12 lépés – az Adatvédelmi Rendelet (GDPR) alkalmazása előtt
Magunknak is fejtörést okoz az új EU-s és egyben Magyarországon is kötelezően alkalmazandó Adatvédelmi Rendelet, ismertebb nevén – a plakátokról is visszaköszönő -GDPR. Ehhez szeretnénk segítséget nyújtani ezen a fórumon is. A 2018. május 25-vel hatályba lépő általános adatvédelmi rendelethez a NAIH felkészülési útmutatót tett közzé. Az alábbi 12 lépés nagymértékben segíti piaci és nem piaci szervezeteket a GDPR követelményeire felkészülésben. A lépések a következők:
1. Szervezeten belüli adatvédelmi tudatosság megteremtése és erősítése. Meg kell határozni, hogy a szervezet milyen adatokat kezel és / vagy dolgoz fel, és mennyiben tekinthetők ezek az adatok a GDPR hatálya alá tartozónak. Ugyanígy meg kell határozni, hogy ezekhez az adatokhoz, azok szervezeti életútja során, mely szervezeti egységek dolgozói, milyen célból férhetnek hozzá, vagy szükséges hozzáférniük.
2. Az adatkezelés szervezeten belül kritériumainak meghatározása, felülvizsgálata. Ez a lépés adatkezelés (és adatfeldolgozás) céljainak és szempontjainak meghatározását specifikálását jelenti az első lépésre építve.
3. Az adatkezelés / adatfeldolgozás által) érintett megfelel tájékoztatása. Meg kell határozni azokat a folyamatokat, amelyek segítségével biztosított az érintett személyek információs önrendelkezési joga a szervezet által kezelt adataik tekintetében. E folyamatok magukba foglalják az érintett személyek tájékoztatásának folyamatát, a tájékoztatások elérhetőségét, egyértelműségét és közérthetőségét – az ilyen tájékoztatásokat biztosító szervezeti folyamatok szabályozását is.
4. Az érintettek jogainak érvényesítése. A szervezetnek olyan adatkezelési / adatfeldolgozási eljárásokat kell működtetnie, amelye biztosítja, hogy az érintett személyek:
o hozzáférnek a rájuk vonatkozó személyes adatokhoz;
o helyesbíthetik és törölhetik azokat;
o kezelésüket korlátozhatják (az adatok kezelésének jogalapjának megfelelően);
o explicit tilthatják adataikból profilok létrehozását, illetve egyéb, adataik automatizált adatkezelésen alapuló eljárások alkalmazását;
o valamint adataik hordozhatóságát (és ezzel azok törlését is) rendelkezésre álló, széles körben elérhető informatikai eszközökkel.
5. Az érintettek adathozzáférési jogainak biztosítása. Olyan eljárásrendet kell létrehozni, hogy érintett személyektől származó kérelem beérkezését követően 1 hónapon belül tájékoztathatók az érintettek jogaiknak érvényesítési lehetőségeiről. A fenti lista alapján, az érintett hozzáférési jogának biztosításának megteremtéséből szükségszerűen következik a további, ott felsorolt jogosultságok biztosítása is – ez online rendszerek esetében nyilvánvaló.
6. Adatkezelés jogalapjának meghatározása. A szervezeti adatkezelési folyamatokat olyan formában kell megalkotni, amely egyértelművé teszi a szervezet esetében az adatkezelés jogalapját, az adatok kezelésének / feldolgozásának célját és időtartamát. Ezeket az eljárásokat olyan formában kell kialakítani, hogy azok biztosítani legyenek képesek az érintettek részéről az információs önrendelkez
ési jogaik érvényesítését, azaz a 4. pontban felsorolt tételek érvényesíthetőségét.
7. Hozzájárulás feltételeinek felülvizsgálata. Amennyiben az adatkezelés hozzájáruláson alapul, meg kell vizsgálni az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés új adatvédelmi rendelet szerinti kritériumait illetően. Miként az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) a hozzájárulás és kifejezett hozzájárulás fogalmát is alkalmazza, úgy az új általános adatvédelmi rendeletben szintén megtalálható.
8. Gyermekek jogainak kiemelt védelme. Kiemelt figyelmet kell fordítani gyermekek adatkezelésére, amennyiben az adott szervezet kezeli gyermekek adatait. Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
9. Adatvédelmi incidens bejelentése. A GDPR úgy rendelkezik, hogy amennyiben személyes adatok jogellenes kezelése, feldolgozása történik meg (ezekhez való jogellenes hozzáférés eredményeként), bejelentési kötelezettség keletkezik az illetékes adatvédelmi hatóság felé, annak ismertté válását követően késedelem nélkül, de legfeljebb 72 órán belül, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.
10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat. Az adatkezelést megelőzően az adatkezelőnek adatvédelmi hatásvizsgálatot kell végrehajtania. Ebben értékeli hogy az adatvédelmi eljárások a tevékenysége céljából végzett személyes adatok kezelését hogyan biztosítják. Lényeges, hogy az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. Amennyiben az adatkezelés magas kockázatúnak tekinthető, a hatásvizsgálat elvégzése előírt. Ilyen tevékenységek: nagyszámú érintett, nagy mennyiségű személyes adat, kiszolgáltatott személyek, pl. gyermekek adatainak kezelése, profilalkotás, viselkedés vagy mozgás követése, különleges adatok kezelése. Nem szükséges hatásvizsgálat, ha épp ellenkezőleg a felsorolt tételekhez, az adatkezelés valószínűsíthetően nem jár magas kockázattal. Illetve, ha vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot. Valamint ha a felügyeleti hatóság azon listáján szerepel, amely szerint az adott kezelés tekintetében nem kötelező hatásvizsgálatot végezni.
11. Adatvédelmi tisztviselő kinevezése. Adatvédelmi tisztviselő kinevezése magas kockázatú adatkezelésnél kötelező. Azaz olyan adatkezelőknél, ahol adatkezelési műveleteket a 10 pontban felsorolt magas kockázatú adatkezelésnek tekinthetők.
12. Az adatvédelmi felügyeleti hatóság illetékessége. Az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is.
Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
Forrás: https://naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html, https://gdpr.blog.hu/
