Mi az a GDPR Az EU j adatvdelmi

Mi az a GDPR? ● Az EU új adatvédelmi szabályozása (2016/679) ● 2018. 05. 25 -től “élesedett be” ● Implementálás nélkül kötelező ● Infotv. -el együtt alkalmazandó Tévhit: - Moratórium van - KKV-nak első körben figyelmeztetés (korlátozottan igaz csak)

Mi a célja? ● A magánszemélyek természetes adatainak védelme. Egységes EU-s adatvédelmi szabályok bevezetése (jogorvoslat, ellenőrzés, fogalmak, értelmezés, bírság kiszabás, kötelezettségek) ● Összességében szigorúbb és kötelező szabályok bevezetése ●

Gyakorlati teendők ● Adatkezelések átnézése ● Adattípusok átnézése ● Hozzájárulások átnézése ● Elektronikus és papír alapú iratok átnézése

Kik a kötelezettjei? ● Vállalkozók, vállalkozások ● Állami szervek ● Iskolák, önkormányzatok ● Bűnügyi szervek nem bűnügyi jokörükhöz kapcsolódóan ● Magánszemély “kvázi” vállalkozóként (pl. blogger, vlogger, influence A kötelezettség mértéke nem a kötelezett vállalat méretétől, hanem a kezelt adatoktól függ! ●

Adatkezelő, adatfeldolgozó ● Adatkezelő: ● -az adatkezelés céljáról dönt, ● - időtartamát mehatározza, ● -adatfeldolgozás eszközeit meválasztja, ● -dönt az adatok továbbításáról, ● -meghatározza hogy kik ismerhetik meg az adatot ● Adatfeldolgozó: ● -az adatot csak az adatkezelő utasításának mefelelően dolgozza fel, ● - csak technikai, szervezési kérdésekről dönt, ● -szervezetileg elkülönül az adatkezelőtől ● - más nevében jár el

Kikre nem vonatkozik? Az adatok köre szerint ● Kizárólag magán célú adatkezelők/adatkezelés ● Nemzetbiztonsági adatkezelés ● Egyéb jsz szerinti adatkezelés Félreértett kivételek: - Kis létszám, vállalkozás formátuma, adatkezelés beazonosításának hibáiból adódó tévedések

Milyen adatokról van szó? ● Személyes adatok (GDPR) -minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik ● -azonosítható az a term. szem, aki közvetlen vagy közvetett módo különösen valamely azonosító, például név, szám, helymeghatározó ad online azonosító, vagy a term. szem. testi, fiziológiai, genetikai, kultúrá vagy szociális azonosságára vonatkozó egy vagy több tényező alapj azonosítható ●

Milyen adatokról van szó? Különleges személyes adatok: ● -faji vagy etnikai származásra, ● - politikai véleményre, vallási vagy világnézeti meggyőződésre vagy ● -szakszervezeti taságra utaló személyes adatok, valamint ● -a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, ● -egészségügyi adatok ● - természetes személyek szexuális életére vagy szexuális irányultságára irányuló adatok ● EZEK KEZELÉSE FŐ SZABÁLY SZERINT TILOS! ●

Alapelvek ● Csak annyi adatot, amennyi feltétlenül kell ● Csak célhoz kötötten ● A cél meghatározása ● Tájékoztatás az elejétől a végéig mindenről ● Szükségtelen adatok törlése, rendszeres felülvizsálat ● Pontatlan adatok javítása vagy törlése ● Sztükséges garanciák ● Tájékoztatás teljesítése ● Hordozhatóság biztosítása ● Átláthatóság (befele nyilvántartás, kifele DPO és tájékoztatás)

Kezelés jogcímei ● Infótv. 2 jogcímet ismert korábban ● GDPR 6 jogcímet ismer: ● - szerződés teljesítése ● - hozzájárulás ● - jogos érdek ● - jogi kötelezettség teljesítése ● - létfontosságú érdek ● - közhatalmi jogosítványok

Jogcímek használata ● Valamelyiket meg kell jelölni ● Ha több használatos, akkor mindegyikhez külön leírás Nem lehet hozzájáruláson alapuló az, ami nyilvánvalóan szerződéses (pl. msz. , már nincsen az a “hozzájárult aztán jólvanazúgy”) ● Mindegyiknél más jogai vannak az érintettnek, erről mindegyiknél tájékoztatni kell ● ● A jogcím változásáról időben értesíteni kell az érintetett

A szerződés teljesítése jogcím Már az ajánlatkérés stádiumában nyilvántartást kell vezetni ● ● Szerződés zárása (időnként nehezebb megállapítani)

Jogcímek használata ● Valamelyiket meg kell jelölni ● Ha több használatos, akkor mindegyikhez külön leírás Nem lehet hozzájáruláson alapuló az, ami nyilvánvalóan szerződéses (pl. msz. , már nincsen az a “hozzájárult aztán jólvanazúgy”) ● Mindegyiknél más jogai vannak az érintettnek, erről mindegyiknél tájékoztatni kell ● ● A jogcím változásáról időben értesíteni kell az érintetett

Hozzájárulás ● Hírlevél, e. DM ez alapján mehet ● Önkéntes (szolgáltatás, weblap igénybe vétele nem függhet ettől) Kifejezett (akár írásban nyilatkozat, szerződésben külön klauzula, weben jelölőnégyzet, stb. ) ● Ahol szerződéses a jogalap (pl. munkaviszony, B 2 B), ott nem alkalmazható ● ● Arányosan, az alapelveket betartva ● Kérésre adatokat törölni, ezt igazolni

Érintetti jogok ● Helyesbítés/törlés (minden jogcímnél) ● Korlátozáshoz való jog ● Adathordozhatóság ● Tiltakozás ● Adatkezelés megtiltása ● Tájékoztatás kérése ● Közvetlen elérés ● Panasz ● Hozzájárulás visszavonása

Joorvoslati jogok (érintett) ● Helyesbítés/törlés (minden jogcímnél) Korlátozáshoz való jog (ideiglenes, bizonyos esetekben pl. adatpontosítás, tiltakozás idejére, jogellenes adatkezelésnél) ● ● Adathordozhatóság ● Tiltakozás (közhatalmi és jogos érdek) ● Adatkezelés megtiltása ● Panasz ● Hozzájárulás visszavonása

Készítendő iratok, nyilvántartások (teljes lista, egyedileg bővítés vagy szűkítés) Adatkezelési tájékoztató/szabályzat ● Ügyfélnyilvántartás ● Partner (beszállító) nyilvántartás ● Tiltakozók listája ● Hatósági és ügyfél megkeresésekre nyilvántartás ● Adatvédelmi incidens nyilvántartás ● Ahol kell (webshop, autom. adatkez. ) e-napló ● Munkavállalói nyilvántartás (+ jelentkezők) ● Ahol kell, ott belső szabályzatok, a feladatokat és az adatok meismerhetőséét pontosan leszabályozni ● Kamerás megfigyelésnél külön szabályzat (kit, mikor, meddig) ● Adatvédelmi hatásvizsálat ● IT biztonsági szabályzat és nyilvántartás ● (ha kellett) hozzájáruló nyilatkozatok ●

Adatkezelő és adatfeldolgozó kapcsolata ● Pontos szerződést kell kötniük. ● Adatkezelést részletesen leszabályozni ● -mit? ● -meddig? ● - milyen módon és terjedelemben? Garanciák: adatkezelő ellenőrizheti az adatfeldolgozó GDPR-mefelelését. ●

Szabályzatok elkészítéséhez tippek ● Azonosítsuk be, hogy milyen adatokat kezelünk (mv, szerződés, üf, partner, tiltakozók, hírlevél feliratk. , reg. adatok, hivatalos ir. , alapító ir. ) ● ● Mindegyik adatkezeléshez egyenként rendeljünk szabályokat! ● Ha kell, keressünk DPO-t. ● Szerkesszük meg az iratokat, szabályzatokat. Írassuk alá a munkaválallóval hogy tud arról hogy a szerződése alapján vagy hozzájárulása szerint adatait kezeljük (megjelölni hogy melyiket miért) ● ● A jogorvoslati lehetőséget MINDIG! vegyük bele

Példa- adatfolyamatok Megrendelő szolgáltatást rendel offline (megrendelő adatai) ● Vállalkozó megrendeli a beszállítótól (beszállító adatai könyvelőnek) ● ● Erről számlát kap (szla adatok) ● Kiküldi GLS-el (adattovábbítás GLS-nek) ● Számláz (szla adatok könyvelőnek) ● …. . és akkor ez még csak az offline. . .

Dr. Glázer Noém adatvédelmi tanácsadó E-mail: drglazer. trening@gmail. com Tel. : 31 781 62 64