GDPR jogszabály kivonat
-
május 25. – fordulópont az adatvédelemben
A GDPR (General Data Protection Regulation) az Európai Parlament és a Tanács 2016/679 rendelete (link) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános adatvédelmi rendelet)
A rendelet, egy egységes szabályrendszer, amely vonatkozik az Európai Unió területén működő valamennyi vállalkozásra, amely személyes adatokat gyűjt, tárol illetve dolgoz fel.
A követelményrendszer nagyon szerteágazó, a rendeletnek való megfelelőséget a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) ellenőrzi.
Fontos, hogy minden vállalkozás megértse a felkészülés lépéseit és kellően felkészüljön a rendeletnek való megfelelősségre, hiszen a nem teljesítés következtében a Hivatal akár 20 millió eurós illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű közigazgatási bírságot róhat ki az érintettre.
A rendelet 2016-ban lépett életbe, alkalmazása azonban csak 2018. május 25. napjától kötelező.
A rendelet megalkotásának célja többek között a jelenleg hatályos, a személyes adatvédelemre vonatkozó az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) „modernizálása”, az adatkezelés alapelveinek való megfelelés valamint a rendeleti előírások Európai Unió-s szinten való összehangolása illetve egységesítése.
A szabályok be nem tartása esetére kiszabható bírság elrettentő összegével a személyes adatkezelők figyelmét szeretnék felhívni arra, hogy a személyes adatok mennyire „érzékenyek”, mennyire célhoz kötötten és megfelelőn kezelendőek a jövőben, továbbá nem kerülhetnek jogosulatlan felhasználók körébe.
Jó hír a vállalkozók számára, hogy az adatvédelmi rendelet hatályba lépésével megszűnik az adatkezelők azon kötelezettsége, hogy az adatkezelésüket be kell jelenteniük az adatvédelmi hatóságnál vezetett adatvédelmi nyilvántartásba. A jövőben az adatvédelminyilvántartást minden adatkezelőnek saját magánk kell vezetnie.
A rendeletnek való megfelelőség elérése és a bírság elkerülése érdekében elkerülhetetlenné válik a jogi szakértelmen kívül az informatikai, információbiztonsági szakismeret alkalmazása is.
A rendelet által hozott „szigorítás”, hogy a megfogalmazott szabályok kikényszeríthetőek, a szabályoknak való megfelelőséget dokumentáltan kell tudni bizonyítani valamint a jogszerű működést dokumentumokkal alá is kell tudni támasztani.
A fent részletezett elvárások révén szükségessé válik a vállalkozás naprakész működésének felülvizsgálata, az adatkezelési gyakorlat áttekintése.
Idővonal
Info törvény
2012 január 1.
2016 május 24.
GDPR hatályos
GDPR alkalmazandó
2018 május 25.
Tárgyi és területi hatály
A rendelet tárgyi hatálya minden adatkezelésre és adatfeldolgozásra kiterjed, tekintet nélkül nem csak arra, hogy automatizált vagy manuális módon végzik, hanem arra is, hogy az adott adatkezelés tárgya valamilyen nyilvántartás vagy csupán egyetlen adat. Kivételt képeznek a kizárólag saját személyes célt szolgáló adatok pl. telefonregiszter, magánszemélyek által folytatott levelezések stb.
A rendelet területi hatálya kiterjed az egész Európai Unió területére. E rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
E rendeletet kell alkalmazni az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére is, ha az adatkezelési tevékenységek:
a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.
a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.
E rendeletet kell alkalmazni továbbá a személyes adatoknak a nem az Unióban, hanem olyan helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelésére, ahol a nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.
A rendelet vonatkozik tehát mindenkire aki, személyes adatokat gyűjt, kezel vagy dolgoz fel és ezáltal széleskörű felelősség hárul rá ezen információk rendelet szerinti kezelése terén.
A Rendelet felépítése
Preambulum: 173 pont
- fejezet: Általános rendelkezések
- fejezet: Elvek
- fejezet: Érintett jogai
- fejezet: Az adatkezelő és az adatfeldolgozó
- fejezet: A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása
- fejezet: Független felügyeleti hatóságok
- fejezet: Együttműködés és egységesség
- fejezet: Jogorvoslat, felelősség, szankciók
- fejezet: Az adatkezelés különös eseteire vonatkozó rendelkezések
- fejezet: Záró rendelkezések
AZ ÉRINTETTEK
A rendelet által érintett 3-as SZEREPLŐI KÖR és az elérni kívánt CÉL:
- szélesebb körű ellenőrzést ad a TERMÉSZETES SZEMÉLYEK-nek a személyes adataik fölött,
- számos új kötelezettséget ró a személyes adatokat gyűjtő, kezelő és elemző SZERVEZETEK-re
- új hatáskörökkel ruházza fel az országos HATÓSÁGOKAT, amelyek így jelentős bírságokat szabhatnak ki a rendeletet megszegő szervezetekre
ÚJDONSÁGOK A RENDELETBEN
A rendelet több „ÚJDONSÁG”-ot is megfogalmaz:
- elszámoltathatóság - az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására
- új fogalmak megjelenése - profilalkotás, genetikai-, biometrikus és egészségügyi adat (lásd: Fogalmak menüpont alatt)
- új jogalap: jogos érdek
- adatvédelmi hatásvizsgálat (PIA) - cél az adatkezelés kockázatainak feltárása, a szükségesség és arányosság vizsgálata, valamint az esetleges kockázatok és korlátozások felmérése, azok orvoslása és kezelése
- érintettek szélesebb körű jogosultságai
Az adatvédelem alapelvei
A szabályozás fokozottabb felügyelet lehetőségét biztosítja az EU-s állampolgároknak a saját személyes adataik vonatkozásában, a vállalkozások számára pedig egységes versenyfeltételeket teremt. Ezáltal az alábbiak szerint fogalmazódtak meg az adatvédelem ALAPELVEI:
- célhoz kötöttség – a célhoz kötöttség elve alapján csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Ennek megfelelően az adatkezelés megkezdése előtt – már a rendszer megtervezésekor – az adatkezelőnek fel kell mérnie, hogy milyen személyes adatokat, milyen célból és mennyi ideig fog kezelni.
- adattakarékosság – az adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell hogy legyenek és a szükségesre kell korlátozódniuk. Már az adatkezelés megkezdése előtt vizsgálni kell, hogy szükséges-e egyáltalán a személyes adatok kezelése.
- korlátozott tárolhatóság – a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatás céljából vagy statisztikai célból kerül sor.
- jogszerűség, tisztességes eljárás és átláthatóság – a személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.
- pontosság – az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét. A személyes adatok esetében az adatrögzítés pontossága fontos főleg a személyazonosító és a kapcsolati adatok esetében.
- integritás és bizalmas jelleg – a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével szembeni védelmet is ide értve
- elszámoltathatóság – az adatkezelő felelős a személyes adatok kezelésére vonatkozó elveknek való megfelelésért, továbbá képesnek kell lennie a megfelelés igazolására
A rendelet alkalmazásának elsődleges célja a személyes és bizalmas adatok felelősségteljes és elszámoltatható módon történő kezelésének, a magánszemélyek jogainak, és az adatkezelők kötelezettségeinek előírása.
AZ Adatkezelés jogalapjai
- Hozzájárulás: a hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelmény - az önkéntesség, a határozottság (egyértelműség) és a tájékozottság is - teljesül az Érintett részéről. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.
- Szerződés teljesítése: szerződés teljesítéséhez akkor szükségesek a személyes adatok, illetve a személyes adatok meghatározott köre, amennyiben és amilyen mértékben azok a szerződés teljesítéséhez szükségesek. A szolgáltatók/vállalkozások, mint adatkezelők szerződések elkészítéséhez bekért személyes adatokat jogosan kezelik. Erre az esetre a legjellemzőbb példa a munkavállalók személyes adtainak kezelése a munkaviszonnyal kapcsolatban (pl. bankszámlaszám a munkabér utalásához, tartásdíj levonásához a munkabérből stb.), és ez az eset a munkáltató jogszabályban foglalt kötelezettsége teljesítéséhez is kapcsolódik, különös tekintettel a munkavállalók után megfizetésre kerülő adók és járulékok és ezek megállapítása tekintetében (pl. bérszámfejtés során).
- Jogi kötelezettség: a jogalapot az uniós jog vagy azon tagállam joga kell hogy megállapíttsa, amelynek hatálya alá az adatkezelő tartozik.
- Érdekmérlegelés: amennyiben jogszabályi kötelezettsége alapján kezeli a személyes adatokat az adatkezelő, abban az esetben érdekmérlegelési tesztet kell végezni, ami azt jelenti, hogy meg kell állapítani, hogy a személyes adatok védelméhez vagy az adatkezeléshez fűződik-e jelentősebb jogi érdek és jogi szempontból megfelelően alá kell támasztani a kialakult álláspontot, írásban rögzített módon
- Céltól eltérő adatkezelés: a rendelet részletezi, hogy milyen szempontokra kell figyelemmel lenni akkor, ha az adatkezelő azt vizsgálja, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg kezelték (a személyes adatok jellege, esetleges következmények, megfelelő garanciák megléta stb.)
- Különleges adatok kezelése: ezen típusú személyes adatok kezeléséhez a rendelet szigorú(bb) feltételeket szab az adatkezelők részére, mivel ezek olyan szenzitív adatok, amelyek védelméhez fokozott egyéni és társadalmi érdekek kapcsolódnak. A személyes adatok különleges kategóriáiba tartoznak a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok is.
- Előzetes tájékoztatási kötelezettség: „mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatkezelés egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát.” Ezen alkotmányos követelmény az adatkezelés megkezdése előtt az előzetes tájékoztatáson keresztül érvényesülhet.
AZ Érintettek jogai
- tájékoztatás és a személyes adatokhoz való hozzáférés - ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve továbbá megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatáshoz való jog előzetesen, az adatkezelés során annak megszűnéséig megilleti az érintettet.
- helyesbítés – az érintett jogosult arra, hogy a pontatlan személyes adatok helyesbítését kérje, az adatkezelő pedig köteles ennek indokolatlan késedelem nélkül eleget tenni. A helyesbítés joga kiterjed az adatok kiegészítésének a jogára is.
- törléshez (az „elfeledtetéshez”) való jog - az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az új általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat, hiszen csak ez vezet el a tényleges joggyakorláshoz. Az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást. A hozzájárulás mint jogalap tehát egy hangsúlyosabb törlési kényszert jelent az adatkezelőre nézve.
- az adatkezelés korlátozásához való jog - az átmeneti, bizonytalan adatkezelési helyzetek rendezésére szolgál. Olyan esetekben élhet ezen jogával az érintett, amikor függő jogi helyzet áll fenn. Pl. kérte adatai helyesbítését, azonban amíg ez nem történik meg, az adatkezelés korlátozása biztosítja a helyzet rendezését
- az adathordozhatósághoz való jog - az érintett joga arra, hogy megkapja a rá vonatkozó, valamely adatkezelő által kezelt személyes adatok állományát, és ezeket az adatokat további személyes használat céljával tárolja. E tárolásnak helye lehet saját készüléken vagy magánfelhőben, anélkül, hogy az adatot más adatkezelőhöz kellene továbbítani. E tekintetben az adathordozhatóság kiegészíti a hozzáférés jogát. Az adathordozhatóság egyik sajátossága, hogy megkönnyíti az érintettek számára, hogy személyes adataikat saját maguk kezeljék és a továbbiakban felhasználják. Ezeket az adatokat „tagolt, széles körben használt, géppel olvasható formátumban” kell az érintettnek megkapnia
- a tiltakozáshoz való jog – az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, aamelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságával szemben vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak
Adatvédelmi incidens
ADATVÉDELMI INCIDENS-t jelent a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy azokhoz való jogosulatlan hozzáférését eredményezi. Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személynek.
Az adatvédelmi incidens intézkedési, bejelentési továbbá - ha az incidens jelentős kockázatot vagy kárt jelenthet az ügyfeleknek (az érintett személyeknek), akkor - az érintettek tájékoztatására is vonatkozó kötelezettségeket jelent az adatkezelő számára.
Az adatvédelmi incidens intézkedési, bejelentési továbbá - ha az incidens jelentős kockázatot vagy kárt jelenthet az ügyfeleknek (az érintett személyeknek), akkor - az érintettek tájékoztatására is vonatkozó kötelezettségeket jelent az adatkezelő számára.
ADMINISZTRÁCIÓ
A rendelet előírásainak való megfelélés számos adminisztrációs terhet (is) ró az érintettekre.
A jogszerű működést dokumentumokkal (tájékozatók, nyilatkozatok, szabályzatok) is szükséges alátámasztani:
- Adatkezelési és adatvédelmi tájékoztató
- Tájékoztató a munkavállalók rendelkezésre bocsájtott elektronikus eszközök használatáról és azok ellenőrzéséről
- A GPS nyomkövető eszközzel felszerelt gépjárművek használata
- Tájékoztató a Társaság telephelyén történő elektronikus megfigyelőrendszer alkalmazásáról
- Adatvédelmi érdekmérlegelési teszt elvégzésének folyamata
- Az adatvédelmi incidens nyilvántartása
- A Társaság nyilatkozata a GDPR megfelelésről
- Nyilatkozat az adavédelmi és adatkezelési tájékoztató megismeréséről
- Nyilatkozat a titoktartási kötelezettség megismeréséről stb.
A jogszerű működést dokumentumokkal (tájékozatók, nyilatkozatok, szabályzatok) is szükséges alátámasztani:
- Adatkezelési és adatvédelmi tájékoztató
- Tájékoztató a munkavállalók rendelkezésre bocsájtott elektronikus eszközök használatáról és azok ellenőrzéséről
- A GPS nyomkövető eszközzel felszerelt gépjárművek használata
- Tájékoztató a Társaság telephelyén történő elektronikus megfigyelőrendszer alkalmazásáról
- Adatvédelmi érdekmérlegelési teszt elvégzésének folyamata
- Az adatvédelmi incidens nyilvántartása
- A Társaság nyilatkozata a GDPR megfelelésről
- Nyilatkozat az adavédelmi és adatkezelési tájékoztató megismeréséről
- Nyilatkozat a titoktartási kötelezettség megismeréséről stb.
UTÓKÖVETÉS
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Integer adipiscing erat eget risus sollicitudin pellentesque et non erat. Maecenas nibh dolor, malesuada et bibendum a, sagittis accumsan ipsum. Pellentesque ultrices ultrices sapien, nec tincidunt nunc posuere ut. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nam scelerisque tristique dolor vitae tincidunt. Aenean quis massa uada mi elementum elementum. Nec sapien convallis vulputate rhoncus vel dui.