Az adatvédelem szabályozása

Jelenleg a személyes adatok kezelésére vonatkozó szabályok kettős rendszerben, nemzeti és úniós szabályok által kerülnek meghatározásra hazánkban. Az Infotv. alapján a cégeknek az alábbi fontosabb kötelezettségeik vannak a személyes adatok kezeléséhez kapcsolódóan:

  • adatkezelés csak meghatározott célhoz kötötten lehetséges
  • érintetti jogok biztosítása az adatkezelés során
  • adatvédelmi tájékoztató készítése
  • munkáltatói adatkezelés szigorú szabályai
  • adatvédelmi szabályzat készítése
  • adatvédelmi nyilvántartás készítése, vezetése

2018. május 25. napjától ezeken a hatályos magyar szabályokon szigorított az EU az Általános Adatvédelmi Rendelet (EU 2016/679 Rendelet) elfogadásával, amelyet minden az EU területén végzett adatkezelés esetén alkalmazni kell.

  • adatvédelmi tisztviselő kinevezése
  • fokozott hatósági ellenőrzés az adatkezelések kapcsán
  • beépített és alapértelmezett adatvédelem
  • szigorú elvárások az adatkezelés megkezdését megelőző tájékoztatással szemben
  • adatvédelmi incidensek bejelentése
  • adatvédelmi hatásvizsgálat készítés
  • belső adatkezelési/ adattovábbítási nyilvántartás
  • érintett jogainak szélesedése

Az Adatvédelmi rendelet (GDPR) szigorításai

A BÜNTETÉSI TÉTEL, AKÁR

20.000.000 EUR

Az Adatvédelmi rendelet különösen érinti az alábbi jogalanyokat​

Kamerás megfigyelést, beléptetést, térfigyelést végzők

Amennyiben cége, szervezete kamerarendszert üzemeltet, elengedhetetlen annak feltételeit jogszerűen meghatározni. Pihenésre, szabadidő eltöltésére szolgáló helyiségek megfigyelése (öltöző, ebédlő), vagy a munkavállalók munkahelyi viselkedésének befolyásolása például kifejezetten TILOS.

Önkormányzatok

A legtöbb közigazgatási hatósági feladat ellátása során személyes adat kezelés is történik. Például: építésügy, anyakönyvi ügyek, bizottsági munka, képviselő testület, polgármesteri hivatal, stb.

Munkáltatók

A munkavállalók személyes adatainak kezelése során fokozottan be kell tartani a GDPR szabályait. Szükséges valamennyi adatkezelési cél felderítése, nyilvántartása és szabályozása. Munkahelyi adatkezelési tájékoztatás. Munkavállalói megfigyelés feltételeinek szigorodása.

Állami, önkormányzati gazdasági társaságok, közszolgáltatók

Településgazdálkodás, hulladékgazdálkodás, közműszolgáltatók, közösségi közlekedés, távfűtés, könyvtárak, színházak, oktatási és nevelési intézmények, sportklubok, kórházak, stb.

Webshopok

Az adatkezeléshez történő hozzájárulás feltételeinek szigorodása miatt szükséges a webshopok adatkezelési gyakorlatának a felülvizsgálata. A Rendelet hatálybalépését követően hírlevelet küldeni például csak olyan e-mail címre lehet, amely esetében az adatkezelő bizonyítani tudja, hogy a hozzájárulást hogyan, kitől, mikor kapta.

Magánszemélyeknek szolgáltatást nyújtók

Amennyiben valamilyen szolgáltatást nyújt, amely történhet akár egyéni vállalkozás keretében is és ennek kapcsán magánszemélyekkel bármilyen módon kapcsolatba kerül, egészen biztosan felül kell vizsgálnia adatkezelési tevékenységeit és amennyiben szükséges el kell készítenie a megfelelő tájékoztatókat. (pl: fodrászat, műköröm, iparcikkek árusítása, stb.)

Ha az Önök cége, szervezete is az itt felsorolt kategóriába esik, biztosan alkalmazniuk kell az Adatvédelmi rendelet előírásait! Társaságunk vállalja az adatvédelemmel kapcsolatos munkák teljes körű elvégzését. Keressen bizalommal!

Melyek azok a területek, ahol biztos történnek személyes adatokkal kapcsolatos műveletek

  • Legyen az saját, teljes munkaidőben vagy részmunkaidőben foglalkoztatott, diákmunkás, esetleg nyugdíjas szövetkezettől kiközvetített. Ezen esetekben egyértelműen van személyes adat kezelés, ugyanis egészen az önéletrajzok befogadásától a munkaszerződés megkötésén keresztül, a bérszámfejtésen át a munkaviszony megszüntetéséig rengeteg adatot tárolunk, kezelnünk.
  • Az alkalmazottakkal kapcsolatban fontos kérdés továbbá, hogy ellenőrizzük-e a munkájukat és ha igen milyen eszközökkel tesszük azt. (Pl.: GPS-es követőrendszerrel az autóban; hang, kép  vagy hang és képrögzítés; beléptetőrendszer; egészségi vizsgálatok)
  • Történik-e adattovábbítás, kik férhetnek hozzá ezekhez az adatokhoz.
  • Tartjuk velük a kapcsolatot? Ha igen milyen formában tesszük azt? (személyesen, online vagy mindkét formában?)
  • Elkérünk-e a számla kötelező adattartalmán kívül egyéb adatokat is. (pl.: telefonszám, lakcím, hírlevélre feliratkozáshoz e-mail cím, stb) 
  • Az üzletbe, telephelyre, irodába lépve készül-e kép vagy hangfelvétel?
  • Valamennyi esetben a vásárlóknak, szolgáltatásainkat igénybevevőinknek megfelelő módon ismerniük kell a személyes adataik kezelésére vonatkozó jogalapokat, módokat, valamint ezekkel kapcsolatos jogaikat. Ezekről minden esetben előzetesen tájékoztatnunk kell őket!
  • Számos kis és középvállalkozásnak, szervezetnek nincs szüksége komoly szoftverekre, amelyekben személyes adatokat tárol, rendszerez és kezel. Az adatbiztonsági rendelkezések szempontjából lényegtelen, hogy milyen formában (papír vagy elektronikus) kerülnek a személyes adatok rögzítésre, majd kezelésre.
  • A papíron tárolt személyes információkat is megfelelő biztonsággal kell tárolni. Gondoskodni kell arról, hogy ahhoz csak az férhessen hozzá aki megfelelő jogosultsággal rendelkezik. Amennyiben érzékeny adatok is tárolásra kerülnek (pl.: egészségügyi adatok) azokat elkülönítve, elzárva kell tárolni, ezzel is segítve egy esetleges adatvédelmi incidens elkerülését.
  • Ma már a legtöbb adatot online tároljuk és kezeljük. Elengedhetetlenné váltak az elektronikus kapcsolattartási módok ezzel egyidejűleg pedig az elektronikus adattovábbítások is. A személyes adatok kezelésének és tárolásának nem csak papíralapon, hanem elektronikusan is meg kell felelnie az alapvető adatvédelmi követelményeknek. (pl.: szerződések, önéletrajzok törlése, beléptető, kamerarendszer adatainak törlése, stb.)
  • Az adatvédelem kiemelt fontosságú területe az informatika!

Hogyan feleltetjük meg vállalkozását, szervezetét az Adatvédelemi rendelet előírásainak

  • Az adatvédelmi megfeleltetés során elsősorban felmérjük, hogy az adatkezlő pontosan milyen, adatokat, milyen célból és milyen feltételekkel kezel. Ezek alapján készítünk egy, a személyes adatkezeléseket összegző úgynevezett adatvagyon-leltárt.
  • Ezt követően, – amennyiben van – áttekintjük az adatfeldolgozói állományt, szabályzatokat, adatkezelési tájékoztatókat az adatkezelési tevékenységet befolyásoló szabályokat, amely alapján készítünk egy intézkedési tervet és meghatározzuk a személyes adatok kezelésére vonatkozó szabályoknak történő megfeleléshez szükséges teendőket, valamint az elkészítendő okiratok, szabályzatok, jegyzőkönyvek listáját.
  • Az informatikai rendszerek, szoftverek és a teljes IT infrastruktúra vizsgálata során képesek vagyunk megállapítani, hogy az adatkezelő által használt  szoftverek, valamint hardverek mennyiben felelnek meg az adatvédelmi előírásoknak. Amennyiben szükséges javaslatot teszünk az esetleges változtatásokra, amelyekkel biztosítható a GDPR megfelelés és a sikeres GDPR felkészülés.
  • Az intézkedési terv alapján a megbízó igényei szerint – mind szervezési, mind informatikai területen – elkészítjük a szükséges szabályzatokat, tájékoztatókat, adatvédelemre vonatkozó klauzulákat.
  • A szabályszerű működés elérése végett a GDPR és az Infotv. – sokszor túlzottan általános – rendelkezési mellett a NAIH állásfoglalásait , határozatait, valamint az EU 29-es Munkacsoportjának angol nyelvű iránymutatásait is felhasználjuk.
  • Amennyiben szükséges, a felkészítésbe bevonjuk az információbiztonság területén jártas együttműködő partnereinket, illetve szükség esetén szakértő partnereineket, ügyvédeinket is.
  • A szabályszerű működés biztosítása a GDPR felkészítés első lépése csupán, hisz a mai gyorsan változó szabályozási és informatikai környezetben kulcsfontosságú a megfelelés fenntartása is, ezért igény esetén a későbbiekben is folyamatos támogatást tudunk nyújtuni az adatkezelőknek.

Társaságunk vállalja a személyes adatok védelmével kapcsolatos teljeskörű adatvédelmi megfeleltetés elvégzését, így többek között:

Adatvédelmi audit
Adatvédelmi tanácsadás
Munkahelyi adatkezeléssel kapcsolatos adatkezelési tanácsadás
Adatkezelési szabályzat, tájékoztató, nyilatkozatok kidolgozása
Adatvédelmi hatásvizsgálat készítés
Kamerarendszerek, beléptetőrendszerek adatvédelmi megfelelőségének kidolgozása
Webshopok és egyéb weboldalak GDPR megfelelőségi felülvizsgálata
Kapcsolattartás az adatvédelmi hatósággal

Gyakran ismételt kérdések

  1. Mi az a GDPR?

    A GDPR egy rövidítés, ami az alábbi EU-s Adatvédelmi Rendelet angol nevéből ered: General Data Protection Regulation. A fenti rendelet pontos neve az alábbi: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

  2. Mikortól hatályos a GDPR?

    A GDPR-t az Európai Parlament 2016 áprilisában fogadta el, és a jogszabály már 2016-ban hatályba is lépett. A GDPR-t azonban csak 2018. május 25-től kell kötelezően az egész Európai Unióban alkalmazni.

  3. Kit érint a GDPR?

    A GDPR nemcsak az EU-ban elhelyezkedő szervezetekre vonatkozik, hanem az EU-n kívüli szervezeteket is érinti, ha árukat vagy szolgáltatásokat ajánlanak EU-adatalanynak, vagy amennyiben az érintett az EU-ban tartózkodik. Vonatkozik minden olyan vállalkozásra, amelyek az Európai Unión belüli adatalanyok adatait dolgozzák fel vagy tárolják, függetlenül attól, hogy a vállalkozás maga nem az EU-n belül van.

  4. Mi számít személy adatnak?

    Személyes adat lehet gyakorlatilag bármi, ami egy természetes személyhez köthető, így például a TAJ szám, az e-mail, az IP cím, a cookie (internetes süti), a biztonsági kamera felvétele, a telefonon vagy a gépkocsiban használt eszközön meghatározható GPS koordináták, a vércsoport, az okosóra edzés adatai, az alkalmassági teszt eredménye, stb. Vagyis a körülmények nagyban befolyásolják, hogy mi számít személyes adatnak. Épp ezért kell az adatvédelmi audit során meghatározni pontosan a fellelhető adatokat.

  5. Ki az adatkezelő és ki az adatfeldolgozó?

    A GDPR-ra való felkészülésünk első lépése annak eldöntése, hogy a személyes adatok kezelése során adatkezelőként vagy adatfeldolgozóként járunk-e el.

    Adatkezelőnek kell tekinteni azt a természetes vagy jogi személyt, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

    Adatfeldolgozó az a természetes vagy jogi személy lesz, aki az adatkezelő nevében személyes adatokat kezel.

    A kérdés eldöntése sokszor elsőre nem is egyszerű! Hogy melyik szerepkörben kell eljárnunk részben az adminisztratív feladatainkra lesz befolyással, részben pedig arra, hogy ki lesz felelős az adatkezelésből eredő incidensekért, károkért.

  6. Melyek azok az adatkezelési alapelvek, amelyeket be kell tartani az adatkezelés és adatvédelem során?

    Adatkezelésünk jogszerűségének meghatározásához elengedhetetlen, hogy tisztában legyünk a legalapvetőbb adatvédelmi jogi elvekkel:

    A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni – ez a jogszerűség, tisztességes eljárás és átláthatóság elve. Az átláthatóság azt jelenti, hogy az adatkezelés valamennyi lépése alatt (gyűjtés, kezelés, továbbítás, törlés stb.) minden fél számára (adatkezelő, adatfeldolgozó, érintett, hatóság stb.) világosnak és egyértelműnek kell lennie minden személyes adatra vonatkozó információnak (ki kezeli, milyen célból, milyen jogalappal, hol tárolja, hogyan védi, ki fér hozzá, mikor törli stb.).

    A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni – ez a célhoz kötöttség elve. Csak annyi személyes adatot kezeljünk, amennyire feltétlenül szükséges.

    A személyes adatokhoz kizárólag az férjen hozzá, akinek a munkája végzéséhez ehhez feltétlenül szüksége van – ez az adattakarékosság vagy adatminimalizálás elve. Ezt még tovább lehet fokozni, például, ha egy adatbázisból dolgoznak.

    A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, ezért az adatkezelés céljai szempontjából pontatlan vagy hiányos személyes adatokat a legrövidebb idő alatt törölni vagy helyesbíteni kell – ez a pontosság elve.

    A személyes adatok tárolása csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig valósítható meg – ez a korlátozott tárolhatóság elve.

    A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, valamint az adatok jogosulatlan vagy jogellenes kezelését, véletlen elvesztését, megsemmisítését vagy károsodását is kezelni kell – ez az integritás és bizalmas jelleg elve.

    Az adatkezelő felelős a fenti alapelveknek való megfelelésért, és ezt tudnia kell dokumentumokkal alátámasztva igazolni – ez az elszámoltathatóság elve. Vagyis nem az adatvédelmi hatóságnak, érintettnek, üzleti partnernek kell bizonyítania, hogy az adatkezelő nem jogszerűen járt el, hanem a vállalkozásnak, cégnek, szervezetnek kell minden egyes adatkezelést dokumentálni és kérésre az adatvédelmi hatóságnak, beszállítónak átadni minden dokumentumot, amivel bizonyítható a jogszabályi megfelelés: adatkezelés jogalapja, célja, a címzettek köre, az alkalmazott konkrét, megfelelő technikai és szervezési védelmi intézkedései.

    Az elszámoltathatóság elve a gyakorlatban azt jelenti, hogy egy helyre összekészítve át kell tudnunk adni a GDPR felkészülésünkkel kapcsolatos valamint a megfelelőségünket tanúsító szabályzatokat, jegyzőkönyveket, nyilvántartásokat, dokumentumokat úgy az érintettek, mint az adatvédelmi hatóság részére.

  7. Milyen adatkezelési jogalapok léteznek?

    Az adatkezeléshez minden esetben szükségünk lesz megfelelő jogalapra. Ha nincsen jogalapunk az adatkezelésre, akkor azt (pl. gyűjtést, betekintést) nem kezdhetjük meg. Ha megszűnik a jogalapunk, azonnal meg kell szüntetnünk az adatkezelést (pl. törölnünk kell a személyes adatot vagy meg kell fosztanunk annak személyes adat jellegétől, például anonimizálással).

    A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak közül egy megvalósul:

    • az érintett hozzájárulását adta személyes adatainak kezeléséhez;
    • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél;
    • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
    • az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges;
    • az adatkezelés közérdekű feladat végrehajtásához szükséges;
    • az adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez szükséges.

    Ha több jogalap alapján kezelhetjük az adatot, akkor választanunk kell a jogalapok közül. Az, hogy melyik jogalapot választjuk, lényeges hatással lehet az adatkezelésünkre. A hozzájárulásnak fontos eleme például, hogy azt bármikor egyoldalúan vissza lehet vonni, ez a szerződéses jogalapra viszont nem igaz.

  8. Mikor szükséges adatvédelmi tisztviselő kinevezése?

    Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt köteles kijelölni, ha fő tevékenységeik  olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését vagy különleges adatok nagy mértékű kezelését teszik szükségessé. A fenti kötelezettségen túl természetesen adatvédelmi tisztviselőt bármelyik vállalkozás önként is kinevezhet a felkészülés idejére vagy folyamatosan.

  9. Mi az adatvédelmi hatásvizsgálat?

    Ha az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve  (pl. profilalkotáson alapuló döntéshozatal, különleges adatok nagy számban történő kezelése), akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles végezni.

    Az adatvédelmi hatásvizsgálat olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

    A Rendelet szerint (35. cikk (7) bekezdés) a hatásvizsgálat kiterjed legalább:

    • a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére (beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket);
    • az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
    • az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
    • a kockázatok kezelését célzó intézkedések bemutatására.

    A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:

    • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
    • a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősségmegállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok(Rendelet 10. cikk) nagy számban történő kezelése; vagy
    • nyilvános helyek nagymértékű, módszeres megfigyelése.
  10. Mi az adatvédelmi incidens?

    Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve és szervezeten belül megoldott az incidens kezelése.

    Szigorú szabályokat és határidőket állapít meg a rendelet az adatvédelmi incidensek kezelésére. Az adatkezelők fontos feladata az adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, az incidens milyen súlyú, milyen hatással lehet az érintettekre.

    Az incidensek észlelésére, értékelésére, jelentésére, és enyhítésére tett nem megfelelő intézkedések esetén a legmagasabb összegű bírságokat helyezi kilátásba a rendelet.

Kérjen ajánlatot!

Amennyiben segítségre lenne szüksége a GDPR, illetve adatkezelései jogszabályi megfeleltetéseivel kapcsolatban kérjen cégünktől árajánlatot bármely alábbi szolgáltatásunkra, vagy adatvédelmi dokumentumokra.

Teljes adatvédelmi megfeleltetés

Teljes adatvédelmi megfeleltetéssel kapcsolatos szolgáltatásunk tartalmazza az adatvédelmi auditot és cégének/szervezetének valemennyi szükséges teljes adatkezelési dokumentáció elkészítését. Mindezt az egyébként fizetendő díjnál jóval kedvezőbb áron.

Adatvédelmi audit

Amennyiben nem biztos abban, hogy cége adatkezelése megfelel a GDPR-nak, kérheti, hogy végezzünk el egy adatvédelmi átvilágítást (auditot), hogy feltárjuk adatkezelési folyamatainak esetleges hiányosságait, és javaslatokat tehessünk a folyamatok megfelelő átalakítására, szabályozására.

Egyes adatvédelmi dokumentumok elkészítése

Amennyiben csak egyes adatkezelési dokumentumok hiányoznak adatvédelmi dokumentációjából, igény szerint vállaljuk azok szakszerű elkészítését, hogy cége adatvédelmi megfelelése teljes legyen.

VEGYE FEL VELÜNK A KAPCSOLATOT!

Szakértőink ingyenes helyszíni felmérés keretében segítenek Önnek megtalálni az ideális megoldást!

 Amennyiben kérdése van meglévő szolgáltatásával kapcsolatban, vagy új szolgáltatás megrendelésével kapcsolatban fordulna hozzánk, kérjük töltse ki az alábbi űrlapot és hamarosan felvesszük Önnel a kapcsolatot.

+36 42 275-130

info@riatell.hu

www.riatell.hu

  • Megismertem a RIA-TELL Vagyonvédelem adatkezelési tájékoztatóját.

    Kérjen visszahívást és ingyenes helyszíni felmérést, hogy szakértőink kialakíthassák ingatlanában a maximális biztonságot nyújtó védelmi rendszert!

    TELEFON

    +36 42 275 130

    E-MAIL

    info@riatell.hu