Data Protection

Data is the new power

The world has entered a new era of technology, where machines are capable of doing everything. Companies collect data about us on an unprecedented scale: who buys what and where, what food they eat, and where they go to have fun. The amount of collected information is practically limitless. The most burning issue today is to rationalize data collection and find an adequate balance between privacy rights and business needs.

Data protection is a young and dynamic area of law, and we have dived into the midst of this challenging area since its infancy. For many years now, we have been building our experience and helping our clients to meet these challenges.

As individuals, we must be very wary about where and to whom we provide our information and what we allow them to do with it. Often, we do not even realize that our data is being processed.

Large corporations are facing new challenges regarding the processing, storage, and transmission of accumulated data or the monitoring of their employees.

The new data protection regulation (GDPR) poses the most significant difficulty for small and medium-sized enterprises. It will require a lot of work, organization, and administration for them to comply with the regulations in terms of data handling.

From a review of actual processes to GDPR compliance

“The most important aspect during GDPR review is establishing a good working relationship with the client."

This is a statement from Dr Endre Várady, our data protection expert, who has guided numerous companies through the path of GDPR compliance. He is familiar with the pitfalls, knows where to focus attention for the process to be as fast, straightforward, and successful as possible. But he considers a good working relationship as being the most crucial:

“GDPR compliance begins with a thorough data protection review, and a good relationship with the client greatly facilitates this. The more questions we ask, the more comprehensive the investigation, as there may be important aspects that the client might not consider worth mentioning.”

What happens until a company reaches the required state of GDPR compliance?

Review of actual processes

In this phase we identify the internal processes of the company via questionnaires and interviews to understand how the company processes their data. We help the client to systematize its unstructured data portfolios.

Preparation of the report

In the second phase we identify the gaps and together with the client we modify the processes or create new ones.

Compliance

In the last phase, we create all the necessary internal GDPR compliant documentation and we discuss what we can do in the future to maintain the achieved compliance.

Adatvédelem kisokos - a legfontosabb fogalmak magyarázata

Az adatvédelem a jog és immár a technológia azon területe, ami azzal foglalkozik, hogyan lehet és kell a személyes adatok kezelését jogszerűen, a természetes személy érdekeire tekintettel megvalósítani. Tehát az adatvédelem szolgál annak a biztosítására, hogy például ne jöjjenek létre óriási adatbankok Önről anélkül, hogy arról tudna.

Minden természetes személynek vannak személyes adatai, ilyen adatok a név, a lakcím, a telefonszám. De ide tartoznak azok az adatok is, hogy például valaki milyen dolgok iránt érdeklődik, merre járt kedden délelőtt, vagy éppen milyen autója van. A személyes adatok köre tehát nagyon tág: minden olyan adat személyes adat, amivel valakit azonosítani lehet.

Adatkezelő az, aki meghatározza, hogy hogyan kezeljék a személyes adatokat, például meddig, vagy milyen módon kezeljék őket, és hogy melyik adatot kezeljék. Azt is ő határozza meg, hogy milyen célból történjen a személyes adatok kezelése. Például ha a Hírmondó cég hírlevelet küld ki és hírlevél küldés céljából kezeli Kiss Józsi, Nagy Tóni és Horváth Gizi nevét és e-mail címét, akkor ő maga az adatkezelő, mert ő határozza meg, hogy kinek és mikor küldi a hírlevelet.

Adatfeldolgozó az, aki az adatkezelő utasításának és céljának megfelelően különböző műveleteket végez a személyes adaton. Az előbbi példánál maradva: ha a Hírmondó cég az e-mail üzenetek küldéséhez a Küldőpajtások hírlevél küldő szolgáltatását veszi igénybe, és ezért átadja nekik Kiss Józsi, Nagy Tóni és Horváth Gizi adatait, akkor a Hírmondó cég adatfeldolgozót vett igénybe.

Adatalany vagy érintett az a természetes személy, akinek a személyes adatát az adatkezelő kezeli. Például ha Ön regisztrált egy közösségi oldalra, akkor a közösségi oldal az adatkezelő, az ott megadott adatok az Ön személyes adatai (ideértve az oldalon megosztott képeket, érdeklődési kört, stb.), és az adatalany vagy érintett pedig ebben az esetben Ön.

Az Európai Bizottság 2016-ban rendeletet hozott. Ezt a rendeletet magyarul Adatvédelmi Rendeletnek, idegen kifejezéssel pedig GDPR-nak hívjuk. Ez a rendelet az, ami javarészt meghatározza, hogy az adatkezelők hogyan bánhatnak a személyes adattal, vagyis, hogyan kezelhetik. Ezt a rendeletet Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénnyel (Info. tv.) együtt kell alkalmazni, tehát mind a két jogszabály rendelkezései irányadóak.

Személyes adatok kezelése csak akkor történhet, ha a jogszabály azt megengedi. Ez a megengedés a jogalap. A leggyakrabban használt jogalapok a hozzájárulás, a jogszabályi felhatalmazás és az adatkezelő jogos érdeke.

A hozzájárulással Ön engedélyt ad az adatkezelőnek arra, hogy adatait kezelje valamilyen célból. Például, ha Ön jelentkezik egy állásra, akkor Önnek hozzájárulást kell adnia az adatkezelőnek, hogy az álláspályázat elbírálása érdekében kezelje az Ön önéletrajzát és egyéb olyan benyújtott dokumentumait, amelyek személyes adatokat tartalmaznak. Az Ön hozzájárulása csak akkor megfelelő, ha Önt előzetesen kellőképpen tájékoztatták az adatkezelés körülményeiről. Fontos az is, hogy Ön szabadon el tudja dönteni, hogy akar-e hozzájárulást adni, vagy sem, és nem kell attól tartania, hogy ha nem ad hozzájárulást, az negatívan befolyásolja majd pályázatának elbírálását. A hozzájárulásnak egyértelmű cselekedetnek kell lennie: ha Ön nem tiltakozik, hogy adatait kezeljék, az még nem jelenti azt, hogy hozzá is járult adatainak kezeléséhez.

Jogos érdek az az érdek, aminek alapján az adatkezelő dönthet az adatkezelés mellett, és ez az érdek felette áll az adatalany azon érdekének, hogy ő dönthessen az adatkezelésről. Ez bonyolultnak hangzik, pedig egyszerű! Jogos érdekről beszélünk akkor, amikor például a Bombabiztos Kft. kamera rendszert szerel fel, hogy biztosítsa a területének biztonságát. Tiltakozó Tóni, a cég munkavállalója, utálja, ha róla kamerafelvétel készül. Azonban Bombabiztos Kft. drága termékeket gyárt, nagy kára származna abból, ha azokat ellopnák, és a terület védelméhez szüksége van a kamerarendszerre. Ebben az esetben a Bombabiztos Kft. jelentős anyagi érdeke Tóni érdekénél erősebb, ezért az adatkezelés jogszerű (de ezt a jogszerűséget a Bombabiztos Kft.-nek érdekmérlegelési teszttel kell alátámasztania).

Az adatkezelési tájékoztató egy olyan dokumentum, amelyben az adatkezelő elmagyarázza az érintettnek, hogy hogyan kezeli a személyes adatait. Ebben a tájékoztatóban számos információnak kell szerepelnie. Lássunk egy példát az egyszerűség kedvéért: A SzuperCucc Kft. webshopot üzemeltet, és ebből a webshopból Vásárhegyi Vili megvesz egy órát. A Szupercucc Kft.-nek közölnie kell Vilivel, hogy milyen célból kezeli az adatait (például a webshopon vásárolt termék kiszállítása), mennyi ideig kezeli az adatokat (például a kiszállítás esetében a kiszállítás lezárásáig), milyen jogalapon kezeli az adatokat (például szerződés teljesítése, hiszen a vásárlással létrejön egy szerződés, aminek a teljesítéséhez szükséges az adatkezelés) és milyen jogai vannak Vilinek az adatkezeléssel kapcsolatban.

We are privacy and GDPR experts.

We are experienced data protection lawyers

We are dealing intensively with privacy and have helped many of our clients to meet privacy challenges over the past 20 years.

We are up to date

We constantly follow European data protection practices and incorporate them into our advice to our clients.

We are excellent cooperative partners

Contact us with privacy questions!

János Tamás Varga

managing partner

“Today most companies see GDPR as a threat. VJT’s GDPR compliance project addresses the threat and provides our customers with a full scope solution.”

Endre Várady
partner

„GDPR maze needs a clear roadmap with an inspiring leader.”

Andrea Belényi

partner

„From May 2018, EU data protection faces huge challenges, but our office remains a fixed point in the storm.”

Clients' testimonials

Publications - Data Protection

Once again, the duo of János Tamás Varga and András Lovretity have set the bar high in the M&A field. With dozens of successful transactions behind them, they know that beyond the legal issues ...
Chambers’ guide on European law firms ranked our office among the best in Technology (TMT) and Employment for the 13th time, and in M&A for the 11th year in a row.
Our data protection expert, Endre Várady, wrote the Hungarian chapter of Chambers Data Protection & Privacy guide. It contains everything you need to know about ...
OneTrust, the famous US compliance software company, asked our firm to prepare the ‘Employment Note’ - the Hungarian chapter about employee data protection.