Felkészítés az új adatvédelmi rendeletre – GDPR

Mi az a GDPR? Az Európai Unió új adatvédelmi szabályozása (2016/679. Általános Adatvédelmi Rendelet – General Data Protection Regulation). 2018. május 25-től alkalmazandó (jelenleg is hatályos). Az Unió minden tagállamára egyaránt kötelező érvényű. Cél: a magányszemélyek személyes adatainak védelme. Elvárás: minden vállalat és intézmény korszerű jogi, szabályozási és informatikai megoldásokat alkalmazzon az általuk kezelt személyes adatok rendszerbe és folyamatba épített védelme érdekében, megfelelve a rendeletben előírtaknak. Illetéktelen adathozzáférés esetén a büntetés mértéke: a globális éves árbevétel 2-4%-a vagy 10-20 M EUR (és üzleti hírnév veszteség).

Személyes adat – különleges személyes adat Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Személyes adatok példái: Név, születési adatok, lakcím, egészségügyi adatok (különleges adat), jövedelemre, megtakarításokra, hitelre vonatkozó adatok, ingatlannal, ingóságokkal kapcsolatos adatok, informatikai adatok: IP cím, böngésző szoftverek, helymeghatározás, online azonosítók, vásárlási adatok, szállodai foglalások, vallási és nemzeti hovatartozás adatai Különleges személyes adatok példái: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok. Gyűjtésük tilos!

Kire vonatkozik? Minden, az Unióban tevékenységi hellyel rendelkező adatkezelőre vagy adatfeldolgozóra - függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem (ingyenes szolgáltatásra is). Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

A személyes adatok kezelésére vonatkozó elvek Jogszerűség, tisztességes eljárás és átláthatóság: az érintett számára átlátható módon kell végezni az adatkezelést Célhoz kötöttség: csak meghatározott, egyértelmű és jogszerű célból történhet, (kivéve: közérdekű archiválás, tudományos és történelmi kutatási cél, statisztika) Adattakarékosság: szükségesre kell korlátozni (regisztráció esetén csak a feltétlenül szükséges adatokat lehet elkérni) Pontosság: pontosnak és szükség esetén naprakésznek kell lenniük, a pontatlan személyes adatokat haladéktalanul törölni vagy helyesbíteni kell Korlátozott tárolhatóság: az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tárolhatóak (kivéve: közérdekű archiválás, kutatás) Integritás és bizalmas jelleg: biztosítva legyen az adatok biztonsága, jogosulatlan/ jogellenes kezelés, véletlen elvesztés/megsemmisítés/károsodás elleni védelme Elszámoltathatóság: az adatkezelő felel a fenti elveknek való megfelelésért, továbbá képesnek kell lennie e-megfelelés igazolására.

Hozzájárulás feltételei Amennyiben az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett hozzájárult személyes adatainak kezeléséhez Ha a nyilatkozat más ügyekre is vonatkozik, akkor egyértelműen megkülönböztethető módon kell azokat feltüntetni egyszerű nyelvezettel Minden adatkezelési célhoz külön hozzájárulás kell: a hallgatás vagy előre bejelölt négyzet nem minősül hozzájárulásnak! A hozzájárulásnak bármikor visszavonhatónak kell lennie, de ez nem érinti a visszavonás előtti adatkezelés jogszerűségét

Gyermek hozzájárulására vonatkozó feltételek A közvetlenül gyermekeknek kínált szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Az érintett jogai Érintett: a magánszemély, akinek az adatait kezelik. Átlátható tájékoztatáshoz való jog: tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani Hozzáférés joga: az érintett jogosult megtudni, hogy adatainak kezelése folyamatban van-e (cél, adatkategóriák, címzettek, időtartam, forrás, profilalkotás) Helyesbítéshez való jog: kérésre az adatkezelőnek indokolatlan késedelem nélkül helyesbítenie kell az érintettre vonatkozó pontatlan személyes adatokat Törléshez való jog: kérésre az adatkezelőnek indokolatlan késedelem nélkül törölnie kell az érintettre vonatkozó személyes adatokat (visszavonja a hozzájárulást, megszűnt a cél) Adatkezelés korlátozásához való jog: az érintett kérésére (adatok pontossága, jogellenesség, tiltakozás) Adathordozhatósághoz való jog: az érintett az adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja és/vagy az adatokat egy másik adatkezelőnek továbbítsa. Kérheti a személyes adatainak adatkezelők közötti közvetlen továbbítását. Tiltakozáshoz való jog: az érintett bármikor tiltakozhat személyes adatainak kezelése ellen, ha az üzletszerzés vagy profilalkotás érdekében/az adatkezelő v. harmadik fél jogos érdekében történik.

Profilalkotás Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. A különleges személyes adatokat célzó profilalkotás csak meghatározott feltételek mellett engedélyezett. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e-célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Az adatkezelés biztonsága Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre, hogy a személyes adatok kezelése a GDPR-rendelettel összhangban történjen - ennek részeként adatvédelmi szabályzatot alkalmaz. A  megfelelő szintű adatbiztonság garantáláshoz az adatkezelő: elvégzi a személyes adatok álnevesítését és titkosítását biztosítja a szolgáltatás folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét incidens esetén elérhetővé teszi a személyes adatokhoz való hozzáférést, és a kellő időben való visszaállítási lehetőséget rendszeres teszteléssel ellenőrzi az adatkezelés biztonságát

Adatkezelési tevékenység nyilvántartása Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. Nem kell nyilvántartást vezetni a 250 főnél kevesebb személyt foglalkoztató vállalatoknál, ha az adatkezelés az érintettek jogaira nézve valószínűsíthetően nem jár kockázattal vagy az adatkezelés alkalomszerű.

Adatvédelmi incidens és jelentése A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a rendelet követelményeinek való megfelelést. Az adatkezelő indokolatlan késedelem nélkül, legkésőbb 72 órával azután köteles bejelenti az illetékes hatóságnak, hogy az adatvédelmi incidens a tudomására jutott. Az adatfeldolgozónak indokolatlan késedelem nélkül kell jelentenie az adatkezelő felé. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Közös adatkezelők Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az GDPR-rendelet szerinti feladatok megosztását, különös tekintettel az érintettekkel szembeni szerepeket és a velük való kapcsolatukat. Az érintett a megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e-rendelet szerinti jogait.

Harmadik országba történő továbbítás Az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

Hatásvizsgálat Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelést megelőzően hatásvizsgálatot kell végezni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az köteles kikérni annak szakmai tanácsát. Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni: automatizált adatkezelés – ideértve a profilalkotást is – esetén különleges adatok nagy számban történő kezelése esetén nyilvános helyek nagymértékű, módszeres megfigyelése esetén

Adatvédelmi tisztviselő (DPO) Az adatkezelő és az adatfeldolgozó DPO-t jelöl ki minden esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, érintettek rendszeres és szisztematikus, nagymértékű megfigyelését végzi, különleges adatot kezel (9. cikk) Jogállása: a DPO lehet alkalmazott/vállalkozó, de más feladataival nem lehet összeférhetetlenség, tevékenységével kapcsolatosan nem szankcionálható, a legfelsőbb vezetésnek jelent. Feladatai: biztosítja a Rendelet alapelveinek és az érintettek jogainak érvényesülését, ellenőriz, tájékoztatja és szakmai tanácsot ad az adatkezelést végző terület számára, kérésre tanácsot ad az adatvédelmi hatásvizsgálattal kapcsolatban, együttműködik a felügyeleti hatósággal és konzultációt folytat vele.

Feladatok GDPR kapcsán - összefoglalás Adatvédelmi tisztviselő szükségességének megállapítása Adatkezelési nyilvántartás vezetése Adatvédelmi szabályzat felülvizsgálata/elkészítése, minimum az érintettek jogait tartalmazó adatvédelmi tájékoztató elkészítése, vevőtájékoztatók felülvizsgálata Adatvédelmi incidens jelentése, dokumentálása, megoldása, érintettek tájékoztatása Adatkezelők GDPR megfelelőségének ellenőrzése, szerződések felülvizsgálata (titoktartás)

Feladatok GDPR kapcsán - összefoglalás Adatkezelési folyamatok azonosítása, jogszerűségének vizsgálata Adatkezelés jogosságának bizonyítási képessége érintett felé Jogalapok vizsgálata, azok változásainak azonosítása Hatásvizsgálat elvégzése (szükség esetén) Személyes adatok kezelésére vonatkozó elveknek való megfelelés Érintettek adatkezeléshez kapcsolódó jogaiknak biztosítása, azok vizsgálata adatkezelési folyamatonként Érintettek panaszkezelése Közös adatkezelés esetén a feladatleosztás szerződésben rögzítve

Feladatok GDPR kapcsán - összefoglalás Érintettek tájékoztatása ha a személyes adatokat az érintettől gyűjtik ha a személyes adatokat nem az érintettől szerezték meg Információbiztonság biztosítása, informatikai felülvizsgálat az adatok megfelelő védelme a kockázati szinteknek megfelelően alkalmazott rendszerek bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása hozzáférés menedzsment cél-jogalap összefüggésben kell csoportosítani az érintetteket tartalmazó adatbázist Pl.: hírlevél küldés hozzájárulás és jogos érdek alapján

Feladatok GDPR kapcsán - összefoglalás Régi adatbázisok felülvizsgálata Megfelel-e az adatkezelési elveknek? (adattakarékosság) Jogosan tároljuk-e? Amennyiben megváltozik az adatkezelés célja, arról tájékoztatni kell ez érintettet! A rendeletben foglaltaknak való megfelelés kapcsán felmerülő egyéb feladatok

Hírlevél feliratkozás/küldés - összefoglalás Adatkezeléssel érintett: a felhasználó, aki a webhelyen hírlevélre feliratkozik, vagy az Adatkezelővel írásban (szerződéskötéssel vagy nélkül), papíron a hírlevél küldéséhez hozzájárul. Adatkezelés jogalapja: GDPR 6. cikk (1) bek. a) pontja és Grt. 6. par. (1) és (2) bek. alapján a Felhasználó előzetes egyértelmű és kifejezett hozzájárulása. Az Adatkezelési tájékoztató elfogadása feltétele a feliratkozásnak! Kezelt adatok köre: vezetéknév, keresztnév, e-mail cím. Adatkezelés célja: hírlevelek küldése e-mail útján NAIH bejelentés kötelező! Adatkezelés időtartama: Felhasználó hozzájárulásának visszavonásáig (leiratkozás) Bármikor, indoklás nélkül! Az adatok Felhasználó kérésére történő törléséig. Adatok tárolása Adatkezelő informatikai rendszerében elkülönülő adatkezelési listán és tilalmi listán! Papír alapú szerződések/nyilatkozatok lefűzésével.

Adatfeldolgozó igénybevétele - összefoglalás Adatkezeléssel érintett: a felhasználó, aki a webhelyet meglátogatja az ott kínált szolgáltatások igénybevételétől függetlenül, ideértve azokat is, akik hírlevél küldéséhez hozzájárultak. Adatfeldolgozó: Webtárhely szolgáltatója Webtárhely fejlesztője / technikai karbantartó (adatfeldolgozó) Adatfeldolgozás jogalapja: GDPR 6. cikk (1) bek. a) pontja a Felhasználó önkéntes hozzájárulása. Kezelt adatok köre: vezetéknév, keresztnév, e-mail cím, telefonszám, postacím. Adatfeldolgozás célja: webhely információtechnológiai értelemben vett működésének biztosítása. Kizárólag az üzemeltetéshez szükséges technikai műveletek. Adatfeldolgozás időtartama: Felhasználó hozzájárulásának visszavonásáig (leiratkozás) Az adatok Felhasználó kérésére történő törléséig.

Adattovábbítás online fizetéskor - összefoglalás Adattovábbítással érintett: a felhasználó, aki a webhelyen online fizetési módot választ. Adattovábbítás címzettje : Online fizetési szolgáltatás szolgáltatója (pénzintézet) Webtárhely fejlesztője / technikai karbantartó (adatfeldolgozó) Adattovábbítás jogalapja: GDPR 6. cikk (1) bek. a) pontja a Felhasználó önkéntes hozzájárulása. Továbbított adatok köre: felhasználónév, vezetéknév, keresztnév, ország, e-mail cím, telefonszám. Adattovábbítás célja: a fizetési tranzakció technikai értelemben vett lebonyolítása, Tranzakciók visszaigazolása, Fraud-monitoring végzése a Felhasználók védelme érdekében, Ügyfélszolgálati segítségnyújtás a Felhasználók részére.

Weboldal felkészítése - összefoglalás SSL tanúsítvány beállítása Adatkezelési szabályzat Cookie szabályzat és Adatkezelési Tájékoztató elkészítése és közzététele közérthető nyelven és jól látható módon! Cookie notification elkészítése: felugró ablak/sáv, a Felhasználó nyilatkozik, hogy elfogadja a sütik használatát vagy nem. Amennyiben nem fogadja el akkor meg kell tagadni tőle a belépést. Nyilatkozatok: minden űrlapon a Felhasználónak nyilatkoznia kell, hogy hozzájárul az adatai kezeléséhez, egyértelműen jeleznie kell, hogy elfogadja azt. A nyilatkozatokat meg kell őrizni a bizonyíthatóság érdekében! Adatok letöltése és törlése: a Felhasználónak biztosítani kell az adatai törlésének jogát, emellett meg kell tudnia tekinteni és le kell tudnia tölteni a személyes adatait.

KEMIBO Kft. szolgáltatásai – GDPR felkészítés

KEMIBO Projekt Kft. szolgáltatásai – GDPR felkészítés Cél: A kockázat minimalizálása A jelentős mértékű büntetés és az ezzel járó presztízsveszteség elkerülése. GDPR felkészítő csomag: Konzultáció, a folyamatok felmérése és GAP analízis alapján annak azonosítása, hogy a céget milyen elvárásoknak és kötelezettségeknek kell megfeleltetni, Adatkezelési nyilvántartás elkészítése, Adatvédelmi és kamerahasználati (ha szükséges) szabályzat felülvizsgálata/elkészítése, Adatvédelmi tájékoztató elkészítése, vevőtájékoztatók felülvizsgálata, Adatvédelmi incidens jelentés elkészítése, Adatkezelők és adatfeldolgozók GDPR megfelelőségének nyilatkoztatása, szerződések felülvizsgálata Kiegészítő szolgáltatások: Minősített és dokumentált adattörlés és adatmegsemmisítés Informatikai audit elvégzése

KEMIBO Projekt Kft. szolgáltatásai Prémium minőségű használt hardverek értékesítése prémium minőségű gépek 12-24 hónap garanciával, REMARKETED/RENEW és REFURBISHED gépek: az árak tartalmazzák az operációs rendszer árát, melyet a kért nyelven előre telepítünk, a szállítás díjmentes az ország és a környező országok területén belül, felújított szerverekkel, nyomtatókkal is foglalkozunk, új projektorokat és interaktív táblákat is kínálunk – egyedi ajánlat alapján. Szoftver értékesítés Microsoft és Adobe transzferált licencek kereskedelme SAP környezet optimalizálás optimális SAP licenc környezetet és felhasználás kialakítása Dokumentált és minősített adattörlés és adathordozó megsemmisítés Informatikai eszközök és üzletkritikus rendszerek garanciájának meghosszabbítás

KÖSZÖNÖM A FIGYELMET! Software & Hardware Trade Márton Zita KEMIBO Projekt Kft. Software & Hardware Trade Márton Zita kereskedelmi és ügyfélkapcsolati igazgató Tel.: +36 70 866 7900 E-mail: marton.zita@kemibo.hu www.kemibo.hu