Az adatvédelmi szabályozás változásai 2018-ban Dr. Bodó Gergely Szabolcs-Szatmár-Bereg Megyei Kereskedelmi és Iparkamara 2018. február 05.

Előadás tartalma GDPR-ról általában Jelenleg hatályos jogszabályok Új szabályok a GDPR-ban Felkészülés lépései Bírság mértéke Néhány rossz gyakorlat (GDPR előtt és után)

GDPR-ról általában Egységes Európai Adatvédelmi Rendelet EU 2016/679 Rendelet, mint Európai Uniós jogforrás GDPR hatálya 2018. május 25, mint véghatáridő

Tévhitek a GDPR-al kapcsolatban A rendeletre nincs elég idő felkészülni Sokkal szigorúbb Alapjaiban változtatja meg az adatkezelés elveit és jogalapját Rengeteg újdonságot hoz A felkészüléshez csak a rendelet szabályainak kell megfelelni

Jelenleg hatályos jogszabályok Alaptörvény VI. cikk (2) bekezdése Info tv. –(2011. évi CXII. tv.) GDPR –(EU 2016/679 Rendelete) Fogyasztóvédelmi tv. –(1997. évi CLV. tv.) SzVMt. –(2005. évi CXXXII. tv.) Gazdasági reklám –(2008. évi XLVIII. tv.) Munka törvénykönyve –(2012. évi I. tv.) Egyéb – ágazati - jogszabályok

Új Szabályok, Főbb Változások

Új szabályok a GDPR-ban Személyes adat Átláthatóság Elszámoltathatóság Jogos érdek Hozzájárulás Adatvédelmi incidens Profilalkotás Álnevesítés Elfeledtetés joga Adat hordozhatóság Adatkezelés nyilvántartása Adatvédelmi tisztviselő

Személyes adat fogalma Régi: az érintettel kapcsolatba hozható adat Új: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ Új elem: helymeghatározó adat, online azonosító

Átláthatóság Tájékoztatás: tömör könnyen hozzáférhető könnyen érthető legyen világos és közérthető nyelven. Szükség esetén vizuálisan is megjelenítve. Elektronikusan, honlapon keresztül. Szabványosított ikonokkal is kilehet egészíteni.

Elszámoltathatóság Adatkezelő felelős az adatkezelés elveinek való megfelelésért, mint például: célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság.

Jogos érdek Az adatkezelő vagy harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre! Jogos érdekek lehetnek pl: az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll, adatok csalások megelőzése céljából feltétlenül szükséges kezelése, vállalkozás csoporton belül belső adminisztratív célból személyes adatok továbbítása.

Jogos érdek Mi képezhet jogalapot? hozzájárulás szerződés teljesítéséhez vagy a szerződést megkötését megelőző lépésekhez szükséges jogi kötelezettség teljesítéséhez szükséges létfontosságú érdek védelme közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásához szükséges az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges

Hozzájárulás, mint jogalap Ha a jogalap, az érintett hozzájárulása, akkor, az egyértelmű megerősítő cselekedettel, önkéntes, konkrét, tájékoztatáson alapuló, egyértelmű hozzájárulás, ki kell derüljön, hogy milyen célból, az adatok mely köréhez. „Kifejezett hozzájárulás”

Adatvédelmi incidens A biztonság olyan sérülése, amely bármely módon kezelt személyes adatok megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Adatvédelmi incidens Teendők Azonnal: kockázatelemzés, felmérés, szükség esetén bejelentés Nyilvántartás Érintettek tájékoztatása

Profilalkotás Személyes adatok automatizált kezelése, ha a személyes jellemzők értékelésére használjuk. Például: a munkahelyi teljesítmény gazdasági helyzet egészségi állapot érdeklődés viselkedés tartózkodási hely vagy mozgás Nem Tilos! Csak a választás lehetőségét kell nyitva hagyni!

Álnevesítés A személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik. Előnye: Csökkenti a kockázatot Segíthet az adatvédelmi kötelezettségek teljesítésében

Az elfeledtetés joga Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék! Több, mint a törlés!

Elfeledtetés joga Teendők Törlés kiterjesztése, ésszerű lépések (technikai intézkedések) megtétele: más adatkezelők tájékoztatása arról, hogy az érintett kezdeményezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másod példányának törlését.

Adathordozhatóság joga Az érintett jogosult arra, hogy tárolt személyes adatokat megkapja másik adatkezelőnek kérésére továbbítsák. Kizárólag széles körben elterjedt formátumban!

Adatkezelések nyilvántartása Nem kell a NAIH-hoz bejelenteni. Adatkezelő és adatfeldolgozó(!) maga vezet nyilvántartást.   A 250 főnél kevesebb személyt foglalkoztató szervezetek nem kötelesek nyilvántartást vezetni, kivéve ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, az adatkezelés nem alkalmi jellegű, vagy különleges adatok kezelése.

Adatvédelmi tisztviselő Kijelölése kötelező: közhatalmi szervek személyes adatok különleges kategóriáinak kezelése az adatkezelés jellegénél, fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé

Adatvédelmi Tisztviselő feladata Tájékoztat és szakmai tanácsot ad Ellenőriz Együttműködik a felügyeleti hatósággal Rendelkezik biztosítással egy esetleges birság esetére

Felkészülés javasolt lépései Adatvédelmi tudatosság erősítése Adatkezelési folyamatábra készítése Adatkezelés kritériumainak felülvizsgálata Az érintettek megfelelő tájékoztatása Az érintettek jogainak áttekintése Az érintettek hozzáférési joga Az adatkezelés jogalapjának vizsgálata Hozzájárulás feltételeinek felülvizsgálata Gyermekek jogainak kiemelt védelme Adatvédelmi incidens kezelésének szabályozása Adatvédelmi hatásvizsgálat Adatvédelmi tisztviselő kijelölése Adatvédelmi felügyeleti hatóság illetékessége

Kiszabható bírság mértéke 20 Millió eurós kampány Bírság maximuma jelenleg 20 millió forint Májustól 20 millió euró, vagy a világpiaci árbevétel 4%-a.

Rossz gyakorlat

Rossz gyakorlat I. Előnyök: Hátrányok: A kislány aranyos A gyerekek szeretik az arcfestést Hátrányok: Nincs adatkezelési tájékoztató Nincs kifejezett hozzájárulás az adatkezeléshez Gyermekként az arcképe különleges adatkategória Stb.

Rossz gyakorlat II. Előnyök: Vásárló, alighanem elégedett Hátrányok: Nincs adatkezelési tájékoztató Nincs kifejezett hozzájárulás az adatkezeléshez Ezek hiányában nem szabályozott az adatkezelés terjedelme Stb.

Rossz gyakorlat III. Pénzügyi szervezetektől 300, illetve 600 fő kapott e-mail körlevelet úgy, hogy a címzettek megismerhettek egymás e-mail címét: Bírság: 800.000,- Ft 2.000.000,- Ft

Rossz gyakorlat IV. Ingatlandepo.com: Kérésre sem törölte az adatokat, akkor is közzétette a hirdetéseket, amikor mar okafogyottá váltak. Bírság: 10.000.000,- Ft

Rossz gyakorlat V. Pénzügyi közvetítő: Jogalap és cél nélküli adatkezelés. Bírság: 100.000,- Ft

Rossz gyakorlat VI. Társkereső portálok hírlevél küldése. Bírság: 3.000.000,- Ft

Rossz gyakorlat VII. Termékbemutatón egészségügyi adatok kezelése cél és tájékoztatás nélkül. Bírság: 2.500.000,- Ft

Köszönöm a megtisztelő figyelmet! iroda@drbodo.hu +36 20 418 0411