Felhívjuk figyelmét, hogy jelen cikk csupán egy kivonat a GDPR részletes és bonyolult szabályozásából: amennyiben Ön bármilyen célból személyes adatokat kezel, javasoljuk, a rendeletnek való maradéktalan megfelelés érdekében keressen fel egy adatvédelmi szakértőt.
Általános tudnivalók
A szabályozás kiemeli, hogy csak olyan mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges. Tehát minden esetben csupán a célunk szempontjából legfontosabb adatokat szabad gyűjteni és kezelni! (Pl: Egy hírlevélre való feliratkozáshoz elég az email cím, esetleg a név. Speciális esetektől eltekintve szükségtelen az életkor, lakcím, vagy a telefonszám.)
Az Unió eddig is ügyelt a személyes adatok védelmére, de az irányelveket minden ország máshogy alkalmazta. A GDPR viszont szigorúbb és szó szerint követendő, minden tagország számára. (Hazánkban a NAIH – Nemzeti Adatvédelmi és Információszabadság Hatóság- fogja ellenőrizni a rendelet betartását.)
GDPR adatkezelő kontra adatfeldolgozó
A GDPR különbséget tesz a személyes adatokat kezelő személyek között, jogosultság és feladatkör alapján:
Adatkezelő: A fent részletezett, adatkezeléssel kapcsolatos munkafolyamatok mind hozzá tartoznak. Ez a személy az adatkezelés célját is meghatározza.
Adatfeldolgozó: Az Adatfeldolgozó az Adatkezelő megbízásából és nevében, annak utasításai alapján személyes adatokkal dolgozik. A begyűjtés célját, az adatfeldolgozás módját nem befolyásolja: azt az Adatkezelő határozza meg. (Adatfeldolgozó például egy irodai asszisztens, egy weboldal megbízott kezelője, vagy egy telephely portása.)
Mi számít adatgyűjtésnek?
Röviden: minden manuális vagy automata tevékenység, ami személyes adatokat kér be. Az eddigi rendelkezések is tiltották az adathalászatot, a kéretlen hírleveleket és a direkt marketing módszerek nagy részét, a GDPR viszont tovább szigorít. Többek közt a közösségi média megjelenítését is tartalmazza, például a Facebook hozzászólásokat és lájkolásokat. Nem is beszélve a követőkódokról, amik például a weblapunkon a látogatók aktivitását monitorozzák, vagy egy hírlevél célba érkezését és megnyitási adatait közvetítik.
Az eddig előírt megoldások persze továbbra is kötelezőek: például egy címre hírlevelet küldeni ezután is csak a címzett jóváhagyásával és aktív közreműködésével lehet. Természetesen a leiratkozás egyszerű és gyors módját is biztosítani kell. Ami változik: Leiratkozás esetén nem elegendő „passziválni” a kérdéses email címet a rendszerünkben, hanem teljesen törölni kell azt!
Május 25-től a weboldalakon használt „sütik” (cookie) is a GDPR rendelet alá tartoznak: a honlapon engedélyt kell kérni a látogatótól ezek használatára és lehetőséget kell hagyni arra, hogy a látogató bármikor visszavonhassa jóváhagyását.
Webshopok
Az internetes áruházakra is kiterjed a GDPR hatásköre, ami több kisebb-nagyobb változásban is megnyilvánul. Ezentúl például a webáruházak adatbázisában szereplő adatokat azonnal törölni kell az ügylet végeztével! Tehát ezek nem tarthatók meg későbbi vásárlások esetére, kivéve, ha a vásárló személy kifejezetten hozzájárulását adja személyes adatai (pl korábbi rendelései) további tárolásához.
A begyűjtött személyes adatok biztonságát garantálni kell, műszaki probléma jelentkezése, vagy hackertámadás esetén is.
Adatvédelmi szabályzat
Az adatkezelést végző vállalkozásnak össze kell állítania és látogatói, ügyfelei számára hozzáférhetővé kell tennie egy Adatvédelmi Szabályzatot. Mivel a GDPR rendkívül sokrétű szabályozás, javasoljuk, hogy amelyik cég személyes adatokkal dolgozik, alkalmazzon saját, vagy kérjen fel „külsős” adatvédelmi tisztviselőt. Ismételten felhívjuk tisztelt Partnereink figyelmét, hogy a GDPR 2018. május 25. napján történő hatályba lépését követően az illetékes hatóság jogosult ellenőrzéseket lefolytatni a rendeletnek való megfelelés áttekintése érdekében!
A GDPR főbb szabályai
Jelen összefoglalóval tájékoztatjuk Önöket a 2018. május 25. napján hatálba lépő uniós adatvédelmi rendelet (GDPR) főbb szabályairól, és az ennek kapcsán felmerülő intézkedésekről.
1, Alapfogalmak:
• GDPR (General Data Protection Regulation): az EU új adatvédelmi rendelete, mely Magyarországon közvetlenül alkalmazandó
• Érintett: bármely meghatározott személyes adat alapján azonosított, vagy – közvetlenül, vagy közvetve – azonosítható természetes személy
• Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamely fizikai, fiziológiai, mentális, gazdasági, kulturális, vagy szociális azonosságára jellemző ismeret -, valamint az adatól levonható, az érintettre vonatkozó következtetés
• Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet, vagy műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása, összekapcsolása, zárolása, törlése, megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujjnyomat, tenyérnyomat, DNS minta stb.) rögzítése.
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
A fenti alapfogalmak értelmezése kapcsán látható, hogy az adatvédelmi reform személyi hatálya bármely olyan társaságra, vagy természetes személyre kiterjed, aki személyes adatokat kezel.
2, Adatvédelmi stratégia
A GDPR tükrében az 1. pontban körülírt adatkezelők esetében az alábbi lépéseknek megfelelően kell kialakítani az adatvédelmi stratégiát:
1. Az adatkezelés céljának meghatározása
2. Egyedi szempontrendszer kialakítása
3. Adatvédelmi szabályzat megalkotása
4. Az érintettek védelme érdekében általános és egyedi tájékoztatási struktúra kidolgozása
5. Adatkezelés és adattovábbítás bejelentése a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) részére
Az adatvédelmi rendelkezéseknek való megfelelőség vonatkozásában kiemelt figyelmet kell fordítani a kiskorúak, és az ún. kiemelt kockázatú adatkezeléssel járó speciális szabályokra. Az utóbbi szempont a felsorolt adatvédelmi stratégia kialakítása során kerül meghatározásra. A kiemelt kockázat eseti tevékenység specifikus, így minden adatkezelő esetében egyedileg vizsgálandó.
3. A GDPR sajátosságai
Az EU adatvédelmi rendelet elsődleges célja, hogy az érintettek védelmét erősítve olyan komplex jogszabályi környezetet hozzon létre, mely az adatkezelők tevékenységét szankcionálja. Kiemelkedően fontos ezért, hogy a rendelet hatálya alá tartozó adatkezelők a rendelet hatálybalépését megelőzően, azaz 2018. május 25. napja előtt végrehajtsák a szükséges felkészülést, és kialakítsák saját adatvédelmi stratégiájukat.
További fontos új, kiegészítő fogalmi elemek:
• Adatvédelmi tisztviselő: a közhatalmi, és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő, illetve feldolgozó szerv esetében belső adatvédelmi felelős kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukba, amelyek jellegüknél, hatókörüknél, vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.
• Előzetes adatvédelmi hatásvizsgálat: az új szabályok értelmében az adatkezelőknek bizonyos esetekben előzetes adatvédelmi hatásvizsgálatot kell végezniük, mely a magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége. Ez a gyakorlat az adminisztratív terhek növekedését hozza magával, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
• Bejelentési kötelezettség: személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság (NAIH) felé. Az adatkezelő indokolatlan késedelem nélkül megteszi a bejelentést a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőre nézve.
Fentiek alapján megállapítható, hogy a jogalkotó célja az új rendelet bevezetésével egy tudatosabb adatvédelmi szabályozás kiépítése, az érintettek alapjogaira, és személyes adatainak védelmére tekintettel.