általános adatvédelmi rendelet Oláh Norbert, PhD hallgató GDPR általános adatvédelmi rendelet Oláh Norbert, PhD hallgató
Mi a célja, mikor érvényes? A rendelet a személyes adatok kezelésének védelmére és a személyes adatok szabad áramlására szabályokat állapít meg. A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg. Érvényes ha a személyes adatokat automatizált vagy nem automatizált módon kezelik és ha az egy nyilvántartási rendszer részét képezi vagy szeretnék, hogy részét képezze.
GDPR alóli kivételek az uniós jog hatályán kívül eső tevékenységek; az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek; A személyes vagy otthoni tevékenységek; A bűncselekmények megelőzésére, nyomozására, felderítésére stb. vonatkozó adatok
Fogalmak személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; adatkezelés: a személyes adatokon végzett bármely művelet(pl a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, megváltoztatás, lekérdezés, törlés, stb). adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; adatfeldolgozó: az a természetes vagy jogi személy, vagy szerv, amely az adatkezelő nevében személyes adatokat kezel;
Érintett hozzájárulása Fontos az érintett hozzájárulása mivel csak ekkor lehet a személyes adatokat kezelni. Definíció: ”az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez” Javasolt a weblapon elhelyezni egy a weblapra, hírlevélre, illetve e-mailre vonatkozó adatkezelési tájékoztatóra mutató linket
Érintett hozzájárulása Magyarul a feliratkozó személy maga pipálja ki a bejelölő négyzetet, mert így kizárt annak lehetősége, hogy a feliratkozó tekintete véletlenül átsiklik egy már bejelölt négyzet felett. Hasonló módon egy bejelölő négyzetet kell elhelyezni a weblapon, amelyben a feliratkozó nyilatkozik, hogy a tájékoztatást megismerte. Fontos, hogy e nélkül ne lehessen az e-mailre feliratkozni.
Személyes adatok kezelése Különösen fontos a webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, azokat törölni kell az ügylet végeztével. Ha hírleveleket is akarnak küldeni -> külön hozzájárulás is szükséges. Az adatbázisban tárolt adatokat nem lehet felhasználni a gyűjtésük céljától (vásárláshoz szükséges adatok) eltérő célokra.
Személyes adatok kezelése Ha az érintett személy kifejezett hozzájárulását adja személyes adatai más célú további tárolásához is. Jelenleg a leggyakrabban alkalmazott szabadforrású rendszerek a következőkre biztosítanak lehetőséget: rendelés követése, korábban megrendelt áruk újrarendelése, korábbi rendelések megtekintése. Na most ha ezeket kitöröljük, akkor ezek a maguktól értetődő, egyértelmű funkciók elvesznek. Az ügylet végeztét ezért definiálni kell.
Adatok kezelésével kapcsolatos tudnivalók A látogatói tevékenységre vonatkozó információk személyes adatnak minősülnek, amennyiben azok az érintett személlyel összefüggésbe hozhatóak. Így erre egy külön adatvédelmi tájékoztatóban fel kell hívni a figyelmet és hozzájárulást kell kérni az ilyen adatok tárolásához. Egy űrlapon lévő adatokat tárolása is csak a felhasználó beleegyezése után lehetséges. A tárolt adatokat titkosítással kell védeni, amennyiben a tárolásra megengedett idő lejárt. Ebben az esetben gondoskodni kell arról, hogy a személyes adatokat ne lehessen az érintettel többé kapcsolatba hozni.
Fejlesztőknek Az elfogadásnak(hozzájárulásnak) kifejezettnek kell lennie. A vélelmezett elfogadás nem állja meg a helyét. ( pl ha a látogató az oldalon legörget minimum 20%-ot) A jogi kérdés, hogy kinek a felelőssége a programozás-technikai megoldás. Célszerű a weboldal készítését megelőzően a készítővel olyan szerződést kötni, amely tartalmazza, hogy a készítő vállalja a felelősséget a weboldal GDPR-megfelelésére. (pl az alsó cookie sáv elfogadásáig az analytics kód nem is töltődhetne be, ha mégis akkor büntethető lesz az oldal tulajdonosa)
Ügyfelek jogai Tájékoztatáshoz való jog, Hozzáféréshez való jog, Adatok helyesbítésének kérése, Törléshez való jog, Az adatkezelés korlátozásához való jog, Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, Tiltakozáshoz való jog
Adatvédelmi tisztviselő feladata Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó kötelezettségeikkel kapcsolatban; Ellenőrzi a rendeletnek való megfelelést a személyes adatok védelmével kapcsolatos belső szabályoknál szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan együttműködik és kapcsolattartó pontként szolgál a felügyeleti hatósággal
Adatvédelmi tisztviselő szükséges Közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok megfigyelése esetén (pl. kórház).
Magyar vonatkozás Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Adatkezelési tájékoztatót vagy adatvédelmi szabályzatot egyedileg kell elkészíttetni, mert nincs két egyforma adatkezelő. Adatvédelmi tájékoztatónak tartalmaznia kell a kompetens bíróság és a NAIH elérhetőségét valamint annak részletezését, hogy milyen jogsértés esetén melyikhez lehet fordulni Az adatvédelmi bejelentés :https://www.naih.hu/bejelentkezes.html 2018. május 25. napjától nem szükséges már az adatvédelmi nyilvántartásba történő bejelentkezés. Jelenleg ugye kategóriánként kell NAIH számot kérni.
Érdekességek A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya. A bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. Az adatbázissal kereskedni, azt értékesíteni nem lehet, így nem lehet pl. egy cipő-webshop adatbázisát az akár azonos tulajdonosi körrel rendelkező pl. utazási iroda céljaira felhasználni.