Untitled Document
GDPR segítség dr. Zsitek István ügyvédtől

Adatvédelem, GDPR 2018. május 25-től  

2018. május 25-én hatályba lép a GDPR, az Európai Unió 2016/679 számú Általános Adatvédelmi Rendelete, amelyet valamennyi Európában működő olyan vállalkozás köteles betartani, amely személyes adatot kezel.

Hogyan is készüljünk fel, milyen intézkedéseket kell tennünk, hogy 2018 május 25-én megfeleljünk a GDPR előírásoknak?

Amennyiben Ön érdekelt a GDPR felkészülésben és felveszi velem a kapcsolatot, akkor heti 2 alkalommal megküldök Önnek egy összesen 10 (+3) részből álló jogi tájékoztatót, amely segítségére lesz abban, hogy 2018 május 25-e után vállalkozása GDPR kompatibilis legyen.

Emailes bejelentkezés alapján 2018 május 10-e után kiscsoportos konzultációkat biztosítok a GDPR-rel kapcsolatos jogi feladatok teljesítéséhez. Kérem, üzenetben jelezze, ha szeretne résztvenni a konzultáción! Köszönöm.

Jó munkát, sikeres felkészülést kívánok!

dr. Zsitek István ügyvéd

2018-04-23

FIGYELMEZTETÉS! Az itt közreadottak csak a GDPR szabályok jobb megismerését, megértését kívánták elősegíteni, céljuk csak a teendőkre vonatkozó figyelem felkeltés. A közérthetőség érdekében a jogi szabályozás ismertetése nem teljeskörű, a jogi megfogalmazás nem feltétlenül pontos. Emiatt a közzétett tájékoztatók jogi tanácsadásként nem értelmezhetők, az itt leírtakat mindenki a maga felelősségére értelmezi és használja fel, azokért jogi illetve anyagi felelősséget nem vállalok. Tanácsolom, hogy a teendők és a cégre szabott konkrét feladatok kidolgozása, megvalósítása érdekében, szükség esetén megfelelő szakember segítségét vegye igénybe!

GDPR 1/13.

 Tájékoztató 1/13. »»



GDPR 2/13.

 Tájékoztató 2/13. »»

 Kiküldőlevél 2/13. »»



GDPR 3/13.

 Tájékoztató 3/13. »»

 Kiküldőlevél 3/13. »»



GDPR 4/13.

 Tájékoztató 4/13. »»

 Kiküldőlevél 4/13. »»



GDPR 5-6/13.

 Tájékoztató 5-6/13. »»

 Kiküldőlevél 5-6/13. »»



GDPR 7/13.

 Tájékoztató 7/13. »»

 Kiküldőlevél 7/13. »»



GDPR 8/13.

 Tájékoztató 8/13. »»

 Kiküldőlevél 8/13. »»



GDPR 9-10/13.

9./ JOGORVOSLATOK, KÁRTÉRÍTÉS, BÍRSÁG

Az adatkezeléssel kapcsolatosan az érintett panasszal élhet az adatkezelőnél, e panaszok kezelésére az adatkezelőknek fel kell készülniük.

Az érintett ezenkívül panasszal élhet a felügyeleti hatóságnál (NAIH). Érdekesség, hogy a NAIH ellen is panasszal lehet élni, ha az érintett véleménye szerint nem megfelelően foglalkozott a hatóság a panasszal.

A NAIH köteles a panaszt kivizsgálni és vizsgálatának eredményéről az érintettet tájékoztatni. A döntés ellen, illetve ha a NAIH három hónapon belül nem nyilatkozik, az érintett bírósághoz fordulhat. Az érintett a sérelmével kapcsolatban, az adatkezelő vagy az adatfeldolgozó ellen közvetlenül is a bírósághoz fordulhat.

Ha a GDPR szabályainak megszegése valamilyen kárral járt, az érintett az adatkezelőtől kártérítést követelhet. Bár sokan a 20 millió eurós bírságoktól tartanak, én személy szerint reálisabb veszélynek tekintem a köztudatba be nem került, itt említett kártérítési felelősséget!

Az adatfeldolgozó felelőssége csak akkor állapítható meg, ha nem tartja be az adatfeldolgozókra vonatkozó GDPR előírásokat vagy az adatkezelő utasításait.

Ha többen felelősek az okozott kárért, az ő felelősségük az érintettel szemben egyetemleges, tehát a teljes kár megtérítése bármelyiküktől követelhető. Ha valamelyik károkozótól a kártérítést behajtják, ő a többi károkozótól, az egymás közötti felelősségük arányában kérheti az általa kifizetett kártérítés megtérítését. E szabály fényében még fontosabb a közös adatkezelések, az adatfeldolgozói viszonyok szerződéses szabályozása, a kártérítésekre is kiterjedő garanciák beépítése.

Az adatkezelők illetve az adatfeldolgozók mentesülnek a felelősség alól, ha bizonyítják, hogy a kár bekövetkezéséért őket felelősség nem terheli.

Az adatkezelési szabálytalanságok eddig maximum 20M Ft bírsággal jártak. A 2 M összeg maradt, de euróban, illetve a bírság a cég előző pénzügyi éve teljes világpiaci forgalmának 4 %-a is lehet, ha az a nagyobb mint a 20M euró. Enyhébb esetben a bírság 10M euró illetve 2%.

A bírság kiszabása előtt vagy mellett a NAIH figyelmeztetést, tiltást is alkalmazhat. Ugyanakkor a bírság kiszabása nem kötelezettség csak lehetőség a hatóság számára és a büntetésnek arányosnak kell lennie, többek között a jogsértés súlyával, időtartamával, az érintettek számával, a kár mértékével stb.

A kilencedik feladat: A vállalkozás honlapjának vizsgálata. – Sütik – A sütik használatára az érintettek figyelmét fel kell hívni, csak olyan süti helyezhető el a honlapon, amellyel kapcsolatban tudni lehet, hogy az milyen adatokat, kinek, milyen célból gyűjt. A honlapon nem helyezhetők el olyan sütik, amelyekkel harmadik személyek a felhasználóról, annak beleegyezése nélkül adatokat gyűjtenek.

Adattovábbítás esetén a vállalkozásnak naprakész nyilvántartással kell rendelkeznie. Ha harmadik országba továbbít a vállalkozó adatot, annak megfelelőségét, garanciáit az adattovábbító vállalkozásnak garantálnia kell és erről az érintetteket tájékoztatni kell.

10./ INFORMÁCIÓ ADATBIZTONSÁG

Abszolút adatbiztonság nincs, ez nem is követelhető meg. A GDPR azonban az adatkezelő illetve az adatfeldolgozó kötelezettségévé teszi, hogy a tudomány és technológia adott szintjén, reális költségek mellett alakítsa ki az adatok biztonságos kezelésének körülményeit.

Ennek során biztosítani kell az adatok bizalmasságát, sérthetetlenségét, és rendelkezésre állását (confidentiality + integrity + availability = CIA háromszög)

Ennek eszközei a fizikai, az adminisztratív és a logikai kontroll.

Az adathordozókra, adatokra olyan veszélyek leselkednek mint pl. a hő, por, nedvesség, mechanikai sérülések, rongálás, lopás, áramszünet.

Az ezen hatások kivédése érdekében alkalmazott fizikai kontroll az adattárolás helyére történő bejutás, az adathordozókhoz, számítógépekhez, iratokhoz való hozzáférés, illetve az adatmentések rendszere.

Az adminisztratív kontrol a belső szabályozást jelenti, amely egy üzletmenet folytonossági és egy katasztrófa elhárítási terv. Az előbbi azon intézkedések rendszere aminek alkalmazásával az adatkezelő tevékenységét egy katasztrófa esetén, rövid időn belül (bizonyos szinten) folytatni tudja, az utóbbi alkalmazásával pedig a működés, a katasztrófa utáni új körülmények között, teljes mértékben visszaállítható.

A logikai kontroll az információhoz való hozzáférési jogosultság ellenőrzésére, a logikai hozzáférés, az információ biztonságát szolgáló rendszerek, pl a jelszó- és erőforrás menedzsment, hálózati konfiguráció. Az azonosításra használható a felhasználó néven, jelszón kívül az egyszer használható kódok, vagy chipkártyák, esetleg a biometrikus adatok.

Az adatbiztonsági irányítási rendszerek a kockázat arányában kezelik az információ biztonságot, erre kidolgozott szabványok léteznek, ilyen az ISO szabványrendszer, benne pl az ISO 27001 szabvány, amelyen a GPRS által megkívánt adatbiztonsági irányítási rendszer is alapul. Az ISO nem tartalmaz konkrét utasításokat, inkább egy mérlegelési rendszert nyújt.

Ennek keretében elsődlegesen fel kell mérni a védett adatok körét, és az üzleti folyamatokban betöltött szerepüket.

Ha ezek ismertek, meg kell vizsgálni az informatikai rendszereket és ezek sebezhetőségét.

Kockázatelemzéssel fel lehet mérni, hogy a kockázattal arányosan milyen védelmi intézkedésekre, rendszerekre van szükség. Ezt a folyamatot adathatás elemzésként ismerik és tanácsos minden adatkezelést érintő változtatás előtt elvégezni.

Végül a védelmi rendszert informatikai biztonsági szabályzatban kell rögzíteni.

Alapvető, hogy ezt a rendszert – figyelemmel a technikai fejlődéssel jelentkező új és új fenyegetésekre - pl. zsaroló vírusok megjelenése -, folyamatosan fejleszteni kell.

A tizedik feladat: Elkészíteni a nyilvántartásokat, ha ezek hiányoznak. Ezen belül az adattovábbítási nyilvántartást, az adatkezelési tiltásokról szóló u.n. Robinson listát, az incidens nyilvántartást, az érintetti és hatósági megkeresések listáját, az eltévedt érintetti megkeresések kezelésével kapcsolatos nyilvántartást. dr. Zsitek István ügyvéd

2018-05-23


 Kiküldőlevél 9-10/13. »»


Kapcsolatfelvétel, üzenet: 

Emailes jelentkezését várom!

 

Letölthető GDPR anyagok 

Adatvédelmi és GPDR jogszabályok

GDPR - az Európai Parlament és a Tanács (EU) 2016/679 számú Általános Adatvédelmi Rendelete: itt »

Info tv - az információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvény: itt »

2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól: itt »

2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről: itt »

A GDPR 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatásai. Az iránymutatások nem kötelezőek, de segítenek a szabályok megértésében: itt »

Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH), NAIH Tájékoztatók, közlemények: itt »

NAIH Állásfoglalások: itt »

CIMKEFELHŐ:

budapest, V, kerület, cégjog, szerződés, ingatlanjog, családjog, Követelés, Öröklés, Eltartás, Végrendelet,

ügyvédi, iroda, ingatlan, per, Adásvétel, Ajándékozás, Bérlet,

ügyvéd, jog, cég, Bt, Kft, Rt, alapítás, Kft, tőkeemelés, bontóper,

reszponzív webdesign: De-DeSign Bt. +36-20-481-1785, ugyfelszolgalat@szeretettelajanlom.hu