Felkészülés az Adatvédelmi Rendelet alkalmazására

Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben

1.  Adatvédelmi tudatosság erősítése

Biztosítsuk a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez. Az adatkezelő illetőleg adatfeldolgozó szervezetén belül az adatkezeléssel összefüggő döntések meghozatalában közreműködő munkavállalók megfelelő felkészültsége elengedhetetlen az új adatvédelmi rendelet megfelelő alkalmazásához.

 

2.   Az adatkezelés kritériumainak felülvizsgálata

Tekintsük át az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Kövessük, rögzítsük az adatok sorsát. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal összhangba tudunk kerülni az általános adatvédelmi rendeletben lefektetett elszámoltathatóság elvével és biztosítani tudjuk a jogszerű adatkezelés vagy adatfeldolgozást.

3.   Az érintett megfelelő tájékoztatása

Az érintett jogai kapcsán biztosítsuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően. Ügyeljünk arra, hogy ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve továbbá megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. A tájékoztatáshoz való jog előzetesen, az adatkezelés során annak megszűnéséig megilleti az érintettet.

4.   Az érintettek jogai

Tekintsük át az érintett jogaira és a jogok érvényesítésére vonatkozó szabályokat. Ellenőrizzük az adatkezelési műveleteinket, hogy az érintettek jogai maradéktalanul érvényesülhessenek. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:

    a rá vonatkozó személyes adatokhoz való hozzáférés;

    azok helyesbítése;

    törlése („az elfeledtetéshez való jog”);

    kezelésének korlátozása;

    a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;

    az adathordozhatósághoz való jog.


A legfontosabb újdonság az adathordozhatósághoz való jog. E joga alapján az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat géppel olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. Az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az új általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat, hiszen csak ez vezet el a tényleges joggyakorláshoz.

5.  Az érintett hozzáférési joga

Tekintsük át a tájékoztatási kötelezettségre vonatkozó új szabályokat és teljesítési határidőket. Az új szabályok szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

6.  Az adatkezelés jogalapja

Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva biztosítsuk az információs önrendelkezési jog érvényesülését. Ügyeljünk arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást. A hozzájárulás mint jogalap tehát egy hangsúlyosabb törlési kényszert jelent az adatkezelőre nézve.

7.   A hozzájárulás feltételeinek felülvizsgálata

Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáljuk meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés új adatvédelmi rendelet szerinti kritériumait illetően. Miként az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) a hozzájárulás és kifejezett hozzájárulás fogalmát is alkalmazza, úgy az új általános adatvédelmi rendeletben szintén megtalálható. A kettő közötti esetleges különbség egyik joganyag vonatkozásában sincs meghatározva, azonban fontosnak tartjuk felhívni a figyelmet arra, hogy amennyiben hozzájáruláson alapuló adatkezelésről van szó, a hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.

8.  Gyermekek jogainak kiemelt védelme

Amennyiben a szervezet gyermekek személyes adatait is kezeli, fordítsunk kiemelt figyelmet a rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályaira. A gyermek életkora az Infotv.-ben és az új adatvédelmi rendeletben is meghatározó. Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A hozzájárulás tekintetében a tagállamok 13. életévnél nem alacsonyabb életkort is megállapíthatnak.

9.  Adatvédelmi incidens bejelentése

Az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad.

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.  


10.  Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. E magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége ugyan magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. A hatásvizsgálat során – figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira valamint a kockázatok forrásaira – meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Magas kockázatú adatkezelési műveletek példálózó felsorolása: nagyszámú érintett; nagy mennyiségű személyes adat; kiszolgáltatott személyek, pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése.

A rendelet arról is rendelkezik, hogy mikor nem szükséges hatásvizsgálatot lefolytatni.

Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

11.  Az adatvédelmi tisztviselők

Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

12.  Az adatvédelmi felügyeleti hatóság illetékessége

Az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is.

Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

Fő felügyeleti hatóság illetékessége: nemzetközi vállalatok, határon átnyúló adatkezelések esetében a rendelet kijelöl egy fő felügyeleti hatóságot, amelyet az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye fog meghatározni. A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében. A fő felügyeleti hatóság az érintett felügyeleti hatóságokkal információcserét folytat és együttműködik, valamint hatáskört ruházhat át.

Amennyiben a szervezet tevékenységi köre nem csak egy országra korlátozódik, vizsgáljuk meg, mely országban végezzük az adatkezelés jelentős részét (ez többnyire az anyavállalat székhelye), majd ez alapján győződjünk meg arról, mely ország hatósága jár majd el fő felügyeleti hatóságként adatkezelésünk tekintetében.

Bővebben

Neu-Man KFT.