Az ltalnos adatvdelmi rendelet bemutatsa GDPR Budapest 2018
Az általános adatvédelmi rendelet bemutatása (GDPR) Budapest, 2018. június 14.
Miért van szükség az új szabályozásra? �Globális kihívások, veszélyek, új technológiák, rengeteg adatbázis �Az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (General Data Protection Regulation) �Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv. ) �Cambridge Analytica, Equifax, Yahoo …… �Szükség van erős, Uniós szinten egységes eszközökre a megelőzéshez
Mire kell fokozottan figyelni? �Tárgyi és területi hatály bővülés [2 -3. cikk] �Új fogalmak, koncepciók [4. cikk] �Alapelvek, fokozott elszámoltathatóság [5. cikk ] �Az adatkezelés jogalapja [6. cikk] �A hozzájárulás alkalmazásának főbb feltételei [6. cikk (1) bekezdés a) pont] �A jogos érdek alkalmazásának főbb feltételei [6. cikk (1) bekezdés f) pont] �Kiskorúak személyes adatainak védelme [8. cikk] �Az érintettek jogai [12 -22. cikk] �Nyilvántartási kötelezettség [30. cikk] és Adatvédelmi incidens bejelentés [33. cikk] �A NAIH hatásköre, és Európai Adatvédelmi Testület, a fő- és érintett felügyeleti hatóságok együttműködése [58. cikk, 63 -76. cikk, 83. cikk]
Kire vonatkozik a GDPR? � Nem a szervezeti forma, hanem az adatkezelés számít, függetlenül a működési formától és mérettől, akár természetes személy is lehet adatkezelő vagy adatfeldolgozó � Személyes adatok részben vagy egészben automatizált módon történő kezelése, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelése, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni � Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, egy vagy több tényező alapján azonosítható � Személyes adat kezelése az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem � Az adatkezelő vagy adatfeldolgozó tevékenységi helyétől és az adatkezelés helyétől függetlenül az Unióban tartózkodó érintettek személyes adatainak kezelésére
Mik a lényegesebb újdonságok? �Nem kimerítő felsorolás, csak figyelemfelhívás �Profilalkotás �Álnevesítés (ettől még személyes adat marad) �A genetikai adatok és biometrikus adatok a személyes adatok önálló különleges kategóriái lettek, és a különleges adatok kezelésének szabályai is szigorúbbak lettek �Személyes adatok határokon átnyúló adatkezelése (az Unión belül) �Tevékenységi központ (határon átnyúló adatkezelésnél)
Mik az adatkezelés főbb alapelvei? �Jogszerűség, tisztességes eljárás és átláthatóság �Célhoz kötöttség �Adattakarékosság �Pontosság �Korlátozott tárolhatóság (szükséges ideig) �Integritás és bizalmas jelleg �Elszámoltathatóság
Mi lehet az adatkezelés jogalapja? a) Ha az érintett hozzájárult egy vagy több konkrét célból b) Ha olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges c) Ha az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges d) Ha az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges e) Ha közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges f) Ha az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek
Mik a hozzájárulás feltételei? �Önkéntes (szabad választás célonként, tilos mindent-vagy-semmit) �Konkrét (egy vagy több konkrét célhoz) �Megfelelő tájékoztatáson alapul (13. vagy 14. cikk) �Kifejezett és félreérthetetlen, aktív akaratnyilvánítás (érvénytelen előre kitöltött, csak változatlanul hagyott nyilatkozat) �Bármikor hátrány nélkül visszavonható
Mikor áll fenn a jogos érdek? �Célszerű, és az 5. cikk szerinti alapelvekkel összhangban lévő értelmezés, ha ezt csak akkor alkalmazzák, amennyiben nincs más jogcím vagy az aránytalan nehézségbe ütközne (és közhatalmi szervek nem alkalmazhatják ezen feladataik ellátásával kapcsolatban) �Minden esetben el kell végezni az érdekmérlegelési tesztet, ezt nagy vonalakban be kell mutatni az érintettnek nyújtott tájékoztatásban �Az érdekmérlegelés eredménye az kell legyen, hogy az érintetti jogok korlátozása a jogszerű cél eléréséhez szükséges, alkalmas és arányos, és megfelelő biztosítékok vannak arra, hogy a visszaélést megelőzzék �Az adatkezelő vagy harmadik fél jogos érdeke kellő súlyú kell legyen és világosan megfogalmazott, konkrét indok szükséges �Eseti mérlegelés tárgya
Mi a helyzet a kiskorúak adataival? �A GDPR az általános ügyleti képesség szabályozását a tagállami jogokra hagyja, arra egyelőre nincs uniós hatáskör, de a GDPR mindenhol fokozottan védi a gyermekeket �Emiatt általában a kiskorú nyilatkozatának érvényességéhez szükséges a törvényes képviselője jóváhagyása, aminek megszerzése és bizonyíthatósága az adatkezelő felelőssége �A hozzájáruláson alapuló és a szerződés teljesítéséhez szükséges adatkezelés esetén merülhet ez fel �A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése esetén 16 éves a korhatár az önálló hozzájáruláshoz (2001. évi CVIII. Törvény: elektronikus úton, távollevők részére, rendszerint ellenszolgáltatás fejében nyújtott szolgáltatás, amelyhez a szolgáltatás igénybe vevője egyedileg fér hozzá)
Mik az érintettek főbb jogai? �Átlátható tájékoztatás az adatkezeléssel kapcsolatban �A rá vonatkozó személyes adatokhoz való hozzáférés �A rá vonatkozó személyes adatok helyesbítése �A rá vonatkozó személyes adatok törlése („az elfeledtetéshez való jog”) �A rá vonatkozó személyes adatok kezelésének korlátozása �A profilalkotás és az automatizált adatkezelés elleni tiltakozás �Az adathordozhatósághoz való jog (ha hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik)
Kell-e engedély, nyilvántartásba vétel? �Sem engedélyezési, sem egyéb nyilvántartásba vételi kötelezettséget nem ír elő a GDPR az adatkezelésre �Csak akkor szükséges adatvédelmi szabályzat készítése, ha az átláthatóság és ellenőrizhetőség követelménye enélkül nem teljesülne, azaz nagyobb szervezeteknél ahol sokan kezelik az adatokat és sok személyes adat áramlik bonyolult módon �A hatósági nyilvántartás helyett saját nyilvántartást kell vezetni a 30. cikkben felsorolt tartalommal �Az adatvédelmi incidenseket is nyilván kell tartani, és a 33. cikk szerint bejelenteni a NAIH felé (levélben, vagy online a honlapon: https: //www. naih. hu), továbbá az érintetteket is tájékoztatni kell akkor, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve
Hogyan történik az ellenőrzés? �Elsősorban az adatkezelő vagy az adatfeldolgozó tevékenységi központja számít �Ha csak egy tagállamot érint, akkor a tagállami adatvédelmi hatóság jár el (Magyarországon a NAIH) �Nemzetközi vonatkozás esetén egy tagállami hatóság a főhatóság, ő hozza a döntést és jár el, a többiek szükség szerint segítik és véleményezik a döntést, egyet nem értés esetén az Európai Adatvédelmi Testület dönt �Számos új lehetőséggel bővült a hatósági eszköztár, a bírság csak egy a sok közül �Első körben a panaszos általában az adatkezelőhöz fordul, fontos az érintetti jogok megfelelő biztosítása, a panaszok megfelelő kezelése �Az adatvédelmi hatóság feladata az alapjog védelme, nem szervezetek működésének ellehetetlenítése, a bírságolási gyakorlat visszafogott volt eddig is, és az adatkezelő gazdasági lehetőségei is figyelembe vehetőek a kiszabás során
GY. I. K. �Kis szervezetre is ugyanaz a szabályozás érvényes? �Már 2018. május 25. előtt is kezelt személyes adatokhoz szükséges új hozzájárulás? �Szükséges adatvédelmi tisztviselő kinevezése mindenkinek? �Kötelező mindenkinek adatvédelmi hatásvizsgálatot végezni? �Munkavállalók a munkáltató adatkezeléséhez hozzá tudnak járulni? �A harmadik felek kapcsolattartóinak adatait milyen alapon lehet kezelni? �A közhasznú szervezet esetén eltérnek-e a GDPR szabályai? �A harmadik személyes adatai kezelhetőek-e a GDPR-ben felsorolt jogalap nélkül, ha egy pályázat kötelezően előírja? �Honlap, hírlevél, jelenléti ív, egyéb adatgyűjtés mikor jogszerű?
Köszönöm a figyelmet!
- Slides: 15