GDPR’ 2019 II. Magyar Magánbiztonsági konferencia Előadó: Antal Tibor ATASI TEAM Kft. ügyvezető www.ezGDPR.hu Augmented Standard Institute Alapítvány Kuratóriumi elnök www.ATASI.org

Az előadás témái A GDPR egyes fogalmainak értelmezése A Vagyonvédelem és a 2019-es törvénymódosítások A megoldás bemutatása II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Az előadásban érintett fogalmak A GDPR egyes fogalmainak értelmezése Az előadásban érintett fogalmak Jogos Érdek Az adatok kezelésbe vétele szempontjából Érdekmérlegelési teszt Történet, a jelenlegi helyzet Adatkezelési szabályzat Annak lényege és tartalmi elemei Adatvédelmi Tisztviselő Elvárások a pozíció betöltésével kapcsolatban II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

A GDPR egyes fogalmainak értelmezése: a Jogos Érdek Kérdés: Hogyan kezelhető jogszerűen a nem az érintett által közzétett Személyes Adat? Válasz: Összesen négyféle eset lehetséges: Egy magánszemély kezeli azokat mindenféle üzleti és szakmai célt kizárva, Az érintett hozzájárult azok kezeléséhez, Azok kezelése jogszabály miatt kötelező, vagy hatósági engedély teszi lehetővé azok kezelésbe vételét, Azok egy érdek érvényesítéséhez szükségesek. Miért került kiemelésre a negyedik fogalom? II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Mert a kezelés, és a kezelésbe vétel nem ugyanazt a fogalmat takarja. A GDPR egyes fogalmainak értelmezése: a Jogos Érdek Mert a kezelés, és a kezelésbe vétel nem ugyanazt a fogalmat takarja. Kérdés: Hogyan vehető jogszerűen kezelésbe az értintett által közzé nem tett Személyes Adat? Válasz: Összesen háromféle eset lehetséges: Egy magánszemély veszi kezelésbe azokat mindenféle üzleti és szakmai célt kizárva, Az érintett hozzájárulása alapján veszik azokat kezelésbe, Azok kezelése jogszabály miatt kötelező, vagy hatósági engedély teszi lehetővé azok kezelésbe vételét Miért tűnt el a negyedik fogalom? II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

A GDPR egyes fogalmainak értelmezése: a Jogos Érdek Mert érdekre hivatkozva nem lehet elsődlegesen kezelésbe venni a Személyes Adatokat Kérdés: Miért? Válasz: Azért, mert a kezelésbe vétel feltételei az alábbiak: az adatok kezelésbe vételéhez való hozzájárulásnak mindig önkéntesen kell lennie, azt mindig előzetes tájékoztatásnak kell megelőznie, aminek tömörnek és közérthetőnek kell lennie, ha az adatok kezelését nem egy jogszabály írja elő. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Az érdekmérlegelési teszt A GDPR egyes fogalmainak értelmezése: az érdekmérlegelési teszt Az érdekmérlegelési teszt Kérdés: Miért volt erre a dokumentumra szükség? Válasz: Azért, mert: a személyes adatok kezelése engedélyhez volt kötve, amihez a teszt elvégzését előírta a NAIH akkor, amikor a munkahelyi megfigyelések során egyensúlyt kellett teremteni a különböző jogszabályokban előírt jogok és kötelezettségek között amit a hatóság számára kellett bemutatni, és annak meglétét kellett igazolni a munkavállalók számára, mert ennek alapján engedélyezte az adatkezelést a Hatóság. Kérdés: Megfelelhet ez a logika a GDPR-nak? Válasz: Nem, mert: az nem tömör és közérthető, ezért ahhoz még írásban sem lehet hozzájárulást kérni és kapni. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Mikor kell az érdekekre figyelni? A GDPR egyes fogalmainak értelmezése: az érdekmérlegelési teszt Mikor kell az érdekekre figyelni? Amikor a jogalkotó a Személyes Adatok kezeléséhez kapcsolódó, azt érintő jogszabályt alkot, vagy módosít, Amikor valaki Adatkezelőként előírásokat alkot meg, A három éves felülvizsgálati rend keretében, Amikor valaki adatokat kezel, vagyis folyamatosan, és különösen akkor, amikor: Az érintett hozzájárulásának a hiányában adják át valakinek a Személyes Adatait egy érdek érvényesítése érdekében. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Mikor állhat elő ilyen helyzet? A GDPR egyes fogalmainak értelmezése: az érdekmérlegelési teszt Mikor állhat elő ilyen helyzet? Ha a nem fizető ügyfél adatait átadják egy ügyvédnek, vagy közjegyzőnek a tartozás behajtásának érdekében, Amikor minden jogi út lezárulása után, vagy helyett a követelést eladják egy követeléskezelő számára, Amikor hatósági megkeresés érkezik például a videorögzítő felvételének a megőrzése és átadása érdekében, Katasztrófák, bűnmegelőzés, életvédelem, Jogalkotással írják elő az Adatkezelést, vagy továbbítást, Amikor a könyvelést külső vállalkozó, vállalkozás végzi el. Vagyis meglehetősen gyakran, viszont: II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

a Jogos Érdek egy kötelezettség, elvárás, és nem jogalap. A GDPR egyes fogalmainak értelmezése: az érdekmérlegelési teszt Ezek csak az Adatkezelő által jogszerűen kezelt Személyes Adatokra vonatkozhatnak, és ha kell, akkor az átadás előtt az Adatkezelő elkészíti akár minden egyes esetre nézve azt az Adatvédelmi Hatásvizsgálatot, ami kitér az érintett jogaira, az informatikai és adatbiztonsági elvárásokra, a szerződési feltételekre és azoknak eleget is tesz. Összefoglalva Ha egy adatkezelő az érdekmérlegelési tesztre, vagy “jogos érdekre” hivatkozva kívánja elsődlegesen kezelésbe venni egy magánszemély adatait, az biztosan téved, mert: a Jogos Érdek egy kötelezettség, elvárás, és nem jogalap. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Adatok jogszerű kezelésbe vétele A GDPR egyes fogalmainak értelmezése: az érdekmérlegelési teszt Adatok jogszerű kezelésbe vétele Jogszabályi kötelezettség Hozzájárulással ADATKEZELŐ Jogszabályi kötelezettség Hozzájárulással Jogos Érdek ADATKEZELŐ ADATFELDOLGOZÓ Jogszabályi kötelezettség Hozzájárulással II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Az adatkezelési szabályzat új neve: A GDPR egyes fogalmainak értelmezése: az adatkezelési szabályzat Az adatkezelési szabályzat új neve: GDPR Éppen ezért azt nem is kell senkivel elfogadtatni. Ez a törvény. Mikor kell tehát Információbiztonsági Szabályzatot alkotni? amikor az adatok mennyisége, vagy a kockázat magas marad az Adatvédelmi Hatásvizsgálat elvégzése után is, és ez az a szabályzat, amit szigorúan bizalmas üzleti titokként kell kezelni, vagyis teljesen nyilvánvaló, hogy annak az elfogadásához nem lehet hozzájárulást kérni. És ezért sem lehet sem “jogos érdekre”, sem érdekmérlegelési tesztre hivatkozva Személyes Adatok kezelését kikényszeríteni. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Kiből lehet Adatvédelmi Tisztviselő? A GDPR egyes fogalmainak értelmezése: az Adatvédelmi Tisztviselő Kiből lehet Adatvédelmi Tisztviselő? Aki az Adatkezelő Adatkezeléséhez ért aki ennek keretében, a vállalkozás szakterületén ért a személyiségi jogokhoz, ért a szervezési és irányítási feladathoz, az Adatvédelmi Hatásvizsgálatokhoz, az eredményének értékeléséhez, szükség esetén meg kell válaszolnia azokat a leveleket, amiket egy érintett a számára megküld, és segíteni kell a vállalkozást a nem hozzá címzett levelekre adandó válaszok elkészítésében, amely válaszoknak minden egyes esetben közérthetőnek, és lehetőség szerint tömörnek is kell lennie. A Különleges Adatok kezelésénél való Jogos Érdekre hivatkozás esetén ő lesz, aki felügyeli a megvalósítást, a feltételrendszert. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Összefoglalás A GDPR egyes fogalmainak értelmezése - összefoglaló Jogos Érdek Ezzel a címszóval nem lehet adatok kezelését megkezdeni, arra bárkit kényszeríteni, azt állítani, hogy erre hivatkozva az adatait meg kell adni. Érdekmérlegelési teszt Ebben a formában nem értelmezhető, mert azt sem a GDPR, sem az InfoTV nem ismeri. A helyes értelmezés: Adatvédelmi Hatásvizsgálat, ami az érintett érdekeit és jogainak megvalósítást nem a Jogos Érdek értelemben vizsgálja. Adatkezelési szabályzat Ha ezekre szükség lesz, akkor ezek lesznek a GDPR alapján az Iratkezelési szabályzatok, az Irattári szabályzatok és az Információbiztonsági szabályzatok. Adatvédelmi Tisztviselő Aki a vállalkozás Adatkezelésének informatikai és jogi felügyeletéhez ért. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

A Vagyonvédelemélem és a 2019-es törvénymódosítások A szakmát érintő, az Szvmt.-n kívüli fontosabb jogi változások a 2019 évi XXXIV. törvényben EÜAK módosítása, Egészségügyi Adatok kezelése Képfelvételek, hangfelvételek az elhunytak EÜ adatai tekintetében Az Egészségügyi Adatok kezelése az érintett hozzájárulásához kötött A Szaztv. Módosítása, a személyes azonosítók kezelése Személyi szám Beléptetés Mt. módosítása Munkavállóai biometrikus adatok kezelése ide került át, nevesítve, hogy azok kezelése mely esetekben követelhető meg Kezelhetővé váltak a bűnügyi adatok, például az erkölcsi bizonyítvány Saját tulajdonú eszközök (BYOD) üzleti célú használatának ellenőrzési jogának biztosítása a munkáltató számára A települési jegyzők felhatalmazása a NAIH nevében való eljárásra II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Az Szvmt.-t érintő változások a 2019 évi XXXIV. törvényben A Vagyonvédelemélem és a 2019-es törvénymódosítások Az Szvmt.-t érintő változások a 2019 évi XXXIV. törvényben Jegyzőkönyvezési kötelezettség a Tht. és az Lszt. Alapján Eddig ezt a kérdést is az Szvmt. szabályozta, ezek a rendszerek most már az Szvmt. hatályán kívül állnak. A vagyonőr már csak magánterületen alkalmazhat videorögzítőt Az eddigi szokásjogot az egyértelmű tiltás váltotta fel. Megszűnt a videomegfigyelő rendszerek szabályozása Az a furcsa helyzet, hogy az eddigiekkel szemben megfordult a szabály, az Mt. alapján lehet videorögzítőt üzemeltetni, az Szvmt. alapján nem. A beléptetés szabályrendszerének eltörlése Ezentúl a szabály az, hogy csak akkor alkalmazható beléptetés, ha azt egy jogszabály, vagy a megbízó előírja. Önállóan erről nem dönthet a vagyonvédelmi vállalkozás. A magánnyomozók által gyűjthető adatok kiterjesztése Ezentúl kezelhetnek Különleges Adatokat is, de az EÜAK módosítása miatt az Egészségügyi Adatok kezeléséhez az érintettnek, vagy az érintett felhatalmazásával bírónak is hozzá kell járulnia. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Beléptetés Magánszemély ADATKEZELŐ A Vagyonvédelemélem és a 2019-es törvénymódosítások: következmények Beléptetés Adat minimumra törekvés Adatkezelés időtartama Magánszemély Megbízó utasítása Jogszabályi kötelezettség Jogos Érdek ADATKEZELŐ II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Videorögzítő rendszerek A Vagyonvédelemélem és a 2019-es törvénymódosítások: következmények Videorögzítő rendszerek Adat minimumra törekvés Adatkezelés időtartama Magánszemély Ráutaló magatartás Jogos Érdek Hozzájárulással ADATKEZELŐ II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Magánnyomozás ADATVÉDELMI TISZTVISELŐ ADATKEZELŐ A Vagyonvédelemélem és a 2019-es törvénymódosítások: következmények Magánnyomozás ADATVÉDELMI TISZTVISELŐ MEGBÍZÓ Adat minimumra törekvés Magánszemély? Jogi személy? Adatkezelés időtartama Ráutaló magatartás Jogos Érdek Hozzájárulással ADATKEZELŐ II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

A liberalizáció, a törvényi szabályozatlanság következményei Összefoglaló Néhány kivételtől eltekintve eltörölték a videorögzítő rendszerek üzemeltetésének a jogalapjait, és azok szabályozását is Ennek megfelelően bár már tetszőleges címszóval, sőt akár egyszerre többel is lehet ilyen rendszereket alkalmazni, de ezeket a Célokat már külön, egyesével mérlegelni kell abban az értelemben, hogy azok arányban állnak-e az érintettek személyiségi jogainak a korlátozásával, illetve azt is, hogy azoknak a kezelése, őrzése biztosított-e Eltörölték a beléptetés szabályrendszerét Eltörölték a videofelvételek és a beléptetési adatok kötelező tárolási és törlési határidejét Eddig az Szvmt. vagyonvédelmi cél esetén három munkanapot, a pénzkezeléssel, terrorizmussal, közlekedéssel, élet és balesetvédelemmel kapcsolatban 30/60 napot írt elő, ami se több, se kevesebb nem lehetett. Most bármekkora lehetne, ha azt a GDPR alapján meg lehetne indokolni. A magánnyomozói munka liberalizálásra került Látszólag, mert abból, hogy szinte már bárkivel kapcsolatban lehet szinte bármilyen adatot gyűjteni, az csak az üzleti kockázatokat növelte meg II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

A megoldás bemutatása: a Munkacsoport és a Magatartási Kódexek A GDPR lehetővé tette a Magatartási Kódexek megalkotását Aminek az elkészítésére létrejött az a Munkacsoport, aminek a tagjait az SzVMSzK, a Kabinet Kft., az ATASI Kft., Az Augmented Standard Institute Alapítvány és a Nemzeti Közszolgálati Egyetem Rendészeti és Önkormányzati Tanszékének oktatói adják A Munkacsoport megkezdte a munkáját, a kódexek elkészítése és annak Tanúsításáról megkezdődtek az egyeztetések a NAIH Elnökével Miért lesz ez jó az Önök számára? Azért, mert ezekben a Magatartási Kódexekben lehetőség lesz a törlési határidőre, a működési modellre vonatkozó szabályozás megalkotására Megvalósítható a videorögzítő és beléptető rendszerek üzemeltetésére vonatkozó általános szabályrendszer kialakítása A Magatartási Kódexhez való csatlakozás önkéntes. Viszont a szükséges tudás megszerzése után a minősített vállalkozások lehetőséget kapnak arra, hogy más vállalkozások számára egy helyszíni felmérés alapján üzleti alapon biztosíthassák egy gyorsított megfeleltetéssel: Az Adatvédelmi Hatásvizsgálat dokumentációját, és Az Információbiztonsági Szabályzatot. II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Résztvevők és feladatok A Magatartási Kódexek létrehozó Munkacsoport szereplői és feldatai Résztvevők és feladatok NKE Tudományos megalapozás Szakmai anyag Rendszerterv Vagyonvédelmi GDPR ezGDPR.hu ATASI® Alapítvány Szakmai Kollégium, Kabinet Kft. Szakértők képzése, Kódex felügyelet NAIH Tanúsítás, Akkreditálás SzVMSzK Rendszer felügyelet Ellenőrzések II. Magyar Magánbiztonsági konferencia, előadó: Antal Tibor Jogi információ: https://atasi.org/legal.html ©2019, ATASI®

Köszönöm a figyelmüket! Előadott: Antal Tibor ATASI TEAM Kft. ügyvezető www.ezGDPR.hu Augmented Standard Institute Alapítvány Kuratóriumi elnök www.ATASI.org Viszontlátásra! www.ezGDPR.hu www.ATASI.org