Jelenleg a személyes adatok kezelésére vonatkozó szabályok kettős rendszerben, nemzeti és úniós szabályok által kerülnek meghatározásra hazánkban. Az Infotv. alapján a cégeknek az alábbi fontosabb kötelezettségeik vannak a személyes adatok kezeléséhez kapcsolódóan:
2018. május 25. napjától ezeken a hatályos magyar szabályokon szigorított az EU az Általános Adatvédelmi Rendelet (EU 2016/679 Rendelet) elfogadásával, amelyet minden az EU területén végzett adatkezelés esetén alkalmazni kell.
A BÜNTETÉSI TÉTEL, AKÁR
20.000.000 EUR
Amennyiben cége, szervezete kamerarendszert üzemeltet, elengedhetetlen annak feltételeit jogszerűen meghatározni. Pihenésre, szabadidő eltöltésére szolgáló helyiségek megfigyelése (öltöző, ebédlő), vagy a munkavállalók munkahelyi viselkedésének befolyásolása például kifejezetten TILOS.
A legtöbb közigazgatási hatósági feladat ellátása során személyes adat kezelés is történik. Például: építésügy, anyakönyvi ügyek, bizottsági munka, képviselő testület, polgármesteri hivatal, stb.
A munkavállalók személyes adatainak kezelése során fokozottan be kell tartani a GDPR szabályait. Szükséges valamennyi adatkezelési cél felderítése, nyilvántartása és szabályozása. Munkahelyi adatkezelési tájékoztatás. Munkavállalói megfigyelés feltételeinek szigorodása.
Településgazdálkodás, hulladékgazdálkodás, közműszolgáltatók, közösségi közlekedés, távfűtés, könyvtárak, színházak, oktatási és nevelési intézmények, sportklubok, kórházak, stb.
Az adatkezeléshez történő hozzájárulás feltételeinek szigorodása miatt szükséges a webshopok adatkezelési gyakorlatának a felülvizsgálata. A Rendelet hatálybalépését követően hírlevelet küldeni például csak olyan e-mail címre lehet, amely esetében az adatkezelő bizonyítani tudja, hogy a hozzájárulást hogyan, kitől, mikor kapta.
Amennyiben valamilyen szolgáltatást nyújt, amely történhet akár egyéni vállalkozás keretében is és ennek kapcsán magánszemélyekkel bármilyen módon kapcsolatba kerül, egészen biztosan felül kell vizsgálnia adatkezelési tevékenységeit és amennyiben szükséges el kell készítenie a megfelelő tájékoztatókat. (pl: fodrászat, műköröm, iparcikkek árusítása, stb.)
Ha az Önök cége, szervezete is az itt felsorolt kategóriába esik, biztosan alkalmazniuk kell az Adatvédelmi rendelet előírásait! Társaságunk vállalja az adatvédelemmel kapcsolatos munkák teljes körű elvégzését. Keressen bizalommal!
A GDPR egy rövidítés, ami az alábbi EU-s Adatvédelmi Rendelet angol nevéből ered: General Data Protection Regulation. A fenti rendelet pontos neve az alábbi: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
A GDPR-t az Európai Parlament 2016 áprilisában fogadta el, és a jogszabály már 2016-ban hatályba is lépett. A GDPR-t azonban csak 2018. május 25-től kell kötelezően az egész Európai Unióban alkalmazni.
A GDPR nemcsak az EU-ban elhelyezkedő szervezetekre vonatkozik, hanem az EU-n kívüli szervezeteket is érinti, ha árukat vagy szolgáltatásokat ajánlanak EU-adatalanynak, vagy amennyiben az érintett az EU-ban tartózkodik. Vonatkozik minden olyan vállalkozásra, amelyek az Európai Unión belüli adatalanyok adatait dolgozzák fel vagy tárolják, függetlenül attól, hogy a vállalkozás maga nem az EU-n belül van.
Személyes adat lehet gyakorlatilag bármi, ami egy természetes személyhez köthető, így például a TAJ szám, az e-mail, az IP cím, a cookie (internetes süti), a biztonsági kamera felvétele, a telefonon vagy a gépkocsiban használt eszközön meghatározható GPS koordináták, a vércsoport, az okosóra edzés adatai, az alkalmassági teszt eredménye, stb. Vagyis a körülmények nagyban befolyásolják, hogy mi számít személyes adatnak. Épp ezért kell az adatvédelmi audit során meghatározni pontosan a fellelhető adatokat.
A GDPR-ra való felkészülésünk első lépése annak eldöntése, hogy a személyes adatok kezelése során adatkezelőként vagy adatfeldolgozóként járunk-e el.
Adatkezelőnek kell tekinteni azt a természetes vagy jogi személyt, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
Adatfeldolgozó az a természetes vagy jogi személy lesz, aki az adatkezelő nevében személyes adatokat kezel.
A kérdés eldöntése sokszor elsőre nem is egyszerű! Hogy melyik szerepkörben kell eljárnunk részben az adminisztratív feladatainkra lesz befolyással, részben pedig arra, hogy ki lesz felelős az adatkezelésből eredő incidensekért, károkért.
Adatkezelésünk jogszerűségének meghatározásához elengedhetetlen, hogy tisztában legyünk a legalapvetőbb adatvédelmi jogi elvekkel:
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni – ez a jogszerűség, tisztességes eljárás és átláthatóság elve. Az átláthatóság azt jelenti, hogy az adatkezelés valamennyi lépése alatt (gyűjtés, kezelés, továbbítás, törlés stb.) minden fél számára (adatkezelő, adatfeldolgozó, érintett, hatóság stb.) világosnak és egyértelműnek kell lennie minden személyes adatra vonatkozó információnak (ki kezeli, milyen célból, milyen jogalappal, hol tárolja, hogyan védi, ki fér hozzá, mikor törli stb.).
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni – ez a célhoz kötöttség elve. Csak annyi személyes adatot kezeljünk, amennyire feltétlenül szükséges.
A személyes adatokhoz kizárólag az férjen hozzá, akinek a munkája végzéséhez ehhez feltétlenül szüksége van – ez az adattakarékosság vagy adatminimalizálás elve. Ezt még tovább lehet fokozni, például, ha egy adatbázisból dolgoznak.
A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, ezért az adatkezelés céljai szempontjából pontatlan vagy hiányos személyes adatokat a legrövidebb idő alatt törölni vagy helyesbíteni kell – ez a pontosság elve.
A személyes adatok tárolása csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig valósítható meg – ez a korlátozott tárolhatóság elve.
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, valamint az adatok jogosulatlan vagy jogellenes kezelését, véletlen elvesztését, megsemmisítését vagy károsodását is kezelni kell – ez az integritás és bizalmas jelleg elve.
Az adatkezelő felelős a fenti alapelveknek való megfelelésért, és ezt tudnia kell dokumentumokkal alátámasztva igazolni – ez az elszámoltathatóság elve. Vagyis nem az adatvédelmi hatóságnak, érintettnek, üzleti partnernek kell bizonyítania, hogy az adatkezelő nem jogszerűen járt el, hanem a vállalkozásnak, cégnek, szervezetnek kell minden egyes adatkezelést dokumentálni és kérésre az adatvédelmi hatóságnak, beszállítónak átadni minden dokumentumot, amivel bizonyítható a jogszabályi megfelelés: adatkezelés jogalapja, célja, a címzettek köre, az alkalmazott konkrét, megfelelő technikai és szervezési védelmi intézkedései.
Az elszámoltathatóság elve a gyakorlatban azt jelenti, hogy egy helyre összekészítve át kell tudnunk adni a GDPR felkészülésünkkel kapcsolatos valamint a megfelelőségünket tanúsító szabályzatokat, jegyzőkönyveket, nyilvántartásokat, dokumentumokat úgy az érintettek, mint az adatvédelmi hatóság részére.
Az adatkezeléshez minden esetben szükségünk lesz megfelelő jogalapra. Ha nincsen jogalapunk az adatkezelésre, akkor azt (pl. gyűjtést, betekintést) nem kezdhetjük meg. Ha megszűnik a jogalapunk, azonnal meg kell szüntetnünk az adatkezelést (pl. törölnünk kell a személyes adatot vagy meg kell fosztanunk annak személyes adat jellegétől, például anonimizálással).
A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak közül egy megvalósul:
Ha több jogalap alapján kezelhetjük az adatot, akkor választanunk kell a jogalapok közül. Az, hogy melyik jogalapot választjuk, lényeges hatással lehet az adatkezelésünkre. A hozzájárulásnak fontos eleme például, hogy azt bármikor egyoldalúan vissza lehet vonni, ez a szerződéses jogalapra viszont nem igaz.
Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt köteles kijelölni, ha fő tevékenységeik olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését vagy különleges adatok nagy mértékű kezelését teszik szükségessé. A fenti kötelezettségen túl természetesen adatvédelmi tisztviselőt bármelyik vállalkozás önként is kinevezhet a felkészülés idejére vagy folyamatosan.
Ha az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (pl. profilalkotáson alapuló döntéshozatal, különleges adatok nagy számban történő kezelése), akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles végezni.
Az adatvédelmi hatásvizsgálat olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.
A Rendelet szerint (35. cikk (7) bekezdés) a hatásvizsgálat kiterjed legalább:
A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:
Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve és szervezeten belül megoldott az incidens kezelése.
Szigorú szabályokat és határidőket állapít meg a rendelet az adatvédelmi incidensek kezelésére. Az adatkezelők fontos feladata az adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, az incidens milyen súlyú, milyen hatással lehet az érintettekre.
Az incidensek észlelésére, értékelésére, jelentésére, és enyhítésére tett nem megfelelő intézkedések esetén a legmagasabb összegű bírságokat helyezi kilátásba a rendelet.
Amennyiben segítségre lenne szüksége a GDPR, illetve adatkezelései jogszabályi megfeleltetéseivel kapcsolatban kérjen cégünktől árajánlatot bármely alábbi szolgáltatásunkra, vagy adatvédelmi dokumentumokra.
Teljes adatvédelmi megfeleltetéssel kapcsolatos szolgáltatásunk tartalmazza az adatvédelmi auditot és cégének/szervezetének valemennyi szükséges teljes adatkezelési dokumentáció elkészítését. Mindezt az egyébként fizetendő díjnál jóval kedvezőbb áron.
Amennyiben nem biztos abban, hogy cége adatkezelése megfelel a GDPR-nak, kérheti, hogy végezzünk el egy adatvédelmi átvilágítást (auditot), hogy feltárjuk adatkezelési folyamatainak esetleges hiányosságait, és javaslatokat tehessünk a folyamatok megfelelő átalakítására, szabályozására.
Amennyiben csak egyes adatkezelési dokumentumok hiányoznak adatvédelmi dokumentációjából, igény szerint vállaljuk azok szakszerű elkészítését, hogy cége adatvédelmi megfelelése teljes legyen.
Szakértőink ingyenes helyszíni felmérés keretében segítenek Önnek megtalálni az ideális megoldást!
Amennyiben kérdése van meglévő szolgáltatásával kapcsolatban, vagy új szolgáltatás megrendelésével kapcsolatban fordulna hozzánk, kérjük töltse ki az alábbi űrlapot és hamarosan felvesszük Önnel a kapcsolatot.
+36 42 275-130
riatell@riatell.hu
www.riatell.hu