Civilek s a GDPR Kell ez neknk Szigorod

  • Slides: 25
Download presentation
Civilek és a GDPR - Kell ez nekünk? { Szigorodó követelmények Dr. Kovács Orsolya

Civilek és a GDPR - Kell ez nekünk? { Szigorodó követelmények Dr. Kovács Orsolya ügyvéd – adatvédelmi tisztviselő Mobil: +36 30 870 5401 E-mail: ugyved@drkovacsorsolya. hu

Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat? A legtöbb civil

Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat? A legtöbb civil szervezet kezel személyes adatokat. Ezeket érdemes két nagy csoportra elkülöníteni: vannak a szervezettel, a munkatársakkal, munkaviszonnyal kapcsolatos adatok (belső) és azok, amelyek a szervezet működése során keletkeznek, a szervezet másoktól gyűjti be és tárolja őket (külső)

EU adatvédelmi reform GDPR = AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

EU adatvédelmi reform GDPR = AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27. ) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) Az egész unióra kiterjedő, egységes általános adatvédelmi rendelet. Hatályba lépett: 2018. május 25 -én. 2016 áprilisa óta volt idő, hogy a nemzeti hatóságok és a cégek is felkészülhessenek az új kihívásokra.

Adatvédelem információvédelem • • Fogalmak, melyeket nem mindig jól használunk! A jogszabályi értelemben az

Adatvédelem információvédelem • • Fogalmak, melyeket nem mindig jól használunk! A jogszabályi értelemben az „adatvédelem” a természetes személyek magánszférájának védelméről szól. Az Infotv. , (a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) biztosítja a Személyes adatok védelmét; A közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését.

Mi számít személyes adatnak? A törvény értelmében minden olyan adat személyes adatnak minősül, amely

Mi számít személyes adatnak? A törvény értelmében minden olyan adat személyes adatnak minősül, amely kapcsolatba hozható az érintettel – különösen ilyen a neve, azonosítója, telefonszáma, emailcíme, lakcíme, és azok is, amelyekből következtetéseket lehet levonni az érintettre nézve. A személyes adat kategóriáján belül külön kört alkotnak a különleges adatok, amelyek olyan érzékeny információk, amelyek a nemzetiségre, politikai, vallási meggyőződésre, szexuális életre vagy beállítottságra, egészségi állapotra vagy éppen káros szenvedélyre utalnak.

A 3 alapvető tudnivaló: az adatkezelés csak meghatározott célhoz kötött lehet (és ha a

A 3 alapvető tudnivaló: az adatkezelés csak meghatározott célhoz kötött lehet (és ha a cél megvalósul, az adatokat törölni kell); az adatkezelés csak az érintett beleegyezésén, vagy más jogos érdeken alapulhat, az erről szóló dokumentummal az adatkezelőnek kell tudnia bizonyítani, hogy az adatkezelés jogszerű; az adatkezelő felelőssége, hogy gondoskodjon az adatok védelméről, vagyis hogy azok ne kerüljenek át máshoz.

Kinek kell betartani a GDPR rendelkezéseit? Nem a működési forma, hanem a végzett tevékenység

Kinek kell betartani a GDPR rendelkezéseit? Nem a működési forma, hanem a végzett tevékenység számít Minden olyan szervezetnek alkalmazni kell, aki magánszemélyek személyes adatait tömegesen kezeli, vagy feldolgozza Önkormányzat, közületek, egészségügyi intézmények, vállalkozások, civil szervezetek A személyes adatnak kezelője az, akinél az adat van, vagyis az is adatkezelésnek minősül, hogyha az adatok egy senki által nem használt pendrive-on vagy egy fiók mélyén elsüllyesztett papíron szerepelnek. Az adatkezelőnek (adatfeldolgozónak) kell biztosítani, hogy az adatkezelési gyakorlat megfelel a GDPR-nak.

Jogalap, adattakarékosság, célhoz és időhöz kötöttség, törlés Fontos, hogy az adatok kezelésének kell, hogy

Jogalap, adattakarékosság, célhoz és időhöz kötöttség, törlés Fontos, hogy az adatok kezelésének kell, hogy legyen valamilyen jogalapja. Ez civil szervezetek esetében leginkább az lehet, hogy az érintett hozzájárul az adatai kezeléséhez A hozzájárulás ténye az érintettektől származó, az adatkezelésre vonatkozó, önkéntes, írásbeli hozzájárulási nyilatkozattal bizonyítható ezt az adat kezelőjének kell megőriznie.

Önellenőrző kérdések: Milyen személyes adatokkal dolgozunk és milyen adatokat kezelünk? Hol tároljuk ezeket az

Önellenőrző kérdések: Milyen személyes adatokkal dolgozunk és milyen adatokat kezelünk? Hol tároljuk ezeket az adatokat? (online, papíron, fájlokban, pendrive, laptop, CD stb. ) Milyen módon szivároghatnak ki az adatok? Mit teszünk egy adatszivárgás esetén? Ki férhet hozzá az adatokhoz a szervezeten belül és kívül? (zárható szekrényben vannak? jelszóval védett fájlban? link birtokában bárki hozzáférhet az adatokat tartalmazó fájlhoz? stb. ) Mi(k) az adatkezelés célja(i)? Megvalósultak ezek a célok, vagy még folyamatban vannak? Milyen hozzájárulást adtak a természetes személyek az adatkezeléshez?

Adatkezelés feltételei • • Az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az

Adatkezelés feltételei • • Az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen lehet például egy jelölőnégyzet is – ha az nincsen előre kitöltve! A hallgatás vagy a nem cselekvés nem minősül hozzájárulásnak.

Úgy általában, az adatkezelés legyen • • • Jogszerű és tisztességes, Átlátható, (tájékoztatás, kommunikáció),

Úgy általában, az adatkezelés legyen • • • Jogszerű és tisztességes, Átlátható, (tájékoztatás, kommunikáció), A cél legyen megfogalmazott és jogszerű, Az adatkezelés, tárolás a legrövidebb (szükséges vagy jogszabályi) időre korlátozódjon, Törlés és rendszeres felülvizsgálat legyen biztosított, A kezelés módja akadályozza meg a jogosulatlan hozzáférést és felhasználást.

Gyermekek védelme Különös védelem illeti meg a gyermekeket például a marketingcélokat, illetve személyi vagy

Gyermekek védelme Különös védelem illeti meg a gyermekeket például a marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának céljait szolgáló adatkezeléssel szemben. Szülői felügyelet gyakorlójának hozzájárulása kell. 16. év alattiak adatait csak a szülői hozzájárulással szabad kezelni. Ezt a fentieknek megfelelően dokumentálni kell.

Belső adatkezelés szabályai Tagnyilvántartás Hozzájáruló nyilatkozatok felfrissítése Esetleg az alapszabály módosítása, és a tagság

Belső adatkezelés szabályai Tagnyilvántartás Hozzájáruló nyilatkozatok felfrissítése Esetleg az alapszabály módosítása, és a tagság feltétele az adatvédelmi tájékoztató elfogadása Munkavállalók, megbízottak, vállalkozók adatai (amennyiben a szerződés megkötéséhez, teljesítéséhez elengedhetetlenül szükséges) – függelmi viszonyok (jogcím: jogszabályi kötelezettség, szerződés teljesítése) Önkéntesek – jobb a hozzájáruló nyilatkozat, mert nem kötelező az írásbeliség

Pályázati elszámolás Jogszabály írja elő (EU-s vagy magyar) Csak a pályázati cél teljesítéséhez feltétlenül

Pályázati elszámolás Jogszabály írja elő (EU-s vagy magyar) Csak a pályázati cél teljesítéséhez feltétlenül szükséges személyes adatok kezelhetők! Az adatok köre: legyen szükséges, alkalmas a cél elérésére és azzal arányos Az adatok kezeléséhez külön hozzájárulás nem kell, de tájékoztatás igen! A tájékoztatás megismerését az adatkezelőnek kell bizonyítani Készletező (nem célhoz kötött) adatgyűjtés jogellenes

Rendezvényeken felvett jelenléti ív Akkor jogszerű, ha: Van konkrét és jogos adatkezelési cél Megfelelő

Rendezvényeken felvett jelenléti ív Akkor jogszerű, ha: Van konkrét és jogos adatkezelési cél Megfelelő tájékoztatás Igazolható hozzájárulás!

Honlapot fenntartó szervezet, hírlevél Hozzájárulás (jelölőnégyzet) Célhoz kötött! Megfelelő tájékoztatás (adatvédelmi tájékoztató, jelölő négyzet)

Honlapot fenntartó szervezet, hírlevél Hozzájárulás (jelölőnégyzet) Célhoz kötött! Megfelelő tájékoztatás (adatvédelmi tájékoztató, jelölő négyzet) Olyan képek, videók, amelyeket harmadik személy is felismerhető, csak hozzájárulása alapján tehető közzé! A régi képekre is vonatkozik! Hírlevél: megújítandó hozzájárulás, célszerű határozatlan időre Olyan személyes adat, amelynek kezelése nem feleltethető meg a GDPR-nek, TÖRLENDŐ! Erről az érintettet tájékoztatni kell

Archívum Akkor jogszerű, ha: Közérdekű archiválás Jogszabályi előírás (pl. bizonylatok Számviteli Tv. 8 év)

Archívum Akkor jogszerű, ha: Közérdekű archiválás Jogszabályi előírás (pl. bizonylatok Számviteli Tv. 8 év)

Fotók, mozgóképek A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni kell A felvétel készítés

Fotók, mozgóképek A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni kell A felvétel készítés jogalapját meg kell jelölni Meg kell jelölni, milyen célból, milyen felületen, ki használhatja fel, mennyi ideig tárolják Ha nem lehet úgy részt venni, hogy ne szerepeljen a felvételen, akkor a jogalap: az adatkezelő vagy harmadik személy jogos érdeke (pl. tudósítás, híradás). Korábbi felvételek érintett személyeit is tájékoztatni kell, Ha nem lehetséges --- törlés

Munkahelyi kamerák Tájékoztatás Célhoz kötöttségnek megfelelő látószög A munkavállaló megfigyelésére, ellenőrzésére irányulhat Megfelelő jogalap

Munkahelyi kamerák Tájékoztatás Célhoz kötöttségnek megfelelő látószög A munkavállaló megfigyelésére, ellenőrzésére irányulhat Megfelelő jogalap (pl. vagyonvédelem) nem

Adatvédelmi incidens: fizikai, vagyoni és nem vagyoni károkat okozhat a természetes személynek. A szervezetek

Adatvédelmi incidens: fizikai, vagyoni és nem vagyoni károkat okozhat a természetes személynek. A szervezetek belső információs és védelmi rendszereiket fejleszteni kell. Az adatvédelmi incidenseket 72 órán belül jelenteni kell a Hatóság felé. Az incidensekről az érintetteket is tájékoztatni kell. Ha ún. adatvédelmi incidens történik, vagyis illetéktelen személyhez vagy nyilvánosságra kerülnek a személyes adatok, akkor ezt a lehető leghamarabb jelenteni kell az adatvédelmi hatóságnak (NAIH)

Felügyeleti hatóság, NAIH www. naih. hu

Felügyeleti hatóság, NAIH www. naih. hu

Adatvédelmi tisztviselők • • Kötelező: közhatalmi szervek, vagy közfeladatot ellátó szervek, az az adatkezelő,

Adatvédelmi tisztviselők • • Kötelező: közhatalmi szervek, vagy közfeladatot ellátó szervek, az az adatkezelő, vagy adatfeldolgozó, amelynek tevékenysége szisztematikus, nagymértékű megfigyelést tesz szükségessé. Érintettek: Egészségügyi intézmények Távközlési szolgáltatók Internet, egyes tartalomszolgáltatók Internetes reklám és marketing cégek Pénzügyi intézmények Megfigyelő kamerarendszerek stb. Tehát a legtöbb szervezetnek nem kötelező, de jó, ha van egy felelős

Jogkövetkezmények Az alábbi rendelkezések megsértését közigazgatási bírsággal kell sújtani, a) b) c) az adatkezelés

Jogkövetkezmények Az alábbi rendelkezések megsértését közigazgatási bírsággal kell sújtani, a) b) c) az adatkezelés elvei – ideértve a hozzájárulás feltételeit; az érintettek jogai; személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása. A bírság globális cégek esetén 20 millió euró, vagy az éves, globális árbevétel (figyelem, árbevétel, nem a nyereség!!) 4%-a, a kettő közül a magasabb összeg. A jelenlegi magyar jogszabály szerint legfeljebb 20 millió forint volt a felső határ.

Felügyeleti hatóság, NAIH www. naih. hu

Felügyeleti hatóság, NAIH www. naih. hu

Kérdése van? Tegye fel!

Kérdése van? Tegye fel!

GDPR GDPR GDPR The European Commission support forGDPR GDPR GDPR The European Commission support for
GDPR Overview GDPR Overview GDPR Individuals Rights ToGDPR Overview GDPR Overview GDPR Individuals Rights To
Kell ez neknk Informatika az iskolban Bnhegyesi ZoltnKell ez neknk Informatika az iskolban Bnhegyesi Zoltn
Kell ez neknk Folyamatszablyozs a szzhalombattai Hamvas BlaKell ez neknk Folyamatszablyozs a szzhalombattai Hamvas Bla
Loomade populatsioonidnaamika K kell 10 15 N kellLoomade populatsioonidnaamika K kell 10 15 N kell
Kell szabad nem szabad Amit tudnod kell haKell szabad nem szabad Amit tudnod kell ha
Egyb prevenci civilek iskoln kvli szervezetek Harmadlagos szocializciEgyb prevenci civilek iskoln kvli szervezetek Harmadlagos szocializci
A CIVILEK S A GAZDASG KZS KRNYEZETE KRPTMEDENCEIA CIVILEK S A GAZDASG KZS KRNYEZETE KRPTMEDENCEI
General Data Protection Regulation GDPR What is GDPRGeneral Data Protection Regulation GDPR What is GDPR
GDPR Workshop G LEFTHERIOTIS 21 3 18 GDPRGDPR Workshop G LEFTHERIOTIS 21 3 18 GDPR
Algorithmic fairness meets the GDPR How the GDPRAlgorithmic fairness meets the GDPR How the GDPR
EU n TIETOSUOJA GDPR Mik GDPR The GeneralEU n TIETOSUOJA GDPR Mik GDPR The General
GDPR GDPR The European Commission support for theGDPR GDPR The European Commission support for the
GDPR Hotel Challenges Hospitality Unprepared for GDPR TheGDPR Hotel Challenges Hospitality Unprepared for GDPR The
GDPR GDPR The European Commission support for theGDPR GDPR The European Commission support for the
GDPR IT Challenges ico Who does the GDPRGDPR IT Challenges ico Who does the GDPR
GDPR GDPR The European Commission support for theGDPR GDPR The European Commission support for the
GDPR 2018 Co je GDPR General Data ProtectionGDPR 2018 Co je GDPR General Data Protection
GDPR GDPR The European Commission support for theGDPR GDPR The European Commission support for the
GDPR online GDPR sessie Emmanuel Steyaert TC BlueGDPR online GDPR sessie Emmanuel Steyaert TC Blue
GDPR Case Studies David Sumner EU GDPR PGDPR Case Studies David Sumner EU GDPR P
GDPR e Privacy 28 3 2017 GDPR aGDPR e Privacy 28 3 2017 GDPR a
GDPR Compliance User Guide Official Extension Page GDPRGDPR Compliance User Guide Official Extension Page GDPR
GDPR Vlaams Welzijnsverbond Infosessie GDPR voor medewerkers vanGDPR Vlaams Welzijnsverbond Infosessie GDPR voor medewerkers van