OPPENHEIM LAW_POINT   
AZ ADATVÉDELMI JOG ELMÚLT ÉS KÖVETKEZŐ EGY ÉVE - II. RÉSZ
  • 7. A NAIH képviselői által nyilvános konferenciákon kifejtettek összefoglalása
  • 8. A Hatóság eddigi bírságolásai és szankcionálási gyakorlatának bemutatása
  • 9. Szemelvények a külföldi GDPR-gyakorlatból
  • 10. Hatályba léptek az új kiberbiztonsági szabályok is
  • 11. Harmadik országokba történő adattovábbítások
  • 12. A GDPR-saláta
  • 13. Egyéb közösségi jogi fejlemények és biztosítás
 


7. A NAIH képviselői által nyilvános konferenciákon kifejtettek összefoglalása
 


Az elmúlt egy év során a NAIH képviselői a hatóság korábbi inaktivitását meghaladva számos konferencián adtak elő és tették közkincscsé a GDPR egyes slágertémáival kapcsolatos álláspontjukat. Az alábbiakban a legérdekesebb ilyen kinyilatkoztatásokat foglaljuk össze.

A GDPR megadja a felügyeleti hatóságok számára a lehetőséget egy ún. hatásvizsgálati „fehér lista” összeállítására, vagyis azon esetkörök megnevezésére, amikor adatvédelmi hatásvizsgálat elvégzése nem kötelező. A NAIH kijelentette, hogy Magyarországon ilyen „fehér lista” elkészítésére nem kerül sor.

A Hatóság által tartott előadások, illetve konferenciák keretében elhangzottak alapján elmondható, hogy kiemelt fontosságú kötelezettségnek tekintik az esetleges adatvédelmi incidensek 72 órán belül történő bejelentését, kivéve, ha az incidens valószínűsíthetően nem jár magas kockázattal az érintettekre nézve. Kiemelendő, hogy az adatkezelők részleges bejelentést is tehetnek, amennyiben 72 órán belül nem sikerült teljes körűen feltárni az incidens körülményeit. Abban az esetben, ha a részleges bejelentéstől számított 8 napon belül nem érkezik további információ a Hatóság felé, úgy a NAIH keresi meg az adatkezelőt. Az incidens bejelentése természetesen nem von maga után egyúttal bírságot vagy egyéb hátrányos jogkövetkezményt. A Hatóság azonban nyomatékosította, hogy a 72 órás határidő túllépése illetve elmulasztása kötelező bejelentés esetén minden bizonnyal bírságot fog eredményezni (az elmúlt hetekben már szabtak is ki bírságot emiatt). Erre tekintettel javasolt a 72 óra szigorú betartása, és legalább egy részleges bejelentés megtétele.

Az adatvédelmi incidensek tekintetében fontos kiemelni az incidens nyilvántartás jelentőségét. Ez az a dokumentum, amit a Hatóság minden esetben bekér és ellenőriz az adott incidensre vonatkozóan. Előfordulhat azonban a feltüntetett incidensek dokumentálásának visszamenőleges ellenőrzése is, így javasolt a nyilvántartás hiánytalan és kellően részletes vezetése.

Bár belső adatkezelési szabályzat elkészítését a GDPR kifejezetten nem írja elő, a NAIH szerint az elszámoltathatóság elve bizonyos esetekben ezt mégis megköveteli. A belső szabályzat célja az adatkezelési tevékenységek, folyamatok pontos dokumentálása, a személyes adatokhoz hozzáférő személyek jogosultságának, valamint felelősségének meghatározása. A Hatóság kifejtette, hogy egy esetleges hatósági ellenőrzés illetve hatósági eljárás során valószínűsíthetően e dokumentumot is bekérik majd. Amennyiben az adatkezelő e szabályzattal annak ellenére nem rendelkezik, hogy azt a fennálló körülmények szükségessé tették volna, úgy az jogsértésnek minősülhet és szankciót vonhat maga után, ezért megítélésünk szerint minden adatkezelőnek célszerű ilyen szabályzatot készítenie.

Az elmúlt időszakban sor került az első néhány bírság kiszabására a GDPR alapján, azonban összegüket tekintve egyelőre elmaradnak az uniós átlagtól. Az egységes uniós jogalkalmazás és jogértelmezés a személyes adatok kezelése tekintetében megköveteli a szankcionálási gyakorlat összehangolását is, így a NAIH által kiszabott bírságok növekedésére lehet számítani.

Egy esetleges hatósági ellenőrzés során javasolt a Hatósággal teljes mértékben együttműködni, és valamennyi, az adatkezelő által végzett adatkezelési tevékenységre vonatkozó dokumentumot a NAIH rendelkezésére bocsátani. Az adatkezelők számára javasolt tehát a rendelkezésre álló dokumentumok rendszerezett tárolása és naprakészen tartása. A NAIH feltehetően az adatkezelő tekintetében pozitívan értékel minden együttműködést, valamint adott esetben az esetleges jogsértés orvoslása érdekében megtett intézkedést.

A Hatóság az idei évre előirányzott programmal nem rendelkezik.


 
8. A Hatóság eddigi bírságolásai és szankcionálási gyakorlatának bemutatása
 

A Hatóság az idei évben a GDPR alapján eddig nyolc esetben szabott ki bírságot. Adatvédelmi ügyekben ötször (500 000 Ft-tól 30 000 000 Ft-ig terjedő bírságok), adatvédelmi incidenssel kapcsolatos ügyekben pedig három alkalommal (1 000 000 Ft -11 000 000 Ft).

A Hatóság egy határozatában megerősítette, hogy az érintett hozzáférési joga feltétel nélkül gyakorolható, azaz az érintettnek nem kell igazolnia e jog gyakorlásához fűződő jogát vagy jogos érdekét, valamint indokolnia sem szükséges, hogy milyen okból kíván e jogával élni. Amennyiben tehát az érintett az adatkezelő által kezelt, rá vonatkozó személyes adatokhoz kíván hozzáférni, úgy az adatkezelő kizárólag abban az esetben tagadhatja meg a kérelem teljesítését, amennyiben az egyértelműen megalapozatlan vagy túlzó.

Bírság kiszabására került sor a pontosság elvének, illetve az érintetti jogok gyakorlásának elősegítésére vonatkozó kötelezettség megsértése miatt. Az adatkezelőnek nincs adattörlési kötelezettsége olyan esetben, amikor az ügyfele által korábban rendelkezésére bocsátott adat pontossága harmadik személy bejelentése alapján válik kérdésessé, és nem igazolt, hogy az adat felett már nem az ügyfél, hanem a bejelentő jogosult rendelkezni. Az adatkezelő köteles azonban minél nagyobb mértékben elősegíteni a pontosság elvének érvényesülését.

Az érintetti jogok gyakorlásának elősegítésére vonatkozó kötelezettséget több hatósági határozat is érintette, így az adatkezelők számára javasolt egy olyan gyakorlat kialakítása, amely az esetleges kérelmek beérkezése esetén a GDPR-ban nevesített érintetti jogok gyakorlását a lehető legnagyobb mértékben elősegíti.

A Hatóság határozatában kifejtette, hogy a személyazonosításra alkalmas adatok (pl.: név, születési adatok, anyja neve, cím) nyilvánosságra kerülése esetén jellemzően magas az érintett magánszférájára jelentett kockázat, amely maga után vonja az érintett tájékoztatására irányuló kötelezettséget. A kockázat megítélése szempontjából nincs jelentőse a nyilvánosságra került adatok és az összes kezelt adat arányának. Amennyiben nincs lehetőség az érintettek külön-külön történő értesítésére, úgy jó gyakorlatnak minősül a tájékoztatás nyilvános közzététele.

A Hatóság eddig a második legmagasabb bírságot az incidens-bejelentési, valamint az érintettei tájékoztatási kötelezettségek megsértésére vonatkozóan szabta ki. Ebből is látható, hogy a NAIH valóban szigorúan kezeli az adatvédelmi incidensek (72 órán belüli) bejelentésére vonatkozó rendelkezés betartását. A Hatóság kiemelte, hogy a személyes adat nem veszti el e jellegét, amennyiben az már nem aktuális, további ismét megerősített, hogy a személyazonosításra alkalmas adatok nyilvánosságra kerülése jellemzően magas kockázattal jár, tekintettel a személyazonosság lopás megvalósulásának lehetőségére. Az incidens kockázat növeli továbbá az adatkezelő által alkalmazott elavult titkosítási módszer. Abban az esetben, ha az alkalmazott titkosítás különösebb szakértelem, idő és költségráfordítás nélkül, bárki által visszafejthetővé válik, úgy az már nem felel meg a tudomány és technológia állásának megfelelő szintnek. A Hatóság nem tartja megfelelő gyakorlatnak, ha a jelszavakat a felhasználók nem egy előre meghatározott olyan magasabb biztonsági követelményeket felállító szabályrendszer (pl.: minimum karakterszám, különleges karakterek alkalmazása) szerint kötelesek kitalálni, amelyet az adatkezelő által alkalmazott rendszer is kikényszerít.

A Hatóság a Sziget Zrt.-vel szemben hozott határozatában szabta ki az első olyan bírságot (30 000 000 Ft), melynek összege meghaladja a korábban az Infotv. által megállapított bírságmaximumot. E határozatban a fesztiválra történő beléptetéssel összefüggő adatkezelések vizsgálatára került sor, ideértve különösen ezen adatkezelések alkalmasságát (az adatkezeléssel elérni kívánt célra tekintettel) és a kezelt adatkör szükségességét. A Hatóság kitért többek között arra is, hogy abban az esetben helyezhető az adatkezelés jogos érdek jogalapra, amennyiben az az adatkezelő vagy – az adatkezelő és az érintett személytől eltérő – harmadik személy érdekében áll, így az érdekmérlegelési tesztben a mérleg egyik oldalán az adatkezelő vagy harmadik személy jogos érdekét, a másik oldalán pedig az érintett(ek) jogos érdekét kell megjeleníteni, és az ellentétes érdekek egymással szembeállítását követően megállapítani, hogy az érintett jogainak korlátozása arányban áll-e az adatkezelő vagy harmadik személy – e korlátozás által – érvényesülő jogos érdekével. A tesztben részletesen vizsgálandó, hogy az érintett mely jogait korlátozza az adatkezelés, milyen kockázattal jár, s milyen kockázatot jelen az érintettek részére.

A rendelkezésre álló hatósági gyakorlat alapján az alábbi tényezők tekinthetők súlyosító körülménynek a bírságok kiszabása, illetve mértéke vonatkozásában: (i) adatvédelmi incidens kifejezetten magas kockázata; (ii) incidens bejelentésének elmulasztása az arról való tudomásszerzés ellenére; (iii) elavult titkosítási technológia alkalmazása; (iv) érintettek viszonylag magas száma; (v) megfelelő intézkedés elmulasztása; (vi) jogsértés érintetti joggyakorlást érint;

Enyhítő körülménynek minősülnek különösen (i) az adatkezelő által a kockázat enyhítése érdekében tett intézkedések; (ii) jogsértés első alkalommal történő elkövetése; (iii) érintetti közrehatás.

Egyelőre nehéz arra vonatkozóan következtetést levonni, hogy az adatkezelőknek mely jogsértések esetén nem kell a bírságolástól tartaniuk. Az adatvédelmi incidensek bejelentésére vonatkozó kötelezettség megsértését, valamint az érintetti joggyakorlást érintő jogsértéseket azonban láthatóan szigorúan értékeli a Hatóság, így célszerű e tekintetben különös körültekintés mellett eljárni.


 
9. Szemelvények a külföldi GDPR-gyakorlatból
 

Mivel a közösségi joggyakorlat hatással lehet a hazai fejleményekre is, így érdemes röviden áttekinteni, hogy melyek voltak az elmúlt időszak legérdekesebb külföldi, GDPR-ral kapcsolatos bírósági és hatósági döntései.

A baden-württemberg-i fellebbviteli munkaügyi bíróság egy ítéletében a GDPR 15. cikke szerinti hozzáférési jog tág értelmezésével megállapította, hogy a hozzáférési jog gyakorlása esetén a munkáltató köteles a munkavállalói számára teljes körű információt, valamint másolatot szolgáltatni a munkavállaló teljesítményére és viselkedésére vonatkozó, a munkáltató által kezelt adatokról.

A spanyol adatvédelmi hatóság a Vodafone számára kedvező döntést hozott, amelyben megállapította, hogy a Vodafone nem követett el jogsértést azzal, hogy az ügyfeleivel WhatsApp-on, hozzájárulás nélkül kommunikációt kezdeményezett, valamint e gyakorlatát az egyes panaszok beérkezését követően nem függesztette fel. A hatóság álláspontja szerint a felek között fennálló szerződéses viszony kezelése érdekében volt szükséges a kommunikáció.

A lengyel adatvédelmi hatóság megközelítőleg 219 000 € bírságot szabott ki egy adatkezelővel szemben azért, mert a társaság elmulasztotta több, mint 6 millió érintett tájékoztatását az őket érintő adatkezelés, valamint GDPR alapján fennálló jogaik tekintetében.

Az angol adatvédelmi hatóság 40 000 £ bírságot szabott ki több, mint 2 millió jogszerűtlenül kiküldött elektronikus hírlevél miatt.

A francia adatvédelmi hatóság 50 millió € bírságot szabott ki a Google-lel szemben, amiért a Google nem tájékoztatta megfelelően az érintett felhasználókat az adatkezelés céljáról, valamint a marketing célból kezelt személyes adatok megőrzési idejéről. Továbbá a hatóság álláspontja szerint a Google jogalap nélkül kezelt személyes adatokat személyre szabott reklámozás céljából. A begyűjtött hozzájárulás nem volt érvényes tekintettel arra, hogy nem volt konkrét illetve egyértelmű, valamint a felhasználókat nem is tájékoztatták kimerítően a hozzájárulással érintett adatkezelésről.


 
10. Hatályba léptek az új kiberbiztonsági szabályok is
 

A GDPR-ral kapcsolatos össznépi riogatás mellett elsikkadtak az új kiberbiztonsági szabaályok, melyek szintén tavaly léptek hatályba.

  1. május 10-én ugyanis alkalmazandóvá váltak azok az új, hálózati és információs rendszerek biztonságára vonatkozó szabályok, amelyeket az EU 2016/1148 irányelve (NIS irányelv) alapján kellett a tagállamoknak hazai jogrendszerükbe átültetniük.

A NIS irányelvben előírt követelmények az alapvető szolgáltatásokat nyújtó szereplőket, valamint a digitális szolgáltatókat (a magyar jogszabályok – elsősorban az elektronikus kereskedelemről szóló törvény, másodsorban pedig a 270/2018. (XII. 20.) Korm.rendelet - a „digitális szolgáltatás” terminológia megfelelőjeként a „bejelentés-köteles szolgáltatás” elnevezést használják) érintik.

A hatályos magyar szabályozás három szektorban (online piactér, online keresőszolgáltatás, felhőalapú számítástechnikai szolgáltatás) írja elő a digitális szolgáltatást nyújtó vállalkozások regisztrációs, biztonsági eseményekkel kapcsolatos bejelentési kötelezettségét. Az online piactér definíciója olyan weboldalakat foglal magában, amelyek közvetítő szerepet töltenek be az eladók és vevők között létrejövő online szerződések megkötése érdekében. Azon oldalakra, amelyeken egy társaság a saját termékeit illetve szolgáltatásait közvetlenül a fogyasztók részére értékesíti, az irányelv hatálya nem terjed ki, így tekintetükben a vonatkozó kötelezettségek sem alkalmazandóak (pl, sima webshopok).

A regisztráció, valamint a bejelentések tekintetében eljáró hatóság a Nemzetbiztonsági Szakszolgálat (NBSZ). Téves regisztráció esetén lehetőség vannak arra, hogy az érintett szolgáltató nyilvántartásból való törlését kérje az NBSZ részére címzett kérelemben.

A fent megnevezett szolgáltatók kötelesek megfelelő és arányos műszaki illetve szervezési intézkedéseket tenni a hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése, továbbá a biztonsági események megelőzése és azok hatásainak csökkentése érdekében. A szolgáltatások folytonosságára jelentős hatást gyakorló biztonsági eseményeket a szolgáltatók kötelesek késedelem nélkül bejelenteni a Nemzetbiztonsági Szakszolgálat eseménykezelő központ számára.

Nem tartoznak a fent hivatkozott jogszabályok hatálya alá azok a bejelentés-köteles szolgáltatások, amelyeket mikro- és kisvállalkozások nyújtanak.

Jogsértés esetén (különösen a regisztráció elmulasztása, biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása, biztonsági esemény bejelentésének elmulasztása) a Nemzetbiztonsági Szakszolgálat bírságot szabhat ki, melynek összege a jogsértéstől függően változik (min. 50 000 és max. 5 000 000 Ft).


 
11. Harmadik országokba történő adattovábbítások
 

Számos esetben szükségessé válik a személyes adatok harmadik országba (Európai Unión kívülre) történő továbbítása (pl.: IT rendszerek alkalmazása, különféle jelentéstételi kötelezettségek teljesítése érdekében, központosított adatbázisrendszerek alkalmazása, hatékonyabb tárolási módok alkalmazása céljából), amely további követelményeknek való megfelelési kötelezettséget von maga után. A GDPR V. fejezete foglalkozik ezen adattovábbításokkal. A rendelkezések célja annak biztosítása, hogy a természetes személyeket megillető védelem szintje ne csökkenjen az uniós szint alá abban az esetben sem, ha harmadik országba kerülnek továbbításra a személyes adatok. Harmadik országba történő adattovábbításnak minősül pl. az Amazon szervereken történő adattárolás is, tekintet nélkül az Amazon frankfurti székhelyű leányvállalatára, ugyanis a székhelye továbbra is az Egyesült Államokban található.

A GDPR felsorolja az adattovábbításhoz igénybe vehető eszközöket, amelyek közül az adatkezelők a számukra legalkalmasabbat választhatják ki.

Első lépésként a célország (azon harmadik ország, ahova az adatokat továbbítani szándékoznak) védelmi szintjét kell megvizsgálni. Amennyiben a megfelelő védelmi szint nem biztosított, úgy az adatkezelő illetve adatfeldolgozó kötelezettsége, hogy megteremtse a megfelelő garanciákat. Amennyiben erre nincs lehetőség, akkor alkalmazhatóak a GDPR 49. cikkében felsorolt különös helyzetekre biztosított eltérések.

Amennyiben tehát nem áll rendelkezésre a Bizottság által kibocsátott megfelelőségi határozat az adott harmadik ország tekintetében, úgy egyéb garanciák alapján kerülhet sor az adattovábbításra. Ilyen garanciák az általános adatvédelmi kikötések (ún. „modellszerződések”) és egyéb szerződéses rendelkezések. A Bizottság négy olyan határozatot fogadott el, amelyek ilyen kikötéseket tartalmaznak. A GDPR alapján ezek a korábbi határozatok mindaddig hatályban maradnak, amíg azokat újabb határozatok nem módosítják, nem váltják fel, vagy helyezik hatályon kívül. Azon adatkezelők tehát, akik a GDPR alkalmazandóvá válása előtt a modellszerződések alapján biztosították a megfelelő védelmi szintet, továbbra is alkalmazhatják azokat. Egyelőre nem áll rendelkezésre információ az esetleges új modellszerződések létrehozásáról.

Szintén megfelelő garanciát jelentenek a kötelező erejű vállalati szabályok (BCR). A BCR segítségével az adatkezelő megfelelő védelmi szintet nyújthat egy vállalatcsoporton belüli, harmadik országba történő adattovábbítás során. A kötelező erejű vállalati szabályokat az illetékes felügyeleti hatóság hagyja jóvá az egységességi mechanizmusnak megfelelően, amely biztosítja a vonatkozó rendelkezéseknek az Unió teljes területén történő egységes alkalmazását.

A harmadik országba történő adattovábbítás tekintetében a GDPR által újonnan nevesített eszközök, a magatartási kódex és a tanúsítás is megfelelő garanciát jelenthetnek. Mindkét esetben előírás azonban, hogy megfelelően jóváhagyásra kerüljenek, továbbá abban az esetben alkalmazhatóak, ha a harmadik országbeli adatkezelő illetve adatfeldolgozó ezekben foglalt vállalásai kötelezőek és kikényszeríthetőek.

A Bizottság egy speciális megfelelőségi határozata a Privacy Shield, amely a kiemelt jelentőségű, USA-EU közötti adatforgalmat kívánja rendezni. A Privacy Shield keretrendszer alkalmazása önkéntes, azaz öntanúsításon alapul. A Privacy Shield első felülvizsgálatára 2017-ben került sor, amelyben az EU javaslatokat fogalmazott meg a megfelelés ellenőrzésére, valamint a jogorvoslati lehetőségek garantálására. A Bizottság 2018. decemberében tette közzé második felülvizsgálati jelentését, amelyben a keretrendszert továbbra is érvényesnek ismerte el. Megállapította, hogy az Egyesült Államok megfelelő lépéseket tett a megfelelés ellenőrzése tekintetében, illetve létrehozták a Privacy Shield Ombudsman intézményét, hatékonyabb jogorvoslati lehetőségek garantálása végett. Továbbra is kérdéses azonban – és egyelőre a jövő zenéje -, hogy ezzel valóban biztosítva lesz-e uniós polgárok számára a személyes adatok védelmével kapcsolatos hatékony jogorvoslat.


 
12. A GDPR-saláta
 

2019. április 26-án hatályba lépett a GDPR Salátatörvény (mely összefoglalója egy korábbi anyagunkban olvasható itt, amely számos hazai szektorális jogszabályt hozott összhangba az általános adatvédelmi rendelettel. A GDPR implementációja azonban koránt sem tekintethető befejezettnek. További szektorális törvények módosítása lenne szükséges ahhoz, hogy a személyes adatkezelések minden területen koherensek legyen az uniós jog által meghatározott rendelkezésekkel.

E körbe tartozik többek között a gazdasági reklámtevékenységekről szóló 2008. évi XLVIII. törvény („Grtv.”) elektronikus úton történő közvetlen üzletszerzésre vonatkozó rendelkezéseinek oly módon történő módosítása, amely a GDPR és a hazai jogba nem megfelelően átültetett e-Privacy Irányelv szabályainak megfelelően lehetővé tenné a reklámok, hírlevelek jogos érdek alapon történő kiküldését. Az ePrivacy rendelet hatályba lépéséig, illetve alkalmazandóvá válásáig azonban nem valószínű, hogy rendeződik a kérdéskör, azaz a Grtv. módosítása egyelőre nincs napirenden.

A Polgári Törvénykönyv fényképek készítéséhez, valamint felhasználásához hozzájárulás megadását írja elő, amely (ugyan a NAIH friss állásfoglalása alapján megkerülhető, és lehetővé válik ezen adatkezelés jogos érdek jogalapra helyezése meghatározott esetekben) szigorúan tekintve nincs összhangban a GDPR rendelkezéseivel. Sok tekintetben nem elvárható, hogy az adatkezelő a GDPR-nak megfelelő hozzájárulást szerezzen be az érintettől a fényképek elkészítése, illetve felhasználása vonatkozásában, ezért ezen rendelkezést is érdemes lenne felülvizsgálni.


 
13. Egyéb közösségi jogi fejlemények és biztosítás
 

2017. decemberében került elfogadásra a telekommunikációs szektorra vonatkozó irányelv (Electronic Communication Code; továbbiakban: “ECC”). A tagállamok 2020 decemberéig kötelesek az irányelvet a megfelelően átültetni a nemzeti jogba. Az ECC számos kérdés tekintetében konkrét szabályokat állapít meg, amely csökkenti a tagállamok mozgásterét, azonban valószínűleg az irányelv nem eredményezni majd egy egységes telekommunikációs piac létrehozását az EU vonatkozásában. Az ECC különös jelentőséggel bír az 5G tekintetében, valamint szigorúbb és egyértelműbb szabályozást fog majd előírni az “over-the-top” szolgáltatások, mint például a Gmail, vagy a WhatsApp szigorúbb és egyértelműbb szabályozása tekintetében (a Gmail tekintetében éppen a minap állapította meg az EUB, hogy a Google terméke nem minősül elektronikus hírközlési szolgáltatásnak, így nem vonatkoznak rá a telekom iparban irányadó adatvédelmi és kiberbiztonsági követelmények).

2019 áprilisában elfogadásra került az ún. “Cybersecurity Act”, mely rendelet célja az uniós kiberbiztonság erősítése, így ennek érdekében meghatározza az ENIS (Európai Uniós Kiberbiztonsági Ügynökség) feladatait és célkitűzéseit, valamint az európai kiberbiztonsági tanúsítási rendszerek létrehozásának keretrendszerét.

2018 novemberében fogadta el az Európai Parlament az EU 2018/1807 Rendeletet a nem személyes adatok Európai Unióban való szabad áramlásáról, amelyet már 2019. május 29-től alkalmazni kell valamennyi tagállamban. A rendelet minden olyan adatra vonatkozik, amely nem tartozik a GDPR hatálya alá, azaz amely nem személyes adat, és könnyítheti az adatáramlásokat olyan adat-érzékeny iparágakban, mint a big data, az elektronikus egészségügy, az okos városok és az okos közlekedési eszközök, felhő-szolgáltatások.

Lényeges végül, hogy a GDPR hatályba lépésével jó néhány adatvédelemmel kapcsolatos biztosítási termék is megjelent a piacon.

Megemlítendő egyrészt a személyes adatok kezelésével okozott károkra vonatkozó felelősségbiztosítás. A felelősségbiztosítás lényege, hogy a biztosított a felelősségbiztosítási szerződés alapján követelheti, hogy a biztosító a szerződésben meghatározott mértékben és feltételek szerint mentesítse őt olyan kár megtérítése alól, amelyért jogszabály szerint felelős.

Amennyiben tehát egy vállalkozás GDPR felelősségbiztosítással rendelkezik, úgy bizonyos mértékben mentesül többek között a GDPR alapján esetlegesen fizetendő bírság alól, de ugyanez igaz az adatkezelőt terhelő kártérítési kötelezettségre, amely esetben a biztosító részben szintén mentesíti az adatkezelőt a kár megtérítése alól.

Másrészt olyan biztosítások is fellelhetők, amelyek az üzletviteli és adatvédelmi tanácsadók, adatvédelmi tisztviselők számára (akik megbízási szerződés alapján nyújtanak tanácsadási szolgáltatást), tanácsadással okozott károkra terjednek ki. Ezek szintén felelősségbiztosítás típusú megoldásnak minősülnek.  

Fontos azonban kiemelni, hogy a biztosítók is elvárnak bizonyos alapvető intézkedéseket, így a vállalkozások ez esetben sem mentesülnek attól, hogy a GDPR rendelkezéseinek megfeleljenek, azaz végrehajtsanak egy GDPR-megfelelési projektet. Továbbá minden esetben javasolt leellenőrizni, hogy melyek azok az adatkezelési területek, amelyeket a biztosító kizár, vagyis amelyekre nem lehet biztosítást kötni.