Az Egyesült Királyság 2018. évi adatvédelmi törvénye: áttekintés és fő szabályok

Az Egyesült Királyság 2018-as adatvédelmi törvény áttekintése: fő szabályok, érintettek jogai, adatkezelők kötelezettségei és személyes adatok védelme.

A 2018. évi adatvédelmi törvény (c 29) a brit kormány által 2018-ban elfogadott törvény, amely az 1998-ban elfogadott törvényt váltja fel.

Szabályokat állapít meg azok számára, akik élő emberek adatait használják vagy tárolják, és jogokat biztosít azoknak az embereknek, akiknek az adatait összegyűjtötték. A törvény a számítógépeken vagy bármilyen tárolórendszerben tárolt adatokra vonatkozik, még a papíralapú nyilvántartásokra is.

A törvény olyan személyes adatokra vonatkozik, mint például az Ön címe, telefonszáma, e-mail címe, munkahelyi előélete stb.

Az információkat felhasználó személyeket adatkezelőknek nevezik. Azokat az embereket, akikről az adatok szólnak, érintetteknek nevezzük.

Mire terjed ki a törvény?

A törvény célja, hogy biztonságot és átláthatóságot biztosítson a személyes adatok kezelése során. Kiterjed:

minden természetes személyhez kötődő információra (személyes adatra),
elektronikus és papíralapú nyilvántartásokra egyaránt,
mind az adatkezelőkre, mind az adatfeldolgozókra (akik az adatkezelők utasítására dolgozzák fel az adatokat),
magán és közszféra szervezeteire, valamint kereskedelmi szolgáltatókra.

Főbb alapelvek

A törvény az adatkezelés során betartandó alapelveket határozza meg; a legfontosabbak:

jogszerűség, tisztesség és átláthatóság — az adatkezelésnek jogszerűnek és érthetőnek kell lennie az érintett számára;
célhoz kötöttség — az adatokat meghatározott, jogszerű célokra lehet gyűjteni;
adatminimalizálás — csak a cél eléréséhez szükséges adatokat szabad kezelni;
pontosság — az adatoknak pontosnak és naprakésznek kell lenniük;
korlátozott tárolhatóság — az adatokat csak annyi ideig lehet megőrizni, ameddig szükséges;
integritás és bizalmas jelleg — megfelelő biztonsági intézkedéseket kell alkalmazni az adatok védelmére.

Az érintettek jogai

A törvény számos jogot biztosít az érintettek számára, többek között:

hozzáférés joga — az érintett megtudhatja, milyen adatokat kezelnek róla;
helyesbítés joga — téves vagy hiányos adatok javíthatók;
törlés joga (az „elfeledtetéshez” kapcsolódó jog) — bizonyos esetekben kérhető az adatok törlése;
kezelés korlátozásának joga — vitatott adatok esetén ideiglenes korlátozás kérhető;
adathordozhatóság joga — strukturált, széles körben használt formátumban kért adatok átadása;
tiltakozás joga — különösen közvetlen üzleti célú profilalkotás vagy marketing ellen lehet tiltakozni;
automatikus döntéshozatal elleni jog — súlyos joghatással járó automatizált döntések ellen lehet lépni.

Az adatkezelők kötelezettségei

Az adatkezelőknek biztosítaniuk kell a jogszerű adatkezelést és bizonyítaniuk kell ezen megfelelést. Fontos kötelezettségek:

adattovábbítások és adatkezelések jogalapjának dokumentálása;
biztonsági intézkedések bevezetése (technikai és szervezési);
adathozzáférési kérelmek és egyéb érintetti kérések megválaszolása meghatározott határidőn belül;
adatsértés (incidens) bejelentése a szabályozó hatóságnak — általában 72 órán belül, ha lehetséges;
szükség esetén adatvédelmi hatásvizsgálat (DPIA) készítése nagy kockázatot jelentő feldolgozásoknál;
adattovábbítások esetén garantálni a megfelelő védelmi szintet (pl. szerződéses garanciák, sztenderd szerződéses záradékok, megfelelőségi döntés).

Jogalapok az adatkezeléshez

Az adatkezelés csak jogalap alapján történhet. A leggyakoribb jogalapok:

érintett hozzájárulása (tájékoztatáson alapuló, önkéntes, kifejezett vagy beleegyezés);
szerződés teljesítése (ha az adatfeldolgozás a szerződés teljesítéséhez szükséges);
jogi kötelezettség teljesítése (pl. adózási vagy munkajogi előírások);
életbevágó érdek (pl. egészségügyi vészhelyzetek);
közérdek vagy közhatalmi feladat (elsősorban állami szereplők esetén);
jogos érdek (egyensúly az érintett jogaival és az adatkezelő érdekeivel).

Speciális (érzékeny) adatok

Az olyan adatok, mint a faji vagy etnikai hovatartozás, politikai vélemény, vallás, szakszervezeti tagság, genetikai és biometrikus adatok, egészségügyi adatok vagy szexuális életre vonatkozó információk különleges védelem alatt állnak. Ezek kezeléséhez általában erősebb jogalap (pl. kifejezett hozzájárulás vagy törvényi rendelkezés) szükséges.

Adatvédelmi tisztviselő (DPO)

Néhány szervezetnek kötelező adatvédelmi tisztviselőt kineveznie, különösen a közintézményeknek és azoknak a szervezeteknek, amelyek rendszeresen és nagy volumenben végeznek különleges kategóriájú adatok kezelést vagy folyamatos megfigyelést valósítanak meg. A DPO feladatai közé tartozik a megfelelés felügyelete, tanácsadás és kapcsolattartás a szabályozó hatósággal.

Adatvédelmi incidensek és bírságok

Az adatsértéseket (pl. jogosulatlan hozzáférés, adattörlés, adatvesztés) jelenteni kell a szabályozó hatóságnak. A megsértés súlyossága függvényében a hatóság bírságot szabhat ki vagy egyéb intézkedéseket hozhat. A szabályozó hatóság — az Egyesült Királyságban az Information Commissioner's Office (ICO) — rendelkezhet pénzbírság kiszabásáról és kötelezheti a szervezetet a jogsértő gyakorlat megszüntetésére.

Adattovábbítás külföldre

Az adatok Egyesült Királyságból külföldre történő továbbításakor biztosítani kell, hogy a fogadó ország megfelelő szintű adatvédelmet nyújtson, vagy egyéb megfelelő védelmi intézkedések (pl. szerződéses záradékok, megfelelő garanciák) legyenek érvényben.

Kapcsolat a GDPR-rel és a jelenlegi helyzet

A törvény szorosan kapcsolódik az általános európai adatvédelmi szabályokhoz (GDPR). Az Egyesült Királyság kilépése után a brit jogrendszerben kialakult a saját, a GDPR elveire épülő szabályozás (ún. UK GDPR), és a 2018-as törvény továbbra is fontos szerepet játszik az adatvédelemben. A gyakorlatban a szervezeteknek mind az alkalmazandó helyi, mind pedig a nemzetközi adatvédelmi normáknak meg kell felelniük.

Gyakorlati tanácsok szervezeteknek

készítsenek naprakész nyilvántartást az adatkezelési tevékenységekről,
alkalmazzanak adatvédelmi elveket már a rendszertervezés során (privacy by design),
rendszeresen képezzék munkatársaikat adatvédelemből és adatbiztonságból,
készítsenek incidenskezelési tervet, és próbálják ki azt gyakorlatban is,
szerezzék be a szükséges jogalapokat az adatkezeléshez és gondoskodjanak az érintettek tájékoztatásáról.

Az 2018. évi adatvédelmi törvény célja, hogy védelmet és egyértelmű szabályozást biztosítson az egyének személyes adatai számára, és iránymutatást adjon a szervezeteknek a felelős adatkezelés megvalósításához.

Az Egyesült Királyság 2018. évi adatvédelmi törvénye: áttekintés és fő szabályok

Mire terjed ki a törvény?

Főbb alapelvek

Az érintettek jogai

Az adatkezelők kötelezettségei

Jogalapok az adatkezeléshez

Speciális (érzékeny) adatok

Adatvédelmi tisztviselő (DPO)

Adatvédelmi incidensek és bírságok

Adattovábbítás külföldre

Kapcsolat a GDPR-rel és a jelenlegi helyzet

Gyakorlati tanácsok szervezeteknek

Az adatvédelmi törvény főbb pontjai

Kapcsolódó oldalak

Kérdések és válaszok

K: Mi az a 2018-as adatvédelmi törvény?

K: Milyen típusú adatokra vonatkozik a törvény?

K: Milyen típusú tárolórendszerekre vonatkozik a törvény?

K: Hogy hívják azokat az embereket, akik az információkat használják?

K: Hogyan hívják azokat az embereket, akikről az adatok szólnak?

K: Az adatvédelmi törvény 2018-ban biztosít-e jogokat azoknak, akiknek az adatait összegyűjtötték?

K: Milyen jogokat biztosít azoknak az embereknek, akiknek az adatait a 2018-as adatvédelmi törvény alapján gyűjtötték?