Az Európai Unió új általános adatvédelmi rendelete (GDPR)

Hogyan befolyásolja a GDPR az Ön adatvédelmi politikáját?

A MEGFELELŐSÉGI ELLENŐRZÉS INDÍTÁSA Töltse le ingyenes útmutatónkat

Ön megfelel a GDPR előírásainak?

2018. május 25-én lép életbe az új egységes Európai Uniós adatvédelmi szabályozás

Amennyiben az új szabályozás Önt (vagy cégét) is érinti, már most kezdje meg a felkészülést! Ez az oldal arra szolgál, hogy segítsen Önnek megérteni a GDPR rendelkezéseit, felsorolja a követelményeket, és megoldást nyújtson az ezeknek való megfeleléshez. Az új általános adatvédelmi rendelet (GDPR) minden olyan európai szervezetre hatással lesz, amelyek bármilyen személyes adatot kezelnek, és minden olyan céget érint majd, akik Európán belül tevékenykednek. A szabályozási rendszer igen összetett, a szabályok be nem tartása jelentős anyagi következményekkel járhat, akár 20 millió eurós bírság is kiszabható.

Ha többet szeretne megtudni a témáról, jó helyen jár!

https://encryption.eset.com/hu/wp-content/uploads/sites/18/2017/01/calendar.png

Itt igényelheti ingyenes GDPR útmutatónkat

Az ESET jogi tanácsadóival közösen dolgozta ki ezt a részletes útmutatót, hogy Ön könnyen átláthassa, miként érinti Önt az új EU szabályozás.

https://encryption.eset.com/hu/wp-content/uploads/sites/18/2017/01/guide_general_data_protection_regulation_hun.png

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

A GDPR-nek való megfelelés, lépésről lépésre

A GDPR szabályozási rendszere nagyon összetett, így az egyszerűbb érthetőség kedvéért az intézkedéseket 3 nagy, és azon belül több kisebb csoportba soroltuk be. A lenti lépcsőfokokra kattintva részletesebben tájékozódhat az egyes előírásokról és a hozzájuk tartozó követelményekről.

+Általános összefoglaló

Az adatvédelmi szabályozás fő célkitűzése szerte Európában az, hogy egységesen magas szintű jogi és technikai védelmet biztosítson a személyes adatok számára, előírva, hogy azokat főszabály szerint bizalmasan, az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá. A GDPR-ban lefektetett alapelvek némelyike a jelenleg hatályos adatvédelmi irányelvben is megtalálható, nevezetesen: jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; adatminőség; adatbiztonság, integritás és bizalmas jelleg.

A Rendelet új alapelvként fogalmazza meg az elszámoltathatóság elvét, amelynek lényege, hogy az adatkezelő felelősséggel tartozik az adatvédelmi szabályoknak való megfelelésért, és képesnek kell lennie e megfelelés igazolására is.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

A GDPR emellett új megközelítést követ a meglévő adatvédelmi elvekkel kapcsolatban is, az alábbiak szerint:

Jogszerűség, tisztességesség és átláthatóság – A személyes adatok kezelésének az adatalany számára átlátható módon kell történnie.

Célhoz kötöttség követelménye – Az adatvédelmi jog egyik alapelve a célhoz kötöttség követelménye, amelynek lényege, hogy személyes adatok csak meghatározott, jogszerű célból kezelhetők, azaz tilos a cél nélküli, „készletező” adatkezelés. A kezelt adatok körének is igazodnia kell e célhoz, és a gyűjtött adatok nem használhatóak fel az eredeti céllal összeegyeztethetetlen célból. Nem tekinthető az eredeti adatkezelési céllal összeegyeztethetetlennek a személyes adatok közérdekből történő archiválása, leszámítva néhány kivételt.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Elszámoltathatóság – Az adatkezelő felelőssége a GDPR elveivel való összhang megteremtése, és képesnek is kell lennie e megfelelés igazolására, bizonyítására.

+Strukturális követelmények

A GDPR életbelépésével Önnek számos intézkedést meg kell tennie annak érdekében, hogy minimalizálja GDPR megsértésének esélyét, illetve bizonyítani tudja, hogy komolyan veszi a belső adatvédelmi szabályozást. A szükséges intézkedések között említhető az adatvédelmi hatásvizsgálat lefolytatása, az adatkezelési tevékenységek dokumentálása, a szabályzatok és tájékoztatók rendszeres felülvizsgálata, auditálás, és (adott esetben) adatvédelmi tisztviselő (adatvédelmi felelős) kinevezése.

A GDPR meghatározott szervezetek részére kötelezővé teszi adatvédelmi tisztviselő (adatvédelmi felelős) kinevezését, aki a szervezet egy munkatársa, vagy külső tanácsadó is lehet.

Amennyiben Ön komplex ügyféladatbázist aktívan használó piaci szereplő vagy közfeladatot ellátó szerv, nagy valószínűséggel ki kell nevezzen egy adatvédelmi tisztviselőt. A pozíció betöltéséhez szükséges feltételeket (végzettség, tapasztalat, stb.) várhatóan a nemzeti adatvédelmi hatóságok útmutatása részletezi majd.

Az adatvédelmi tisztviselő felel majd Önnél is azért, hogy folyamatosan ellenőrizze a GDPR-nak való megfelelést, tájékoztassa Önt a vonatkozó kötelezettségekről, tanácsot adjon arról, hogy mikor és hogyan kell elvégezni az adatvédelmi hatásvizsgálatot, valamint tartja a kapcsolatot a nemzeti adatvédelmi hatóságokkal és adatvédelmi kérdésekben más személyekkel.

Az egyablakos ügyintézés a több EU tagállamban is tevékenykedő szervezetek részére lehetővé teszi, hogy csak egy adott nemzeti adatvédelmi hatósággal kerüljenek kapcsolatba, azaz a Rendelet alapján főszabályként minden adatkezelés vonatkozásában egy vezető hatóság gyakorol majd felügyeletet. Ugyanakkor annak kijelölése, hogy melyik adatvédelmi hatóság tölti be ezt a szerepkört, és hogy pontosan miként kezelik a panaszokat, néhány esetben nagyon összetett.

A GDPR előírása szerint a felügyelő hatóság „egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv”, míg az egyablakos ügyintézés (ún. egységességi mechanizmus) azt jelenti, hogy amennyiben egy vállalkozás több tagállamban rendelkezik telephellyel, számára kijelölhető egy vezető hatóság az EU-n belüli elsődleges székhelye alapján (azonban ettől eltérő más helyi felügyeleti hatóságok is rendelkezhetnek hatáskörrel egyes esetekben).

+Folyamatok, eljárásrendek és szabályzatok

A GDPR alapján az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

Ez egy átfogó meghatározás, amely nincs tekintettel arra, hogy az incidens okozott-e tényleges kárt az érintetteknek. Adatvédelmi incidens esetén az adatkezelő azonnal, illetve az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és adott esetben az érintetteket is, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatkezelő azonban mentesül a bejelentés alól, ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, például titkosítást alkalmaz.

Fontos része a GDPR előírásoknak történő megfelelés során a beépített adatvédelem elve, azaz pl. minden új folyamat vagy termék megtervezésekor az adatvédelmi követelményeket a középpontba kell helyezni. Ez a megközelítés, ami korábban inkább csak „jó gyakorlat” volt, immár kifejezett jogszabályi követelmény.

Az adatvédelmi hatásvizsgálat célja, hogy azonosítsa és minimalizálja a GDPR rendelkezéseinek megsértéséből (nem-megfelelésből) eredő kockázatokat.

A GDPR szerint az adatvédelmi hatásvizsgálat egy formális követelmény, és az adatkezelőnek kell gondoskodnia az adatvédelmi hatásvizsgálat lefolytatásáról bizonyos „jelentős kockázattal” járó adatkezelési művelet megkezdése előtt.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Amennyiben az Ön cége nemzetközi kapcsolatokkal rendelkezik, a nem EU (ill. EGT) tagállamokba történő adattovábbítással kapcsolatos szabályok és eljárások különös figyelmet igényelnek. A GDPR életbelépését követően a kiszabható bírságok jóval szigorúbbak lesznek az adattovábbításra vonatkozó rendelkezések megsértéséért, különösen a – Bizottság értékelése szerint – nem megfelelő szintű védelmet biztosító országokba történő adattovábbítás esetén.

A személyes adatok Európai Gazdasági Térségen kívüli, illetve nemzetközi szervezetek számára történő továbbítása csak különböző korlátozások figyelembe vételével történhet, amelyeket a GDPR V. fejezete határoz meg. Amint azt a hatályos irányelv is kimondja, az adatokat nem kell fizikálisan átadni az adattovábbításhoz, egy másik helyen tárolt adat megismerése (hozzáférhetősége) is adattovábbításnak minősül a GDPR értelmében.

A GDPR úgy határozza meg a személyes adatok határokon átnyúló kezelését, mint:
(a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
(b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

+Adatbiztonsági tudatosság

Már most érdemes elkezdenie tájékoztatni munkavállalóit arról, hogy miért fontos megfelelni a GDPR előírásainak. Ajánlott elkezdeni felülvizsgálni és megtervezni azt is, hogy milyen eljárások szükségesek, hogy a vállalkozása meg tudjon felelni a GDPR új, átláthatóságot és egyéni (érintetti) jogokat érintő rendelkezéseinek. Ez jelentős befektetést igényelhet pénzügyi, informatikai és képzési területeken is.

+Elszámoltathatóság – technikai intézkedések

A GDPR az adatkezelő felelősségévé teszi a Rendelet adatvédelmi elveinek való megfelelés bizonyítását, ezért Önnek biztosnak kell lennie abban, hogy kellően világos adatvédelmi irányelvei vannak annak igazolására, hogy megfelel a jogszabályi követelményeknek. Ennek érdekében rendszeresen ellenőriznie, értékelnie és felül kell vizsgálnia az adatkezelési eljárásait, biztosítékokat beépíteni az adatkezelési folyamatokba, és gondoskodnia a munkavállalók képzéséről is, hogy tisztában legyenek a rájuk vonatkozó kötelezettségekkel. Mindezeken felül képesnek kell lennie ezeket a nemzeti adatvédelmi hatóság felé, annak kérésére, bármikor igazolni.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

+Adatvédelmi incidens – technikai intézkedések

Egyértelmű belső szabályrendszerrel és kipróbált eljárásokkal kell felkészülnie az adatvédelmi incidensekre (amely a GDPR definíciója szerint „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”), így biztosítva, hogy képes legyen megfelelően reagálni az incidensekre, és értesíteni a hatóságot/érintetteket, amennyiben az szükséges.

+Az érintettek jogainak biztosítása

A GDPR megerősíti az érintettek jogait, így biztosítja számukra a tájékoztatáshoz való jogot a róluk kezelt adatokkal kapcsolatban, bizonyos esetekben garantálja az adatokhoz való hozzáférést, és az esetlegesen helytelen adatok kijavítására is lehetőséget biztosít.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR egyik fő célja, hogy megerősítse az egyének jogait. Ennek eredményeként az érintettek hozzáférésének kezelésére vonatkozó szabályok is szigorodnak, így Önnél is szükségessé válik a vonatkozó eljárásrendek megfelelő frissítése.

A legtöbb esetben nem számíthat majd fel díjat az érintett kérésének teljesítésért, és az érintetti jogok gyakorlását a lehető leghamarabb, de legkésőbb egy hónapon belül biztosítania kell.

Az elfeledtetéshez való jog (a „törléshez” való jog a GDPR terminológiájában) lehetővé teszi az egyének számára, hogy kérjék az adatkezelőt személyes adataik indokolatlan késedelem nélküli törlésére bizonyos helyzetekben, például amennyiben a személyes adatokat jogellenesen kezelték, vagy az érintett visszavonta korábbi hozzájárulását.

A törlési kötelezettség azon harmadik felekre (pl. üzleti partnerekre) is vonatkozik, akikkel ezeket az adatokat korábban megosztotta.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

GDPR következőképp definiálja a profilalkotást „a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére”. Ugyanakkor nem egészen egyértelmű, hogy ténylegesen hogyan gyakorolhatja majd az érintett a profilalkotáson alapuló döntésekkel kapcsolatos jogait.

Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog, amely továbbfejleszti az érintett arra vonatkozó jogát, hogy biztosítani kell számára az igényelt személyes adatait, és megköveteli, hogy a rá vonatkozó személyes adatokat strukturált, széles körben használt és géppel olvasható formátumban kapja meg.

Az adathordozhatósághoz való jog alapvetően ugyan csak a hozzájáruláson alapuló, vagy szerződés teljesítéséhez szükséges automatizált (elektronikus) adatkezelésekre terjed ki, az üzleti célú adatkezelések döntően e körbe tartoznak.

Az egyének jogainak erősítésére tett törekvések részeként a GDPR garantálja az adatkezelés korlátozásához való jogot és a tiltakozáshoz való jogot a közvetlen üzletszerzés (direkt marketing) céljából kezelt adatok esetében, ideértve az ehhez kapcsolódó profilalkotást is.

Amennyiben az érintett él a tiltakozási jogával, az adatai a továbbiakban nem használhatóak fel közvetlen üzletszerzés céljára.

A szervezetek kötelesek kifejezetten és más (szintén kötelezően biztosítandó) információtól elkülönülten felhívni az érintettek figyelmét az adatkezeléssel összefüggő tiltakozási jogukra.

+Adatvédelmi információk közzététele (hozzájárulás és adatvédelmi tájékoztató)

Vélhetően felül kell vizsgálnia az adatok gyűjtésének, és a hozzájárulás beszerzésének és rögzítésének módját. Az érintettek részére biztosítani kell a lehetőséget, hogy ugyanolyan egyszerű legyen visszavonni a hozzájárulásukat, mint megadni azt. A személyes adatok kezeléséhez kifejezett és egyértelmű hozzájárulás, azaz az érintett egyértelmű megerősítő cselekedete szükséges, a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

A GDPR a következőképpen határozza meg az érintett hozzájárulásának fogalmát: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A közvetlenül gyermekeknek kínált internetes szolgáltatások kapcsán a személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte (ettől tagállami szabály 13. életévig lefelé eltérhet), ennél kisebb gyermek esetén a hozzájárulást a szülőnek (vagy a szülői felügyeletet gyakorló más személynek) kell megadnia.

Ennek eredményeként Önnek is erőfeszítéseket kell tennie (figyelembe véve az elérhető technológiát), hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a szülői felügyelet gyakorlója adta meg.

A GDPR kiszélesíti az érintetteknek kötelezően nyújtott tájékoztatás tartalmát, aminek ki kell terjednie az adatkezelés jogalapjára, az adatok megőrzésének idejére, valamint arra, hogy az érintettek panaszt tehetnek a nemzeti adatvédelmi hatóságnál, ha úgy érzik, hogy az Ön szervezete nem megfelelően kezeli a személyes adataikat. Ne feledje, hogy a GDPR megköveteli, hogy ezeket az információkat tömören, világosan és közérthetően fogalmazza meg.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

+Adatbiztonság (sértetlenség és bizalmasság)

A GDPR a hatályos irányelvben foglaltakhoz hasonló alapelveket fogalmaz meg, többek között: a tisztességes eljárás, a jogszerűség és az átláthatóság elve; a célhoz kötöttség; az adattakarékosság; az adatminőség és az adatbiztonság követelménye, az integritás és bizalmas jelleg biztosítása.

Minden esetben meg kell bizonyosodni arról, hogy a személyes adatok kezelésének módja garantálja az adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.A szervezeteknek és külső partnereiknek is megfelelő technikai vagy szervezési intézkedések alkalmazásával kell gondoskodnia a kockázat mértékének megfelelő szintű adatbiztonságról.”

A GDPR szerint személyes adat az „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR szintén rögzíti, hogy „a természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel.”

Tekintettel az új megfogalmazásra szükséges azt megállapítani, hogy a digitális forrásból származó adatok személyes adatok-e vagy sem.

A rendelet számos olyan biztonsági intézkedést javasol, amelyeket érdemes az adatok védelme érdekében használni, mint
a) a személyes adatok álnevesítését és titkosítását;
b) személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A GDPR olyan eszközként tekint a titkosításra, amely segíthet a Rendelet egyes követelményeinek teljesítésében, így fontos intézkedés lehet az adatbiztonságra vonatkozó követelményeknek való megfelelésben, valamint mentesítheti Önt az adatvédelmi incidensek érintettekkel történő közlésének kötelezettsége alól. A Rendelet megfogalmazásában:

32. cikk – Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a) a személyes adatok álnevesítését és titkosítását.”

34. cikk – Az érintett tájékoztatása az adatvédelmi incidensről

(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.”

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelőaz a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Az adatfeldolgozó az a személy vagy szervezet, aki/amely az adatkezelő nevében személyes adatokat kezel.

A GDPR fogalma alapján adatfeldolgozóaz a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

+Adatdokumentáció, jogalap és audit

Mindenképpen szükséges dokumentálnia, hogy milyen személyes adatokat kezel, honnan/kitől gyűjtötte azokat, és kivel osztja meg.

Amennyiben pontatlan személyes adatokat osztott meg egy másik szervezettel, a GDPR megköveteli, hogy tájékoztassa a másik szervezetet az adatok pontatlanságáról, hogy ezt saját rendszerében is korrigálhassa. Ehhez szükséges lehet egy, az egész szervezetre vagy annak adott részegységeire kiterjedő audit lefolytatása. Ez a GDPR elszámoltathatóság elvének való megfelelésben is segíthet.

Az GDPR alapján szükséges megvizsgálni a személyes adatok kezelésének körülményeit, és pontosan megjelölni az adatkezelés jogalapját, amely alapján elvégezhetőek és dokumentálhatóak ezek a folyamatok.

Erre azért van szükség, mert néhány, a GDPR-ban lefektetett érintetti jog az adatkezelés jogalapjától függően eltérően érvényesül. Egy példa erre, hogy az érintetteket a GDPR erősebb joggal ruházza fel az adatok törlésére a hozzájáruláson alapuló adatkezelések esetében. Azonban a hozzájárulás csak egyike a számos különböző jogalapnak és sok esetben nem is a legjobb (tekintettel arra, hogy visszavonható).

A weboldalon feltüntetett információk nem tekinthetőek jogi szakvéleménynek, azok változás alatt állhatnak. Kérjük, pénzügyi vagy üzleti döntéshozatal előtt minden esetben bizonyosodjon meg az információk hitelességéről, és kérjen független jogi szaktanácsadást. Az ezekből adódó perek eredményeiért az ESET, spol. s r.o. és kizárólagos magyarországi disztribútora, a Sicontact Kft. nem vonható felelősségre. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság adatkezelők, adatfeldolgozók részére kiadott iránymutatása tekinthető hiteles forrásnak. Adatkezelés tekintetében fő felügyeleti hatóságként az általa javasolt lépések megtétele az irányadó. A NAIH állásfoglalása itt érhető el.

Vegyen részt Ön is a GDPR-ról szóló webináriumunkon

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

A cégek közel 80%-a nincs felkészülve a GDPR-ra

Az IDC (International Data Corporation) független elemzői által végzett új felmérés szerint az európai kis- és középvállalkozások többsége nem készült fel a GDPR-ra. Az IDC több mint 700 vállalkozásnál kérdezett meg informatikai szakembereket. A felmérés rámutatott, hogy az új szabályozás megértése továbbra is alacsony.

Több információért – és a GDPR-ral kapcsolatos további információkért – töltse le e teljes IDC jelentést, az ESET jóvoltából:

A GDPR hatásainak megértése

25% nem értem | 52% korlátozottan értettem | 22% teljesen megértettem

Tájékoztatjuk, hogy weboldalunk a lehető legjobb felhasználói élmény biztosítása érdekében sütiket (cookie-kat) használ. Weboldalunkon való böngészéssel Ön hozzájárul a sütik alkalmazásához. További részleteket itt tudhat meg.

OK