GDPR közérthetően - 2. rész

2017/10/23

Előző cikkünket folytatva tovább elemezzük a GDPR rendeletben leírtakat. Ebben a részben az érintettek jogait, az adatvédelmi irányítási rendszert illetve az adatvédelmi incidenseket boncolgatjuk.

 

 

Az érintettek jogai

 

Az adatkezelők tevékenységének transzparensebbnek kell lennie az érintettek számára, akik többlet jogokat kapnak az adataik feletti közvetlenebb rendelkezés révén, a hozzáférési jogon, a helyesbítési és a törlési jogon keresztül.

 

Átlátható tájékoztatás

A természetes személyek jogosultak a személyes adatik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni, így különösen:

 

  • az adatkezelő kilétéről és elérhetőségéről

  • az adatvédelmi tisztviselő elérhetőségeiről

  • a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról

  • a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekről

  • a személyes adatok címzettjeiről

  • az EU-n kívülre történő adattovábbítás esetén a megfelelő garanciákról

  • az adatkezelés tervezett időtartamáról

  • az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról

  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról

  • arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása

  • az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.

 

Hozzáférési jog

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen köteles az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. Mindez nem érintheti hátrányosan mások jogait és szabadságait.

 

A helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

 

A törléshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

 

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték

  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja

  • az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre

  • a személyes adatokat jogellenesen kezelték.

 

Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha

 

  • az érintett vitatja a személyes adatok pontosságát

  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését

  • az adatkezelőnek már nincs szüksége a személyes adatokra, de az érintett igényli azokat jogi igények érvényesítéséhez.

 

Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik.

 

Automatizált adatkezelés

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely őt jelentős mértékben érintené.

 

Teendők

 

  • az adatvédelmi nyilatkozatok áttekintése

  • megvizsgálni az üzleti folyamatokat az érintettek hozzáférési joga szempontjából

  • az adathordozhatósághoz és az adatkorlátozáshoz való jognak történő megfelelés vizsgálata

  • az informatikai rendszereknek a törléshez való jog szerinti átalakítása, különös tekintettel a biztonsági mentésekre.

 

 

Adatvédelmi irányítási rendszer

 

A rendelet által bevezetett új kötelezettséget jelent, hogy az „elszámoltathatóság” elvének megfelelően az adatkezelő nemcsak, hogy felelős a GDPR-nak való megfelelésért, hanem képesnek kell lennie e megfelelés igazolására is. Mindez elképzelhetetlen megfelelő adatvédelmi irányítási rendszer bevezetése nélkül.

 

Megfelelő technikai és szervezési intézkedések

Az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a rendelettel összhangban történik:

 

  • belső adatvédelmi szabályzatok

  • magatartási kódexhez való csatlakozás

  • tanúsítási mechanizmushoz való csatlakozás útján.

Beépített és alapértelmezett adatvédelem

A beépített adatvédelem (Privacy by design) elve értelmében az adatvédelmet és az adatbiztonságot a tervezéskor kell beépíteni – pl. álnevesítés, titkosítás révén – az üzleti folyamatokba, műszaki termékekbe. Az alapértelmezett adatvédelem (Privacy by default) elve arra ad biztosítékot, hogy a szolgáltatás nyújtásához, termék igénybevételéhez minimálisan szükséges személyes adatot kezelik a vállalkozások.

 

Adatvédelmi hatásvizsgálat

Ha az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (pl. profilalkotáson alapuló döntéshozatal, különleges adatok nagy számban történő kezelése), akkor az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot köteles végeznie.

 

Adatvédelmi tisztviselő

Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt köteles kijelölni, ha fő tevékenységeik olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését vagy különleges adatok nagy mértékű kezelését teszik szükségessé. A fentieken túl adatvédelmi tisztviselőt bármelyik vállalkozás kinevezhet vagy külsős szolgáltatóként megbízhat.

 

Adatregiszter, adattérkép

Minden adatkezelőnek kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni. A nyilvántartás minimálisan az adatkezelő nevét és elérhetőségét, az adatkezelés céljait, a személyes adatok kategóriáit, a tervezett törlési határidőket és az olyan címzettek kategóriáit tartalmazza, akikkel a személyes adatokat közlik. Az adattérkép a bonyolultabb adatkezelési folyamatok vizuális áttekintését segítheti.

 

Teendők

 

  • a management GDPR tudatosságának elérése

  • a megfelelő személyi és anyagi erőforrások biztosítása az adatvédelmi irányítási eszközök létrehozására

  • a felelősségi körök megállapítása

  • annak megvizsgálása, hogy kötelező-e vagy szükséges-e adatvédelmi tisztviselőt kinevezni vagy megbízni

  • meglévő adatvédelmi, információbiztonsági irányítási eszközök áttekintése és egybevetése az üzleti folyamatokkal

  • ha szükséges, az üzleti folyamatok átalakítása

 

 

Adatvédelmi incidensek

 

Szigorú szabályokat és határidőket állapít meg a rendelet az adatvédelmi incidensek kezelésére. Az adatkezelők fontos feladata az adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, az incidens milyen súlyú, milyen hatással lehet az érintettekre. Az incidensek észlelésére, értékelésére, jelentésére, és enyhítésére tett nem megfelelő intézkedések esetén a legmagasabb összegű bírságokat helyezi kilátásba a GDPR.

 

Adatvédelmi incidens fogalma

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi incidensről szóló bejelentésben legalább:

 

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát

  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit

  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket

  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Az EU szakosított ügynöksége, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást fogalmazott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg az adatvédelmi incidens súlyosságát.

 

Teendők

 

  • az adatvédelmi incidensek észlelésére, értékelésére, bejelentésére megfelelő intézkedési terv készítése az adatkezelőnél

  • a munkavállalók képzése a szűk határidők miatt kiemelten fontos

  • biztosítani a megfelelő eljárásrendet az adatfeldolgozónál is

 

Please reload

©2018 by GDPR Info Kft.

+36 30 790 22 97