GDPR Visszaszámlálás

Mikortól és kire vonatkozik?

2018. május 25-én lejár az Európai Unió Általános Adatvédelmi Rendelete (GDPR) által biztosított két éves türelmi idő. Ettől az időponttól kezdve minden EU állampolgár személyes adatának feldolgozójára és továbbítójára kiterjed a rendelet hatálya, függetlenül a tényleges adatfelhasználás és/vagy továbbítás földrajzi helyétől.

§ A rendelet az Európai Unió állampolgárainak személyes adataira vonatkozik, így azok kezelése például egy USA vagy Oroszország területén székhellyel rendelkező cég esetében is alkalmazandó, hiszen az említett cégnek bármely termék értékesítése (különösen webshop) vagy szolgáltatás nyújtása vagy egyéb tevékenysége során megvalósuló adatkezelés esetén meg kell felelnie a GDPR-nak. Tehát nem a székhely a fontos tényező, hanem azon érintettek állampolgársága, akiknek az adataik kezelését az adott cég végzi.

 

 Gyakorlati technológiai tippek

A GDPR egyik legfontosabb alapelve az elszámoltathatóság. A lényege annyiban áll, hogy az adatkezelőnek egyrészt meg kell felelnie az adatvédelmi rendelet által támasztott szabályoknak, de mindemellett igazolnia is kell azt, ugyanis a személyes adatokhoz való hozzáférés esetén egyértelműen és biztonságos módon azonosítani kell a hozzáférő személyt.

§ A kétfaktoros azonosítás előnyt jelent az adatkezelő számára, hiszen az adatokhoz való hozzáférés jogosultsága világos, átlátható, szabályozott, amely azt feltételezi, hogy az adatkezelő mindent megtett, hogy megfeleljen az adatvédelmi rendeletnek.

A személyes adatok kezelőinek pontosan tudnia kell, hogy az érintett személy milyen adatot vitt fel a rendszerbe és azt mikor tette. A szabályozás tehát tulajdonképpen jogosultságkezelési és naplózási kötelezettséget ír elő minden szervezet számára, amelynek során kulcskérdés a különböző műveletekre jogosult személy egyértelmű azonosítása. Ezáltal is könnyebb a személyes adatok kezelésével járó intézkedések igazolása.

Az ügyfélnek joga van arra, hogy személyes adatait megtekintse, azokat helyesbítse vagy törölje, elengedhetetlen, hogy az adatokhoz csak az arra jogosult férjen hozzá.

A GDPR egyértelműen elvárja az adatkezelő szervezetektől, hogy megfelelő technikai és szervezési intézkedéseket tegyenek, amelyek megakadályozzák az adatokhoz való jogosulatlan hozzáférést, azok továbbítását vagy nyilvánosságra hozatalát, illetve a megváltoztatását és törlését, valamint a véletlen megsemmisülést és sérülést. A technikai lépésekkel szemben a megfelelő titkosítás az adatkezelő részéről azt biztosítja, hogy a jogosulatlan személy nehezebben férjen hozzá a személyes adatokhoz.

§ Hasznos kiegészítés a személyes adatok titkosítása. Ezzel a megoldással z adatkezelő kifejezi az adatvédelem melletti teljes elköteleződést, így elkerülhetőek a szigorodó adatvédelmi bírságok.

Egy elveszített telefon vagy laptop esetében harmadik fél könnyen hozzáférhet személyes adatokhoz, hacsak az adatkezelő nem biztosítja a titkosítást és a kétfaktoros azonosítást.

Az adatvédelmi incidensek esetén az adatkezelő szervezeteknek értesítési kötelezettsége van, amely azt jelenti, hogy az adatvédelmi követelmények megsértése esetén a szervezetnek értesíteni kell az adatvédelmi hatóságot, valamint ezekről nyilvántartást kell vezetniük.

§ A várhatóan magas kockázattal járó incidensek esetén magukat az érintettetek is értesíteni kell. Ezen kötelezettség alól mentességet élveznek azon szervezetek, akik megtettek minden szükséges technikai és szervezési védelmi intézkedést, amely biztosítja a személyes adatok teljes hozzáférhetetlenségét.

Az érintettek jogai

A vonatkozó személyes adatokhoz való hozzáférés, és azok helyesbítése

 A GDPR az érintett jogainak kiterjesztése részeként jogot biztosít, hogy az illető információt szerezzen személyes adatainak feldolgozásáról, illetve arról, hogy erre hol és milyen célból kerül sor. Az adatkezelőnek biztosítania kell az összegyűjtött személyes adatok másolatának megszerzését térítésmentesen, elektronikus formátumban. A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

a törléshez („elfeledtetéshez való jog”)

A törléshez való jog feljogosítja az ügyfelet, hogy töröltesse az adatkezelővel a személyes adatait, megszüntesse azok további terjesztését, illetve megakadályozza harmadik fél általi felhasználásukat.

az adathordozhatósághoz való jog

A GDPR bevezeti az adathordozhatósághoz való jogot, mely azt jelenti, hogy az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

a profilalkotás és az automatizált adatkezelés elleni tiltakozás

Az új Adatvédelmi Rendelet szerint ezen adatkezelés a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére használnak. Az egyén értékelése vagy osztályozása tehát már önmagában is profilalkotásnak minősülhet anélkül, hogy bármilyen előrejelzést vagy következtetést vonnának le az eljárás eredményéből.

Bírságok és elvárások

A rendelet több ponton is szigorít a korábbi szabályozáshoz képest, ezért ezekre érdemes odafigyelni a szankciók elkerülése érdekében.

Nem véletlen, hogy úton-útfélen hallani a hatalmas bírságokról. Noha a bírságok jogsértéshez mérten kerülnek kiszabásra, így is komoly üzleti kockázatot jelenthetnek.

Az eddigi húszmillió forintos felső limitet a GDPR  kisebb súlyú jogsértés esetén 10 millió euró összegre, vállalkozások esetében legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértések esetére 20 millió euróra és 4%-ra emeli fel, amely jelentős szigorítás a korábbi szabályokhoz képest, és így kellő visszatartó erővel bír a nagyvállalatok számára is.

A súlyosabb jogsértések közé sorolja az adatkezelés elveinek, a hozzájárulás feltételeinek, az érintettek jogainak, valamint a személyes adatok harmadik országba történő továbbítására vonatkozó előírások megsértését. Ezen jogsértésekért az előbbiekben említett magasabb bírságok szabhatóak ki a vállalkozással szemben.

Az enyhébb jogsértések közé sorolja az adatminimalizálásra vonatkozó követelmények, a gyermek hozzájárulásának beszerzésre vonatkozó feltételek, az adatkezelőre és az adatfeldolgozóra vonatkozó előírások, az adatbiztonsági előírások, az adatvédelmi incidenssel kapcsolatos előírások és az adatvédelmi tisztviselővel kapcsolatos előírások megsértését. Ezekben az esetekben a GDPR a kisebb bírságok kiszabását rendeli el.

Ugyancsak szigorítást jelent az Adatvédelmi Tisztviselő kinevezésének kötelezettsége minden adatkezelő számára, aki  főtevékenysége keretében olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok nagy számban történő kezelését foglalja magában.


A felkészülésre persze még van idő, azonban alaposan át kell gondolni, hogy a sok esetben szigorított szabályoknak a különböző szervezetek, vállalkozások és egyéb adatkezelők hogyan tudnak megfelelni. Irodánk szakszerű segítséget nyújt a felkészülésben bármely kis- és közepes vállalat számára.

2018-03-01, Adatvédelem, IT