Jogszerűség biztosítása
A jogszerűség annak biztosítása, hogy az adatok kezelése az előírásoknak megfelelően történjen. Ehhez folyamatosan ellenőrizni kell a folyamatokat, esetlegesen adatvédelmi tisztviselő vagy külső szakértő bevonásával, valamint a tudomány állásához képest a szükséges szervezési és technikai feltételek biztosításával.
Törlés (“elfeledtetés”)
A kezelt személyes adatok törlése többféle ok miatt is történhet:
- az érintett kifejezett kérésére
- az adatkezelés céljának megszűnésével
- ha az adatkezelés jogtalanul történt
- jogszabály előírásainak eleget téve
Az adatkezelő az érintett kérésére késedelem nélkül törölni köteles az adatkezelőre vonatkozó kezelt adatokat, kivéve, ha a további tárolást jogszabály írja elő, vagy ezek a vállalkozás jogi érdekének érvényesítéséhez, illetve megvédéséhez szükségesek.
Amennyiben az adatkezelő a személyes adatokat nyilvánosságra hozta, akkor köteles a tőle elvárható módon, az elérhető technológia és az ésszerű költségek vállalása mellett tájékoztatnia az adatkezelőket a törlési kérelemről.
Mit jelent az adatvédelmi incidens?
Az adatvédelmi incidens a biztonság olyan sérülése , melynek során a kezelt személyes adat vétlenül vagy jogellenesen megsemmisül, elveszik, megváltoztatásra kerül, illetve jogosulatlanok férnek hozzá vagy nyilvánosságra kerül.
Az adatvédelmi incidenseket nyilvántartásba kell venni, amelyben szükséges feltüntetni a részleteket, a kapcsolódó hatásokat és a tett intézkedések. Amennyiben az eset súlya azt indokolja, az incidenst kötelezően be kell jelenteni a hatóságnál 72 órán belül. Ha az esemény az adatfeldolgozónál történt, akkor neki az adatkezelő felé kell jelentést tennie haladéktalanul.
A GDPR rendelkezik arról, hogy a hatóság felé tett bejelentésnek mit kell tartalmaznia:
- az érintett adatok és személyek jellegét és számát
- a kapcsolattartó nevét és elérhetőségeit
- a várható következményeket
- a már megtett, vagy megtenni kívánt intézkedések leírását
A rendelet előírja az érintettek tájékoztatását, ha az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Szintén nem kell tájékoztatást adni, ha az adatkezelő olyan intézkedéseket tett, melyek miatt az adatokra irányuló kockázat már nem valósul meg.
Ha az érintettek széles köre miatt a tájékoztatás egyénileg nem hajtható végre, vagy ez aránytalanul nagy költséget róna az adatkezelőre, akkor nyilvános közzététel útján is végrehajtható.
Mikor van szükség adatvédelmi tisztviselőre?
Az adatvédelmi tisztviselő olyan szakértő, aki ismeri az adatok kezelésének szabályait és gyakorlatát. A fő feladatai közé tartozik:
- az adatkezelő, az adatfeldolgozó és ezek munkatársainak tájékoztatása és szakmai tanácsokkal való ellátása
- az adatkezelés szabályosságának és a végrehajtásban résztvevők felkészültségének ellenőrzése, illetve a különféle adatvédelemmel kapcsolatos ellenőrzések felügyelete
- együttműködés a hatóságokkal
- incidens vagy bármilyen hatósági megkeresés során kapcsolattartás az adatkezelő irányában
A GDPR számos esetet ír elő, amikor adatvédelmi tisztviselő kinevezése kötelező:
- az adatkezelő közfeladatot vagy közhatalmat ellátó szerv, kivéve a bíróságok
- az adatkezelés során az érintettek rendszeres és nagymértékű megfigyelése történik
- az adatkezelés során a személyes adatok különleges kategóriáiba tartozó vagy a büntetőjogi felelősség megállapítására vonatkozó adatok nagymértékű kezelése történik
Az adatvédelmi tisztviselő számára nincs előírva meghatározott végzettség, de alkalmazottként vagy szerződéses közreműködőként kell dolgoznia az adott vállalkozásnál, intézménynél. Ha a tisztviselő több feladatot is ellát, akkor az adatkezelő felelőssége, hogy ezen szerepkörök ne legyenek összeférhetetlenek egymással. Emiatt a tisztviselő nem lehet olyan pozícióban sem, ahol meg kell határoznia az adatkezelés célját és eszközeit.
Jogorvoslat, szankciók
A GDPR rendelet széleskörűen szabályozza az érintettek jogorvoslati jogait, amennyiben személyes adataival visszaélve őket sérelem éri:
- az érintett az adatvédelmi hatóságnál panaszt tehet, ha személyes adataival visszaéltek, a rendeletben írt jogait megsértették,
- az érintett polgári bírósághoz fordulhat jogai megóvása érdekében az őt ért jogsértés megállapítása érdekében és amennyiben őt kár érte jogosult a vagyoni és nemvagyoni kárának megtérítését kérni,
- a legsúlyosabb esetekben az érintett büntető feljelentéssel is élhet a rendőrségen.
A felügyeleti hatóság súlyos büntetést (közigazgatési bírság) is kiszabhat azokkal az intézményekkel vagy cégekkel szemben, amelyek működésével összefüggésben sérültek a személyes adatok védelméhez kapcsolódó jogok.
Az eset összes körülményeit figyelembe véve akár 20 millió euro is lehet a bírság. Amennyiben a jogsértő személy vállalkozás, úgy a bírság összege az előző pénzügyi év teljes világpiaci forgalmának 4 %-át is elérheti.
Összegzés
A GDPR által bevezetett előírások hasznosak, mivel így Európa-szerte egységesítésre kerültek az adatvédelmi rendeletek, melyek megfelelnek a napjaink digitális eszközei által támasztott követelményeknek.
Nagyon fontos, hogy te is felelősen alkalmazd az adatok védelméről és az ilyen kapcsolódó feladatokról szóló törvényt, hiszen ennek elmulasztása esetén a hatóság súlyos pénzbüntetést szabhat ki, mely elérheti az éves árbevételed 4%-át.
Érdemes felkészült ügyvédi segítséget kérned az érintettek tájékoztatására szolgáló dokumentumok elkészítéséhez, a szükséges folyamatok alkalmazásához. Ugyancsak megfelelő GDPR-tudás kell a vállalat belső anyagainak, a különféle nyomtatványoknak, nyilvántartásoknak és űrlapoknak az összeállításához, mivel a hatóság ezt vizsgálhatja.
Válaszd a BP Legal szakértőit a vállalatod GDPR-ral kapcsolatos jogi ügyeinek megoldásához, így nem csak 100%-ban megfelelsz majd az előírásoknak, de a teljes megvalósítást kézben tarthatod. A résztvevő ügyvédek szakmailag felkészültek, a kapcsolattartáshoz pedig választhatod a személyes találkozókat, a telefont vagy az email üzeneteket is.
Vedd fel a kapcsolatot a BP Legal szakértőivel már ma!