ADATVÉDELMI ELŐADÁS Előadó: Lehotkai Péter
Magyarország és az adatvédelem 80-as években kezdődött az előkészítés 89-es Alkotmány: közérdekű adat évi LXIII. személyes adatok védelme és közérdekű adat nyilvánossága évi XXIV. üvegzseb tv.; évi XC. elektronikus inf. szabadságról Hatályos szabályozás: Alaptörvény: VI. cikk (2) és (3) mindenkinek joga van személyes adatainak védelméhez, közérdekű adatok megismeréséhez való jog évi CXII. törvény Info tv. – közérdekű adat, személyes adatok (kiterjesztett) 2016/679/EU rendelet (GDPR) – általános adatvédelmi rendelet - személyes adatokra
Felügyeleti szerv: Nemzeti Adatvédelmi Hivatal (NAIH) NAIH közlemény ( ): „az általános adatvédelmi rendelet teljes körű végrehajtásához, illetve a bűnügyi adatvédelmi irányelv teljes körű átültetéséhez szükséges módosítására és további, e célból szükséges jogalkotási intézkedésekre még nem került sor….. A hatóság addig az általános adatvédelmi rendeletben kimerítően szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében”
Személyes adat (GDPR 4. cikk) - azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ - azonosítható az a személy aki azonosságára vonatkozó egy vagy több tényező alapján azonosítható (wifi ítélet – az egyének közvetlenül nem azonosíthatóak, de az adatok összessége és összekapcsolhatósága alapján azonosíthatóvá válnak) Különleges adatok: faji, etnikai, politikai, vallási, nemi hovatartozás, szakszervezeti tagsági adatok, genetikai-biometrikus adatok, egészségügyi adatok. (nem kezelhető, csak kifejezett hozzájárulással, EU vagy tagállami szerződés alapján, létfontosságú érdek.)
Főszereplők 1. Érintett: adatközlő személy 2. Adatkezelő: személyes adat kezelésének célját és eszközeit önállóan meghatározza. Érdemi döntést hoz az adatkezelésben. 3. Adatfeldolgozó: adatkezelő nevében személyes adatot kezel, az adatkezelő utasítja 4. Hatóság
GDPR elvei:
Jogalapok 1.hozzájárulás egy vagy több célra (egyértelmű, önkéntes, visszavonható, 16 év felett) újságcikk! 2.szerződés teljesítéséhez szükséges (szerződéses jogalap) 3.adatkezelő jogi kötelezettségének teljesítéséhez szükséges 4.létfontosságú érdek védelme (egészségügyi ellátás) 5.közérdekből vagy közhatalom gyakorlásához 6.adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez
Érintett jogai tájékoztatás adatkezelés megkezdésekor (teljes körű tájékoztatás) hozzáférési joga (milyen adatokat tárolnak róla, kinek adták tovább, stb. 30 napon belül) helyesbítéshez való jog (pontosság elve szerint módosíthatja – ingyenesen) törléshez való jog (elfeledtetés) adatkezelés korlátozásához való jog adathordozhatósághoz való jog (pl. banki tranzakciókat átkérheti) tiltakozáshoz való jog automatizált döntéshozatallal és profilalkotással kapcsolatos jogok
Általános tájékoztató adatfelvétel előtt adatkezelő neve, címe, felelős személy neve, elérhetősége adatkezelés célja, jogalapja (érdekmérlegelés esetén a jogos érdek megnevezése) kezelt személyes adatok kategóriája, fajtája, forrása adattovábbítás esetén címzettek és elérhetőségeik, 3. országba történő adattovábbításról szóló információk, garanciák. adatfeldolgozó neve, címe tárolás időtartama, annak szempontjai adatbiztonságról szóló tájékoztatás érintett jogairól való tájékoztatás jogorvoslati lehetőségekről való tájékoztatás Fontos! A tájékoztató az érintett adatalany nyelvén kell, hogy szóljon. A tájékoztató önmagában nem jognyilatkozat a személyes adatok kezeléséhez szükséges lehet a hozzájárulási nyilatkozat, ha nincs más jogalap.
Tájékoztatás időpontja Amennyiben az érintettől származik az adat, akkor az adatfelvételkor. Ha nem az érintettől szerezték meg, akkor a megszerzéstől számított ésszerű határidőn belül max. egy hónap; kapcsolattartási célú adatkezelésnél az első kapcsolatfelvétel alkalmával; ha más címzettel is közlik az adatokat, akkor legkésőbb az első közléskor.
Tiltott tevékenység jogalap nélküli adatgyűjtés/kezelés/feldolgozás/továbbítás/tárolás készletező adatgyűjtés kifejezett hozzájárulás nélküli profilalkotás különleges adatok kezelése.
Vállalkozás teendői -gyűjtött, kezelt, tárolt adatok feltérképezése, nyilvántartása -delegált személyek oktatása -jogalapok megvizsgálása (ha nincs jogalap be kell kérni vagy a tárolt adatot törölni) -felesleges adatok törlése -tájékoztatók ellenőrzése / pótlása (belső és külső) -adattovábbítások / adatfeldolgozók nyilvántartása -adatfeldolgozói szerződések ellenőrzése / pótlása -adatfeldolgozóként a nyilvántartási kötelezettségek ellenőrzése / kiépítése -biztonság kiépítése (vállalati eszközök használatának leírása) -belső IT biztonsági szabályzat -belső adatvédelmi szabályzat -hatásvizsgálat – célja a kockázat elemzés -ellenőrzési rend
Munkavállaló szenzitív adatai Egészségügyi adatok: kötelező, Eü tv. határozza meg, hozzájárulás nem szükséges munkáltató nem kaphat meg betegségre vonatkozó adatokat Biometrikus azonosítók: Ujjlenyomat, retina, írisz képe, a kéz geometriája, hang és arc jellemzői nem használható jelenléti ív helyett más módon el nem érhető biztonsági célokat kell teljesítsen, ha bekérésre kerül Poligráf használata: csak büntetőeljárásban használható munkaviszonyban nem indokolt (nincs ilyen alkotmányos érdek) a munkaviszony létrejötte előtt sem használható
Munkahelyi megfigyelés I. Internet forgalom ellenőrzése: céges vagy magán eszköz munkavállaló tájékoztatása szükséges csak üzleti célokra használható net esetében ha privát használat is engedélyezett, akkor tilos kémprogramok használata is tilos ek ellenőrzése: a feladó és címzett levéltitka 3. személly nem tud hozzájárulni nem alkalmas az ellenőrzés a vállalat titkainak megőrzésére (pendrive, mobil, nyomtató) GPS, cellainformáció, flottafigyelés: csak ha az adott munkakörhöz szükséges az érintett előzetes részletes tájékoztatása szükséges munkaidőn túl nem lehet (javasolt a kikapcsolható GPS)
Munkahelyi megfigyelés II. Kamerás megfigyelés csak magánterület, a vagyon és személyvédelem, közbiztonság érdekében évi CXXXIII. tv. 26.§ – 28.§ munkavégzés ellenőrzésére nem irányulhat ! elsődlegesen a jogszerűen munkáját végző munkavállaló ne legyen felismerhető másodlagosan megfelelő cél és részletes tájékoztatás az adatkezelésről öltözőbe, mosdóba tilos Híváslista ellenőrzése: ha megengedett a magáncélú is, akkor további lépések szükségesek a hívott felek telefonszáma is személyes adat pl. előhívószám alapján számláz a szolgáltató két felé a céges előhívó számok ellenőrizhetőek.
B2B ADATVÉDELEM I. Szerződött partnerek kapcsolattartóinak személyes adatai Célja: a kapcsolattartás/szolgáltatás teljesítése Jogalapja: szerződéses jogalap, érintett hozzájárulása Adatok köre: csak a szükséges adatokat lehet megőrizni Megőrzés ideje: szerződés végéig + meghatározott ideig Adatkezelő: elsődlegesen a megbízott partner, továbbítja alkalmazottja személyes adatait (a partner kötelezettsége a hozzájárulás bekérése). Többes adatkezelőként megjelenik az Orbico is. Erről tájékoztatni szükséges az érintettet. Tájékoztatás: elegendő szerződésben vagy kiegészítésként külön tájékoztatóban
B2B ADATVÉDELEM II. Személyes adatok továbbítása alvállalkozók részére (szerver üzemeltető, szállítmányozó) Célja: további adatfeldolgozás, szerződés teljesítése Jogalapja: szerződéses jogalap, érintett hozzájárulása Adatok köre: csak a szükséges adatokat továbbíthatóak Megőrzés ideje: szerződés végéig + meghatározott ideig Adatkezelő: az Orbico. Tájékoztatás: Adatfeldolgozói szerződés kötése szükséges, vagy adatkezelői státuszban: adattovábbítás Tájékoztatás: adatfeldolgozókról tájékoztatjuk az érintettet vagy a lehetséges adattovábbításról további adatkezelő részére
Ha nem felel meg a vállalkozás 1.figyelmeztetés, 2.megrovás, 3.adatkezelés felfüggesztése, 4.pénzbeli büntetés.