Szerző: Ügyvédi Iroda
Bő egy hónapunk van, hogy felkészüljünk az Európai Adatvédelmi Rendelet (GDPR) alkalmazására, 2018. május 25. ugyanis kulcsfontosságú dátum európai szinten az adatkezelés és adatvédelem terén. Vajon az Ön cége is érintett?
A kérdésre a válasz: igen. Az Ön cége is érintett, mivel a GDPR minden méretű szervezetre alkalmazandó, amely személyes adatokat kezel, függetlenül attól, hogy hol és milyen ágazatban fejti ki tevékenységét.
Mi is az a már sokat hallott GDPR, mikor is alkalmazandó? Vajon vonatkozik szervezetünkre és adatainkra? Melyek a rendelet főbb elvei? Vajon mi is ki vagyunk téve az adatvédelmi incidensnek? Hogyan alakítsuk ki az incidensek megelőzésére, észlelésére és kezelésére vonatkozó biztonsági előírásainkat?
Jelen cikkünkben többek között ezekre a kérdésekre keressük a választ, azonban a rendelet alkalmazása jelentősen függ az egyedi, ténybeli körülményektől.
- GDPR – 4 betű, a globális mérce:
A GDPR megalkotásának célja egyrészt, hogy a korábbi irányelv (95/46/EK) fölött jócskán eljárt már az idő, a digitális kor kihívásai, a technológiai fejlődés és az erősödő globalizáció hatására azonban fontos volt életre hívni egy új szabályozást, immáron rendeleti szinten (2016/679/EU). A személyes adatok sokkal nagyobb mértékben cirkulálnak a világhálón, amelyek ez által fokozottabb védelmet is igényelnek és mivel jelentős számú terület érintett, célszerű mihamarabb elvégezni az adatvédelmi és adatkezelési teendőket.
- Személyes adat, adatkezelő, adatfeldolgozó…mit is jelentenek ezek a fogalmak?
A személyes adat meghatározására a rendelet egy igencsak általános fordulatot használ: azonosított vagy azonosítható természetes személyekre vonatkozó bármely információt, adatot jelent. Az adatkezelő dönt a személyes adatok kezelésének céljáról és eszközeiről, az adatfeldolgozó pedig kezeli az adatkezelő nevében személyes adatokat. Az érintettek köre jelenti azt a halmazt, akiknek a személyes adatai az adott körben kezelésre, tárolásra, gyűjtésre, továbbításra kerülnek. Személyes adatok kezelése kizárólag az érintett hozzájárulásával lehetséges, amely érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű jellegűnek kell lennie, továbbá nyilatkozat, vagy a megerősítést félreérthetetlenül kifejező cselekedet útján kell, hogy jelezze: beleegyezését adja az őt érintő személyes adatok kezeléséhez
- Az integratív szuperelvek: avagy mik az adatkezelő kötelezettségei?
Az adatvédelmi rendelet (GDPR) néhány fő elv köré épül, amelyek értelmezése és alkalmazása nem kis feladat a vállalkozások számára, melyek elmulasztása, nem megfelelő alkalmazása súlyos szankciókat von maga után:
- Átláthatóság – transzparencia – jogszerűség és tisztességes eljárás követelményeinek előírása a személyes adatok kezelésére vonatkozóan.
- Célhoz kötöttség elve – a személyes adatokra vonatkozó kezelés, gyűjtés és tárolás köre korlátozottan és meghatározott célokhoz kötötten lehetséges.
- Adattakarékosság elve – a személyes adatok tárolása a tervezett cél teljesítéséig, a cél eléréséhez szükséges ideig lehetséges.
- Integritás és bizalmas jelleg elve – megfelelő biztonsági intézkedések bevezetése a személyes adatkezelés, tárolás, továbbítás védelmének biztosítása.
- Pontosság elve – a személyes adatok helyesbítésére és törlésére vonatkozó kötelezettség az érintett kérelmére.
Az elvek jelentősége a gyakorlatban abban nyilvánul meg, hogy a rendelet alapelvei értelmében a természetes személyeknek joguk van tudni arról, hogy mely szervezet, milyen célból, milyen adatokat kezel, tárol, gyűjt, továbbít rájuk vonatkozóan. A rendelet további újítása, hogy a személyes adatok helyesbítésére, törlésére kötelezhető az adatfeldolgozó a természetes személy kifejezett kérelmére.
- Mit is jelent az adatvédelmi incidens, mit tehetünk a megelőzés érdekében?
A GDPR számos előírást tartalmaz arra vonatkozóan, hogy a szervezetek a birtokukban lévő természetes adatokat megfelelő érzékenységgel kezeljék, és arról gondos nyilvántartást vezessenek. Adatvédelmi incidens – avagy a személyes adatok bizalmas jellegének sérelme – esetén az adatkezelőknek általában 72 órán belül kell értesíteniük a megfelelő hatóságokat, illetve magas kockázatú adatvédelmi incidens esetén az érintett személyeket is indokolatlan késedelem nélkül kell értesíteni. A védelmi rendszer kiépítése nem kis adminisztratív terhet ró a vállalkozásokra, amely kiterjed a megelőzésre, észlelésre továbbá a kezelésre vonatkozó biztonsági ellenőrzések kialakítására.
Természetesen az adatvédelmi rendelet előírásait olvasgatva számos kérdés merülhet fel Önökben… Hogyan erősítsük az adatvédelmi tudatosságot a szervezeten belül? Miként vizsgáljuk felül az adatvédelmi kritériumokat? Vajon megfelelő az érintettnek nyújtott tájékoztatásunk? Megvan a kellő jogalapunk az adatkezeléshez? Mit is takar a gyermekek kiemelt jogainak védelme? Mit jelent az előzetes adatvédelmi hatásvizsgálat? Vajon ki kell jelölnünk adatvédelmi tisztviselőt?
- Mi az, amiben az Önök rendelkezésére állunk?
Segítséget nyújtunk Önöknek a GDPR kapcsán felmerülő kérdéseik megválaszolásában és valós megoldást biztosítunk felmerülő problémáik esetére. Felhívjuk szíves figyelmüket, hogy a rendelet rendelkezéseinek betartása nem egy egyszeri tevékenység, hanem egy hosszadalmas folyamat, amelynek elmulasztása súlyos, akár 20 millió euróig terjedő bírságot von maga után. Célszerűnek tartunk egy adatvédelmi kultúra létrehozását a szervezeten belül, amely megfelelő iránymutatást tud nyújtani az adatvédelmi előírásoknak való megfeleltetésnek. Ahhoz, hogy alaposan sikerüljön megértetni ügyfeleinkkel a GDPR gyakran megfoghatatlan iránymutatásait, irodánk kellő időt fordított az adatvédelmi rendelet szakmai értelmezésére, gyakorlati alkalmazására, és megfelelő szakértelemmel, színvonalas és széleskörű jogi tanácsadással várja leendő ügyfeleit a GDPR-ban való eligazodás rejtelmeiben.
Vegye fel a kapcsolatot irodánkkal, kérje kollégáink segítségét!
Székhely: 1117 Budapest, Váli utca 4.
Mobil: +36 20 993-5371
Telefon: +36 1 786 2003
Hétköznap 9-18 között
E-mail: office@madarassy-legal.com
Kövessen minket a Facebookon is!