Kérj árajánlatot gyorsan és egyszerűen online

Az adatvédelmi törvény pontosan meghatározza, hogy 

• mit értünk személyes adat alatt
• hogyan lehet ezeket megfelelően gyűjteni, tárolni és felhasználni
• milyen jogosultság alapján lehet az információkat kezelni
• milyen formában kell tájékoztatni az érintetteket az adatkezelésről
• milyen jogaik vannak a saját adataikkal kapcsolatosan

A GDRP rendelet előnyei:

• lehetővé teszi a természetes személyeknek a személyes adatokkal való teljesebb körű rendelkezést
• az érintettek tisztában lehetnek azzal, hogy pontosan ki, és milyen okból kezeli az adataikat, és az érintetteknek milyen jogai vannak ezekkel kapcsolatban
• a GDPR-kompatibilis vállalkozások nagyobb bizalmat élveznek a vásárlók szemében
• egységes szabályozást biztosít az egész Európai Unióra.

A GDPR rendelet hátrányai:

• a vállalkozások, intézmények számára extra erőforrás szükségletet jelent a GDPR-kompatibilis  folyamatok kialakítása, fenntartása.

Kinek kell alkalmazniai az adatvédelmi rendeletet?

Az adatvédelmi törvény rendelkezései kétféle adatkezelőre (vagy adatfeldolgozóra) vonatkoznak:

• bármelyik európai uniós országban székhellyel vagy fiókkal rendelkező adatkezelőre, függetlenül az adatkezelés helyétől
• olyan adatkezelőre, mely az EU-n kívüli, de árukat vagy szolgáltatásokat kínál az Európai Unió területén, illetve magánszemélyek viselkedéseit követi az Unióban

A GDPR rendelkezései már a mindennapok részévé váltak, így számos helyen lehet találkozni a rendelet alá eső előírások alkalmazásával. Ilyen lehet például:

• a weboldalak, webshopok adatkezelési tájékoztatója
• egy pékségben kifüggesztett felhívás a biztonsági kameráról
• óvodák, iskolák, orvosi rendelők és egyéb intézmények, amelyekben személyes adatokat kezelnek 

Ezen területek mellett sok más helyen is szembesülni kell a GDPR alkalmazásával, például:

• az állásinterjúra kapott önéletrajzok kezelésekor
• a számlázás és garanciális ügyek intézése közben

Milyen kötelezettségekkel jár a GDPR?

A GDPR számos kötelezettséget ír elő a vállalkozások, intézmények számára a személyes adatok kezelésével kapcsolatban:

• az adatkezelésnek a rendeletben meghatározott elveknek megfelelően, a meghatározott cél érdekében, és a megfelelő eljárási rend betartása mellett   kell történnie
• az érintetteket tömör, áttekinthető, közérthető formában tájékoztatni kell a GDPR által előírt jogaikról és, hogy hogyan élhetnek ezekkel a jogaikkal
• amennyiben az adatkezelés az érintett hozzájárulásán alapul, be kell szerezni az érintett hozzájárulását oly módon, hogy a hozzájárulás az adatkezelő által igazolható legyen
• be kell jelenteni az adatvédelmi és információszabadság hatósághoz minden adatvédelmi incidenst, az eset súlyától függően pedig szükség lehet minden érintett tájékoztatására is
• vezetni kell a nyilvántartásokat, ki kell nevezni a felelős személyeket.

A magánszemélyek számára a GDPR lehetőséget biztosít a személyes adataikkal kapcsolatos rendelkezésre, és a jogaik, szabadságaik gyakorlására. A rendelet megemlíti:

• az előzetes tájékozódás jogát: az érintettek számára még az adatok bekérése előtt lehetőséget kell adni az adatkezelés jogalapjának, céljának és a hozzáférők körének megismerésére
• adatok hozzáféréséhez való jogot: az érintettek ingyenesen kikérhetik a róluk tárolt személyes adatokat
• helyesbítéshez való jogot: az érintettek kérhetik adataik pontosítását
• adatkezelés korlátozásának jogát: az érintettek korlátozhatják, hogy kik és milyen okból férhetnek hozzá személyes adataikhoz
• törléshez való jogot: az érintettek kérhetik személyes adataik végleges törlését
• az adathordozhatósághoz való jogot: az érintettnek fennáll az a joga, hogy az őt érintő személyes adatokat széles körben használt, géppel olvasható formátumban megkapja és azokat másik adatkezelőnek továbbítsa

Személyes adat kezelése a törvényeknek megfelelően

Személyes adat akkor kezelhető törvényesen, ha ahhoz az érintett hozzájárul, vagy annak létfontosságú érdeke fűződik az adatkezeléshez, az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél  vagy a törvény előírta kötelező adatkezelés történik. Utóbbi esetben a jogszabály mindig meghatározza az adatok kezelésének célját, feltételeit és időtartamát, illetve a felelős személyek vagy szervezetek körét.

Ha az adatkezelés bűncselekmények megelőzésére vagy üldözésére, illetve közigazgatási vagy igazságszolgáltatási célból történik, akkor az adatkezelő kizárólag állami vagy önkormányzati szerv lehet.

A fentiek alapján a személyes adat minden olyan információ, mely az érintettel kapcsolatba hozható, annak segítségével közvetkeztetés vonható le az adott személyről akár közvetlen, akár közvetett módon.

A rendelkezés meghatározza az adatkezelő és az adatkezelés fogalmát is. 

Az adatkezelő olyan természetesvagy jogi személy, közhatalmi szerv, amely meghatározza az adatkezelés céljait és eszközeit az adatkezelésről döntéseket hoz, melyeket vagy önmaga hajt végre, vagy megbízza vele az adatfeldolgozót.

Az adatkezelés pedig az adatokon automatizált vagy nem automatizált módon végzett műveletek összefoglaló neve. Ide tartozik  – egyebek mellett -, az adatok gyűjtése, tárolása, rendszerezése, megváltoztatása, törlése, nyilvánosságra hozása vagy a felhasználás megakadályozása.

Az érintett személyt az adatkezelés megkezdése előtt kell tájékoztatni, hogy az adatkezeléshez szükséges-e a hozzájárulása, vagy az törvény felhatalmazása alapján kötelezően megtörténik. A tájékoztatásban szerepelnie kell a következőknek:

• a célnak, jogalapnak és az időtartamnak
• az adatkezelő és az adatfeldolgozó nevének és elérhetőségének
• az adatokat megismerők körének
• az érintett személyes adataihoz kötődő jogainak

Amennyiben az érintettek köre olyan széles, hogy a személyes tájékoztatásuk lehetetlen, vagy aránytalan költséget jelentene a vállalkozás számára, a tájékoztatás a következő adatok nyilvánosságra hozatalával is megtörténhet:

• az adatgyűjtés tényének ismertetésével
• az érintettek körének meghatározásával
• az adatgyűjtés céljának és időtartamának meghatározásával
• az adatkezelők körének meghatározásával
• az érintettek jogainak ismertetésével és annak leírásával, hogy ezekkel hol és milyen módon élhetnek
• ha törvény előírja az adatvételi nyilvántartásba vételt, akkor az adatkezelés nyilvántartási számával

Mit kell tenned, hogy megfelelj a GDPR rendeletnek?

A GDPR-nek való megfeleléshez gondoskodnod kell a megfelelő jogalapról, a tájékoztatásról, a jogszerűség biztosításáról és az adatok törlésének lehetőségéről.

Jogalap

A GDPR egyik alapszabálya, hogy személyes adatot csak akkor tárolhat és kezelhet egy adatkezelő, ha ahhoz méltányolható jogalappal rendelkezik. Ezek közül a leggyakoribb:

• az érintett kifejezett hozzájárulása
• az érintett az egyik fél egy szerződés teljesítésekor
• az adatkezelőre vonatkozó jogszabályi előírás miatt
• az adatkezelő vagy egy harmadik fél létfontosságú érdekének védelme miatt
• egyéb, törvényben meghatározott ok miatt.

Tájékoztatás

A tájékoztatás jellemzően az adatkezelési tájékoztatóban történik meg, ahol a személyes adatok védelméről az érintett tudomására kell hozni a következőket:

• az adatkezelő nevét és elérhetőségeit
• ha létezik, az adatvédelmi tisztviselő nevét és elérhetőségeit
• az adatkezelés célját és jogalapját
• ha jogos érdek jelenti az adatkezelés alapját, akkor ennek az érdeknek a részletezését
• ha az adatkezelő harmadik országba vagy az EU-n kívül továbbítja az adatokat, akkor ennek tényét, és a résztvevő felek adatait
• az adatok kezelésének időtartamát, vagy ha ennek záró dátuma függ valamitől, akkor annak részletes leírását
• az érintett tájékoztatását arról a jogáról, hogy a kezelt személyes adataihoz hozzáférhet, kérheti azok helyesbítését, törlését, a kezelés korlátozását vagy kérheti adatainak átmozgatását más helyre
• ha az érintett hozzájárulására van szükség az adatkezeléshez, akkor azt a tájékoztatást, hogy ezt a hozzájárulást bármikor visszavonhatja
• a felügyeletet ellátó Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségét, és panasz benyújtásának leírását
• ha a személyes adatok kezelése szerződéses kötelezettség vagy jogszabály miatt történik, akkor annak ismertetését, hogy az érintett köteles-e megadni az adatait és milyen következményei lehetnek az adatok átadása megtagadásának
• automatizált adatkezelés esetén az automata működési elvének bemutatását, és az érintettre vonatkozó következmények ismertetését

Jogszerűség biztosítása

A jogszerűség annak biztosítása, hogy az adatok kezelése az előírásoknak megfelelően történjen. Ehhez folyamatosan ellenőrizni kell a folyamatokat, esetlegesen adatvédelmi tisztviselő vagy külső szakértő bevonásával, valamint a tudomány állásához képest a szükséges szervezési és technikai feltételek biztosításával.

Törlés  (“elfeledtetés”)

A kezelt személyes adatok törlése többféle ok miatt is történhet:

• az érintett kifejezett kérésére
• az adatkezelés céljának megszűnésével
• ha az adatkezelés jogtalanul történt
• jogszabály előírásainak eleget téve

Az adatkezelő az érintett kérésére késedelem nélkül törölni köteles az adatkezelőre vonatkozó kezelt adatokat, kivéve, ha a további tárolást jogszabály írja elő, vagy ezek a vállalkozás jogi érdekének érvényesítéséhez, illetve megvédéséhez szükségesek.

Amennyiben az adatkezelő a személyes adatokat nyilvánosságra hozta, akkor köteles a tőle elvárható módon, az elérhető technológia és az ésszerű költségek vállalása mellett tájékoztatnia az adatkezelőket a törlési kérelemről.

Mit jelent az adatvédelmi incidens?

Az adatvédelmi incidens  a biztonság olyan sérülése , melynek során a kezelt személyes adat vétlenül vagy jogellenesen megsemmisül, elveszik, megváltoztatásra kerül, illetve jogosulatlanok férnek hozzá vagy nyilvánosságra kerül.

Az adatvédelmi incidenseket nyilvántartásba kell venni, amelyben szükséges feltüntetni a részleteket, a kapcsolódó hatásokat és a tett intézkedések. Amennyiben az eset súlya azt indokolja, az incidenst kötelezően be kell jelenteni a hatóságnál 72 órán belül. Ha az esemény az adatfeldolgozónál történt, akkor neki az adatkezelő felé kell jelentést tennie haladéktalanul.

A GDPR rendelkezik arról, hogy a hatóság felé tett bejelentésnek mit kell tartalmaznia:

• az érintett adatok és személyek jellegét és számát
• a kapcsolattartó nevét és elérhetőségeit
• a várható következményeket
• a már megtett, vagy megtenni kívánt intézkedések leírását

A rendelet előírja az érintettek tájékoztatását, ha az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Szintén nem kell tájékoztatást adni, ha az adatkezelő olyan intézkedéseket tett, melyek miatt az adatokra irányuló kockázat már nem valósul meg.

Ha az érintettek széles köre miatt a tájékoztatás egyénileg nem hajtható végre, vagy ez aránytalanul nagy költséget róna az adatkezelőre, akkor nyilvános közzététel útján is végrehajtható.

Mikor van szükség adatvédelmi tisztviselőre?

Az adatvédelmi tisztviselő olyan szakértő, aki ismeri az adatok kezelésének szabályait és gyakorlatát. A fő feladatai közé tartozik:

• az adatkezelő, az adatfeldolgozó és ezek munkatársainak tájékoztatása és szakmai tanácsokkal való ellátása
• az adatkezelés szabályosságának és a végrehajtásban résztvevők felkészültségének ellenőrzése, illetve a különféle adatvédelemmel kapcsolatos ellenőrzések felügyelete
• együttműködés a hatóságokkal
• incidens vagy bármilyen hatósági megkeresés során kapcsolattartás az adatkezelő irányában

A GDPR számos esetet ír elő, amikor adatvédelmi tisztviselő kinevezése kötelező:

• az adatkezelő közfeladatot vagy közhatalmat ellátó szerv, kivéve a bíróságok
• az adatkezelés során az érintettek rendszeres és nagymértékű megfigyelése történik
• az adatkezelés során a személyes adatok különleges kategóriáiba tartozó vagy a büntetőjogi felelősség megállapítására vonatkozó adatok nagymértékű kezelése történik

Az adatvédelmi tisztviselő számára nincs előírva meghatározott végzettség, de alkalmazottként vagy szerződéses közreműködőként kell dolgoznia az adott vállalkozásnál, intézménynél. Ha a tisztviselő több feladatot is ellát, akkor az adatkezelő felelőssége, hogy ezen szerepkörök ne legyenek összeférhetetlenek egymással. Emiatt a tisztviselő nem lehet olyan pozícióban sem, ahol meg kell határoznia az adatkezelés célját és eszközeit.

Jogorvoslat, szankciók

A GDPR rendelet széleskörűen szabályozza az érintettek jogorvoslati jogait, amennyiben személyes adataival visszaélve őket sérelem éri:

• az érintett az adatvédelmi hatóságnál panaszt tehet, ha személyes adataival visszaéltek, a rendeletben írt jogait megsértették,
• az érintett polgári bírósághoz fordulhat jogai megóvása érdekében az őt ért jogsértés megállapítása érdekében és amennyiben őt kár érte jogosult a vagyoni és nemvagyoni kárának megtérítését kérni,
• a legsúlyosabb esetekben az érintett büntető feljelentéssel is élhet a rendőrségen.

A felügyeleti hatóság súlyos büntetést (közigazgatési bírság) is kiszabhat azokkal az intézményekkel vagy cégekkel szemben, amelyek működésével összefüggésben sérültek a személyes adatok védelméhez kapcsolódó jogok.

Az eset összes körülményeit figyelembe véve akár 20  millió euro is lehet a bírság.  Amennyiben a jogsértő személy vállalkozás, úgy a bírság összege az előző pénzügyi év teljes világpiaci forgalmának 4 %-át is elérheti. 

Összegzés

A GDPR által bevezetett előírások hasznosak, mivel így Európa-szerte egységesítésre kerültek az adatvédelmi rendeletek, melyek megfelelnek a napjaink digitális eszközei által támasztott követelményeknek.

Nagyon fontos, hogy te is felelősen alkalmazd az adatok védelméről és az ilyen kapcsolódó feladatokról szóló törvényt, hiszen ennek elmulasztása esetén a hatóság súlyos pénzbüntetést szabhat ki, mely elérheti az éves árbevételed 4%-át. 

Érdemes felkészült ügyvédi segítséget kérned az érintettek tájékoztatására szolgáló dokumentumok elkészítéséhez, a szükséges folyamatok alkalmazásához. Ugyancsak megfelelő GDPR-tudás kell a vállalat belső anyagainak, a különféle nyomtatványoknak, nyilvántartásoknak és űrlapoknak az összeállításához, mivel a hatóság ezt vizsgálhatja.

Válaszd a BP Legal szakértőit a vállalatod GDPR-ral kapcsolatos jogi ügyeinek megoldásához, így nem csak 100%-ban megfelelsz majd az előírásoknak, de a teljes megvalósítást kézben tarthatod. A résztvevő ügyvédek szakmailag felkészültek, a kapcsolattartáshoz pedig választhatod a személyes találkozókat, a telefont vagy az email üzeneteket is.

Vedd fel a kapcsolatot a BP Legal szakértőivel már ma!