Az Egyesült Királyság 2018. évi adatvédelmi törvénye: áttekintés és fő szabályok

Az Egyesült Királyság 2018-as adatvédelmi törvény áttekintése: fő szabályok, érintettek jogai, adatkezelők kötelezettségei és személyes adatok védelme.

Szerző: Leandro Alegsa

A 2018. évi adatvédelmi törvény (c 29) a brit kormány által 2018-ban elfogadott törvény, amely az 1998-ban elfogadott törvényt váltja fel.

Szabályokat állapít meg azok számára, akik élő emberek adatait használják vagy tárolják, és jogokat biztosít azoknak az embereknek, akiknek az adatait összegyűjtötték. A törvény a számítógépeken vagy bármilyen tárolórendszerben tárolt adatokra vonatkozik, még a papíralapú nyilvántartásokra is.

A törvény olyan személyes adatokra vonatkozik, mint például az Ön címe, telefonszáma, e-mail címe, munkahelyi előélete stb.

Az információkat felhasználó személyeket adatkezelőknek nevezik. Azokat az embereket, akikről az adatok szólnak, érintetteknek nevezzük.



Mire terjed ki a törvény?

A törvény célja, hogy biztonságot és átláthatóságot biztosítson a személyes adatok kezelése során. Kiterjed:

  • minden természetes személyhez kötődő információra (személyes adatra),
  • elektronikus és papíralapú nyilvántartásokra egyaránt,
  • mind az adatkezelőkre, mind az adatfeldolgozókra (akik az adatkezelők utasítására dolgozzák fel az adatokat),
  • magán és közszféra szervezeteire, valamint kereskedelmi szolgáltatókra.

Főbb alapelvek

A törvény az adatkezelés során betartandó alapelveket határozza meg; a legfontosabbak:

  • jogszerűség, tisztesség és átláthatóság — az adatkezelésnek jogszerűnek és érthetőnek kell lennie az érintett számára;
  • célhoz kötöttség — az adatokat meghatározott, jogszerű célokra lehet gyűjteni;
  • adatminimalizálás — csak a cél eléréséhez szükséges adatokat szabad kezelni;
  • pontosság — az adatoknak pontosnak és naprakésznek kell lenniük;
  • korlátozott tárolhatóság — az adatokat csak annyi ideig lehet megőrizni, ameddig szükséges;
  • integritás és bizalmas jelleg — megfelelő biztonsági intézkedéseket kell alkalmazni az adatok védelmére.

Az érintettek jogai

A törvény számos jogot biztosít az érintettek számára, többek között:

  • hozzáférés joga — az érintett megtudhatja, milyen adatokat kezelnek róla;
  • helyesbítés joga — téves vagy hiányos adatok javíthatók;
  • törlés joga (az „elfeledtetéshez” kapcsolódó jog) — bizonyos esetekben kérhető az adatok törlése;
  • kezelés korlátozásának joga — vitatott adatok esetén ideiglenes korlátozás kérhető;
  • adathordozhatóság joga — strukturált, széles körben használt formátumban kért adatok átadása;
  • tiltakozás joga — különösen közvetlen üzleti célú profilalkotás vagy marketing ellen lehet tiltakozni;
  • automatikus döntéshozatal elleni jog — súlyos joghatással járó automatizált döntések ellen lehet lépni.

Az adatkezelők kötelezettségei

Az adatkezelőknek biztosítaniuk kell a jogszerű adatkezelést és bizonyítaniuk kell ezen megfelelést. Fontos kötelezettségek:

  • adattovábbítások és adatkezelések jogalapjának dokumentálása;
  • biztonsági intézkedések bevezetése (technikai és szervezési);
  • adathozzáférési kérelmek és egyéb érintetti kérések megválaszolása meghatározott határidőn belül;
  • adatsértés (incidens) bejelentése a szabályozó hatóságnak — általában 72 órán belül, ha lehetséges;
  • szükség esetén adatvédelmi hatásvizsgálat (DPIA) készítése nagy kockázatot jelentő feldolgozásoknál;
  • adattovábbítások esetén garantálni a megfelelő védelmi szintet (pl. szerződéses garanciák, sztenderd szerződéses záradékok, megfelelőségi döntés).

Jogalapok az adatkezeléshez

Az adatkezelés csak jogalap alapján történhet. A leggyakoribb jogalapok:

  • érintett hozzájárulása (tájékoztatáson alapuló, önkéntes, kifejezett vagy beleegyezés);
  • szerződés teljesítése (ha az adatfeldolgozás a szerződés teljesítéséhez szükséges);
  • jogi kötelezettség teljesítése (pl. adózási vagy munkajogi előírások);
  • életbevágó érdek (pl. egészségügyi vészhelyzetek);
  • közérdek vagy közhatalmi feladat (elsősorban állami szereplők esetén);
  • jogos érdek (egyensúly az érintett jogaival és az adatkezelő érdekeivel).

Speciális (érzékeny) adatok

Az olyan adatok, mint a faji vagy etnikai hovatartozás, politikai vélemény, vallás, szakszervezeti tagság, genetikai és biometrikus adatok, egészségügyi adatok vagy szexuális életre vonatkozó információk különleges védelem alatt állnak. Ezek kezeléséhez általában erősebb jogalap (pl. kifejezett hozzájárulás vagy törvényi rendelkezés) szükséges.

Adatvédelmi tisztviselő (DPO)

Néhány szervezetnek kötelező adatvédelmi tisztviselőt kineveznie, különösen a közintézményeknek és azoknak a szervezeteknek, amelyek rendszeresen és nagy volumenben végeznek különleges kategóriájú adatok kezelést vagy folyamatos megfigyelést valósítanak meg. A DPO feladatai közé tartozik a megfelelés felügyelete, tanácsadás és kapcsolattartás a szabályozó hatósággal.

Adatvédelmi incidensek és bírságok

Az adatsértéseket (pl. jogosulatlan hozzáférés, adattörlés, adatvesztés) jelenteni kell a szabályozó hatóságnak. A megsértés súlyossága függvényében a hatóság bírságot szabhat ki vagy egyéb intézkedéseket hozhat. A szabályozó hatóság — az Egyesült Királyságban az Information Commissioner's Office (ICO) — rendelkezhet pénzbírság kiszabásáról és kötelezheti a szervezetet a jogsértő gyakorlat megszüntetésére.

Adattovábbítás külföldre

Az adatok Egyesült Királyságból külföldre történő továbbításakor biztosítani kell, hogy a fogadó ország megfelelő szintű adatvédelmet nyújtson, vagy egyéb megfelelő védelmi intézkedések (pl. szerződéses záradékok, megfelelő garanciák) legyenek érvényben.

Kapcsolat a GDPR-rel és a jelenlegi helyzet

A törvény szorosan kapcsolódik az általános európai adatvédelmi szabályokhoz (GDPR). Az Egyesült Királyság kilépése után a brit jogrendszerben kialakult a saját, a GDPR elveire épülő szabályozás (ún. UK GDPR), és a 2018-as törvény továbbra is fontos szerepet játszik az adatvédelemben. A gyakorlatban a szervezeteknek mind az alkalmazandó helyi, mind pedig a nemzetközi adatvédelmi normáknak meg kell felelniük.

Gyakorlati tanácsok szervezeteknek

  • készítsenek naprakész nyilvántartást az adatkezelési tevékenységekről,
  • alkalmazzanak adatvédelmi elveket már a rendszertervezés során (privacy by design),
  • rendszeresen képezzék munkatársaikat adatvédelemből és adatbiztonságból,
  • készítsenek incidenskezelési tervet, és próbálják ki azt gyakorlatban is,
  • szerezzék be a szükséges jogalapokat az adatkezeléshez és gondoskodjanak az érintettek tájékoztatásáról.

Az 2018. évi adatvédelmi törvény célja, hogy védelmet és egyértelmű szabályozást biztosítson az egyének személyes adatai számára, és iránymutatást adjon a szervezeteknek a felelős adatkezelés megvalósításához.

Az adatvédelmi törvény főbb pontjai

Az alábbiakban röviden és egyszerűsítve összefoglaljuk az Egyesült Királyság adatvédelmi törvényének fő elveit.

Ez vonatkozik például a személyzetről, az ügyfelekről és a számlatulajdonosokról tárolt információkra;

  • Ha egy okból gyűjt adatokat az emberekről, nem használhatja fel azokat más okból;
  • Nem adhatja át az emberek adatait más személyeknek vagy szervezeteknek, kivéve, ha azok beleegyeznek;
  • Az embereknek joguk van betekinteni a szervezetek által róluk tárolt adatokba;
  • Az adatokat nem szabad a szükségesnél hosszabb ideig megőrizni, és azokat naprakészen kell tartani;
  • Az adatokat nem küldheti az Európai Gazdasági Térségen kívüli helyekre, kivéve, ha megfelelő szintű védelem áll fenn;
  • A személyek adatait tároló szervezeteknek regisztrálniuk kell az Információs Biztos Hivatalánál;
  • Ha emberek adatait tárolja, gondoskodnia kell arról, hogy azok biztonságban és jól védettek legyenek;
  • Ha egy szervezet olyan adatokkal rendelkezik Önről, amelyek helytelenek, akkor joga van arra kérni, hogy változtassa meg azokat.



Kapcsolódó oldalak



Kérdések és válaszok

K: Mi az a 2018-as adatvédelmi törvény?


V: A 2018-as adatvédelmi törvény a brit kormány által 2018-ban elfogadott törvény, amely az 1998-ban elfogadott törvényt váltja fel. Szabályokat állapít meg azok számára, akik élő emberek adatait használják vagy tárolják, és jogokat biztosít azoknak az embereknek, akiknek az adatait összegyűjtötték.

K: Milyen típusú adatokra vonatkozik a törvény?


V: A törvény a személyes adatokra vonatkozik, amelyek olyan tények, mint az Ön címe, telefonszáma, e-mail címe, munkahelyi előélete stb.

K: Milyen típusú tárolórendszerekre vonatkozik a törvény?


V: A törvény a számítógépeken vagy bármilyen tárolórendszerben tárolt adatokra vonatkozik, még a papíralapú nyilvántartásokra is.

K: Hogy hívják azokat az embereket, akik az információkat használják?


V: Az információkat használó személyeket adatkezelőknek nevezik.

K: Hogyan hívják azokat az embereket, akikről az adatok szólnak?


V: Azokat az embereket, akikről az adatok szólnak, érintetteknek nevezzük.

K: Az adatvédelmi törvény 2018-ban biztosít-e jogokat azoknak, akiknek az adatait összegyűjtötték?


V: Igen, a 2018. évi adatvédelmi törvény jogokat biztosít azoknak az embereknek, akiknek az adatait gyűjtötték.

K: Milyen jogokat biztosít azoknak az embereknek, akiknek az adatait a 2018-as adatvédelmi törvény alapján gyűjtötték?


V: A 2018-as adatvédelmi törvény jogokat biztosít azoknak az embereknek, akiknek az adatait gyűjtötték, például az adatokhoz való hozzáférés jogát, az adatok helyesbítéséhez vagy törléséhez való jogot, valamint az adatok bizonyos célokra történő felhasználása elleni tiltakozás jogát.


Keres
AlegsaOnline.com - 2020 / 2025 - License CC3