A rendelet szövege az alábbi:GDPR Rendelet szövege

A GDPR Rendelet értelmében személyes adatnak minősül „az azonosított vagy azonosítható természetes személyekre vonatkozó bármely információ”.

Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Fontos tehát, hogy az azonosítás nem csak úgy képzelhető el, hogy tudom az illető lakcímét, anyja nevét, születési helyét és idejét.

Azonosíthatunk valakit úgy is, hogy a teremben ülő szemüveges, zöld kabátos úr.

Tehát személyes adat lehet gyakorlatilag bármi, ami egy természetes személyhez köthető, így például a TAJ szám, az e-mail, az IP cím, a cookie (internetes süti), a biztonsági kamera felvétele, a telefonon vagy a gépkocsiban használt eszközön meghatározható GPS koordináták, a vércsoport, az okosóra edzés adatai, az alkalmassági teszt eredménye, stb. Vagyis a körülmények nagyban befolyásolják, hogy mi számít személyes adatnak. Épp ezért kell az adatleltár során meghatározni pontosan a fellelhető adatokat.

A rendeletet nem kell alkalmazni, ha a személyes adatok kezelése személyes vagy otthoni tevékenység során történik.

Nem kell továbbá alkalmazni, ha az adatok nem természetes személyekre, hanem jogi személyekre, cégekre vonatkoznak.

A GDPR-ra való felkészülésünk első lépése annak eldöntése, hogy a személyes adatok kezelése során adatkezelőként vagy adatfeldolgozóként járunk-e el.

Adatkezelőnek kell tekinteni azt a természetes vagy jogi személyt, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Adatfeldolgozó az a természetes vagy jogi személy lesz, aki az adatkezelő nevében személyes adatokat kezel.

A kérdés eldöntése sokszor elsőre nem is egyszerű! Hogy melyik szerepkörben kell eljárnunk részben az adminisztratív feladatainkra lesz befolyással, részben pedig arra, hogy ki lesz felelős az adatkezelésből eredő incidensekért, károkért.

Adatkezelésünk jogszerűségének meghatározásához elengedhetetlen, hogy tisztában legyünk a legalapvetőbb adatvédelmi jogi elvekkel:

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni – ez a jogszerűség, tisztességes eljárás és átláthatóság elve. Az átláthatóság azt jelenti, hogy az adatkezelés valamennyi lépése alatt (gyűjtés, kezelés, továbbítás, törlés stb.) minden fél számára (adatkezelő, adatfeldolgozó, érintett, hatóság stb.) világosnak és egyértelműnek kell lennie minden személyes adatra vonatkozó információnak (ki kezeli, milyen célból, milyen jogalappal, hol tárolja, hogyan védi, ki fér hozzá, mikor törli stb.).

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni – ez a célhoz kötöttség elve. Csak annyi személyes adatot kezeljünk, amennyire feltétlenül szükséges.

A személyes adatokhoz kizárólag az férjen hozzá, akinek a munkája végzéséhez ehhez feltétlenül szüksége van – ez az adattakarékosság vagy adatminimalizálás elve. Ezt még tovább lehet fokozni, például, ha egy adatbázisból dolgoznak.

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, ezért az adatkezelés céljai szempontjából pontatlan vagy hiányos személyes adatokat a legrövidebb idő alatt törölni vagy helyesbíteni kell – ez a pontosság elve.

A személyes adatok tárolása csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig valósítható meg – ez a korlátozott tárolhatóság elve.

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, valamint az adatok jogosulatlan vagy jogellenes kezelését, véletlen elvesztését, megsemmisítését vagy károsodását is kezelni kell – ez az integritás és bizalmas jelleg elve.

Az adatkezelő felelős a fenti alapelveknek való megfelelésért, és ezt tudnia kell dokumentumokkal alátámasztva igazolni – ez az elszámoltathatóság elve. Vagyis nem az adatvédelmi hatóságnak, érintettnek, üzleti partnernek kell bizonyítania, hogy az adatkezelő nem jogszerűen járt el, hanem a vállalkozásnak, cégnek, szervezetnek kell minden egyes adatkezelést dokumentálni és kérésre az adatvédelmi hatóságnak, beszállítónak átadni minden dokumentumot, amivel bizonyítható a jogszabályi megfelelés: adatkezelés jogalapja, célja, a címzettek köre, az alkalmazott konkrét, megfelelő technikai és szervezési védelmi intézkedései.

Az elszámoltathatóság elve a gyakorlatban azt jelenti, hogy egy helyre összekészítve át kell tudnunk adni a GDPR felkészülésünkkel kapcsolatos valamint a megfelelőségünket tanúsító szabályzatokat, jegyzőkönyveket, nyilvántartásokat, dokumentumokat úgy az érintettek, mint az adatvédelmi hatóság részére.

A beépített adatvédelem (Privacy by design) elve értelmében az adatvédelmet és az adatbiztonságot a tervezéskor kell beépíteni – pl. álnevesítés, titkosítás révén – az üzleti folyamatokba, műszaki termékekbe oly módon, hogy az adatvédelmi elvek a termék és a szolgáltatás teljes életciklusa alatt érvényesüljenek.

Az alapértelmezett adatvédelem (Privacy by default) elve arra ad biztosítékot, hogy a szolgáltatás nyújtásához, termék igénybevételéhez minimálisan szükséges személyes adatot kezelik a vállalkozások.

Átlátható tájékoztatáshoz való jog

A természetes személyek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni, így különösen:

• az adatkezelő kilétéről és elérhetőségéről,
• az adatvédelmi tisztviselő elérhetőségeiről,
• a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
• a „jogos érdeken” alapuló adatkezelés estén annak okairól,
• a személyes adatok címzettjeiről,
• az EU-n kívülre történő adattovábbítás esetén a megfelelő garanciákról,
• az adatkezelés tervezett időtartamáról,
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról,
• a felügyeleti hatósághoz címzett panasz benyújtásának jogáról,
• arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása,
• az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.

Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról. Ha a személyes adatokat nem az érintettől szerezték meg, tájékoztatást kell adni a személyes adatok forrásáról, akkor is ha az adatok nyilvánosan hozzáférhető forrásokból származnak.

Hozzáféréshez való jog

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát (pl. feljegyzés a felvételi elbeszélgetés során vagy egy videó felvétel egy áruházban) ingyenesen köteles az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. Mindez nem érintheti hátrányosan mások jogait és szabadságait, tehát másokra vonatkozó személyes adatokat ki azonosíthatatlanná kell tenni.

Ennek a jognak az újdonsága abban áll, hogy az érintettnek nemcsak arra van joga, hogy megtudja, hogy milyen adatot kezelnek róla (pl. képfelvétel), hanem konkrétan joga van megkapni a személyes adatát tartalmazó adathordozót, illetve annak másolatát.

A helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.  Ez egyébként az adatkezelő érdeke is, erről szól a pontosság elve is.

A törléshez való jog 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték,
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
• az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték.

 

Az adatkezelés korlátozásához való jog 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha

• az érintett vitatja a személyes adatok pontosságát, –
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, –
• az adatkezelőnek már nincs szüksége a személyes adatokra, de az érintett igényli azokat jogi igények érvényesítéséhez.

 

Az adathordozhatósághoz való jog 

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik.

 

Automatizált adatkezelés

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely őt jelentős mértékben érintené.

Jogorvoslatok

Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a jogait vagy a rendeletet.

Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait.

 

Felelősség és kártérítés

Minden olyan személy, aki a GDPR megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt köteles kijelölni, ha fő tevékenységeik  olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését vagy különleges adatok nagy mértékű kezelését teszik szükségessé. A fenti kötelezettségen túl természetesen adatvédelmi tisztviselőt bármelyik vállalkozás önként is kinevezhet a felkészülés idejére vagy folyamatosan.

Ha a vállalkozás – a jogszabályi kötelezettség vagy ennek hiányában az ebből fakadó üzleti előnyök, pénzügyi terhek megvizsgálása után – úgy dönt, hogy nem nevez ki adatvédelmi tisztviselőt, feltétlenül javasolt a döntés mögött álló tényeket, szempontokat, indokokat és az azokból levont következtetéseket papírra vetni, hogy mindez a hatóság kérésére bemutatható legyen. A korábban már tárgyalt elszámoltathatóság elvének így lehet csak megfelelni.

A DPO-t az alábbi oldalon lehet elektronikusan bejelenteni:

https://www.naih.hu/adatvedelmi-tisztvisel–bejelent–rendszer.html

Az adatvédelmi rendelet hatálybalépésével megszűnik az adatkezelők azon kötelezettsége, hogy az adatkezelésüket be kell jelenteniük az adatvédelmi hatóságnál vezetett adatvédelmi nyilvántartásba.

A jövőben az adatvédelmi nyilvántartást minden adatkezelőnek saját magának kell vezetnie lényegesen kibővült tartalommal. Az új adatvédelmi rendeletre való felkészülés legfontosabb feladata annak feltérképezése, hogy a vállalkozásunk milyen személyes adatokat kezel, azokat milyen jogalap alapján, kitől, milyen célból szerzi be, kinek továbbítja, milyen szervezési és technikai eszközökkel védi, kinek továbbítja, mikor törli.

Sokan az adatregisztert és az adattérképet szinonimaként használják, pedig érdemes különbséget tennünk a két fogalom között. Az adatregiszternek vagy, ahogy a jogszabály nevezi az „adatkezelési tevékenységek nyilvántartásának” elkészítése jogszabályi kötelezettség, míg az adattérkép nem kötelező.

Az adatregisztert egy excel táblázatban tudjuk vezeti, míg az adattérkép a bonyolultabb, nehezebben áttekinthető folyamatok vizuális megjelenítésére, a folyamatok egyes lépéseinek áttekinthető módon történő bemutatására szolgál.

Az adatkezeléshez minden esetben szükségünk lesz megfelelő jogalapra. Ha nincsen jogalapunk az adatkezelésre, akkor azt (pl. gyűjtést, betekintést) nem kezdhetjük meg. Ha megszűnik a jogalapunk, azonnal meg kell szüntetnünk az adatkezelést (pl. törölnünk kell a személyes adatot vagy meg kell fosztanunk annak személyes adat jellegétől, például anonimizálással).

A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak közül egy megvalósul:

• az érintett hozzájárulását adta személyes adatainak kezeléséhez;
• az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél;
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
• az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges; –
• az adatkezelés közérdekű feladat végrehajtásához szükséges;
• az adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez szükséges.

Ha több jogalap alapján kezelhetjük az adatot, akkor választanunk kell a jogalapok közül. Az, hogy melyik jogalapot választjuk, lényeges hatással lehet az adatkezelésünkre. A hozzájárulásnak fontos eleme például, hogy azt bármikor egyoldalúan vissza lehet vonni, ez a szerződéses jogalapra viszont nem igaz.

Ennek a jogalapnak az alkalmazásakor feladat lesz az érdekmérlegelési teszt elkészítése. Ekkor megvizsgáljuk, hogy a cél, aminek érdekében a személyes adatot szeretnénk kezelni jogszerű-e – ez a jogszerűség vizsgálata.

Amennyiben megállapítjuk, hogy az adatkezelés célja jogszerű, meg kell vizsgálnunk azt, hogy a jogszerű célunk eléréséhez ténylegesen szükségünk van-e az adatkezeléshez – ezt a szükségesség vizsgálata.

Ha nagyobb erőfeszítés, anyagi áldozat nélkül ez a célunk személyes adat kezelése nélkül is elérhető, abban az esetben megállapítható, hogy nem szükséges az adatkezelésünk, így már nem lesz jogszerű az adatkezelésünk a jogos érdek alapján.

Ha az adatkezelés célja jogszerű, a jogszerű célunk eléréséhez szükséges az adatkezelés, azt kell megállapítanunk, hogy az adatkezelésünk jogi alapjául kitűzött jogi érdekünk milyen arányban áll az érintett személyes adatok védelméhez fűződő jogaival – ez az arányosság vizsgálata.

A jogos érdek jogalap választása a legnagyobb szabadságot adja az adatkezelőnek. Ebben  az esetben nem függ az érintett hozzájárulásától, szerződés érvényességétől, hatályosságától vagy jogszabályi felhatalmazás meglététől, de plusz és nem egyszerű adminisztratív kötelezettséget ró a vállalkozásokra.

A hozzájáruláson alapuló adatkezelés során az adatkezelőnek bizonyítania kell tudnia, hogy az érintett szabadon adta meg a hozzájárulását, a hozzájárulás iránti kérelmet más ügyektől egyértelműen megkülönböztethető módon kell előadni.

Direkt marketingnek (DM) minősül minden olyan reklám, amelyet közvetlen megkeresés módszerével küldenek:

• postán
• elektronikus úton (e-mail)
• telefonhívással, legyen az manuális hívás vagy automatizált hívórendszer.

A DM ezen fajtáinak azért van jelentőségük, mert a közös szabályok mellett, speciális szabályok is vonatkoznak az egyes fajtákra.

A reklám címzettje az, aki felé a reklám irányul, illetve akihez a reklám eljut. Adatvédelmi szempontból ez a személy lesz az érintett, akinek személyes adatait pl. a webáruház/honlap üzemeltetője kezeli.

Főszabályként az érintett személyes adatait csak hozzájárulása alapján lehet kezelni. A hozzájárulásnak előzetesnek kell lennie (azaz pl. a hírlevél kiküldése előtt be kell szerezni). Követelmény az egyértelműség és az is, hogy a hozzájárulás kifejezett legyen: tevőleges, aktív magatartással kell megvalósítani a hozzájárulást (pl. checkbox kipipálása, megfelelő gombra kattintás stb.). Fontos, hogy ráutaló magatartás vagy valaminek a meg nem tétele nem minősül hozzájárulásnak.

A hozzájárulásnak önkéntesnek és bármikor visszavonhatónak is kell lennie, tehát az érintettnek tényleges választási lehetőséget kell biztosítani, és a hozzájárulás nem lehet az adott szolgáltatás igénybevételének feltétele. Kivéve, ha az szükséges a szolgáltatás nyújtásához vagy értékesítéshez, pl. egy ruházati webáruházban a vásárló tesetmérete, melyet maga ad  meg agy mérettáblából választ ki.

A hozzájárulásnak kifejezetten az adott szolgáltatásra kell vonatkoznia, nem lehet összekapcsolni más hozzájárulással. Például egy internetes szolgáltatás nyújtás kapcsán részt vehetek egy nyereményjátékban, a szolgáltató csak hozzájárulásommal továbbíthatja a személyes adataimat a nyereményjáték esetleges külső szervezőjének.

A példánál maradva, ha enyém lesz a főnyeremény a nyereményjátékon, majd ezt követően visszavonom a hozzájárulásom, akkor emiatt nem érhet hátrány vagyis nem kell visszaadnom a nyereményt.

A hozzájárulás visszavonásának ugyanolyan egyszerű feltételekkel kell megtörténnie, mint a hozzájárulásnak. Például nem lehet csak az ügyfélszolgálati irodában történő személyes lemondást előírni, ha a hozzájárulást e-mailen adta meg az érintett.

Fontos, hogy a lemondásról szóló tájékoztatásnak mindig kell egy e-mail és egy postai címet is tartalmaznia. Az adatkezelési tájékoztatónak a honlapon elkülönülten kell elérhetőnk lennie, vagyis nem lehet az általános szerződési feltételek része.

A GDPR a fenti hozzájárulás mellett új joglapként megjeleníti a jogos érdeket is, mivel azt tartalmazza, hogy a személyes adatok közvetlen üzletszerzési célú kezelése jogos érdeken alapulónak tekinthető.

A személyes adatok közvetlen üzletszerzési célú kezelése kapcsán a jelenlegi magyar szabályozás meglehetősen szigorú, hiszen nem teszi lehetővé, hogy egy cég az ügyfelének vásárlást követően saját hasonló termékét vagy szolgáltatását direkt marketing útján reklámozza. Ezen lazítana az EU-ban majd közvetlen hatállyal bíró, jelenleg elfogadás alatt álló e-Privacy rendelet, amely elfogadását követően mindezt lehetővé tenné akkor, ha az ügyfél számára biztosított a leiratkozás lehetősége.

Ne feledjük: fentiek magánszemélyekre vonatkozóan kerültek meghatározásra!

Feladatai munkavállalóként és kiszervezett tevékenységként, vállalkozási szerződésben is elláthatóak.

Az adatvédelmi tisztviselő személyét és feladatkörét szigorúan védi a GDPR. Az adatvédelmi tisztviselő teljes szakmai függetlenséget élvez, feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el.

Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja.

Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:

a.) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére adatvédelmi kérdésekben;

b.) ellenőrzi a GDPR-nak, a belső adatvédelmi szabályzatnak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő munkavállalók tudatosságnövelését és képzését, valamint a kapcsolódó auditokat is;

c.) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

d.) együttműködik a felügyeleti hatósággal;

e.) az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Ha az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve  (pl. profilalkotáson alapuló döntéshozatal, különleges adatok nagy számban történő kezelése), akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles végezni.

Az adatvédelmi hatásvizsgálat olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

A Rendelet szerint (35. cikk (7) bekezdés) a hatásvizsgálat kiterjed legalább:

• a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére (beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket);
• az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
• az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
• a kockázatok kezelését célzó intézkedések bemutatására.

A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:

• természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
• a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősségmegállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok(Rendelet 10. cikk) nagy számban történő kezelése; vagy
• nyilvános helyek nagymértékű, módszeres megfigyelése.

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve és szervezeten belül megoldott az incidens kezelése.

Szigorú szabályokat és határidőket állapít meg a rendelet az adatvédelmi incidensek kezelésére. Az adatkezelők fontos feladata az adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, az incidens milyen súlyú, milyen hatással lehet az érintettekre.

Az incidensek észlelésére, értékelésére, jelentésére, és enyhítésére tett nem megfelelő intézkedések esetén a legmagasabb összegű bírságokat helyezi kilátásba a rendelet.

Ebben:

• ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
• közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
• ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
• ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A bejelentést az alábbi oldalon kell megtenni:

https://www.naih.hu/adatvedelmi-incidensbejelent–rendszer.html

A rendelet meghatározza az adatkezelők és az adatfeldolgozók között a személyes adatok kezelésére kötött szerződések kötelező tartalmi elemeit. A GDPR új kötelezettségeket is megállapít az adatfeldolgozók számára. Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezéseit követő, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatkezelő és az adatfeldolgozó között olyan írásbeli szerződést kell kötni, amely minimálisan az alábbiakra tér ki:

• a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli,
• a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak,
• az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja,
• segíti az adatkezelőt a kötelezettségeinek a teljesítésében,
• az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő,
• lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Ha az adatfeldolgozó további adatfeldolgozó szolgáltatásait is igénybe veszi, a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben.

A GDPR alapelvként rögzíti, hogy a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívülre történő továbbítása esetén sem sérülhet a természetes személyeknek az EU-ban biztosított védelem szintje. Az adattovábbítás csak megfelelő jogi garanciák megléte esetén jogszerű. Ilyen új, a rendelet által bevezetett jogi garanciát jelenthet a magatartási kódex és a tanúsítvány.

Személyes adatok EGT-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély, ugyanúgy kell tekinteni, mintha az EU-n belül maradna a személyes adat. A biztonságos országok listája a Bizottság honlapján megtalálható.

Hasonló döntés nyomán továbbítható személyes adat az Egyesült Államokba (Privacy Shield, korábbi nevén Safe Harbour megállapodás). Az USA-ba való adattovábbításhoz további feltételek teljesülésére van szükség. Csak a Privacy Shield megállapodásban lefektetett feltételek betartását vállaló vállalatnak továbbítható személyes adat.

A fenti döntés hiányában személyes adat akkor továbbítható az Unión kívülre, ha

• az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmazzák a felek vagy;
• olyan kötelező erejű vállalati szabályokat (Binding Corporate Rules, BCR) vezet be egy vállalkozás, amelyet az adatvédelmi hatóság jóváhagyott vagy; –
• jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra vagy;
• jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják.

A fenti garanciák hiányában az Unión kívülre akkor lehet személyes adatot továbbítani, ha

• az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról vagy;
• az adattovábbítás szerződés teljesítéséhez szükséges vagy;
• az adattovábbítás fontos közérdekből szükséges vagy;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges vagy;
• az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására vagy;
• a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja.

 

Az adatvédelmi bírság mértékét a GDPR-ban lefektetett szabályok mentén, a jogsértés típusától függően határozza meg az adatvédelmi hatóság. A rendelet szabályainak megsértői maximálisan 20 millió eurót vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4%-át kitevő összeggel sújthatóak, azzal, hogy a kettő közül a magasabb összeget kell kiszabni. Az adatvédelmi jogsértések esetén a tagállamok jogosultak további, így például büntetőjogi szankciókat alkalmazni.

Hazánban jelenleg még nem alakult ki a bírságolás gyakorlata, a most folyó perek lezárása után jobban lehet látni majd a gyakorlatot.

Azonban nem szabad elfelejteni, hogy SENKINEK SINCS MENTESSÉGE az esetleges büntetés alól!

A folyamatok és az adatkezelési gyakorlat eltérései miatt szinte lehetetlen általánosságban meghatározni a technikai és szervezeti intézkedések azon csoportját, amely valamennyi vállalat esetében kötelező eleme lesz a GDPR megfelelésnek, léteznek azonban olyan alapvető intézkedések, amelyekre érdemes különös figyelmet fordítani. A legtöbb esetben az első lépések megtételéhez leginkább józan paraszti ész és valamennyi erőforrás mozgósítása szükséges.

Ilyen például az információbiztonsági szabályzat kialakítása vagy frissítése, ebben a fizikai és logikai erőforrások használatára vonatkozó szabályokkal. Önmagukban azonban a szabályok kialakítása nem elegendő. Nagyon fontos az alapvető szabályok rendszeres, érthető kommunikálása, tudatosítása, elsősorban a munkavállalók, majd minden érintett felé.

További fontos lépés, hogy ha sikerül vállalati szinten elfogadtatni a fontos információk  elzárását, és a „tiszta asztal, tiszta képernyő” elvét, máris csökken az esélye a jogosulatlan betekintéseknek is. Amennyiben emellett még belső körlevéllel és más kommunikációs csatornák használatával segítünk a munkatársaknak megérteni a rendelet követelményeit, akkor megakadályozhatunk egy sor könnyen elkerülhető incidenst, amely például abból adódik, hogy egy bérszámfejtő munkatárs jóhiszeműen nem biztonságos harmadik országba továbbít személyes adatokat vagy egyszerűen rákattint egy zsarolóvírus által küldött mellékletre.

Vannak emellett olyan intézkedések, amelyek pusztán a már meglévő infrastruktúra lehetőségeinek kiaknázását igénylik. A legtöbb – informatikai eszközöket aktívan használó – vállalat tartományba (domain) rendezi számítógépeit és mobil eszközeit, melyek felett a felügyeletet valamilyen központi szerver gyakorolja. Ha az eszközökre vonatkozóan sikerül bevezetni egy egységes szabályzatot, és kikényszeríteni azt csoport házirendeken vagy felügyeleti eszközökön keresztül, akkor elérhetjük például, hogy valamennyi számítógép és mobiltelefon megfelelő jelszavas védelemmel rendelkezzen, és a tárolóegységek titkosítva legyenek, a képernyők pedig automatikusan lezárásra kerüljenek, így csökkentve az adatszivárgás és jogosulatlan hozzáférés kockázatát.

Emellett azonban a feladatok nagysága illetve szerteágazása miatt egyes esetekben a teljes megfeleléshez az előzőeken túl gyakran szükséges bizonyos nagyobb összegű befektetést igénylő intézkedések megvalósítása. Például már bevezetett informatikai rendszerek átalakítása vagy a saját fejlesztésű szoftverek újratervezése a „beépített adatvédelem” alapelv megvalósítása érdekében mind-mind többlet erőfeszítéseket igényelnek. Itt jöhet képbe a saját „barkácsolás” helyett egy tényleg szakmájához értő informatikus bevonása is a munkába.

Az törvény 2018. 10.28-án aktuális állapotát olvashatja el itt, ebben sárgával kiemelésre kerültek a legújabb módosítások. Fontos, hogy mindig a naprakész állapotot vegyük figyelembe, melyet it lehet megtalálni: https://net.jogtar.hu/jogszabaly?docid=A1100112.TVInfotv.módosítás07.27.

Megjelent az a saláta-törvény tervezet, amely 77 jogszabályt módosít. A változások célja az Európai Unió adatvédelmi reformjának a végrehajtása, amely egészen új megvilágításba helyezi és a korábbinál erőteljesebben védi a személyes adatokat.

Az előterjesztést itt olvashatja:

http://www.kormany.hu/download/6/49/71000/GDPR_sal%C3%A1ta_eloterjesztes_180926.pdf#!DocumentBrowse

A NAIH reagálását pedig itt:

https://www.naih.hu/files/NAIH_2018_6123_2_J_2018-10-09.pdf