Milyen újdonságai vannak a GDPR-nak?
- az elszámoltathatóság elve,
- új fogalmak: profilalkotás, genetikai, biometrikus és egészségügyi adat,
- új adatkezelési jogalap: jogos érdek
- adatvédelmi hatásvizsgálat
- az érintettek erősebb jogosultságai
Mit jelent az elszámoltathatóság elve?
Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, valamint igazolnia is kell tudnia ezt a megfelelést (pl. megfelelően dokumentálni kell az adatvédelmi intézkedéseket).
A szabályok sok esetben csak kereteket biztosítanak, nem írják elő egyértelműen, hogy mit lehet vagy kell megtenni, az adatkezelőre bízva a részletek kidolgozását. Ez azonban felelősséget is jelent, hiszen akár ezen elv alapján is, az adatkezelő számon kérhető lesz.
Mi az adatvédelmi incidens?
Bármilyen esemény, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (pl. egy személyes adatokat tartalmazó adathordozó elvesztése, rossz címzettnek küldött e-mail stb.).
Az adatvédelmi incidenst haladéktalanul (legkésőbb 72 órával a tudomásszerzést követően) be kell jelenteni az adatvédelmi hatóságnál, nyilván kell tartani, és ha valószínűsíthetően magas kockázattal jár, akkor az érintettet is tájékoztatni kell.
Mi a beépített adatvédelem elve (privacy by design)?
Némileg leegyszerűsítve azt jelenti, hogy az adatvédelmi garanciákat a termékekbe és a szolgáltatásokba be kell építeni, már a fejlesztés legkorábbi időszakától kezdve. Vagyis a vállalkozásoknak még az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor gondolniuk kell a biztonsági intézkedésekre (ez egyébként a hatályos magyar jognak is része).
Mit jelent az adatvédelmi hatásvizsgálat?
Ha egy adatkezelés annak jellege, hatóköre, céljai miatt valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor kell – az adatkezelés megkezdése előtt - adatvédelmi hatásvizsgálatot végezni annak kapcsán, hogy a tervezett adatkezelési művelet hogyan érintik a személyes adatok védelmét.
Vagyis ennek során át kell tekinteni a tervezett adatkezelési műveletet, megvizsgálja annak esetleges hatását az érintettekre, felméri ennek kockázatait, kezelési módokat dolgoz ki erre és mindezt megfelelően dokumentálja.
Különleges személyes adat (pl. egészségügyi) kezelése esetén biztosan kell ilyen vizsgálatot végezni, illetve léteznek már most is iránymutatások a témában, az egyes felügyeleti hatóságok pedig a későbbiekben nyilvánosságra fogják hozni azon adatkezelések listáját, ahol szükséges az adatvédelmi hatásvizsgálat elvégzése.