Szakterületek

AZ ÜGYVÉD VÁLASZOL

A honlapunkon megjelölt szakterületeken, on-line módon, ingyenes jogi tanácsadás igénybevételére van lehetőség.

A szolgáltatás igénybevétele díjmentes.
Feltett kérdésére választ 8 munkanapon belül e-mailben kap, így amennyiben Önt határidő köti, kérem, hogy ne ezt a szolgáltatást válassza.

Kérdezek
Dr. Mogyorósi István
ügyvéd

 

Tájékoztató GDPR-ra történő felkészülés menetéről

I) A GDPR-ről néhány mondatban:

A GDPR az Európai Parlament és a Tanács (EU) 2016/679 sz. Rendelete a General Data Protection Regulation (a továbbiakban: GDPR)

A GDPR-t 2018. május 25-től kell alkalmazni. Ez azt jelenti, hogy ettől a naptól valamennyi adatkezelőnek meg kell felelnie a GDPR rendelkezéseinek. Tekintettel arra, hogy az EU tagállamainak kötelezően kell alkalmaznia a GDPR Rendeletet, indifferens, hogy az adott tagállam, így Magyarország megalkotta-e a hazai kiegészítő jogi szabályozást, illetőleg összhangba hozta-e a saját jogával. A GDPR  rendelkezései elsőbbséget élveznek a tagállami szabályokkal szemben.

A GDPR az eddigi hazai gyakorlathoz képest jelentős változásokat hoz és sokkal több feladatot és egyszersmind felelősséget ró az adatkezelőre. Csak a leglényegesebbek:

  • Az adatkezelőnek – hozzájáruláson alapuló adatkezelés esetén- képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult.
  • Erősebb érintetti jogosultságok: Az adatkezelőnek az adatkezelés megkezdése előtt érthető, átlátható, könnyen hozzáférhető módon kell az érintetteket tájékoztatnia az adatkezeléssel összefüggő jogainak gyakorlásáról
  • Az érintett jogosult arra, hogy erre irányuló kérése esetén az adatkezelő késedelem nélkül törölje a rá vonatkozó személyes adatokat ( „felejtéshez való jog”)
  • Az érintett jogosult arra, hogy az adatkezelő rendelkezésére bocsátott adatokat széles körben használt, géppel olvasható formátumban megkapja. ( „adathordozhatóság joga”)
  • Automatizált döntéshozatal szabályozása

Ezek az érintetti jogosultságok és adatkezelői kötelezettségek egy olyan szabályozási, munkaszervezési környezet kialakítását teszik szükségessé, mellyel igazolni és bizonyítani lehet, hogy az adatkezelés minden elemében megfelel a GDPR követelményeinek („elszámoltathatóság” elve).

A GDPR megsértése esetére kilátásba helyezett bírság mértéke elérheti a 20 000 000 EUR-ot. Ugyanakkor több szempont együttes mérlegelése alapján dönthet az adatvédelmi hatóság a bírság kiszabása mellett (pl.: jogsértés súlya, szándékos és ismétlődő jellege, hatósággal folyatott együttműködés stb.).

II. Milyen feladatokat kell Önöknek, mint adatkezelőknek 2018. május 25-ig elvégezni?

Az alábbiakban pontokba szedve összefoglaljuk, hogy Önöknek, mint adatkezelőknek milyen feladataik vannak/lehetnek a 2018. május 25. napján hatályba lépő új Uniós Általános Adatvédelmi Rendelet (GDPR) alapján.

1.) A cégen belül végzett adatkezelések feltérképezése (felül kell vizsgálni az eddigi adatkezelési gyakorlatot jogi és technológiai szempontból)

Milyen adatokat kezelnek?

Ezek jellemzően az alábbiak lehetnek:

  • munkavállalói adatok,
  • magánszemély ügyfelek adatai,
  • nem magánszemélyekkel fenn álló szerződéses kapcsolatban a kapcsolattartó személyek adatai
  • hírlevélre feliratkozók adatai
  • állásajánlatra jelentkezők adatai

Mi volt az eddig adatkezelési gyakorlat?

  • hogyan, milyen formában tájékoztatták eddig az érintetteket az adatkezelésről
  • hogy és hol tárolják az adatokat
  • ki férhet hozzá az egyes adatokhoz
  • mennyi ideig tárolják, illetve mikor törlik az adatokat

Milyen technológiát alkalmaztak eddig a kezelt személyes adatok védelmére?

  • megfelelő-e a tűzfal
  • valóban csak az fér-e hozzá az adatokhoz, akinek arra jogosultsága van

Vesznek-e igénybe adatfeldolgozót?

  • könyvelést, bérszámfejtést végző cég
  • munkavállalók oktatását (tűzvédelem, munkavédelem..stb.) végző cég
  • szerverszolgáltató
  • szállítmányozó/fuvarozó cég

A munkavállalók esetében külön kérdésként merül fel, hogy biztosítanak-e a munkavégzéshez pl. céges telefont, céges laptopot, céges e-mail címet? Ezeket a munkavállalók magáncélokra használhatják-e? Ezek használatát a munkáltatói részről ellenőrzik-e és ha igen, akkor milyen módon?

Alkalmaznak-e kamerás megfigyelőrendszert? Ha igen hol és milyen célból?

Működik-e valamilyen beléptető rendszer Önöknél?

2.) Az 1.) pontban foglaltak figyelembe vételével célszerű elkészíteni egy GDPR-nek megfelelő belső adatvédelmi és adatbiztonsági szabályzatot, amely tartalmazza a belső eljárási rendeket, amelyek az adatvédelem mindenkori biztosításához szükségesek (pl: adatvédelmi incidensek kezelésének menete; hozzáférési jogosultságok, stb…).

3.) El kell készíteni a GDPR rendelkezéseinek megfelelő adatkezelési tájékoztatókat.

  • munkavállalók adataira vonatkozó tájékoztató, amelyet minden munkavállaló részére írásban át kell adni
  • általános adatkezelési tájékoztató (ügyféladatok kezelése)
  • külön tájékoztató a honlapra, ezen belül külön tájékoztató a cookie-k alkalmazásáról
  • kamerás megfigyeléssel kapcsolatos tájékoztató

4.) Az IT-fejlesztőkkel egyeztetni kell annak érdekében, hogy az esetleges biztonsági kockázatok a minimálisra csökkenjenek. (pl.: a legmagasabb fokú adatvédelmi beállítások, adatszivárgás elleni védelem)

5.) Amennyiben adatfeldolgozót vesznek igénybe, külön adatfeldolgozó szerződést kell kötni, amely tartalmazza a GDPR 28. cikkében megfogalmazott kötelező tartalmi elemeket.

6.) Meg kell alkotni és vezetni kell az adatkezelési nyilvántartás, amely az alábbiakat tartalmazza:

a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
b) az adatkezelés céljai;
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását
f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g) ha lehetséges, a megfelelő szintű adatbiztonság érdekében tett technikai és szervezési intézkedések általános leírása.

7.) Meg kell alkotni és vezetni kell az adatvédelmi incidensek nyilvántartását.

8.) Nem kötelesek adatvédelmi tisztviselőt választani, de célszerű kijelölni egy vagy két személyt, aki a cégen belül ellátja az adatkezeléssel kapcsolatos tájékoztatási, tanácsadási és ellenőrzési feladatok a belső adatkezelési szabályzatnak megfelelően.

Amiben a segítségükre lehetünk:

  • jogi szempontból felülvizsgáljuk, a jelenlegi adatkezelési gyakorlatukat és a kapcsolódó dokumentumaikat, szükség esetén módosítjuk, kiegészítjük azokat a GDPR-nek történő megfelelés érdekében.
  • az Önök által szolgáltatott információk (lásd 1.) pont) alapján elkészítjük a GDPR kompatibilis belső adatkezelési szabályzatot, valamint az egyes adatkezelési tájékoztatókat
  • segítünk megalkotni a kötelező adatkezelési nyilvántartást és az adatvédelmi incidensek nyilvántartását
  • elkészítjük az adatfeldolgozókkal kötendő megbízási szerződéseket.

Kapcsolatfevétel:

Iroda: 1027 Budapest, Fő u. 51. V/1
Tel./Fax: +36-1-204-9963
Mobil: 06-30-211-5020
E-mail: drmogyorosi.ugyved@t-online.hu