Menü

Így készülj fel a GDPR-ra 12 lépésben

Közeleg a GDPR, de szinte senki sem tudja mit kell tennie pontosan. A NAIH információi alapján itt a segítség, hogy elkerüld a későbbi bírságot!

1. Erősítsd a tudatosságot!

Biztosítsd a cégen belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez. Azt ugye magyaráznunk sem kell, hogy az adatvédelemmel kapcsolatos döntések meghozójának mindenképp 100%-osan tisztában kell lennie a jogszabállyal és a lehetséges eszközökkel?! Amennyiben nincs ilyen a cégnél, érdemes tanácsadóhoz fordulni vagy képzésre küldeni a lehetséges kollégákat.

2. Tarts felülvizsgálatot!

Tekintsd át az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Minden alkalommal kövesd és rögzítsd az adatok sorsát, azok változásait. Ez nagyon fontos, hiszen az elszámoltathatóság elvével biztosítani tudod a jogszerű adatkezelést.

3. Tájékoztass megfelelően!

Az adatkezelésnek minden esetben az érintett hozzájárulásán kell alapulnia, nagyon fontos viszont, hogy kétség esetén minden esetben az adatkezelőnek kell bizonyítania, hogy a művelethez az érintett hozzájárult!
Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve szükség esetén vizuálisan is megjelenítsék. Megköveteli továbbá, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatáshoz való jog előzetesen, az adatkezelés során, egészen annak megszűnéséig megilleti az érintettet!

gdpr törvény

4. Tartsd be az érintett jogait!

A GDPR rendelet alapján az érintettek főbb jogai a következők:
  • a rá vonatkozó személyes adatokhoz való hozzáférés
  • azok helyesbítése
  • törlése („az elfeledtetéshez való jog”)
  • kezelésének korlátozása
  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás
  • az adathordozhatósághoz való jog
A legfontosabb újdonság az adathordozhatósághoz való jog. Ez alapján az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. Az online megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az új általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat, hiszen csak ez vezet el a tényleges joggyakorláshoz.

5. Különös tekintettel a hozzáférési jogra!

A GDPR szabályai szerint az adatkezelő késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül köteles tájékoztatni az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. Ezt a folyamatot segítheti egy olyan biztonságos online rendszer üzemeltetése, amin keresztül az érintett könnyen és gyorsan hozzáférhet a számára szükséges információkhoz.

6. Biztosítsd az információs önrendelkezési jog érvényesülését!

Fordíts figyelmet arra, hogy a törléshez való jog alapján az érintett kérésére az adatait köteles vagy késedelem nélkül törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást.

7. Vizsgáld meg a hozzájárulás feltételeit!

A hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt:
  • az önkéntességet,
  • a határozottságot (egyértelműség)
  • és a tájékozottságot is teljesíti.
A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe.
Tehát például, ha a "Szeretnék hírlevelet kapni" checkbox eleve ki van pipálva, az nem felel meg a GDPR szabályának, a boxot a usernek kell kipipálnia!

gdpr törvény

8. Figyelj a gyerekek jogaira!

Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A hozzájárulás tekintetében a tagállamok 13. életévnél nem alacsonyabb életkort is megállapíthatnak.

9. Jelentsd be az adatvédelmi incidenseket!

A GDPR értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság (itthon a NAIH) felé. Az adatkezelő köteles indokolatlan késedelem nélkül ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott bejelenteni a gondot a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.
Például: Ha az egyik adatfeldolgozásra jogosult személy elveszíti az irattár kulcsát, így az adatok veszélybe kerülnek, de azt jelentette a felettesnek és a személyes információk védelmében zárcsere zajlott, akkor nem kell a NAIH felé jelezni az incidenst!

10. Ne kockáztass!

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek adatvédelmi hatásvizsgálatot kell lefolytatni. Ez ugyan magában rejti az adminisztratív terhek növekedését, azonban az összeg biztosan kisebb a későbbi, esetleges szankciónál. Ha a hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően konzultálni kell a felügyeleti hatósággal. Magas kockázatú adatkezelési műveletről beszélhetünk
  • nagyszámú érintett;
  • nagy mennyiségű személyes adat;
  • kiszolgáltatott személyek, pl. gyermekek adatainak kezelése;
  • profilalkotás;
  • viselkedés vagy mozgás követése;
  • különleges adatok kezelése esetén.
Ha a vizsgálat megállapítja, hogy az adatkezelés valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal. Amennyiben a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené a rendeletet különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette , a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja a rendeletben említett hatásköreit.

11. Nevezd ki az adatvédelmi tisztviselőt!

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését teszi kötelezővé. Ez az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

12. Ismerd fel, hogy Rád is vonatkozik!

A GDPR Magyarország területén folytatott, minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik. A törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. Amennyiben a szervezet tevékenységi köre nem csak egy országra korlátozódik, vizsgáld meg, hogy mely országban végzed az adatkezelés jelentős részét (ez többnyire az anyavállalat székhelye), majd ez alapján győződj meg arról, mely ország hatósága jár majd el fő felügyeleti hatóságként adatkezelés tekintetében.  

Iránymutatás adatkezelők, adatfeldolgozók részére

blog