Új EU Adatvédelmi rendelet (GDPR) 2018. május 25-től

Mint azt bizonyára már mindenki hallotta, 2018. május 25. napjától életbe lép az Unió új adatvédelmi rendelete a GDPR. Ez az adatvédelem egy új fajta megközelítése.

Sajnálatos módon úgy tűnik, hogy Magyarországon a vállalkozások eddig nem sok hangsúlyt fektettek erre a területre, viszont most ez megkerülhetetlen lesz.

Az új szabályozás majdnem minden gazdasági társaságot és egyéni vállalkozót érint. Mert hát valljuk be, ki az ma, aki nem kezel személyes adatot!?

Biztosítsuk a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez. Az adatkezelő illetőleg adatfeldolgozó szervezetén belül az adatkezeléssel összefüggő döntések meghozatalában közreműködő munkavállalók megfelelő felkészültsége elengedhetetlen az új adatvédelmi rendelet megfelelő alkalmazásához.

Tekintsük át az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Kövessük, rögzítsük az adatok sorsát. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal összhangba tudunk kerülni az általános adatvédelmi rendeletben lefektetett elszámoltathatóság elvével és biztosítani tudjuk a jogszerű adatkezelés vagy adatfeldolgozást.

Az érintett jogai kapcsán biztosítsuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően. Ügyeljünk arra, hogy ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve továbbá megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. A tájékoztatáshoz való jog előzetesen, az adatkezelés során annak megszűnéséig megilleti az érintettet.

Tekintsük át az érintett jogaira és a jogok érvényesítésére vonatkozó szabályokat. Ellenőrizzük az adatkezelési műveleteinket, hogy az érintettek jogai maradéktalanul érvényesülhessenek. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők: a rá vonatkozó személyes adatokhoz való hozzáférés; azok helyesbítése; törlése (az elfeledtetéshez való jog); kezelésének korlátozása; a profilalkotás és az automatizált adatkezelésen elleni tiltakozás; az adathordozhatósághoz való jog.

Tekintsük át a tájékoztatási kötelezettségre vonatkozó új szabályokat és teljesítési határidőket. Az új szabályok szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet.
A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva biztosítsuk az információs önrendelkezési jog érvényesülését. Ügyeljünk arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást. A hozzájárulás mint jogalap tehát egy hangsúlyosabb törlési kényszert jelent az adatkezelőre nézve.
Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáljuk meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés új adatvédelmi rendelet szerinti kritériumait illetően.

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. E magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége ugyan magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet.

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. 

Az adatvédelmi tisztviselő (DPO) kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

Fenti tájékoztató tükrében segítséget tudok nyújtani szabályzatok, tájékoztatók, nyilatkozatok elkészítésében, alapszintű tájékoztatás és oktatás a folyamat gyakorlati megvalósítása érdekében.

Cél, hogy a magas összegű bírságok, eljárási költségek és adott esetben kártérítés helyett megtegyük a preventív intézkedéseket!