Untitled Document
GDPR segítség dr. Zsitek István ügyvédtől

Adatvédelem, GDPR 2018. május 25-től  

2018. május 25-én hatályba lép a GDPR, az Európai Unió 2016/679 számú Általános Adatvédelmi Rendelete, amelyet valamennyi Európában működő olyan vállalkozás köteles betartani, amely személyes adatot kezel.

Hogyan is készüljünk fel, milyen intézkedéseket kell tennünk, hogy 2018 május 25-én megfeleljünk a GDPR előírásoknak?

Amennyiben Ön érdekelt a GDPR felkészülésben és felveszi velem a kapcsolatot, akkor heti 2 alkalommal megküldök Önnek egy összesen 10 (+3) részből álló jogi tájékoztatót, amely segítségére lesz abban, hogy 2018 május 25-e után vállalkozása GDPR kompatibilis legyen.

Emailes bejelentkezés alapján 2018 május 10-e után kiscsoportos konzultációkat biztosítok a GDPR-rel kapcsolatos jogi feladatok teljesítéséhez. Kérem, üzenetben jelezze, ha szeretne résztvenni a konzultáción! Köszönöm.

Jó munkát, sikeres felkészülést kívánok!

dr. Zsitek István ügyvéd

2018-04-23

FIGYELMEZTETÉS! Az itt közreadottak csak a GDPR szabályok jobb megismerését, megértését kívánták elősegíteni, céljuk csak a teendőkre vonatkozó figyelem felkeltés. A közérthetőség érdekében a jogi szabályozás ismertetése nem teljeskörű, a jogi megfogalmazás nem feltétlenül pontos. Emiatt a közzétett tájékoztatók jogi tanácsadásként nem értelmezhetők, az itt leírtakat mindenki a maga felelősségére értelmezi és használja fel, azokért jogi illetve anyagi felelősséget nem vállalok. Tanácsolom, hogy a teendők és a cégre szabott konkrét feladatok kidolgozása, megvalósítása érdekében, szükség esetén megfelelő szakember segítségét vegye igénybe!

GDPR 1/13.

Áttekintés és az első tennivalók:

A közelmúlt híreiben gondolom jó páran felfigyeltek arra, hogy egy cég több mint 80 millió Facebook felhasználó adatait szerezte meg. Újabban az illegális adtszerzés volumenét már milliárdos nagyágra becsülik. Ezeknek az adatoknak a felhasználásával pl. választások eredményét lehet befolyásolni, az adat tehát tudás, ami mint tudjuk hatalom.

Az interneten közben sorra jelennek meg a tájékoztatások vagy éppen a tájékoztatásnak álcázott reklámok, melyek a 2018. május 25-től kötelezően alkalmazandó GDPR (az Európai Unió 2016/679 számú Általános Adatvédelmi Rendelete), szabályokról szólnak, sajnos gyakran a félelemkeltés eszközével azzal, hogy a bírság 20 millió Euró is lehet.

Ez az összeg 6,3 milliárd magyar forintnak felel meg, de fontos tudni, hogy a bírságolás nem kötelező és elég valószínűtlen, hogy az adatvédelmi szabályok betartásán őrködő Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) május 26-án tömegesen ellenőrizné és bírságolná a cégeket. Ugyanakkor fontos tisztában lenni az információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvénnyel (Info tv) védett adatkezelési szabályokkal és természetesen a GDPR rendelkezéseivel is. Sajnos, a jelenleg is hatályos Info törvény módosítása és a kapcsolódó ágazati szabályok eddig nem készültek el, és az is lehetséges, hogy május 25-éig sem jelennek még meg, ezért jelenleg csak a GDPR két éve ismert szabályai alapján vehetjük sorba – szándékom szerint elsősorban a kkv-ék teendőit - az új adatvédelmi rendszer területén. Figyelemmel kell azonban arra is lenni, hogy az adatokkal kapcsolatos teendők 2018. május 25-ig az Info tv. alapján folynak és a hazai szabályokra a GDPR hatálybalépése után is figyelni kell. Szabály ütközése esetén, valószínüleg a majd szigorúbb szabályt kell a válalkozásoknak alkalmazniuk.

Természetesen tájékoztatóm nem készül a teljesség igényével, nem feltétlen kívánom a precíz, de a laikusoknak sajnos gyakran érthetetlen jogi fogalmakat használni, inkább csak közérthetővé kívánom tenni az új rendszer alapfogalmait és az ez alapján szükséges legfontosabb teendőket. Aki jobban el akar merülni a témában, az rengeteg információt talál az interneten, legelsőnek én a NAIH honlapját ajánlanám: http://naih.hu/ Jól használható könyvek és tájékoztatók is jelennek meg, felhívnám a figyelmet a HVG Adatvédelem a gyakorlatban c. kiadványára amelynek gondolatmenetét és megfogalmazását magam is követem. Én a késöbbiekben, az érdeklődőknek kiscsoportos konzultációt is fogok biztosítani.

Minden vállalkozás adatkezelő, címlista készítő, hiszen az ügyfelek illetve potenciálisan megszerezhető ügyfelek elérhetőségére, adataira szüksége van minden vállalkozónak, hogy üzletét működtesse, a legtöbb cégnek vannak munkavállalói, partnerei, kampányokat folytat, az üzletével kapcsolatos panaszokat intéz nyilvántartásokat vezet stb.. Ezért elég valószínűtlen az a néha hallott felvetés, hogy rám ez az egész nem vonatkozik, hiszen én nem is kezelek adatokat. A szimpla tárolás is adatkezelés.

Célszerű ezért áttekinteni:

  1. az adatokkal kapcsolatos tudnivalókat,
  2. az adatkezelésre feljogosító jogalapokat,
  3. az érintett személyek jogait,
  4. az adatvédelmi incidenseket,
  5. az adatvédelmi hatásvizsgálatot,
  6. az adatvédelmi tisztségviselőkről szóló szabályokat,
  7. a munkaviszonnyal összefüggő adatkezeléseket,
  8. az ügyfelek adatainak kezelését,
  9. a jogi eljárásokat,
és mindezek mellett azt, hogy milyen intézkedéseket kell tennünk, hogyan is készüljünk fel arra, hogy május 25-én megfeleljünk az előírásoknak?

1./ ALAPFOGALMAK: AZ ADATOK, AZ ADATKEZELÉS, AZ ADATKEZELŐ ÉS AZ ADATFFELDOLGOZÓ, A NYILVÁNTARTÁSOK ÉS AZ INCIDENS A GDPR minden adatkezelőre kiterjed, aki az európai unió területén lévő polgárok számára nyújt szolgáltatást, vagy végez megfigyelést – függetlenül attól, hogy az Európai Unióban van-e a székhelye, adatkezelés helye, vagy ott működik-e adatfeldolgozóként.

A GDPR hatálya az egyéni vállalkozókra és nem csak az elektronikus de a papíralapú dokumentumokra is kiterjed.

A GDPR a személyes adatokra vonatkozik, ami lényegében bármely információ, ami alapján egy személy beazonosítható, ilyen pl. a név, azonosító szám, helymegjelölés vagy a személy testi, genetikai, szellemi tulajdonságai (pl. egészségügyi adatok), fényképe, hangfelvétele stb. Különleges adatnak minősülnek, és ezért fokozottan védendők pl. az etnikai, vallási, politikai meggyőződésre, egészségügyi állapotra, szexuális irányultságra, szokásokra stb., vonatkozó, illetve az ún. biometrikus adatok, a bűncselekményekre vonatkozó adatok és kiemelten védendők a gyermekek adatai is.

A szabályok gyakran utalnak az érintettre, aki nem más mint az a személy, aki az adatok alapján beazonosítható.

A jogi személyek adatai alapesetben nem védettek, kivéve a képviselők, tehát a természetes személyek adatait. A cégjegyzékben szereplő ügyvezetői adatok tehát személyes adatok, úgy is kell kezelni őket, csak ezek a személyes adatok közérdekből publikusak.

Adatkezelő az, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, az érintett személy adatait kezeli. Adatkezelésnek minősül a gyűjtéstől rögzítéstől a tárolástól kezdve a rendszerezésen, felhasználáson keresztűl, a továbbításig, módosításig, törlésig minden tevékenység, minden adaton végzett művelet, függetlenül attól, hogy ez automatizált gépi rendszerben vagy emberi közreműködéssel történik.

Ha többen együtt határozzák meg az adatkezelés célját és eszközeit, akkor ők közös adatkezelők lesznek, viszonyukat szerződésben kell, hogy rendezzék, felelősségük pedig az esetleges jogsértésekkel okozott károkért egyetemleges lesz. Ilyen közös adatkezelési helyzet lehet pl. a fejvadász cégek megbízása.

Aki csak az adatkezelő megbízásából segít az adatok feldolgozásában, de nincs önálló döntési joga az adatok vonatkozásában, az az adatfeldolgozó, tevékenysége tehát alapvetően technikai jellegű. Ha tehát a könyvelőnknek átadjuk könyvelési anyagainkat, amelyek- pl. a bizonylatokon - személyes adatokat tartalmaznak, az a könyvelő oldalán alapesetben csak adatfeldolgozói tevékenység, hiszen az az adatok felett a cégünk rendelkezik, a könyvelő ebben az esetben csak egy jogszabály által kötelező, segítő tevékenységet végez.

Az adatkezelőnek és az adatfeldolgozónak a GDPR alapján adatkezelési nyilvántartást kell vezetnie, amelynek az alábbi adatokat kell tartalmaznia:
  • az adatkezelő, a képviselője illetve az adatvédelmi tisztségviselője nevét, elérhetőségét,
  • a személyes adatok kategóriáit,
  • az érintettek kategóriáit,
  • az adatkezelés célját, jogalapját
  • a tervezett törlési határidőket,
  • a címzettek kategóriáit,
  • a harmadik országba történő adattovábbítás tényét és garanciáit,
  • a technikai és szervezési intézkedéseket az adatbizonság érdekében.
Az adatfeldolgozók nyilvántartásának többek között tartalmaznia kell:
  • az egyes adatkezelőknek végzett adatkezelési tevékenységek kategóriáit,
  • az adatkezelő és az adatfeldolgozó, a képviselője illetve az adatvédelmi tisztségviselője nevét, elérhetőségét.
Mentesül a nyilvántartási kötelezettség alól a 250 főnél kevesebb alkalmazottat foglalkoztató cég, ha adatkezelése kockázattal nem jár, alkalmi jellegű, és nem kezel különleges vagy bűnügyi adatokat. Magánvéleményem, hogy nincs kockázatmentes adatkezelés, ezért a kisebb vállalkozások is jól teszik, ha vezetik a nyilvántartásokat.

A cégeknek lesz teendőjük az adatvédelmi incidensek esetén is. Incidens bármi, ami az adatok megsemmisülését, elvesztését, jogosulatlan hozzáférést, módosítást eredményezhet. Ilyen pl. a céges laptop, adathordozó (pendrive) elvesztése, ha azon személyes adatokat tároltak.

Látható a fentiekből, hogy minden vállalkozás kezel adatot, minden vállalkozás rendelkezik tehát adatvagyonnal.

Az első feladat amit tehát a GDPR-re való felkészülés során el kell végeznünk, az ennek az adatvagyonnak a felmérése (adatleltár, adattérkép).

Milyen üzleti folyamataink vannak, ennek során milyen típusú adatokat kezel a vállakozásunk, ezek kiknek az adatai (munkavállalók, ügyfelek stb.), hogyan jutottunk az adatokhoz, milyen célból és milyen jogalappal kezeljük ezeket az adatokat, mennyi ideig kezeljük az adatokat, mi okból és kiknek továbbítjuk az adatokat (kik férnek hozzá?), milyen nyilvántartásokat, szoftvereket használunk stb..? Van-e honlapunk, használunk-e sütiket, működtetünk-e webáruházat? Figyelem: a megfigyelő kamerák is adatkezelést végeznek!

(A jogalapokat a következő részben vesszük át!)

Ezt a felmérést mindenkinek el kell végeznie. Eközben figyelembe kell venni az adatkezelés elveit is, amelyek közül néhány:
  • A célhoz kötöttség – csak megjelölt cél érdekében birtokolhatunk adatokat,
  • Adattakarékosság – csak olyan mennyiségű, fajtájú adatot kezelhetünk jogszerűen, ami elegendő az adott cél megvalósításhoz, az ezt meghaladó adatgyűjtés jogellenes,
  • Időbeli korlátozottság – csak a szükséges időtartamig őrizhetünk adatokat, ha az adat már nem szükséges azt törölni kell.
  • Elszámoltathatóság – egy hatósági ellenőrzés esetén bizonyítható legyen a GDPR-nek való megfelelés.
  • Átláthatóság – az adatok tulajdonosai mindig egyértelműen, könnyen tudhassanak arról, hogy adataikat miért kéri és mire használják fel? Erre szolgál a a kötelezően elkészítendő adatvédelmi tájékoztató.
Az adatvagyon felmérése során ellenőrizni kell az adatkezelés jogszerűségét. Ha nem jogszerű, akkor az adatkezelést meg kell szüntetni, az elektronikus adatokat törölni, a papíralapúakat megsemmisíteni kell.

Kérje 13 részes GDPR tájékoztatómat a kapcsolatfelvételnél és üzenetben jelezze, hogy igényli-e a kiscsoportos konzultációt!

dr. Zsitek István ügyvéd

2018-04-23



GDPR 2/13.

 Tájékoztató 2/13. »»

 Kiküldőlevél 2/13. »»



GDPR 3/13.

 Tájékoztató 3/13. »»

 Kiküldőlevél 3/13. »»



GDPR 4/13.

 Tájékoztató 4/13. »»

 Kiküldőlevél 4/13. »»



GDPR 5-6/13.

 Tájékoztató 5-6/13. »»

 Kiküldőlevél 5-6/13. »»



GDPR 7/13.

 Tájékoztató 7/13. »»

 Kiküldőlevél 7/13. »»



GDPR 8/13.

 Tájékoztató 8/13. »»

 Kiküldőlevél 8/13. »»



GDPR 9-10/13.

 Tájékoztató 9-10/13. »»

 Kiküldőlevél 9-10/13. »»



Kapcsolatfelvétel, üzenet: 

Emailes jelentkezését várom!

 

Letölthető GDPR anyagok 

Adatvédelmi és GPDR jogszabályok

GDPR - az Európai Parlament és a Tanács (EU) 2016/679 számú Általános Adatvédelmi Rendelete: itt »

Info tv - az információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvény: itt »

2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól: itt »

2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről: itt »

A GDPR 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatásai. Az iránymutatások nem kötelezőek, de segítenek a szabályok megértésében: itt »

Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH), NAIH Tájékoztatók, közlemények: itt »

NAIH Állásfoglalások: itt »

CIMKEFELHŐ:

budapest, V, kerület, cégjog, szerződés, ingatlanjog, családjog, Követelés, Öröklés, Eltartás, Végrendelet,

ügyvédi, iroda, ingatlan, per, Adásvétel, Ajándékozás, Bérlet,

ügyvéd, jog, cég, Bt, Kft, Rt, alapítás, Kft, tőkeemelés, bontóper,

reszponzív webdesign: De-DeSign Bt. +36-20-481-1785, ugyfelszolgalat@szeretettelajanlom.hu