Felkészülés a GDPR-ra

Felkészülés a GDPR-ra
2018-05-11 Horváth Bettina

Tájékoztató az Európai Unió és a Tanács (EU) 2016/697, közismertebb nevén GDPR rendeletével kapcsolatban

Tisztelt Partnerünk!

Az Európai Unió és a Tanács (EU) 2016/679 rendelete, (a továbbiakban GDPR) mely ugyan két éve hatályban van, 2018. május 25-től már alkalmazandó is lesz valamennyi tagállamban.

Az iData Kft. számára mindig kiemelt fontossággal bírt az adatvédelem, eddigi gyakorlatunkban és folyamatainkban is szem előtt tartottuk. Figyelmet fordítunk arra is, hogy az Önöknek nyújtott szolgáltatásaink megfeleljenek az egyre szigorodó adatvédelmi követelményeknek.

A GDPR-ra való felkészülés során Társaságunk egy adatvédelmi audit keretében

  • azonosította az egyes adatkezelési folyamatait,
  • megvizsgálta mely szolgáltatási tevékenysége kapcsán minősül adatkezelőnek és mely esetekben adatfeldolgozónak,
  • elkészítette adatvédelmi és adatbiztonsági szabályzatát, belső adatvédelmi nyilvántartását, és a szükséges tájékoztatókat, amelyekkel biztosítani kívánja az érintettek átlátható tájékoztatáshoz való jogát,
  • kialakította a személyes adatokkal kapcsolatos kérelmek és incidensek kezelésének folyamatát.

Évek óta adatvédelmi tisztviselőt alkalmazunk azért, hogy minden, az adatvédelemmel kapcsolatos folyamatunk megfelelően legyen felépítve és működtetve.

Munkánk során igyekszünk megadni Önöknek is minden szükséges információt, hogy a lehető legkönnyebben valósulhasson meg az átállás az új adatvédelmi szabályozásra. Ezzel összhangban szeretnénk a felkészülés ajánlott lépéseit összefoglalni Önöknek.

Mindenek előtt érdemes áttekinteni az adatkezelés legfontosabb elveit a hatályos és életbe lépő jogszabályok szerint:

  • célhoz kötöttség elve (csak előre meghatározott célból gyűjthetjük és tárolhatjuk az adatokat)
  • adattakarékosság elve (csak a cél megvalósításhoz feltétlen szükséges mértékben gyűjthetjük és tárolhatjuk az adatokat)
  • pontosság elve (kezelt adatok legyenek pontosak és hiánytalanok)
  • korlátozott tárolhatóság elve (csak a cél megvalósulásáig gyűjthetjük és tárolhatjuk az adatokat)
  • integritás és bizalmasság (tisztességes adatkezelés)
  • elszámoltathatóság elve (adatkezelő köteles a rendeletnek megfelelni és legyen képes a megfelelést bizonyítani)

 

Érdemes tisztázni néhány alapfogalmat is.

  • Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
  • Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
  • Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
  • Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés;
  • Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés

 

Ezek és az Európai Bizottság értelmezése alapján személyes adatnak minősülnek a következők például[1]:

  • vezetéknév és utónév;
  • lakcím;
  • a vezetéknév.utónév@vállalkozás.com típusú e-mail-címek;
  • helymeghatározó adatok (pl. mobiltelefon helymeghatározási funkciója)*;
  • IP-cím;
  • süti (cookie)-azonosító; (erre külön jogszabály is vonatkozik)
  • a telefon hirdetési azonosítója;
  • a személy egyedi azonosítását lehetővé tevő, kórház vagy orvos által tárolt adatok;
  • rendszám.

Nem minősül személyes adatnak például:

  • cégjegyzékszám;
  • az info@vállalkozás.com típusú e-mail-címek;
  • anonimizált adatok.

 

A felkészülés során a következő lépéseket érdemes megfontolni és végrehajtani:

  • adatkezelési szabályzat felülvizsgálata, ha eddig nem rendelkeztek ilyennel, létrehozása.
  • saját adatkezelési gyakorlatuk felülvizsgálata: gondolják át, hogy milyen adatokat, milyen célból és mennyi ideig kezelnek. A GDPR a személyes adatok kezelését előre megadott célokhoz köti, azok teljesüléséig. Rögzítsék az adatkezelési folyamatukat az adatkezelési szabályzatukban.
  • adatkezelés jogalapjának átgondolása: minden, Önök által kezelt személyes adat esetén gondolják végig, hogy van-e jogalapjuk annak kezelésére, legye az tevőleges hozzájárulás vagy jogszabályi kötelezettség azok kezelésére és tárolására. Ugyanakkor például ahol a szerződés teljesülésének feltétele a személyes adatok tárolása, ott erre Önöknek külön felhatalmazás nélkül lehetősége van a rendelt szerint.
  • információs önrendelkezési jog megvalósítása a gyakorlatban: legyenek biztosak abban, hogy csak olyan személyes adatokat kezelnek, amelyhez az érintett előzetesen, tevőlegesen hozzájárulást adta. A hozzájárulás akkor tekinthető jogszerűnek, ha az önkéntes, határozott és tájékozott volt. Amennyiben adataik nem felelnek meg ennek, az érintettek hozzájárulását kell kérniük.

Mind a hatóság, mind az érintett felé az adatkezelőnek kell tudnia bizonyítani a hozzájárulás meglétét.

  • betekintés és törlés: az érintett kérheti a tárolt adatokba való betekintést, vagy azok törlését (elfeledtetését) is. Gondolja végig, hogy hogyan tudja ezeket megvalósítani.
  • adatvédelmi incidensek kezelése: gondolják végig, hogy milyen incidensek történhetnek vállalatukban. Ilyen lehet például egy adathordozó (laptop, telefon, pendrive, stb.) elveszítése, de bármilyen olyan eset, amikor személyes adatok kerülhetnek illetéktelen kezekbe azok tulajdonosának előzetes engedélye nélkül. Gondolják végig, hogy hogyan tudják ezeket megelőzni. Azt is érdemes megfontolni, milyen módon tudják biztosítani azt, hogy a szervezet bármely tagja által észlelt adatvédelmi incidens a NAIH felé 72 órán belül jelentésre kerül. Készítsenek erre vonatkozó értesítési tervet.
  • hatásvizsgálat lefolytatása: ha adatvédelmi szempontból várhatóan magas kockázatú személyes adatokat kezelnek, végezzenek adatvédelmi hatásvizsgálatot.
  • adatvédelmi tisztviselő alkalmazása: ha szükségét érzik olyan kolléga alkalmazásának, aki szakértője a témának, netán a törvény alapján kötelezettek rá, alkalmazzanak adatvédelmi tisztviselőt.

Az általános felkészülési lépéseken túl összeszedtük Önöknek azt is, hogy a cégünk által nyújtott szolgáltatások kapcsán mi mindent érdemes megfontolniuk.

  • Gondolják végig és állítsák össze, hogy
    • miért használnak gps nyomkövető rendszert,
    • meddig van szükség a gyűjtött és tárolt adatokra,
    • mennyire indokolt a riportok elkészítése és tárolása,
    • a riportjaikat meddig tarthatják meg,
    • a konkrét útvonalakat illetően mennyire indokolt a riportok megtartása.
  • A Munka törvénykönyve lehetőséget biztosít a dolgozók ellenőrzésére a munkavégzésük során (Mt. 11). Amennyiben a munkakör miatt a gps nyomkövetéssel megvalósuló adatrögzítés indokolt, előzetes, írásbeli tájékoztatás után a jelenlegi jogszabályok biztosítják ennek lehetőségét. Ellenőrizzék, hogy megfelelnek-e ezen rendelkezéseknek.
  • Fontolják meg privát-céges kapcsoló beépítését a gépjárműveikbe. Az iData Kft. rendszere ezt már több mint 10 éve támogatja. Használatával kevésbé súlyos adatokkal fognak diszponálni, hiszen a privát használat során erősen korlátozott a gyűjtött és tárolt adatok köre. Beszerelésekor tájékoztassák a kollégáikat, hogy hogyan kell a kapcsolót használni, és arról, hogy bizonyos statisztikákat – például a megtett kilométerek száma – minden esetben látnak. Ha a kollégák számára a magán járműhasználat engedélyezett, ez a lehetőség fontos lehet az Önök számára. Ha teljes körű tájékoztatásra van szükségük ezzel kapcsolatba, keressék kollégáinkat.
  • Készítsenek szabályzatot arra vonatkozóan, hogy a dolgozókról készült adatokat milyen módon tárolják, és ők ezeket hogy tekinthetik meg.
  • Ellenőrizzék a fentiek meglétét a munkaszerződésekben, természetesen a GDPR egyéb általános rendelkezéseinek megléte mellett, amennyiben kellett változást bevezetniük.
  • Az iTrack rendszerben tudják követni járműveiket és megtekinthetik a riportjaikat. Ellenőrizzék a hozzáféréseiket, indokolható-e a jelenlegi felhasználónevek mentén a jogosultságok, tényleg azt látja-e mindenki, amire szüksége van a munkájához? Ha ezzel kapcsolatban változtatniuk kell, kérjenek új felhasználóneveket és beállítjuk azokat az igényeiknek megfelelően.
  • Jelenleg az iData Kft.-vel kötött szerződésük során megegyezett, vagy Önök által írásban kért adatmegőrzési idők szerint tároljuk adataikat a rendszerben. Amennyiben nem nyilatkoztak erről, úgy az ÁSZF az irányadó. Gondolják végig, hogy ezek a beállítások megfelelnek-e az Önök számára, és amennyiben változtatni szeretnének, ezt írásban tehetik meg cégünk felé.
  • Ha nem biztosak abban, hogy megfelelnek a GDPR rendelkezéseinek, vagy maradtak a folyamataikkal kapcsolatban nyitott kérdések, keressenek GDPR szakértőt. Nem lesz könnyű, hiszen nagyon sokan vannak hasonló helyzetben, de mindenképp megéri egy hozzáértővel egyeztetni az utolsó simításokat.

A GDPR rendelet betartásának ellenőrzéséért a Nemzeti Adatvédelmi és Információszabadság Hatóság, röviden NAIH felel. Az alkalmazás kapcsán felmerülő kérdésekkel kapcsolatban Magyarországon ők segítenek állásfoglalásokkal.

 

Ha szeretne értesülni friss híreinkről, újdonságainkról, iratkozzon fel hírlevelünkre! 


 

A GDPR teljes szövegét az alábbi linken találja: http://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU

A NAIH honlapján talál további állásfoglalásokat: https://naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html

Az Európai Bizottság is segít értelmezni a rendeletet. Közérthető megfogalmazásokért és infografikákért látogasson ide: https://ec.europa.eu/info/law/law-topic/data-protection/reform_hu

 

[1] https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_hu#pldk-szemlyes-adatra