GDPR – ami hamarosan minden európai uniós polgár kötelezettsége lesz 1. rész

A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet. A GDPR, vagy General Data Privacy Regulation 2018 májusától lép hatályba. A GDPR fő célja, hogy növelje a biztonsági szintet a személyek biztonságának és magánéletének védelme érdekében. A folyamat magában foglalja a lehetőséget, hogy jelentősen módosítsa az üzleti folyamatok során használt adatok kezelését és tárolását. A GDPR kötelezettségei bárkire vonatkoznak, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel (függetlenül ezek helyétől). A GDPR minden vállalatra vonatkozik, mérettől függetlenül, kisebbek számára néhány helyen rugalmasabb lehet, de ugyanúgy kötelező érvényű. Sokkal fontosabb szerepet kap a tevékenység jellege, az adatkezelés módja (pl. különleges adatok kezelése vagy profilalkotás).

A fő újdonságok közé tartozik:

  • a nagyobb büntetési tételek
  • a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a.A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e
  • új elvárások – adatszivárgás esetén értesítenés, felhasználók számára hozzáférés biztosítása az adataikhoz, felhasználók számára a teljes törlés-felejtés biztostása, stb.
  • nem csak az online adatkezelésekre érvényes, hanem az offline tárolt információkra is: a cég dolgozóinak pénzügyes papírjaitól kezdve egészen a vásárlói email adatbázisig, akár időszakos adatgyűjtésekről és -mozgásokról van szó, akár automatizált folyamatokról
  • olyan információk is személyes adatként kezelendőek, mint a cookie-k és az IP-címek
  • nincs különbség céges és lakossági adatok kezelése között

Mikortól kell alkalmazni?

  • május 25., türelmi idő ezután nincs.

Személyes adat fogalma:

A rendelet értelmében személyes adatnak minősül minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik.

“személyes adat”: azonosított vagy azonosítható természetes személyre (“érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

A személyes adatok bekérése a GDPR szerinti adatkezelésnek minősül, márpedig csak olyan jellegű és mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható.

A GDPR szereplői:

  • Adatkezelő – aki az adatkezelés folyamatait végzi.
    Az adatkezelés magában foglalja minden személyes adatokon végzett cselekményt (adatok felvétele, gyűjtése, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását). Meghatározza az adakezelés célját, dönt az adatok sorsáról.
  • Adatfeldolgozó – aki az adatkezelő megbízásából, utasításai alapján és nevében személyes adatokkkal dolgozik.
  • NAIH:
    • A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. Magyarországon ők felelnek a GDPR betartásáért, ellenőrzéseket folytathat le és a szabályok megsértőit szankcionálhatja.
  • Adatvédelmi tisztviselő:
    az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

      • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
      • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

    Feladatai:

        • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az adatvédelmi rendelet szerinti kötelezettségeikkel kapcsolatban;
        • ellenőrzi az általános adatvédelmi rendeletnek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet képzését, valamint a kapcsolódó auditokat is;
        • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
        • együttműködik a felügyeleti hatósággal; és
        • az adatkezeléssel összefüggő ügyekben kapcsolattartóként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
  • Adatbirtokos – akinek az adatait kezeljuk. (Felhasználók)
    Milyen jogai vannak az adatbirtokosnak?
    A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:

      • Tájékoztatáshoz való jog:
        • megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.
      • Hozzáféréshez való jog:
        • a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
      • Adatok helyesbítésének kérése:
        • az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre – megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség, így célszerű időről időre ellenőrizni azok pontosságát;
      • Törléshez való jog:
        • az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek. Ennek célja az, hogy – hacsak annak jogi vagy észszerű akadálya nincs – az érintett adat „tűnjön el” a fellelhető adatbázisokból.
      • Az adatkezelés korlátozásához való jog:
        • bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.
      • Adathordozhatósághoz való jog:
        • az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Azaz megkönnyíti az adatkezeléssel érintett helyzetét, hogy személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.
      • Tiltakozáshoz való jog:
        • az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.

Változások:

Bejelentési kötelezettség változása:

Megszűnik az eddig működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.

A rendelet megszünteti (NAIH) adatvédelmi nyilvántartásba való bejelentési kötelezettséget (az adatvédelmi nyilvántartási szám kérését). Ehelyett azt írja elő, hogy az adatkezelők és adatfeldolgozók belső adatkezelési nyilvántartást hozzanak létre és vezessenek írásban, akár elektronikus formában.

Kérésre ezt a nyilvántartást az illetékes hatóság rendelkezésére kell bocsátani. (Kivétel, ha 250 főnél kevesebb foglalkoztatotti létszámmal működő szervezetek. Kivétel a kivétel alól, ha „az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetőleg kockázattal jár”, ha „nem alkalmi jellegű” (rendszeres), vagy ha különleges adatokat vagy „büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat érint”.)

Bejelentési kütelezettségek az adatkezelő részéről:
Bejelentési kötelezettség keletkezik az adatkezelő oldalán az adatvédelmi incidensek, azaz szemelyés adatokkal kapcsolatos jogsértések esetén. Az adatkezelő köteles a tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül értesíteni az incidenssel érintett személyeket:

  • Ha az adatkezelő úgy itéli meg, hogy a személyes adatok megsértése valószínűsíthetően nem okoz nagy sérelmet az érintettek számára akkor a NAIH felé kell tenni a bejelentést.
  • Ha kizárólag nagy kockázatú adatsérelem áll fent – banki kódok szivárgása, stb – akkor feltétlenül értesíteni kell az érintetteket-adatbirtokosokat.

Bejelentési kötelezettségek az adatfeldolgozó részéről:
Ha adatfeldolgozó észlel jogsértést, adatvédelmi incidenst, köteles bejelenteni az adatkezelő felé.

Írta:  Mylo