Európai általános adatvédelmi rendelet - GDPR

2018. május 16.

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról általános adatvédelmi rendeletet alkotott (General Data Protection Regulation, továbbiakban GDPR). Ez a rendelet kötelező és közvetlenül alkalmazandó valamennyi tagállamban, vonatkozik minden vállalkozásra, ahol személyes adatok kezelése történik. Az egységes Európai Uniós adatvédelmi szabályozás 2018. május 25-én lép életbe.

Az új rendeletre érdemes felkészülni, mert egy esetleges ellenőrzés után a maximális kiróható büntetés 20.000.000 € vagy az évi teljes értékesítés 4%-a.

 

Elöljáróban néhány gondolat:

  • A GDPR minden vállalatra vonatkozik, méretétől függetlenül (kisebbek számára néhány helyen rugalmasabb lehet, de ugyanúgy kötelező érvényű). Sokkal fontosabb szerepet kap a tevékenység jellege, az adatkezelés módja (pl. különleges adatok kezelése vagy profilalkotás).
  • Nem csak az online adatkezelésekre érvényes, hanem az offline tárolt információkra is: a cég dolgozóinak pénzügyes papírjaitól kezdve egészen a vásárlói email adatbázisig, akár időszakos adatgyűjtésekről és -mozgásokról van szó, akár automatizált folyamatokról.
  • Olyan információk is személyes adatként kezelendőek, mint a cookie-k és az IP-címek.
  • Nincs különbség céges és lakossági adatok kezelése között.

A legfontosabb rendelkezések:

  • Elszámoltathatóság: A cégeknek 2018. május 25-tudatosabban kell az adatkezelési tevékenységeiket végezniük: annak kezdeti pillanatától egészen az adatok törléséig minden műveletet úgy kell megvalósítani, hogy az a rendeletnek a hatóság felé is igazolható módon megfeleljen. (Egyértelmű adatkezelési hozzájárulások!)
  • Adatvédelmi tisztviselő: Ilyet akkor kötelező kijelölni, ha közfeladatot ellátó szerv végzi az adatkezelést, ha a cég fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszi szükségessé, vagy ha különleges kategóriájú, illetve bűncselekménnyel kapcsolatos az adatkezelés. Az elszámoltathatóság alapelve miatt az adatvédelmi tisztviselő kinevezése erősen ajánlott.
  • Adatkezelések nyilvántartása: A rendelet megszünteti (NAIH) adatvédelmi nyilvántartásba való bejelentési kötelezettséget (az adatvédelmi nyilvántartási szám kérését). Ehelyett azt írja elő, hogy az adatkezelők és adatfeldolgozók belső adatkezelési nyilvántartást hozzanak létre és vezessenek írásban, akár elektronikus formában. Kérésre ezt a nyilvántartást az illetékes hatóság rendelkezésére kell bocsátani. (Kivételek a 250 főnél kevesebb foglalkoztatotti létszámmal működő szervezetek. Kivétel a kivétel alól, ha „az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetőleg kockázattal jár”, ha „nem alkalmi jellegű” (rendszeres), vagy ha különleges adatokat vagy „büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat érint”.)
  • Adatvédelmi hatásvizsgálat: Ha valószínű, hogy az adatkezelési, akár pusztán informatikai műveletek magas kockázattal járnak a természetes személyek jogaira nézve, akkor a forrásának, jellegének, egyediségének és súlyosságának felmérésére az adatkezelő adatvédelmi hatásvizsgálatot kell, hogy végezzen, amelynek során ki kell, hogy kérje az adatvédelmi tisztviselő tanácsát. Ha az adatkezelő nem képes a költségkeretének megfelelő intézkedésekkel mérsékelni a kockázatot, akkor még az adatkezelési tevékenység megkezdése előtt konzultálnia kell a felügyeleti hatósággal. Különös kockázatot jelenthet pl. az automatikus döntéshozatal, a profilalkotás vagy a bűncselekménnyel kapcsolatos személyes adat kezelése.
  • Adatvédemi incidens kezelési terv: Adatvédelmi incidens a biztonság olyan sérülése, amelynek az eredménye a továbbított tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés. Az adatkezelő az incidens tudomására jutásától számított 72 órán belül köteles lehetőség szerint az illetékes felügyeleti hatóságnál ezt jelenteni, valamit az éritetteket indokolatlan késedelem nélkül tájékoztatni. A bejelentésnek/tájékoztatásnak tartalmaznia kell az incidens jellegét, az érintettek és az adatok kategóriáit és hozzávetőleges számát, az adatvédelmi tisztviselő (vagy felelős kapcsolattartó) nevét és elérhetőségeit, valamint a valószínűsíthető következményeket. A teljes tervnek ezeken felül tartalmaznia kell az esetleges hátrányos következmények enyhítését szolgáló kötelező és lehetséges intézkedéseket. (Kevésbé kockázatos esetekben a rendelet mentesít a bejelentési kötelezettség alól.)
  • Megfelelőségi átvilágítás: Az adatkezelő még 2018. május 25. előtt át kell, hogy tekintse mind a saját, mind szerződéses partnerei működését abból a szempontból, hogy minden szempontból megfelelnek-e az új rendeletnek.
  • Belső szabályzatok, tájékoztatók, hozzájáruló nyilatkozatok: A megfelelőségi átvilágítás mellett a személyes adatok kezelésével kapcsolatos belső szabályzatok, tájékoztatók és hozzájáruló nyilatkozatok átalakítását is jelenti abból a célból, hogy azok az új rendelet követelményeinek megfeleljenek.

Forrás: https://gdpr.dimsz.hu

Kapcsolódó anyagok:
« Vissza