A GDPR jogi vonatkozásai
Általános adatvédelmi rendelet Európai uniós jogalkotási eszköz Szó szerint hatályba lép, és kell alkalmazni minden tagállamban Tévhit: majd az Infotv. módosítása minden kérdést megválaszol. Hatály: kötelező EU-s állampolgárok adatai és az EU területén lévő adatkezelésekre. A tagállamok nem hozhatnak ellentétes szabályokat. Már hatályban van, de május 25-től kell csak alkalmazni.
Fogalmak a Rendeletben: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
Miben hoz változást a Rendelet? Paradigmaváltás Az adatkezelő szerepe lesz az elsődleges az adatkezelési folyamat jogszerű lebonyolításáért Sok esetben túlzottan általános rendelkezések, melyek végrehajtásában az alapelvek, illetve elsősorban az eu-s iránymutatások nyújtanak segítséget Az adatkezelőnek képesnek kell lenni bizonyítani, hogy milyen lépéseket tett a megfelelésért Érintettek jogai lényegesen kibővülnek
Alapelvek Új alapelvek Régi-új elvek Elszámoltathatóság: Jogszerűség A szuperalapelv A paradigmaváltás esszenciája Az adatkezelői felelősség alapköve Hozzájárulás feltételeinek szigorodása: Direkt marketing Hírlevél Kontakt listák Jogszerűség Tisztességesség Átláthatóság Célhoz kötöttség Adattakarékosság Pontosság Korlátozott tárolhatóság
Elszámoltathatóság elve Megfelelni és igazolni tudni Nem egy meghatározott intézkedéssel teljesíthető: Beépített és alapértelmezett adatvédelem Megfelelő technikai és szervezési intézkedések a Rendeletben foglaltaknak való megfelelés érdekében A megfelelő adatfeldolgozók kiválasztására és igénybe vételére vonatkozó kötelezettség Adatkezelői felelősség az adatfeldolgozóért Különös figyelemmel kell szerződni Elsősorban: őrzés-védelem, könyvelés, követeléskezelés Adatkezelési tevékenységek nyilvántartása Szoros összefüggésben van a hozzáférési és az adathordozhatósági joggal Alapvető fontosságú a megfeleléshez
Elszámoltathatóság elve Érintetti joggyakorlások biztosítása Adatvédelmi incidensek megfelelő kezelésére készített intézkedési terv 72 órán belüli bejelentési kötelezettség A büntetés mértékére nagy kihatással van az incidens-kezelés sikere Adatvédelmi hatásvizsgálat elvégzése Visszamenőleg nem szükséges Saját érdeke az adatkezelőnek, hisz fejben úgyis elvégzi, hát írja le! Adatvédelmi tisztviselő kijelölése Szervezeten belüli folyamatok kialakítása, napi kérdések megválaszolása, megfelelőség biztosítása, hatásvizsgálat, incidens kezelés Legyen hozzáértő! Összeférhetetlenség – hozzáértés - elérhetőség
Jogalapok Régi-új: Új: Hozzájárulás Törvény Jogos érdek Szerződés teljesítése Az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme Közérdekű adatkezelés vagy közhatalmi jogosítvány gyakorlása
Érintetti jogok Lényegesen szélesednek Régi-új jogok Új jogok: Tájékoztatáshoz való jog Nagy mértékben kiszélesíti a Rendelet Adatkezelés előtt, közben, és adattovábbítás esetén Törléshez való jog Helyesbítéshez való jog Új jogok: Hozzáférési jog Adathordozhatósághoz való jog
Büntetés, érintetti jogérvényesítés 20 millió euró, vagy ha az nagyobb, a globális árbevétel 4%-a Kötelező Érintetti jogérvényesítés Kártérítés: Pénzben mérhető kár Sérelemdíj: Nem vagyoni kár – jó hírnév, személyiségi jogok Minden érintett külön érvényesíthet
Leginkább érintett területek Munkavégzéshez kapcsolódó adatkezelés (cipőmérettől a fahéj érzékenységig; CV) Marketing tevékenység (direkt marketing, hírlevelek, nyereményjátékok) Marketing tevékenység és az értékesítés kölcsönös támogatása Ügyfelek/felhasználók adatainak a kezelése (weblapon történő regisztrálás) Profilozás, megfigyelés (IP cím, logolás, stb.) Jogosultságok meghatározása
Adatvédelmi audit Szervezet teljeskörű átvilágítása adatvédelmi szempontból Jog + IT (ahol szükséges) Személyes interjúk lefolytatása az érintett szervezeti egységekkel Vizsgálati jelentés Nem elég elvégezni az auditot, gyorsan változó jogterület Az audit és az az alapján létrehozott szabályzatok mit sem érnek, ha nincsenek betartatva!!!!
Miben tudunk segíteni? Szabályzatok elkészítése Auditok lefolytatása Adatvédelmi jogi tanácsadás Kapcsolódó jogi tanácsadás Adatvédelmi tisztviselői pozíció betöltése megbízásban Adatvédelmi képzések www.bovard.hu info@bovard.hu