Keresés:
Események
«2018. december»
HKSzeCsPSzoV
12
3456789
10111213141516
17181920212223
24252627282930
31

Az Európai Unió új adatvédelmi rendeletéről (GDPR)
2018.06.05
2018. május 25-től lejárt a türelmi idő az általános adatvédelmi rendelet (Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről; „GDPR”) alkalmazását illetően.

Általános információk a GDPR-ról

2018. május 25-től lejárt a türelmi idő az általános adatvédelmi rendelet (Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről; „GDPR”) alkalmazását illetően. A rendelet fő célja a személyes adatok feletti rendelkezés erősítése, továbbá ezzel összefüggésben nagyobb fokú átláthatóság biztosítása az érintettek számára, így megteremtve valamennyi EU tagállamban a személyes adatok egységesen magas szintű védelmét. Az előírások kiterjednek minden olyan adatkezelőre és adatfeldolgozóra, amely az EU-ban működik, illetve EU tagállamok személyes adatait kezeli.

A GDPR alapján személyes adatnak minősül minden olyan információ, amely azonosított vagy azonosítható természetes személyre, mint érintettre vonatkozik. A Rendelet minden olyan adatkezelőre és adatfeldolgozóra kiterjed, amely az EU-ban működik, illetve EU tagállamok személyes adatait kezeli. A személyes adatok kezelését az adatkezelőknek és adatfeldolgozóknak a GDPR alapján jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végeznie, szem előtt tartva továbbá a célhoz kötöttség, az adattakarékosság, a pontosság, a korlátozott tárolhatóság, valamint az integritás és bizalmas jelleg elveit is.


A GDPR szerint a személyes adatok kezelése akkor jogszerű, ha az alábbi esetek egyike teljesül:

-        az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,

-        olyan szerződés teljesítéséhez szükséges, amelyben az egyik fél az érintett,

-        az érintett hozzájárulását adta a személyes adatai kezeléséhez,

-        az érintett létfontosságú érdekeinek védelméhez kapcsolódik,

-        közérdekű feladat végrehajtásához, illetve

-        az adatkezelő jogos érdekeinek érvényesítéshez szükséges.

Az adatkezelés magában foglalja a személyes adatok felvételét, gyűjtését, tárolását, felhasználását, ezek továbbítását – aki ilyen irányú műveleteket végez, az Adatkezelő, aki pedig az adatkezelő megbízásából dolgozza fel az adatokat, az Adatfeldolgozó A legfontosabb különbség a két szerepkör között az, hogy míg az Adatfeldolgozó főleg technikai jellegű feladatokat lát el és nincs döntési joga, addig az Adatkezelő a megbízó.

Magyarországon a türelmi idő lejártával egyidőben megszűnt az adatvédelmi hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által vezetett adatvédelmi nyilvántartás. A Hivatal feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és a jogszabályok értelmezésének elősegítése, valamint a GDPR betartatásának biztosítása.

Nem megfelelőség észlelése esetén a hatóság (a nem megfelelőség mértékétől függően) különböző intézkedéseket hajt végre:

figyelmeztetés --> megrovás --> az adatfeldolgozás felfüggesztése --> bírság

A szabálysértés esetén kiszabható bírság maximális mértéke az éves bevétel 4%-a, de maximum 20.000.000. euró , a bírság összege attól is függ, hogy milyen súlyos a sértés, illetve milyen okból keletkezett. A személyes adatokkal kapcsolatos jogsértések – az ún. adatvédelmi incidensek – észlelése esetén bejelentési kötelezettség keletkezik a NAIH felé. A bejelentésnek legkésőbb 72 órán belül meg kell történnie, akár az adatkezelő, akár az adatfeldolgozó észleli a szabálysértést.




A felkészülés lépései

A GDPR célja a felhasználók, azaz azon természetes személyek jogainak védelme, akik azonosíthatók a felhasznált adataik alapján. Ide tartoznak a hírlevelekre feliratkozók, közösségi oldalakon keletkezett követések, cégek ügyfelei, vagy akár munkavállalói is. Ennek következtében célszerű csak annyi adatot kezelni, amennyi az adott cél érdekében feltétlenül szükséges. Első lépésként ajánlott felmérni, hogy a társaság milyen személyes adatokat kezel és ezek az adatok a szervezeten belül hol találhatók, biztonságukról hogyan gondoskodnak. Az adatkezeléssel összefüggő döntések meghozatalában közreműködő munkavállalók felkészültsége elengedhetetlen, az adatvédelmi tudatosság erősítésének jegyében az érintett munkatársak képzésére nagy hangsúlyt kell fektetni.

Másodikként ajánlott az adatkezelés kritériumának (céljának, koncepciójának) felülvizsgálata, az adatok sorsának rögzítése, illetve a rendeletnek és a rendeletben lefektetett elszámoltathatóság elvének megfelelő adatvédelmi szabályzat létrehozása.

Az érintettek megfelelő tájékoztatása összefügg egyrész az információs önrendelkezési joggal másrész az átláthatósági elvvel, illetve a tájékoztatáshoz való joggal.

Az érintettek jogai és érvényesítése szempontjából sorra kell venni és szükség esetén módosítani a kapcsolódó szabályokat. A legfontosabb érintetti jogok például a személyes adataihoz való hozzáférés, azok helyesbítése, törlése (elfeledtetéshez való jog), kezelésének korlátozása, a profilalkotás és az automatizált adatkezelés elleni tiltakozás, valamint az adathordozhatósághoz való jog. A felhasználók élhetnek azon jogukkal, hogy azonnal és visszavonhatatlanul törlésre kerüljenek az adatbázisokból.

Ajánlott felülvizsgálni a hozzájárulás feltételeit és a gyakorlatot, kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom követelménynek megfelel (önkéntesség, határozottság/egyértelműség, tájékozottság).

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. Kötelező például adatvédelmi tisztviselőt kinevezni

-        ha az adatok feldolgozását a reklámok célközönségének felkutatása miatt végezzük valamilyen keresőmotoron keresztül, a felhasználó online viselkedése alapján;

-        ha az adatkezelést, adatfeldolgozást Hatóság vagy közfeladatot ellátó szerv végzi.


Adatnyilvántartási kötelezettség kis- és középvállalkozások esetében


A KKV-knak csak akkor kell adatnyilvántartást végezniük, ha adatfeldolgozásuk rendszeres, vagy veszélyezteti az emberek jogait és szabadságát, vagy érzékeny adatokat vagy bűnügyi adatokat érint. Amennyiben szükséges az adataikról nyilvántartást vezetni, akkor annak tartalmaznia kell:

-        a vállalkozás nevét és elérhetőségi adatait,

-        az adatfeldolgozó indoklását,

-        az adatalany- és személyes adat-kategóriák ismertetését,

-        az adatokat megkapó szervezetek típusait,

-        az adatok más országba vagy szervezethez történő továbbítását,

-        az adattörlés határidejét, amennyiben lehetséges,

-        az adatfeldolgozás során végrehajtott biztonsági intézkedések ismertetését, amennyiben lehetséges.


Hogyan fogja az uniós adatvédelmi reform egyszerűsíteni a meglévő szabályokat?


Az Uniós adatvédelmi reform egyik lényege és előnye, hogy Európa területén egyszerűsíti az adatvédelmi szabályokat. Minden vállalkozás csak egy adatvédelmi hatóságnak tartozik majd felelősséggel. Költségcsökkentő szereppel is bír, és ez az egységes szabályozás jelentős hatással lesz a vállalkozásokra és növelni fogja az európai üzleti környezet vonzerejét. Az adatok hordozhatóságához kapcsolódó új joggal lehetőségünk adódik arra, hogy személyes adatainkat átvigyük egyik szolgáltatótól a másikhoz. Ez előnnyel bír induló vállalkozások és kisebb cégek számára, akik ezáltal lehetőséget kapnak arra, hogy nagyobb piacokra jussanak be és több ügyfélre tegyenek szert.


Hasznos tippek a felkészüléshez


- A tájékoztatásnál használjunk egyszerű nyelvezetet, és informáljuk látogatóinkat arról, hogy mi a célunk az adataikkal és kinek a birtokába kerülnek.

- Szerezzünk egyértelmű beleegyezést az adatfeldolgozáshoz.

- Tegyük lehetővé az emberek számára, hogy hozzáférjenek adataikhoz és megadhassák azokat más vállalatok részére is (hordozhatóság).*

- Tájékoztassuk az embereket az adatsértértés lehetőségéről, ha rájuk nézve ennek fennáll veszélye.

(*kizárólag olyan személyes adatra vonatkozik ez a jogosultság, amelyet az érintett bocsátott rendelkezésre)

Forrás: NAIH

(A felkészülés további lépéseiről, a témával kapcsolatos állásfoglalásokról a NAIH honlapján tájékozódhat.)


Hírek

Hírek

A Lisztérzékenyek Érdekképviseletének Országos Egyesülete és a Budapesti Gazdasági Egyetem november 29-én közös konferenciát rendezett Biztonságos – Minőségi – Mentes vendéglátás címmel a BGE Markó utcai épületében. A...

A konferencia egyetlen intenzív nap alatt azonnal használható praktikus tudást ad, ami megalapozhatja a sikeres utódlás folyamatát. ​ A nap során gyakorlott tanácsadók, kutatók a téma szakértői segítenek eligazodni a...