Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Az „Adatvédelmi irányelvek készítése a GDPR-nak megfelelően: fontos szempontok magyarázata”

Az „Adatvédelmi irányelvek készítése a GDPR-nak megfelelően: fontos szempontok magyarázata”

General Corporate

Az „Adatvédelmi irányelvek készítése a GDPR-nak megfelelően: fontos szempontok magyarázata”

Amennyiben az EU területén belüli felhasználók személyes adatait kezeli, szükséges, hogy megfeleljen az Általános Adatvédelmi Rendeletnek (GDPR), és létre kell hoznia egy GDPR-nak megfelelő adatvédelmi irányelveket. Azonban sokan nem értik részletesen a GDPR-t, és nem tudják, hogy szükség van-e a saját weboldaluknak megfelelnie, és ha igen, hogyan tegyenek eleget ezeknek a követelményeknek.

Ezért ebben a cikkben ismertetjük a GDPR általános jellemzőit és azokat a kulcsfontosságú pontokat, amelyekre oda kell figyelni egy GDPR-nak megfelelő adatvédelmi irányelv kidolgozásakor. Emellett bemutatjuk Japán válaszát a GDPR-ra és néhány híres vállalat példáját, amelyek segíthetnek Önnek a tájékozódásban.

Az GDPR és az Adatvédelmi Szabályzat

Az GDPR és az Adatvédelmi Szabályzat

Milyen egy GDPR-nak megfelelő adatvédelmi szabályzat? Ebben a részben ismertetjük az GDPR általános jellemzőit és az adatvédelmi szabályzat kötelezettségeit.

Az GDPR és az Adatvédelmi Szabályzat

Az GDPR az EU által meghatározott szabályzat, amely részletesen szabályozza a személyes adatok védelmét és kezelését. Az GDPR az Európai Gazdasági Térségben (EEA: az EU tagállamai, Svájc kivételével az EFTA tagállamok, Izland, Liechtenstein és Norvégia) van érvényben. A következő esetekben a japán vállalatokra is vonatkozhat:

  • Termékeket vagy szolgáltatásokat nyújtanak az EU területén lévő adatkezelők számára
  • Az EU területén monitorozzák az adatkezelők viselkedését

Az adatkezelő azonosított vagy azonosítható természetes személy, akihez a személyes adatok kapcsolódnak.

A fent említett vállalatoknak felül kell vizsgálniuk és szükség esetén módosítaniuk kell az adatvédelmi szabályzatukat (adatvédelmi tájékoztatót). Ha megszegik az GDPR-t, akár 20 millió eurós bírságot, vagy a globális éves forgalom 4%-ának megfelelő összeget kell fizetniük.

Forrás: Japán Külkereskedelmi Szervezet | “Az EU Általános Adatvédelmi Rendelete (GDPR)”[ja]

Az EU tagállamaival való üzleti kapcsolatok biztonságos kezelése érdekében elengedhetetlen az adatvédelmi szabályzat ellenőrzése.

Az GDPR által meghatározott személyes adatok gyűjtésekor szükséges “információszolgáltatás”

Az GDPR előírja, hogy a személyes adatok gyűjtésekor az adatkezelőnek bizonyos információkat kell szolgáltatnia az adatkezelő számára, és az GDPR 12. cikk (1) bekezdése tartalmazza az információszolgáltatás módját.

A követelmények a következők:

  • Egyszerű, átlátható, könnyen érthető és hozzáférhető legyen
  • Tiszta és egyszerű nyelvezetet kell használni
  • A gyermekeknek szóló információszolgáltatásnál megfelelő intézkedéseket kell tenni
  • Írásban, megfelelő esetben elektronikus eszközökkel, vagy más módon kell biztosítani
  • Ha az adatkezelő kéri, szóban is kell tudni az információt szolgáltatni

Továbbá, az GDPR 12. cikk (5) bekezdése szerint az információszolgáltatásnak ingyenesnek kell lennie. Ellenőrizze, hogy vállalatának adatvédelmi szabályzata megfelel-e a fenti követelményeknek, és szükség esetén végezzen módosításokat.

A GDPR-nak megfelelő adatvédelmi irányelvek frissítésének kulcspontjai

A GDPR-nak megfelelő adatvédelmi irányelvek frissítésének kulcspontjai

A GDPR előírja, hogy amikor az adatkezelő személyes adatokat szerez be az adatalanytól (GDPR 13. cikk) vagy az adatalanyon kívüli forrásból (GDPR 14. cikk), több ponton is köteles tájékoztatni az adatalanyt.

Az adatkezelő által közzéteendő információk a következők:

  • Az adatkezelő személyazonossága, részletes elérhetőségei
  • Ha van képviselő, annak személyazonossága, részletes elérhetőségei
  • Az adatalany jogai az adathozzáférésre, helyesbítésre, törlésre, korlátozásra, adathordozhatóságra és ellenvetésre
  • A személyes adatok kezelésének célja, jogalapja
  • A személyes adatok tárolásának időtartama, vagy az ezt meghatározó kritériumok
  • Az érintett személyes adatok típusai

Ezek a közzétételi elemek tartalmaznak olyan pontokat is, amelyek nem szerepelnek a japán adatvédelmi irányelvekben, ezért ezekre a területekre kell különös figyelmet fordítani a frissítéskor. A japán személyes adatok védelméről szóló törvényre alapozott adatvédelmi irányelvekről itt olvashat bővebben.

Kapcsolódó cikk: Milyen szempontokat kell figyelembe venni a japán személyes adatok védelméről szóló törvény alapján készített adatvédelmi irányelvek megalkotásakor?[ja]

Ebben a cikkben a japán személyes adatok védelméről szóló törvényre alapozott adatvédelmi irányelvekben nem szereplő pontokra összpontosítva magyarázzuk el a frissítés kulcspontjait.

Az adatkezelés jogalapjának megalapozása

Az általános adatvédelmi rendelet (GDPR) előírja az adatkezelés jogalapjának megalapozását, amely az előző személyes adatok védelméről szóló törvényben nem volt kötelező. Az adatkezelés jogossá válásának alapjai a következő hat pontban foglalhatók össze (GDPR 6. cikk):

  • Az adatkezeléshez való hozzájárulás
  • Szerződés teljesítése
  • Jogi kötelezettség
  • Életvédelmi érdek
  • Közérdek
  • Indokolt érdek

Ha a fenti hat pont közül legalább egy alkalmazható, akkor az adatkezelést jogosnak tekinthetjük, ezért fontos, hogy ezt világosan jelezzük az adatvédelmi irányelveinkben. Azoknak az egyéneknek, akiktől először szerezünk be információkat, egy új adatvédelmi irányelv elfogadásával kérhetjük meg a hozzájárulásukat.

Az azonban fontos, hogy figyelmet fordítsunk a már hozzájárulást adott felhasználókra is. Azoknak az embereknek, akik már korábban hozzájárultak, szükség lehet arra, hogy újra kérjük a beleegyezésüket az adatvédelmi irányelvek módosítása után.

Ebben az esetben egy lehetséges megoldás az, hogy az adatvédelmi irányelvekbe belefoglaljuk a hat jogos adatkezelési alap egyikét, és így kérjük meg a felhasználók hozzájárulását a módosításokhoz.

Az adatgyűjtési pontok és azok felhasználási céljai

A hagyományos adatvédelmi irányelvek gyakran egyetlen oldalon sorolták fel a gyűjtött információkat, azok felhasználási céljait és a felhasználási feltételeket, és egy összefoglaló beleegyezést kértek. Azonban az Általános Adatvédelmi Rendelet (GDPR) előírja, hogy a felhasználóknak egyértelműen tudniuk kell, mire adnak beleegyezést.

Célszerű lehet minden egyes adatgyűjtési pont esetében külön-külön ismertetni a felhasználási célokat, és ezekhez külön-külön beleegyezést kérni.

A felhasználási cél tisztázása

A GDPR előírja, hogy egyértelműen meg kell határozni az adatgyűjtés célját. Például, ha a cél csak annyi, hogy „a szolgáltatások fejlesztése érdekében”, ez túl homályos lehet, és így alkalmatlannak minősülhet.

Továbbá, a célhoz nem illeszkedő további adatkezelés nem megengedett, ezért különös figyelmet kell fordítani a privát szféra védelmére vonatkozó irányelvek felülvizsgálatánál.

A törlési jog és az adathordozhatósági jog

Sok vállalat már korábban is említette az hozzáférési jogot és a helyesbítési jogot a hagyományos adatvédelmi irányelveikben. Azonban az Általános Adatvédelmi Rendelet (GDPR) értelmében a “törlési jog és az adathordozhatósági jog” megemlítése is kötelezővé vált.

A törlési jog lehetővé teszi a felhasználók számára, hogy kérjék személyes adataik törlését az adatkezelőtől. Az adathordozhatósági jog pedig azt a jogot jelenti, hogy a személyes adatokat átvihetik egyik szolgáltatástól a másikhoz.

Például, ha egy ügyfél át szeretné vinni adatait és híváselőzményeit a mobiltelefonszolgáltató A-tól a mobiltelefonszolgáltató B-hez. A GDPR előírásainak megfelelés érdekében szükséges ezeknek a jogoknak a megemlítése az adatvédelmi irányelvekben.

Az adatmegőrzési időszakok kifejtése

A GDPR előírja, hogy a személyes adatok megőrzési idejét, amely korábban nem szerepelt a hagyományos adatvédelmi irányelvekben, egyértelműen fel kell tüntetni. Amennyiben a megőrzési időtartam nem határozható meg, úgy a megőrzési időszak meghatározásának kritériumait is meg kell jelölni.

A GDPR megfelelőség helyzete a japán vállalatoknál

A GDPR megfelelőség helyzete a japán vállalatoknál

Bemutatjuk a Japán Információ-, Gazdaság- és Társadalomfejlesztési Alapítvány és az ITR Corporation „Vállalati IT-hasznosítási trendek felmérése 2021” összesített eredményei (részletes kiadás)[ja] című felmérésének információit.

Vállalati IT-hasznosítási trendek felmérése 2021 összesített eredményei (részletes kiadás) 1

A felmérés eredményei szerint a GDPR-nak megfelelő vállalatok száma kevés, a GDPR megfelelőségén dolgozó (megfontolás alatt álló) vállalatok aránya a legmagasabb, 26,1%-ot tesz ki. A 2021-es összesítés idején az EU-val személyes adatokat nem átadó vállalatok is jellemzően sokan voltak.

Az EU-val folytatott személyes adatcsere felmérésének eredményei a következők:

Vállalati IT-hasznosítási trendek felmérése 2021 összesített eredményei (részletes kiadás) 2

A fenti ábrát nézve a vállalatok 44,4%-a válaszolta azt, hogy „jelenleg nincs adatcsere, és a jövőben sem tervezik”. Azok a vállalatok, amelyek szerint „korábban volt adatcsere, de a GDPR bevezetése óta az EU-ban és Japánban külön-külön dolgozzák fel az adatokat”, 12%-ot tettek ki.

„Jelenleg nincs adatcsere, de a jövőben tervezik” – ez 25,9%-ot képvisel, míg a „jelenleg adatcserét folytatnak” 17,6%-ot. Bár a jövőben az EU-val adatot cserélő vállalatok száma növekedhet, a 2021-es felmérés időpontjában ez még kevésnek bizonyult.

Forrás: JIPDEC/ITR „Vállalati IT-hasznosítási trendek felmérése 2021”[ja]

Népszerű vállalatok GDPR megfelelősége

Népszerű vállalatok GDPR megfelelősége

Sokan vannak, akik szeretnék a GDPR-nak megfelelő adatvédelmi irányelveiket frissíteni, de nem biztosak abban, hogy milyen tartalmat kellene belefoglalniuk. Ebben a cikkben részletesen bemutatjuk a Google és a Facebook GDPR-vel kapcsolatos megfelelőségi intézkedéseit vállalati példaként.

A Google GDPR-vel kapcsolatos intézkedései

A Google bejelentette a következő intézkedéseket a GDPR (Általános Adatvédelmi Rendelet) követelményeinek megfelelés érdekében:

  • A felhasználók felé történő átláthatóság növelése
  • A felhasználók általi irányítás javítása
  • Az adathordozhatóság fejlesztése
  • A szülői hozzájárulás és a gyermekek megfelelő internetezésének elősegítése érdekében eszközök fejlesztése
  • Üzleti felhasználók és partnerek támogatása
  • A magánélet védelmére vonatkozó megfelelőségi programok erősítése

Itt részletezzük a fenti intézkedéseket.

Hivatkozás: Google「Az Európai Unió Általános Adatvédelmi Rendeletére (GDPR) való felkészülésről szóló Google tájékoztatója[ja]

A felhasználók felé történő átláthatóság javítása

A Google által gyűjtött információk és azok gyűjtésének okainak érthetőbbé tétele érdekében javítjuk és frissítjük a Japanese Adatvédelmi Szabályzatunkat. A továbbiakban említett tartalmak a következők:

  • Részletes információk hozzáadása az információk kezeléséről, exportálásáról és törléséről
  • Szöveges leírások mellett videók és diagramok hozzáadása

Ezenkívül módosítottuk a beállításokat, hogy a Japanese Adatvédelmi Beállítások oldal könnyebben elérhető legyen.

A felhasználók kezelésének javítása

Az általános adatvédelmi rendeletnek (GDPR) megfelelően javítottuk a felhasználók kezelésének módját. A változtatások a következők:

  • Az “Aktivitásom” oldalon megtekinthetők és törölhetők az adatok
  • Keresési funkció témák, dátumok és termékek szerint
  • Lehetőség a személyre szabott adatvédelmi beállítások ellenőrzésére
  • A megjelenített hirdetések kezelése és elrejtése
  • A Google Dashboard segítségével áttekinthetők az adatok

Ezenkívül a GDPR bevezetése előtt is történtek változtatások, hogy a felhasználók számára egyszerűbb legyen az információk és hirdetések kezelése.

Az adathordozhatóság fejlesztése

A Google számos különböző szolgáltatást kínál, mint például a Google Fotók, Drive, Naptár és Gmail. A Google által az adathordozhatóság javítása érdekében, a GDPR-nak (Általános Adatvédelmi Rendelet) megfelelően végrehajtott intézkedések a következők:

  • Az adatok letöltését támogató szolgáltatások és kezelési elemek bővítése
  • Funkció hozzáadása a rendszeres letöltések ütemezéséhez

A szülői hozzájárulás és a gyermekek megfelelő internetes használatát elősegítő eszközök fejlesztése

A Google a szülők és gyermekek megfelelő internetes használatának elősegítése érdekében a Family Link alkalmazást kínálja. A Family Link használatával a szülők képesek gyermekük számára fiókot létrehozni.

Az alkalmazás lehetővé teszi a „használati idő kezelése” és a „készülék ideiglenes felfüggesztése” funkciókat, így segítve a családi szabályok beállítását és kezelését otthon.

Üzleti felhasználók és partnerek támogatása

Az Általános Adatvédelmi Rendeletnek (GDPR) való megfelelés érdekében frissítettük a Google partnerei (hirdetők és weboldal üzemeltetők stb.) által a weboldalakon és alkalmazásokban történő felhasználói hozzájárulás kérésére vonatkozó irányelveinket. A frissítések között szerepelnek a következők:

  • GDPR-nak való megfelelés támogatására szolgáló eszközök biztosítása
  • A Google hirdetési szolgáltatásait használó vállalatok akkreditációs folyamatának szigorítása
  • Adatkezelési feltételek frissítése
  • Adathordozhatóságra és adatvédelmi incidensek bejelentésére vonatkozó részletes információk nyújtása

Adatvédelmi megfelelőségi program erősítése

Az Általános Adatvédelmi Rendeletnek (GDPR) való megfelelés érdekében erősítjük adatvédelmi megfelelőségi programunkat. A következő intézkedéseket hajtjuk végre:

  • Adatvédelmi programunk fejlesztése
  • Termékellenőrzési folyamatok megerősítése

Ezenkívül az adatkezelési folyamatokat is átfogóbban dokumentáljuk.

A Facebook GDPR-vel kapcsolatos intézkedései

A Facebook a GDPR (Általános Adatvédelmi Rendelet) előírásainak megfelelően a következő intézkedéseket jelentette be:

  • A megjelenített hirdetésekből származó információk ellenőrzése
  • A profilinformációk kiválasztása
  • Az arcfelismerő technológia ellenőrzése (EU és Kanada)
  • A frissített szolgáltatási feltételek és adatkezelési megállapodások
  • Az információkhoz való hozzáférés, törlés és letöltés megkönnyítése
  • A fiatalok számára nyújtott tájékoztatás

Itt részletezzük ezeket a lépéseket.

Hivatkozás: Facebook „Az Általános Adatvédelmi Rendelet (GDPR) betartása és az új adatvédelmi intézkedések

A megjelenített hirdetésekből származó információk ellenőrzése

A Facebook partnerei a „Tetszik” gomb megnyomásával és a Facebook által biztosított eszközök segítségével szerzett információkat használják fel a hirdetések megjelenítéséhez. A felhasználók számára biztosítják az ilyen hirdetési információk megismerését, és lehetőséget adnak arra, hogy döntsenek a partnerektől származó információk hirdetési célú felhasználásáról.

A profilinformációk kiválasztása

A Facebook profilok tartalmazhatnak politikai nézeteket, vallási vagy hitbeli meggyőződéseket, kapcsolati információkat. A felhasználók dönthetnek arról, hogy ezeket az információkat a jövőben is nyilvánosságra hozzák-e, illetve hogy a hirdetésekben felhasználhatók legyenek-e.

A profilinformációk bármikor szabadon választhatók, és a felhasználók kívánsága esetén egyszerűen törölhetők.

Az arcfelismerő technológia ellenőrzése (EU és Kanada)

A Facebook lehetőséget biztosít az EU tagállamokban és Kanadában élő felhasználóknak, hogy dönthessenek az arcfelismerő technológia használatáról. Más régiók felhasználói számára is szabadon választható ez a lehetőség.

A frissített szolgáltatási feltételek és adatkezelési megállapodások

A felhasználókat tájékoztatják a „Szolgáltatási feltételek” és az „Adatkezelési irányelvek” tartalmáról, amelyek részletes információkat nyújtanak a szolgáltatás működéséről, és ezek elfogadására kérnek.

Az információkhoz való hozzáférés, törlés és letöltés megkönnyítése

A „Személyes adatkezelési eszközök” segítségével a felhasználók ellenőrizhetik és törölhetik adataikat, valamint egyszerűen letölthetik és exportálhatják azokat.

A mobil eszközökön a tevékenységi napló funkcióját frissítették, hogy a felhasználók könnyebben ellenőrizhessék, milyen információkat osztottak meg korábban.

A fiatalok számára nyújtott tájékoztatás

A Facebook már korábban is bevezetett korlátozásokat a tizenéves felhasználók számára. Ezek a következők:

  • Hirdetési kategóriák korlátozása
  • Arcfelismerés használatának tiltása (18 év alattiak számára)
  • A tizenéves felhasználók által megosztott információk megtekintésének és keresésének korlátozása

Ezenkívül az alapértelmezett beállítások úgy vannak kialakítva, hogy az információk ne legyenek „nyilvánosak”.

A Facebook a GDPR előírásainak megfelelően további szabályokat is bevezetett. Az EU tagállamaiban élő felhasználóknak szülői engedélyre van szükségük a hirdetések megtekintéséhez és a profilban szereplő információk (például vallási vagy politikai nézetek) közzétételéhez.

Más régiókban a felhasználók dönthetnek arról, hogy a partnerektől származó adatokat felhasználhatják-e hirdetések megjelenítésére, illetve hogy személyes információikat közzétehetik-e a profiljukban.

Összefoglalás: Az GDPR (Általános Adatvédelmi Rendelet) szélesebb körű személyes adatokat foglal magában, mint a japán törvények, és elengedhetetlen a megfelelés

GDPR

Az GDPR alapján számos előírás van érvényben, mint például az “adatgyűjtés céljának pontos meghatározása”, a “törlési jog és az adathordozhatósági jog kifejtése”, valamint a “megőrzési időszakok meghatározása”, amelyek szélesebb jogkört biztosítanak a felhasználóknak, mint a hagyományos japán törvények.

GDPR-sértés esetén jelentős bírságok fizetésére lehet szükség, és az EU területén személyes adatokat kezelő vállalatoknak meg kell felelniük az GDPR előírásainak. Az EU területén üzleti tevékenységet folytató vagy a jövőben piacra lépni kívánó vállalatoknak GDPR-nak megfelelő adatvédelmi irányelveket kell kidolgozniuk.

Intézkedéseink bemutatása az Önök számára

A Monolith Jogügyi Iroda egy olyan jogi szolgáltató, amely gazdag tapasztalattal rendelkezik az IT területén, különösen az internet és a jogi kérdések kapcsán. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi ügyekben nyújt megoldásokat.

A Monolith Jogügyi Iroda szakterületei: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

A vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdése

A vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdése

General Corporate

Mire kell figyelni a DX támogató projektek szerződéseinek elkészítésekor?

Mire kell figyelni a DX támogató projektek szerződéseinek elkészítésekor?

General Corporate

Az üzleti anyag típusától függ? Magyarázat a hirdetési szabályzatok megsértésének példáira

Az üzleti anyag típusától függ? Magyarázat a hirdetési szabályzatok megsértésének példáira

General Corporate

A játékok és a jog (Első rész): A szerzői jog, a 'Japán ajándéktárgyak megjelenítésének törvénye' és a 'Japán pénzügyi tranzakciók törvénye

A játékok és a jog (Első rész): A szerzői jog, a 'Japán ajándéktárgyak megjelenítésének törvénye.

General Corporate

Mik azok a személyes adatok és a személyes adatvédelmi törvény? Ügyvéd magyarázza el

Mik azok a személyes adatok és a személyes adatvédelmi törvény? Ügyvéd magyarázza el

General Corporate

A „Digital Service Act” (DSA) hatása Japánra: a jogszabályi előírások kulcsfontosságú pontjainak magyarázata

A „Digital Service Act” (DSA) hatása Japánra: a jogszabályi előírások kulcsfontosságú pontjainak.

General Corporate

10 fontos pont, amire figyelni kell a licencszerződésekben: részletes magyarázat

10 fontos pont, amire figyelni kell a licencszerződésekben: részletes magyarázat

General Corporate

A kínai személyes adatok védelméről szóló törvény: Mi az? A létrehozás hátterétől a japán vállalatok által alkalmazandó intézkedésekig

A kínai személyes adatok védelméről szóló törvény: Mi az? A létrehozás hátterétől a japán vállal.

General Corporate

Az vállalati felvásárlások alapjainak és eljárásainak ismerete

Az vállalati felvásárlások alapjainak és eljárásainak ismerete

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére