rúgott.

Az elmúlt 5 év legmagasabb bírságát az ír felügyeleti hatóság (Data Protection Commission) szabta ki 405 millió euró összegben az Instagram(Meta IE) közösségi kép- és videómegosztó hálózatot üzemeltető Meta Platforms Ireland Ltd. részére gyermekkorú felhasználók személyes adatainak feldolgozása tárgyában. Szintén az ír hatóság szabta ki a második legjelentősebb – 265 millió eurós – bírságot ugyancsak a Metának.

Az uniós országok viszonylatában a Nemzeti Adatvédelmi és Információszabadság Hatóság is élen jár bírságolásban. A hivatalos statisztika szerint 2022-ben több, mint 387 millió forintot szabott ki az adatkezelőkre az adatvédelmi hatóság. Hazánkban több, mint 80 ügy kapott médianyilvánosságot az elmúlt 5 évben. Csak hogy a legnagyobbakat említsük: tavaly nagy médiaport kavart egy hanganalízist alkalmazó bankot sújtó 250 milliós gigabírság, de hasonló volumenű volt a 2020-ban kiszabott 100 millió forintos Digi Távközlési Kft-re kiszabott bírság is. Az adatvédelmi hatóság kiemelt adatvédelmi tárgyú ügytípusként értékelte az egészségügyi adatkezeléseket, az igazságügyi szakértők adatkezelését, valamint a kamerarendszerek használatát is. Az adatvédelmi incidensek száma is jelentősnek bizonyult: 2022-ben országosan 627 incidenst jelentettek be az adatvédelmi tisztviselők a hatóságnak. A bejelentések többsége az egészségügyi, valamint a pénzügyi szektorból érkezett.

És amire figyelni érdemes!

A globalizáció és az információs technológia fejlődése a munkakörülményeket is átalakította – ma már gyakorlatilag egy laptop, egy okostelefon és a megfelelő internetkapcsolat birtokában akár a tengerentúlról is irányíthatjuk cégünket. A koronavírus idején szükségmegoldásként elterjedt „home office” gyakorlat ma már bevett munkavégzési forma világszinten, amely magában hordozza a céges adatok sérülékenységét is. A megfelelő információbiztonsági intézkedések, a munkavállalók adatvédelmi tudatosságának folyamatos erősítése, tehát az adatvédelem kiemelt fontosságához kétség nem fér az üzleti életben. Számos vállalat azonban a mai napig nem érzi a terület fontosságát és adatvédelmi tisztviselő hiányában nem tulajdonít megfelelő jelentőséget a GDPR megfeleltetésnek

A GDPR kompatibilis vállalati kultúra és működés megteremtése nem csupán egy intézkedés, hanem egy olyan felelős, szisztematikus monitoring tevékenység eredménye, amely a gyakori kibertámadásoknak is kitett technológiák világában elengedhetetlenül szükséges.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Kapcsolódó tartalmak

Megfelelés az AI Act-nek – gyakorlati példák az adatvédelmi feladatokra

290 millió euróra bírságolta az Ubert a holland adatvédelmi hatóság – Több mint két éven át súlyosan sértette a fuvarmegosztó közlekedési vállalat a GDPR-t

Elérte a 1,78 milliárd eurót a tavaly kiszabott GDPR-bírságok összértéke – Magyarország a 17. helyen szerepel az európai mezőnyben

Adatvédelmi hatásvizsgálat – Mikor kötelező és mit is jelent pontosan? – Hasznos összefoglaló!

Az online ügyfélelégedettség-felmérés adatvédelmi buktatói

A munkahelyi elektronikus kommunikáció adatvédelmi kérdései

NIS 2 és a GDPR – A kiberbiztonsági és az adatvédelmi előírások összefüggései

Új fejezet a transzatlanti adatforgalom terén – elfogadásra került a Privacy Framework

A GDPR megsértése önmagában adhat-e alapot kártérítéshez való jogra? – Az EuB ítéletében válaszol!