GDPR megfelelés

Az Európai Parlament és Tanács (EU) 2016/679 számú 2016. április 27. napján kelt Adatvédelmi Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról ( General Data Protection Regulation , rövidítve GDPR )címet viseli és 2018. május 25. napján lép hatályba. A rendeletre tekintettel módosításra kerül az adatvédelemi rendelkezéseket tartalmazó magyar alap jogszabály, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)

A GDPR területi hatálya kiterjed az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett valamennyi adatkezelésére. A GDPR is vonatkozik pl. minden cégre,vállalkozásra, amely magánszemélyek személyes adatait valamilyen nyilvántartási rendszerben kezeli. Eszerint ha egy cégnek akár csak egy munkavállalója van, a munkáltató – mint adatkezelő – a GDPR hatálya alá tartozik. A rendelet meghatározza, ezáltal az Unióra vonatkozóan egységesíti az adatkezeléshez kapcsolódó alapfogalmakat, meghatározza a személyes adatok kezelésére vonatkozó elveket, annak jogalapját.

A GDPR célja

A GDPR hatálybalépésével kapcsolatos feladatok


1. Személyes adatok kezelésének felmérése:

A GDPR kimondja , hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. (olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére.)

2. Dokumentációk felülvizsgálata, GDPR, Infotv. megfelelőség kialakítása:

3. Adatvédelmi tisztviselő - DPO kijelölése (jogszabályban meghatározottak alapján):

Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat.

4. A GDPR az adatkezelő felelősségévé teszi a rendelet adatvédelmi elveinek való megfelelés bizonyítását, így:

5. Adatvédelmi incidens kezelése

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Kiemelt fontosságúvá lép elő az incidensek észlelése. Megfelelő értesítési rend és gyakorlat kialakítása szükséges!

6. Adatvédelmi hatásvizsgálat

Ha az adatkezelés valamely –különösen új technológiákat alkalmazó –típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kiemelt vizsgálati szempontrendszere:

A GDPR követelményeinek való megfelelés elmulasztásának szankciói akár 20 millió € büntetés, vagy az éves árbevétel 4%-a.

A QSTAR Minőségfejlesztési Tanácsadó Kft. vállalja az Európai Parlament és Tanács (EU) 2016/679 rendelet előírásainak való megfeleléshez szükséges átfogó felmérés végrehajtását, felkészítést, auditot ezen belül az alkalmazott megoldások, az adattárolás időszakának, valamint az adatokhoz való hozzáférést illetően megfelelőek-e az adatkezelés céljának és mértékének.

További felvilágosítást adunk telefonon, postai úton, e-mailben, vagy személyesen: