Az általános adatvédelmi rendelet értelmében az érvényesítés a nemzeti adatvédelmi hatóságok feladata. Minden EGT-ország saját független adatvédelmi hatósággal rendelkezik, amely felügyeli az általános adatvédelmi rendelet alkalmazását, beleértve a panaszok kezelését is. Az egynél több EGT-országban végzett adatkezelés esetében az általános adatvédelmi rendelet együttműködési rendszert biztosít az illetékes adatvédelmi hatóságok között, amelyben együttműködnek a konszenzus elérése érdekében. Tekintse meg az adatvédelmi hatóságok felsorolását.
Az általános adatvédelmi rendelet bizonyos jogokat biztosít az egyének számára, beleértve azt a jogot, hogy panaszt nyújtsanak be az illetékes hatóságnál, ha attól tartanak, hogy adatvédelmi jogaikat megsértették.
Az adatvédelmi hatóságok feladatai és hatáskörei
Az adatvédelmi hatóságok feladatai
Minden EGT adatvédelmi hatóság felelős az általános adatvédelmi rendelet alkalmazásának nyomon követéséért és érvényesítéséért, valamint a személyes adatok kezelésével kapcsolatos kockázatok, szabályok, biztosítékok és jogok tudatosításáért és megértéséért. Az adatvédelmi hatóságok feladata továbbá, hogy tanácsot adjanak a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek, és tájékoztatást nyújtsanak bármely személynek jogaik gyakorlásáról. Az adatvédelmi hatóságok emellett elősegítik, hogy az adatkezelők és az adatfeldolgozók tisztában legyenek az általános adatvédelmi rendelet szerinti kötelezettségeikkel. Az adatvédelmi hatóságok kezelik az egyének panaszait, vizsgálatokat folytatnak az általános adatvédelmi rendelet megfelelő alkalmazásával kapcsolatban, és együttműködnek más adatvédelmi hatóságokkal az általános adatvédelmi rendelet alkalmazásával kapcsolatban. A hatóságok felelősek továbbá a következőkért:
- általános szerződési feltételek elfogadása és engedélyezése;
- kötelező erejű vállalati szabályok jóváhagyása;
- magatartási kódexek jóváhagyása;
- az adatvédelmi tanúsítási mechanizmusok létrehozásának ösztönzése;
- hozzájárulás az Európai Adatvédelmi Testület tevékenységeihez;
- a személyes adatok védelmével kapcsolatos egyéb feladatok ellátása.
Olvass tovább
Az adatvédelmi hatóságok hatáskörei
Az általános adatvédelmi rendelet értelmében a nemzeti adatvédelmi hatóságok hatásköre jelentősen nőtt. Az általános adatvédelmi rendelet 58. cikke az egyes nemzeti hatóságok hatásköreit úgy határozza meg, hogy azokat három fő csoportra osztja:
- vizsgálati hatáskörök;
- korrekciós hatáskörök;
- tanácsadói jogkörök.
Vizsgálati hatáskörök
Az adatvédelmi hatóságok annak megállapítása érdekében gyakorolják vizsgálati hatáskörüket, hogy megsértették-e az általános adatvédelmi rendeletet, annak hatálya alá tartozó szabályozási tárgyakat és a rendelet jellegét. Az adatvédelmi hatóságok többek között:
- Kötelezi a szervezeteket a vizsgálattal kapcsolatos bármely információ közlésére;
- Vizsgálatokat folytat adatvédelmi auditok formájában, és értesíti a szervezeteket az általános adatvédelmi rendelet feltételezett megsértéséről.
- Az uniós és nemzeti eljárásjognak megfelelően hozzáfér a szervezet birtokában lévő valamennyi személyes adathoz és a feladatai ellátásához szükséges valamennyi információhoz, beleértve a szervezet bármely helyiségéhez való hozzáférést, beleértve az adatkezeléshez használt berendezésekhez és eszközökhöz való hozzáférést is.
- Az általános adatvédelmi rendelet 42. cikkének (7) bekezdése alapján kiadott tanúsítványokat felülvizsgálja
Korrekciós hatáskörök
Ha a vizsgálat eredményeként megállapítják az általános adatvédelmi rendelet rendelkezéseinek megsértését, vagy úgy ítélik meg, hogy egy adatkezelési művelet kockázatot jelent vagy nem felel meg bizonyos követelményeknek, az adatvédelmi hatóságoknak joguk van egy vagy több korrekciós hatáskör gyakorlására, például:
- Figyelmeztetés vagy az adatkezelés tilalma: fennálló kockázatok esetén az adatvédelmi hatóságok figyelmeztetéseket adhatnak ki a szervezeteknek annak megakadályozása érdekében, hogy adatkezelési műveleteik megsértsék az általános adatvédelmi rendelet rendelkezéseit. Az adatvédelmi hatóságok ideiglenes vagy végleges korlátozást is elrendelhetnek, beleértve a szervezetek adatkezelési tevékenységeinek tilalmát, valamint elrendelhetik, hogy tájékoztassák az érintett személyeket az adatvédelmi incidensekről.
- Megfelelésre utasítás: az általános adatvédelmi rendeletnek való megfelelés biztosítása vagy az olyan esetek kezelése érdekében, amikor bizonyos kritériumok vagy követelmények nem teljesülnek, az adatvédelmi hatóságok hatáskörrel rendelkeznek arra, hogy utasítsák a szervezeteket arra, hogy teljesítsék az egyének általános adatvédelmi rendelet szerinti jogaik gyakorlására irányuló kéréseiket. Adott esetben a szervezeteket kötelezni lehet arra, hogy adatkezelési műveleteiket meghatározott módon és meghatározott határidőn belül hozzák összhangba az általános adatvédelmi rendelet rendelkezéseivel.
- Az adattovábbítás felfüggesztése vagy a tanúsítás visszavonása: emellett az adatvédelmi hatóságok gyakorolhatják hatáskörüket arra vonatkozóan is, hogy felfüggesszék a harmadik országbeli címzettek vagy nemzetközi szervezetek felé irányuló adattovábbítást. Ezen túlmenően visszavonhatják a tanúsítványt, vagy utasíthatják a tanúsító szervezetet, hogy vonja vissza a kiadott tanúsítványt az általános adatvédelmi rendelet 42. és 43. cikkével összhangban. Azokban az esetekben, amikor a tanúsítási követelmények nem vagy már nem teljesülnek, utasítják a tanúsító szervezetet, hogy ne adjon ki tanúsítványt.
- Elmarasztalás: megállapított jogsértések esetén az adatvédelmi hatóságok elmarasztalhatják a szervezeteket.
- Közigazgatási bírságok: Az adatvédelmi hatóságok a fent felsorolt egyéb intézkedések mellett vagy azok helyett az általános adatvédelmi rendelet 83. cikkével összhangban meghatározott közigazgatási bírságokat is kiszabhatnak. A közigazgatási szankciórendszer megköveteli az egyes egyedi jogsértések körülményeinek eseti értékelését. Az értékelés során figyelembe kell venni olyan tényezőket, mint a jogsértés jellege, súlyossága és időtartama, a szándékosság vagy gondatlanság, az esetlegesen végrehajtott kárenyhítési lépések, a végrehajtott technikai és szervezési (azaz biztonsági) intézkedések, valamint, hogy az adatvédelmi hatóság hogyan értesült a problémáról.
A lehetséges szankció maximális mértéke a jogsértés típusától függ:
- legfeljebb 10 millió EUR-ra, vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-ára (például a „beépített és alapértelmezett adatvédelem” megsértése, az adatfeldolgozási megállapodás megkötésére vonatkozó kötelezettség megszegése, az adatvédelmi hatásvizsgálat elvégzésének elmulasztása vagy adatvédelmi tisztviselő kinevezésének elmulasztása) az általános adatvédelmi rendelet 83. cikkének (4) bekezdése szerint; vagy
- legfeljebb 20 millió euro vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-a (például az adatkezelésre vonatkozó alapelvek megsértése, a személyes adatok jogalap nélküli jogellenes kezelése vagy az érintettek jogainak megsértése esetén) az általános adatvédelmi rendelet 83. cikkének (5) bekezdése értelmében.
További részletek a GDPR különböző cikkeinek megsértésével kapcsolatos közigazgatási bírságokról az általános adatvédelmi rendelet 83. cikkében és az Európai Adatvédelmi Testületnek az általános adatvédelmi rendelet szerinti közigazgatási bírságok kiszámítására vonatkozó iránymutatásaiban találhatók.
Tanácsadási hatáskörök
Az adatvédelmi hatóságok az általános adatvédelmi rendelet értelmében bizonyos engedélyezési és tanácsadási szerepet töltenek be, amelyen keresztül támogatást nyújthatnak a szervezeteknek, vagy egyedi adatkezelési tevékenységeket engedélyezhetnek. Néhány példa a következőkre:
- Előzetes konzultáció: Tanácsot ad az adatkezelőknek az általános adatvédelmi rendelet 36. cikke szerinti előzetes konzultációs eljárásnak megfelelően.
- Vélemények a jogalkotási tevékenységekről: saját kezdeményezésre vagy kérésre véleményt ad ki nemzeti parlamentjének, kormányának vagy a nemzeti joggal összhangban más intézményeknek és szerveknek, valamint a nyilvánosságnak a személyes adatok védelmével kapcsolatos bármely kérdésben.
- Magatartási kódexek és tanúsítás: jóváhagyja a magatartási kódexek tervezetét, akkreditálja a tanúsító szerveket, vagy tanúsítványokat ad ki, és jóváhagyja a tanúsítási kritériumokat.
Az adatvédelmi hatóságok fent említett hatásköreinek gyakorlására megfelelő biztosítékok vonatkoznak, ideértve a hatékony bírósági jogorvoslatot és a tisztességes eljárást is, az uniós és nemzeti jogban meghatározottak szerint, az Európai Unió Alapjogi Chartájával összhangban. Minden adatvédelmi hatóság hatáskörrel rendelkezik arra, hogy az általános adatvédelmi rendelet megsértését az igazságügyi hatóságok tudomására hozza, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen az általános adatvédelmi rendelet rendelkezéseinek érvényesítése érdekében. Nemzeti joguk további hatásköröket biztosíthat az adatvédelmi hatóságok számára.
Olvass tovább
Együttműködés és egyablakos ügyintézés
Az általános adatvédelmi rendelet az egész EGT-ben alkalmazandó, és valamennyi országra vonatkozóan egyetlen adatvédelmi szabályrendszert alkalmaz. Ez a megközelítés támogatja a nemzetközi vállalatokat, de a kkv-kat is a fejlődésre és növekedésre irányuló törekvéseikben amikor szolgáltatásaikat egynél több EGT-országban kínálják.
A személyes adatok két vagy több EGT-országban történő kezelése adminisztratív terheinek csökkentése érdekében az általános adatvédelmi rendelet együttműködési rendszert biztosít az adatvédelmi hatóságok – az úgynevezett egyablakos ügyintézés révén – között annak érdekében, hogy konszenzus alakuljon ki a számos adatvédelmi hatóság között.
Amennyiben egy szervezet két vagy több EGT-országban kezel adatokat, a panasszal vagy adatvédelmi incidenssel foglalkozó illetékes hatóság például annak az országnak az illetékes hatósága, ahol az adatkezelő tevékenységi központja található. Ez könnyebbséget jelent az adatkezelők számára, mivel nem kell a működésük helye szerint különböző tagállami adatvédelmi jogszabályokat betartaniuk. Ezenkívül csak egy adatvédelmi hatósággal kell kapcsolatba lépniük. Az Ön vállalkozásának típusától és az Ön által kínált termékektől és szolgáltatásoktól függően előfordulhat, hogy a határokon átnyúló adatkezelés az Ön kkv-jára is vonatkozik. Számos kisebb vállalkozás, mint például az online üzletek, az e-kereskedelmi weboldalak, a mobil- és számítógépes alkalmazások több országban nyújtanak szolgáltatásokat.
Ha az Ön kkv-ja különböző EGT-országokbeli magánszemélyek adatait kezeli, Ön köteles meghatározni, hogy melyik az illetékes adatvédelmi hatóság vagy a fő felügyeleti hatóság. Ez általában abban az EGT-országban található adatvédelmi hatóság, ahol az Ön szervezetének központja található, és ahol a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntések születnek.
A gyakorlatban
- Az online kiskereskedők, akik például webáruházaikon keresztül ruhákat értékesítenek több EGT-ország ügyfeleinek, személyes adatokat kezelhetnek és gyakran kezelhetnek. Ilyen határokon átnyúló esetben az illetékes hatóságnak az online kiskereskedő tevékenységi központja szerinti országnak kell lennie („az üzleti tevékenység elsődleges helye”).
Miután meghatározta, hogy melyik felügyeleti hatóság a fő felügyeleti hatóság, csak kommunikálnia kell velük. A vezető adatvédelmi hatóság együttműködik és részt vesz a többi érintett EGT adatvédelmi hatósággal folytatott megbeszéléseken.
Amennyiben egy határokon átnyúló elemet tartalmazó panaszt egy másik adatvédelmi hatósággal való együttműködés keretében kell kezelni, a következő együttműködési intézkedéseket kell hozni:
- Ha egy másik adatvédelmi hatóság megkapta a panaszt, kötelesek tájékoztatni a fő felügyeleti hatóságot az ügyről;
- Az érintett adatvédelmi hatóság részt vehet a panaszra vonatkozó döntés megszövegezésében;
- A határozat előkészítése során a fő felügyeleti hatóságnak figyelembe kell vennie az érintett adatvédelmi hatóság véleményét.
Olvass tovább
Iránymutatások az általános adatvédelmi rendelet 60. cikkének alkalmazásáról
EURÓPAI ADATVÉDELMI TESTÜLET
A fő felügyeleti hatóság meghatározása
Kulcsfogalmak
Személyes adatok határokon átnyúló kezelése
Az általános adatvédelmi rendelet szerint a fő felügyeleti hatóság azonosítása csak a személyes adatok határokon átnyúló kezelését végző szervezetek számára releváns.
Az általános adatvédelmi rendelet a „személyes adatok határon átnyúló kezelését” a következőképpen határozza meg:
- a személyes adatok kezelése egynél több olyan EGT-országban, akként, hogy az adatkezelő vagy -feldolgozó egynél több EGT-országban letelepedett; vagy
- személyes adatok kezelése, amelyek egy szervezetnek az EGT-n belüli egyetlen létesítményében zajlanak, de amelyek egynél több EGT-országban élő egyéneket jelentős mértékben érintenek vagy valószínűleg jelentős mértékben érintenek.
A gyakorlatban
- Ez azt jelenti, hogy ha például egy szervezet Németországban és Horvátországban tevékenységi hellyel rendelkezik, és a személyes adatok kezelése a tevékenységeivel összefüggésben történik, az határokon átnyúló adatkezelésnek minősül.
- Előfordulhat, hogy a szervezetnek csak Németországban lehet tevékenységi helye. Ha azonban adatkezelési tevékenysége jelentős mértékben érinti – vagy valószínűleg jelentősen érinti – az egyéneket Németországban és Horvátországban, akkor ez határokon átnyúló adatkezelésnek is minősül.
A „jelentős mértékben érinti” megértése
Az a tény, hogy egy szervezet az egyének személyes adatait – akár nagy mennyiségben – kezeli több EGT-országban, nem feltétlenül jelenti azt, hogy az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti. A csekély vagy semmilyen hatással nem járó adatkezelés nem minősül határokon átnyúló adatkezelésnek, függetlenül attól, hogy hány személyt érint, abban az esetben, ha az adatkezelőnek vagy adatfeldolgozónak egyetlen tevékenységi helye van az EGT-ben.
Az adatvédelmi hatóságok eseti alapon értelmezik a „jelentős mértékben érinti” fogalmát. Figyelembe veszik az adatkezelés körülményeit, az adatok típusát, az adatkezelés célját és olyan tényezőket, mint például, hogy az adatkezelés:
- egyének számára sérelmet, kárt vagy szorongást okoz vagy okozhatja;
- tényleges hatással van vagy valószínűleg hatással lesz az egyének jogainak korlátozására vagy egy lehetőség megtagadására;
- befolyásolja vagy valószínűleg befolyásolja az egyének egészségét, jóllétét vagy nyugalmát;
- érinti vagy valószínűsíthetően befolyásolja az egyének pénzügyi vagy gazdasági helyzetét vagy körülményeit;
- lehetővé teszi az egyének hátrányos megkülönböztetését vagy a tisztességtelen bánásmódot;
- magában foglalja a személyes adatok különleges kategóriáinak, vagy egyéb érzékeny adatok, különösen a gyermekek személyes adatainak elemzését;
- jelentős mértékben megváltoztatja vagy valószínűsíthetően megváltoztatja az egyének viselkedését;
- egyénekre nézve valószínűtlen, előre nem látható vagy nem kívánt következményekkel jár;
- zavart vagy más negatív következményeket okoz, beleértve a jó hírnév sérelmét is; vagy magában foglalja a személyes adatok széles körének kezelését.
Fő felügyeleti hatóság
Egyszerűen fogalmazva, a „fő felügyeleti hatóság” vagy a fő hatóság az adatvédelmi hatóság, amely elsődlegesen felelős a határokon átnyúló adatkezelési tevékenység intézéséért, például amikor az egyén panaszt tesz személyes adatainak kezelésével kapcsolatban. A fő felügyeleti hatóság koordinálja a vizsgálatokat, és együttműködik az „érintett” adatvédelmi hatóságokkal. A fő felügyeleti hatóság azonosítása az adatkezelő EU-n belüli „tevékenységi központja” vagy „egyetlen tevékenységi” helyének meghatározásától függ.
Ha egy szervezet csak egy EGT-országban telepedett le, egyetlen tevékenyégi helye van az EGT-ben, és ennek az országnak az adatvédelmi hatósága lesz a fő felügyeleti hatóság.
Ha egy szervezet egynél több EGT-országban telepedett le, meg kell határoznia tevékenységi központját, hogy a vezető adatvédelmi hatóság azonosítható legyen.
Olvass tovább
Tevékenységi központ
Annak megállapítása érdekében, hogy a tevékenységi központ hol található, először meg kell határozni a szervezet központi ügyvitelének helyét az EGT-ben („a központi ügyvitel helye; központ), ha van ilyen. Ez az a hely, ahol a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket meghozzák.
Azokban az esetekben, amikor a központi ügyvitel különböző határokon átnyúló adatkezelési tevékenységekkel kapcsolatos döntéseket hoz, az EGT-ben egyetlen vezető adatvédelmi hatóság lesz a multinacionális vállalat által végzett különböző adatkezelési tevékenységek tekintetében. Előfordulhatnak azonban olyan esetek, amikor a központi ügyvitel helyétől eltérő létesítmény önálló döntéseket hoz egy adott adatkezelési tevékenység céljairól és eszközeiről. Ezekben a helyzetekben elengedhetetlen, hogy a vállalatok pontosan meghatározzák, hol hozzák meg az adatkezelés célját és eszközeit. A tevékenységi központ helyes azonosítása az adatkezelők és -feldolgozók érdekében áll, mivel egyértelműséget biztosít arról, hogy melyik adatvédelmi hatósággal kell érintketniük az általános adatvédelmi rendelet szerinti különböző megfelelési kötelezettségeik tekintetében.
Olvass tovább
A gyakorlatban
- Egy ruházati kiskereskedő székhelye (azaz a „központi ügyvitel helye”) Szófiában (Bulgária) található. Számos más EGT-országban található tevékenységi helyekkel rendelkezik, amelyek ott kapcsolatban állnak magánszemélyekkel. Minden tevékenységi hely ugyanazt a szoftvert használja az ügyfelek személyes adatainak marketing célokra történő kezelésére. Az ügyfelek személyes adatainak marketing célú kezelésének céljaira és eszközeire vonatkozó valamennyi döntést a szófiai központban hozzák meg. Ez azt jelenti, hogy e határokon átnyúló adatkezelési tevékenység tekintetében a vállalat fő felügyeleti hatósága a bolgár adatvédelmi hatóság.
Az EGT-ben nem letelepedett szervezetek
Ha az Ön szervezete az EGT-ben nincs letelepedve, de az általános adatvédelmi rendelet hatálya alá tartozik, mivel az az általános adatvédelmi rendelet területi hatálya alá tartozik, előfordulhat, hogy képviselőt kell kineveznie az EGT-országok valamelyikében.
Ha azonban egy szervezet nem rendelkezik tevékenységi hellyel az EGT-ben, a képviselő puszta jelenléte az EGT-országok egyikében nem váltja ki az egyablakos rendszert. Ez azt jelenti, hogy az EGT-ben tevékenységi hellyel nem rendelkező szervezeteknek helyi képviselőjükön keresztül kell érintkezniük a helyi adatvédelmi hatóságokkal valamennyi olyan EGT-országban, ahol tevékenykednek.
Olvass tovább
Az Európai Adatvédelmi Testület szerepe
Az Európai Adatvédelmi Testület jogi személyiséggel rendelkező független európai szerv, amely hozzájárul az adatvédelmi szabályok EGT-szerte történő következetes alkalmazásához, és előmozdítja az EGT adatvédelmi hatóságai közötti együttműködést. Az Európai Adatvédelmi Testület az adatvédelmi hatóságok vezetőiből és az európai adatvédelmi biztosból (EDPS) vagy azok képviselőiből áll.
Tudjon meg többet az Európai Adatvédelmi Testületről
Az Európai Adatvédelmi Testületben az adatvédelmi hatóságok együttműködnek a következők érdekében:
- általános iránymutatást (beleértve az iránymutatásokat, véleményeket, ajánlásokat és bevált gyakorlatokat) nyújt az adatvédelmi jogról, különösen az általános adatvédelmi rendeletről;
- Tanácsot ad az Európai Bizottságnak a személyes adatok védelmével kapcsolatos bármely kérdésben és az EU-ban javasolt új jogszabályokban;
- egységességi döntéseket és véleményeket fogad el a határokon átnyúló adatvédelmi ügyekben.
A konkrét, egyedi kérések megválaszolása helyett az Európai Adatvédelmi Testület általános iránymutatásokat ad ki.
Az Európai Adatvédelmi Testület számos olyan útmutató dokumentumot fogadott el, amelyek közvetlenül relevánsak a vállalatok, köztük a kkv-k számára. Ezek az iránymutatások tisztázzák az általános adatvédelmi rendelet különböző fogalmait, például az alapvető adatkezelési elveket, a beépített és alapértelmezett adatvédelem elvét, a nemzetközi adattovábbítást és az érintettek jogait. Ezekről a dokumentumokról itt olvashat áttekintést.
Egységességi mechanizmus
Az egységességi mechanizmus közvetlen hatást gyakorolhat a kkv-kra. Először is, az egységességi mechanizmus akkor kezdeményezhető, ha a fő felügyeleti hatóság és az érintett adatvédelmi hatóságok nem tudnak konszenzusra jutni egy konkrét, határokon átnyúló ügyben. Ilyen esetekben az ügyet az Európai Adatvédelmi Testület elé utalják, amely kötelező erejű döntést fogad el a jogvita rendezése érdekében.
Emellett az Európai Adatvédelmi Testület egységességi-véleményeket ad ki az EGT adatvédelmi hatóságai által készített egyes döntéstervezetekről, amelyek határokon átnyúló hatással bírnak (pl. új szabványszerződések vagy magatartási kódexek).
Az Európai Adatvédelmi Testület az általános adatvédelmi rendelet általános alkalmazási körébe tartozó bármely kérdésben, illetve egynél több EGT-országra hatást gyakorló bármely kérdésben is kiadhat egységességi véleményt. E munka célja annak biztosítása, hogy az általános adatvédelmi rendeletet a különböző EGT-országokban egységesen értelmezzék és alkalmazzák.
Olvass tovább
Infographic az általános adatvédelmi rendelet szerinti egységességi eljárásokról
EURÓPAI ADATVÉDELMI TESTÜLET