GDPR megfelelés

Az Európai Parlament és Tanács (EU) 2016/679 számú 2016. április 27. napján kelt Adatvédelmi Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról ( General Data Protection Regulation , rövidítve GDPR )címet viseli és 2018. május 25. napján lép hatályba. A rendeletre tekintettel módosításra kerül az adatvédelemi rendelkezéseket tartalmazó magyar alap jogszabály, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)

A GDPR területi hatálya kiterjed az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett valamennyi adatkezelésére. A GDPR is vonatkozik pl. minden cégre,vállalkozásra, amely magánszemélyek személyes adatait valamilyen nyilvántartási rendszerben kezeli. Eszerint ha egy cégnek akár csak egy munkavállalója van, a munkáltató – mint adatkezelő – a GDPR hatálya alá tartozik. A rendelet meghatározza, ezáltal az Unióra vonatkozóan egységesíti az adatkezeléshez kapcsolódó alapfogalmakat, meghatározza a személyes adatok kezelésére vonatkozó elveket, annak jogalapját.

A GDPR célja

• a személyes adatok megfelelő biztonságának, védelmének megvalósítása,
• a személyes adatok kezelése és felhasználása átláthatóságának biztosítása,
• a cégek, vállalkozások kötelezettségeinek bővítése az adatvédelem érdekében.

A GDPR hatálybalépésével kapcsolatos feladatok

1. Személyes adatok kezelésének felmérése:

• Milyen adatokat tárolunk és dolgozunk fel?
• Mi az adatkezelés célja és jogalapja?
• Hol és mennyi ideig tároljuk az adatokat? Szerveren, felhőben, stb?
• Ki férhet hozzá az adatokhoz? Házon belül és kívül. Adatfeldolgozók felmérése.
• Jelenlegi adatkezelési nyilvántartások felülvizsgálata

A GDPR kimondja , hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. (olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére.)

2. Dokumentációk felülvizsgálata, GDPR, Infotv. megfelelőség kialakítása:

• Adatvédelmi, adatkezelési szabályzat
• Közérdekű adatok közzétételének szabályzata
• Adatvédelmi incidenskezelési szabályozás
• Adatvédelmi hatásvizsgálat szabályozás
• Adatkezelési nyilvántartás
• Adatkezelési tájékoztatók

3. Adatvédelmi tisztviselő - DPO kijelölése (jogszabályban meghatározottak alapján):

Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat.

4. A GDPR az adatkezelő felelősségévé teszi a rendelet adatvédelmi elveinek való megfelelés bizonyítását, így:

• Rendszeresen ellenőrizni, értékelni és felül kell vizsgálni az adatkezelési eljárásokat,
• Biztosítékokat kell beépíteni az adatkezelési folyamatokba,
• Gondoskodni kell a munkavállalók képzéséről, hogy tisztában legyenek a rájuk vonatkozó kötelezettségekkel (Adatvédelmi tudatosság erősítése)
• Az adatkezelőnek képesnek kell lennie annak igazolására, hogy megfelel a jogszabályi követelményeknek
• Képesnek kell lennie ezeket a nemzeti adatvédelmi hatóság felé, annak kérésére, bármikor igazolni.

5. Adatvédelmi incidens kezelése

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Kiemelt fontosságúvá lép elő az incidensek észlelése. Megfelelő értesítési rend és gyakorlat kialakítása szükséges!

6. Adatvédelmi hatásvizsgálat

Ha az adatkezelés valamely –különösen új technológiákat alkalmazó –típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kiemelt vizsgálati szempontrendszere:

• Adatkezelés jogalapjának vizsgálata
• Érintettek előzetes tájékoztatása (ezt ellenőrzik kiemelten!)
• Az érintettek jogai (kiemelten az új jogok: törléshez, elfeledtetéshez való jog)
• Adatfeldolgozások felügyelete
• Gyermekek jogai
• Adatvédelmi incidens bejelentése (72 órán belül)
• Beépített adatvédelem megvalósítása
• Előzetes adatvédelmi hatásvizsgálat (arányos, megfelel-e a célnak) –új és dokumentálandó
• Adatvédelmi tisztviselő –új szabályok
• Harmadik országba történő adattovábbítás szabályainak pontosítása

A GDPR követelményeinek való megfelelés elmulasztásának szankciói akár 20 millió € büntetés, vagy az éves árbevétel 4%-a.

A QSTAR Minőségfejlesztési Tanácsadó Kft. vállalja az Európai Parlament és Tanács (EU) 2016/679 rendelet előírásainak való megfeleléshez szükséges átfogó felmérés végrehajtását, felkészítést, auditot ezen belül az alkalmazott megoldások, az adattárolás időszakának, valamint az adatokhoz való hozzáférést illetően megfelelőek-e az adatkezelés céljának és mértékének.

További felvilágosítást adunk telefonon, postai úton, e-mailben, vagy személyesen:

• dr. Vadász István ügyvezető igazgató tel.: 06-30-9599-662
• Kuti Anita vezető tanácsadó tel.: 06-30-347-1151