Civilek s a GDPR Kell ez neknk Szigorod
- Slides: 25
Civilek és a GDPR - Kell ez nekünk? { Szigorodó követelmények Dr. Kovács Orsolya ügyvéd – adatvédelmi tisztviselő Mobil: +36 30 870 5401 E-mail: ugyved@drkovacsorsolya. hu
Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat? A legtöbb civil szervezet kezel személyes adatokat. Ezeket érdemes két nagy csoportra elkülöníteni: vannak a szervezettel, a munkatársakkal, munkaviszonnyal kapcsolatos adatok (belső) és azok, amelyek a szervezet működése során keletkeznek, a szervezet másoktól gyűjti be és tárolja őket (külső)
EU adatvédelmi reform GDPR = AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27. ) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) Az egész unióra kiterjedő, egységes általános adatvédelmi rendelet. Hatályba lépett: 2018. május 25 -én. 2016 áprilisa óta volt idő, hogy a nemzeti hatóságok és a cégek is felkészülhessenek az új kihívásokra.
Adatvédelem információvédelem • • Fogalmak, melyeket nem mindig jól használunk! A jogszabályi értelemben az „adatvédelem” a természetes személyek magánszférájának védelméről szól. Az Infotv. , (a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) biztosítja a Személyes adatok védelmét; A közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését.
Mi számít személyes adatnak? A törvény értelmében minden olyan adat személyes adatnak minősül, amely kapcsolatba hozható az érintettel – különösen ilyen a neve, azonosítója, telefonszáma, emailcíme, lakcíme, és azok is, amelyekből következtetéseket lehet levonni az érintettre nézve. A személyes adat kategóriáján belül külön kört alkotnak a különleges adatok, amelyek olyan érzékeny információk, amelyek a nemzetiségre, politikai, vallási meggyőződésre, szexuális életre vagy beállítottságra, egészségi állapotra vagy éppen káros szenvedélyre utalnak.
A 3 alapvető tudnivaló: az adatkezelés csak meghatározott célhoz kötött lehet (és ha a cél megvalósul, az adatokat törölni kell); az adatkezelés csak az érintett beleegyezésén, vagy más jogos érdeken alapulhat, az erről szóló dokumentummal az adatkezelőnek kell tudnia bizonyítani, hogy az adatkezelés jogszerű; az adatkezelő felelőssége, hogy gondoskodjon az adatok védelméről, vagyis hogy azok ne kerüljenek át máshoz.
Kinek kell betartani a GDPR rendelkezéseit? Nem a működési forma, hanem a végzett tevékenység számít Minden olyan szervezetnek alkalmazni kell, aki magánszemélyek személyes adatait tömegesen kezeli, vagy feldolgozza Önkormányzat, közületek, egészségügyi intézmények, vállalkozások, civil szervezetek A személyes adatnak kezelője az, akinél az adat van, vagyis az is adatkezelésnek minősül, hogyha az adatok egy senki által nem használt pendrive-on vagy egy fiók mélyén elsüllyesztett papíron szerepelnek. Az adatkezelőnek (adatfeldolgozónak) kell biztosítani, hogy az adatkezelési gyakorlat megfelel a GDPR-nak.
Jogalap, adattakarékosság, célhoz és időhöz kötöttség, törlés Fontos, hogy az adatok kezelésének kell, hogy legyen valamilyen jogalapja. Ez civil szervezetek esetében leginkább az lehet, hogy az érintett hozzájárul az adatai kezeléséhez A hozzájárulás ténye az érintettektől származó, az adatkezelésre vonatkozó, önkéntes, írásbeli hozzájárulási nyilatkozattal bizonyítható ezt az adat kezelőjének kell megőriznie.
Önellenőrző kérdések: Milyen személyes adatokkal dolgozunk és milyen adatokat kezelünk? Hol tároljuk ezeket az adatokat? (online, papíron, fájlokban, pendrive, laptop, CD stb. ) Milyen módon szivároghatnak ki az adatok? Mit teszünk egy adatszivárgás esetén? Ki férhet hozzá az adatokhoz a szervezeten belül és kívül? (zárható szekrényben vannak? jelszóval védett fájlban? link birtokában bárki hozzáférhet az adatokat tartalmazó fájlhoz? stb. ) Mi(k) az adatkezelés célja(i)? Megvalósultak ezek a célok, vagy még folyamatban vannak? Milyen hozzájárulást adtak a természetes személyek az adatkezeléshez?
Adatkezelés feltételei • • Az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen lehet például egy jelölőnégyzet is – ha az nincsen előre kitöltve! A hallgatás vagy a nem cselekvés nem minősül hozzájárulásnak.
Úgy általában, az adatkezelés legyen • • • Jogszerű és tisztességes, Átlátható, (tájékoztatás, kommunikáció), A cél legyen megfogalmazott és jogszerű, Az adatkezelés, tárolás a legrövidebb (szükséges vagy jogszabályi) időre korlátozódjon, Törlés és rendszeres felülvizsgálat legyen biztosított, A kezelés módja akadályozza meg a jogosulatlan hozzáférést és felhasználást.
Gyermekek védelme Különös védelem illeti meg a gyermekeket például a marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának céljait szolgáló adatkezeléssel szemben. Szülői felügyelet gyakorlójának hozzájárulása kell. 16. év alattiak adatait csak a szülői hozzájárulással szabad kezelni. Ezt a fentieknek megfelelően dokumentálni kell.
Belső adatkezelés szabályai Tagnyilvántartás Hozzájáruló nyilatkozatok felfrissítése Esetleg az alapszabály módosítása, és a tagság feltétele az adatvédelmi tájékoztató elfogadása Munkavállalók, megbízottak, vállalkozók adatai (amennyiben a szerződés megkötéséhez, teljesítéséhez elengedhetetlenül szükséges) – függelmi viszonyok (jogcím: jogszabályi kötelezettség, szerződés teljesítése) Önkéntesek – jobb a hozzájáruló nyilatkozat, mert nem kötelező az írásbeliség
Pályázati elszámolás Jogszabály írja elő (EU-s vagy magyar) Csak a pályázati cél teljesítéséhez feltétlenül szükséges személyes adatok kezelhetők! Az adatok köre: legyen szükséges, alkalmas a cél elérésére és azzal arányos Az adatok kezeléséhez külön hozzájárulás nem kell, de tájékoztatás igen! A tájékoztatás megismerését az adatkezelőnek kell bizonyítani Készletező (nem célhoz kötött) adatgyűjtés jogellenes
Rendezvényeken felvett jelenléti ív Akkor jogszerű, ha: Van konkrét és jogos adatkezelési cél Megfelelő tájékoztatás Igazolható hozzájárulás!
Honlapot fenntartó szervezet, hírlevél Hozzájárulás (jelölőnégyzet) Célhoz kötött! Megfelelő tájékoztatás (adatvédelmi tájékoztató, jelölő négyzet) Olyan képek, videók, amelyeket harmadik személy is felismerhető, csak hozzájárulása alapján tehető közzé! A régi képekre is vonatkozik! Hírlevél: megújítandó hozzájárulás, célszerű határozatlan időre Olyan személyes adat, amelynek kezelése nem feleltethető meg a GDPR-nek, TÖRLENDŐ! Erről az érintettet tájékoztatni kell
Archívum Akkor jogszerű, ha: Közérdekű archiválás Jogszabályi előírás (pl. bizonylatok Számviteli Tv. 8 év)
Fotók, mozgóképek A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni kell A felvétel készítés jogalapját meg kell jelölni Meg kell jelölni, milyen célból, milyen felületen, ki használhatja fel, mennyi ideig tárolják Ha nem lehet úgy részt venni, hogy ne szerepeljen a felvételen, akkor a jogalap: az adatkezelő vagy harmadik személy jogos érdeke (pl. tudósítás, híradás). Korábbi felvételek érintett személyeit is tájékoztatni kell, Ha nem lehetséges --- törlés
Munkahelyi kamerák Tájékoztatás Célhoz kötöttségnek megfelelő látószög A munkavállaló megfigyelésére, ellenőrzésére irányulhat Megfelelő jogalap (pl. vagyonvédelem) nem
Adatvédelmi incidens: fizikai, vagyoni és nem vagyoni károkat okozhat a természetes személynek. A szervezetek belső információs és védelmi rendszereiket fejleszteni kell. Az adatvédelmi incidenseket 72 órán belül jelenteni kell a Hatóság felé. Az incidensekről az érintetteket is tájékoztatni kell. Ha ún. adatvédelmi incidens történik, vagyis illetéktelen személyhez vagy nyilvánosságra kerülnek a személyes adatok, akkor ezt a lehető leghamarabb jelenteni kell az adatvédelmi hatóságnak (NAIH)
Felügyeleti hatóság, NAIH www. naih. hu
Adatvédelmi tisztviselők • • Kötelező: közhatalmi szervek, vagy közfeladatot ellátó szervek, az az adatkezelő, vagy adatfeldolgozó, amelynek tevékenysége szisztematikus, nagymértékű megfigyelést tesz szükségessé. Érintettek: Egészségügyi intézmények Távközlési szolgáltatók Internet, egyes tartalomszolgáltatók Internetes reklám és marketing cégek Pénzügyi intézmények Megfigyelő kamerarendszerek stb. Tehát a legtöbb szervezetnek nem kötelező, de jó, ha van egy felelős
Jogkövetkezmények Az alábbi rendelkezések megsértését közigazgatási bírsággal kell sújtani, a) b) c) az adatkezelés elvei – ideértve a hozzájárulás feltételeit; az érintettek jogai; személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása. A bírság globális cégek esetén 20 millió euró, vagy az éves, globális árbevétel (figyelem, árbevétel, nem a nyereség!!) 4%-a, a kettő közül a magasabb összeg. A jelenlegi magyar jogszabály szerint legfeljebb 20 millió forint volt a felső határ.
Felügyeleti hatóság, NAIH www. naih. hu
Kérdése van? Tegye fel!
- A vaáli erdőben
- Kell high school counseling
- Ardrey kell high school counselors
- A rossz győzelméhez nem kell más
- Lewis duffy kell
- Pigeons poem by richard kell analysis
- Gdpr algorithmic bias
- Edpo gdpr
- Gdpr denetim
- Gdpr privacy
- Unifida
- Gdpr felkészítés
- Aws iaa
- Idiots guide to gdpr
- Gdpr refresher training
- Gdprbreachnotification
- Varonis gdpr patterns
- Arkivering av personalhandlingar
- Ssl inspection gdpr
- Gdpr
- Slido gdpr
- Gdpr public sector
- Eu-gdpr-p
- Gdpr yhdistykset
- Gdpr principles
- Aws gdpr architecture