Gyakran ismételt kérdések

G

Mi az a GDPR?

A GDPR az új európai adatvédelmi rendelet rövidítése. A rendelet az egész Európai Unióban érvényes 2018. május 25-től, ezzel egységesítve a 28 tagállam adatvédelmi rendelkezéseit. (Azért figyelemmel kell kísérni az adott tagállami jogalkotást is, ugyanis bizonyos témakörök tagállami hatáskörben maradnak).

Melyek a GDPR fő céljai?

  • a személyes adatok megfelelő biztonságának, védelmének megvalósítása,
  • a személyek jogainak bővítése (nagyobb fokú rendelkezés a személyes adatok felett),
  • az adatok kezelése, felhasználása átláthatóságának biztosítása,

a társaságok kötelezettségeinek bővítése (biztonsági és megfelelőségi intézkedések az adatvédelem érdekében)
Adatkezelési-, adatvédelmi előírásokat a hatályos magyar jogszabályok is tartalmaznak, így bizonyos kérdésekben a GDPR nem hoz lényegi változásokat.

KKV-kra is vonatkozik a GDPR?

Igen, ahogyan a jelenlegi szabályok is minden adatkezelőre és adatfeldolgozóra vonatkoznak, így a GDPR is vonatkozik pl. minden cégre, amely magánszemélyek személyes adatait valamilyen nyilvántartási rendszerben kezeli (akkor is, ha a szolgáltatást nyújtó cég nem az EU-ban működik, de a szolgáltatása az EU-ban tartózkodó személyek számára is elérhető).

Tehát ha egy cégnek akár csak 1 munkavállalója is van, a cég – mint adatkezelő – a GDPR hatálya alá tartozik. A skála pedig csak szélesedik, ha pl. álláspályázatokat fogad, szerződéseket köt, honlapot (netán webshopot) üzemeltet, bérszámfejtő, könyvelő szolgáltatását veszi igénybe stb.

Mi minősül személyes adatnak?

Személyes adatnak minősül bármilyen információ, amely azonosított vagy azonosítható természetes személyre vonatkozik. Ez gyakorlatilag bármilyen információ lehet, amely az adott személyhez köthető és általa a személy – közvetlenül vagy közvetetten – azonosítható (pl. lakcím, anyja neve, e-mail cím, biztonsági kamera felvétele, vércsoport, alkalmassági teszt eredménye stb.).

Mi az adatkezelés?

Olyan művelet, vagy műveletek összessége, amelyeket a személyes adatokon vagy adatállományokon végeznek (pl. gyűjtés, rögzítés, tárolás, betekintés, felhasználás, törlés, de akár az elolvasás is).

Ki az adatkezelő és ki az adatfeldolgozó?

Adatkezelő az a (természetes vagy jogi) személy, aki a személyes adatok kezelésének céljait és eszközeit meghatározza (pl. egy munkáltató). Adatfeldolgozó pedig az, aki az adatkezelő nevében kezeli a személyes adatokat (pl. bérszámfejtő cég).

Melyek egy adatkezelés legfőbb alapelvei?

  • célhoz kötöttség elve: személyes adatot csak előre meghatározott célból lehet kezelni,
  • adat takarékosság és alapértelmezett adatvédelem elve: csak a cél megvalósításához feltétlenül szükséges mértékben,
  • korlátozott tárolhatóság elve: csak a cél megvalósulásáig,
  • tisztesség elve: az adatkezelésnek meg kell felelnie a tisztesség követlményének,
  • megfelelő jogalap elve: jogszerűnek kell lennie,
  • pontosság elve: a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie,
  • előzetes tájékoztatás elve: az adatkezelés csak közérthető, részletes, teljes és könnyen hozzáférhető, előzetes tájékoztatáson kell alapulnia;
  • az érintettek jogai: tájékoztatást kérhet adatai kezeléséről, tiltakozhat adatai kezelése ellen, kérheti azok törlését, helyesbítését és zárolását.A fentieket lényegében a hatályos magyar szabályozás is tartalmazza.

Milyen újdonságai vannak a GDPR-nak?

  • az elszámoltathatóság elve,
  • új fogalmak: profilalkotás, genetikai, biometrikus és egészségügyi adat,
  • új adatkezelési jogalap: jogos érdek
  • adatvédelmi hatásvizsgálat
  • az érintettek erősebb jogosultságai

Mit jelent az elszámoltathatóság elve?

Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, valamint igazolnia is kell tudnia ezt a megfelelést (pl. megfelelően dokumentálni kell az adatvédelmi intézkedéseket). A szabályok sok esetben csak kereteket biztosítanak, nem írják elő egyértelműen, hogy mit lehet vagy kell megtenni, az adatkezelőre bízva a részletek kidolgozását. Ez azonban felelősséget is jelent, hiszen akár ezen elv alapján is, az adatkezelő számon kérhető lesz.

Mi az adatvédelmi incidens?

Bármilyen esemény, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (pl. egy személyes adatokat tartalmazó adathordozó elvesztése, rossz címzettnek küldött e-mail stb.). Az adatvédelmi incidenst haladéktalanul (legkésőbb 72 órával a tudomásszerzést követően) be kell jelenteni az adatvédelmi hatóságnál, nyilván kell tartani, és ha valószínűsíthetően magas kockázattal jár, akkor az érintettet is tájékoztatni kell.

Mi a beépített adatvédelem elve (privacy by design)?

Némileg leegyszerűsítve azt jelenti, hogy az adatvédelmi garanciákat a termékekbe és a szolgáltatásokba be kell építeni, már a fejlesztés legkorábbi időszakától kezdve. Vagyis a vállalkozásoknak még az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor gondolniuk kell a biztonsági intézkedésekre (ez egyébként a hatályos magyar jognak is része).

Mit jelent az adatvédelmi hatásvizsgálat?

Ha egy adatkezelés annak jellege, hatóköre, céljai miatt valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor kell – az adatkezelés megkezdése előtt - adatvédelmi hatásvizsgálatot végezni annak kapcsán, hogy a tervezett adatkezelési művelet hogyan érintik a személyes adatok védelmét. Vagyis ennek során át kell tekinteni a tervezett adatkezelési műveletet, megvizsgálja annak esetleges hatását az érintettekre, felméri ennek kockázatait, kezelési módokat dolgoz ki erre és mindezt megfelelően dokumentálja. Különleges személyes adat (pl. egészségügyi) kezelése esetén biztosan kell ilyen vizsgálatot végezni, illetve léteznek már most is iránymutatások a témában, az egyes felügyeleti hatóságok pedig a későbbiekben nyilvánosságra fogják hozni azon adatkezelések listáját, ahol szükséges az adatvédelmi hatásvizsgálat elvégzése.

Mit kell tenni a felkészülés során?

A GDPR-megfelelőség kialakítása egy több lépésből álló hosszabb folyamat, amely időt, eszközöket és szakértelmet igényel, és komoly változásokat hozhat a szervezeten belül.

Feltárás:

  • milyen adatkezelések történnek,
  • milyen célból, és
  • milyen személyes adatokat érintenek.

Vizsgálat:

  • az egyes adatkezelések kapcsán milyen kötelezettségeknek kell eleget tenni (hatókör meghatározása)


Felülvizsgálat:

a jelenlegi szerződések, adatkezelési szabályzatok tájékoztatók, informatikai rendszerek, szervezeti
intézkedések, folyamatok stb. esetében milyen módosításokra van szükség a megfelelőség érdekében

Kezelés és védelem:

  • a személyes adatok használatának és elérésének szabályozása
  • szerződések, szabályzatok, tájékoztatók módosítása, illetve készítése,
  • biztonsági (informatikai, szervezeti stb.) ellenőrzések kialakítása a kockázatok és incidensek megelőzésére, észlelésére és kezelésére,
  • adatvédelmi-, információbiztonsági- és informatikai rendszerek átalakítása
  • a szükséges nyilvántartások vezetése, adatkérések végrehajtása, incidensek jelentése (intézkedési
    terv készítése)

Munkáltatóként milyen teendőim vannak?

Munkáltatóként (adatkezelőként) elsősorban az előző pontban írt teendőink vannak a munkaszerződések, munkajogi szabályzatok és az adatfeldolgozókkal (pl. fejvadász-, bérszámfejtő cég) kötött szerződéseink kapcsán.

Ezen túlmenően szükséges pl.:

  • mintaválaszokat kidolgozni az esetleges adat-, tájékoztatás kérések esetére,
  • a személyes adatok biztonságának, gyors elérhetőségének, kereshetőségének biztosítása informatikai
    eszközökkel,
  • adatvédelmi tréning a munkavállalók részére,
  • adatvédelmi nyilvántartás kidolgozása és vezetése.

Mi történik, ha – bármely okból –nem készültünk fel 2018. május 25-ig?

A rendelet 2018. május 25-én hatályba lépett, nincs semmilyen „türelmi idő”, eddig az időpontig tehát fel kellett készülni annak alkalmazására.

Nyilvánvalóan lesznek az első időkben értelmezési, gyakorlati kérdések, de arra nem lehet hivatkozni egy esetleges hatósági ellenőrzés során, hogy nem sikerült felkészülni.

Természetesen még most sem késő elkezdeni a felkészülést, és megelőzni egy esetleges bírságot.

Milyen előnyöm származik a GDPR-megfelelésből?

  • Átláthatóság: tisztában leszünk azzal, hogy milyen személyes adatokat kezelünk, hol tároljuk és
    hogyan védjük őket (emellett üzleti folyamatainkról is képet kapunk);
  • Bizalmi tényező: jó tájékoztatással és proaktív hozzáállással tovább növelhetjük ügyfeleink és munkatársaink bizalmát;
  • Értékteremtés: az üzleti folyamatok áttekintése, egy körültekintő adatvédelmi-, adatkezelési stratégia
    készítése hozzájárul az üzleti jó hírnév védelméhez, fejlesztéséhez;
  • Versenyelőny: melyet a fentiek összességükben eredményeznek.A GDPR megfelelő kezeléséhez szükséges háromféle szaktudás közül Önök rendelkeznek a szervezetre/folyamatokra vonatkozó tudással, amelyhez mi szívesen nyújtjuk jogi és információbiztonsági szaktudásunkat és tapasztalatunkat.