Tíz dolog, amely segít az adatvédelmi szabályozás betartásában

Tíz dolog, amely segít az adatvédelmi szabályozás betartásában

2016 áprilisában az Európai Parlament és a Tanács kiadta az általános adatvédelmi rendeletet. Az új rendelet 2018. május 25-től kötelezendően alkalmazandó a kétéves átmeneti időszak után. A rendelet új követelményeket támaszt a személyes adatokat kezelő cégek számára. Mire fontos odafigyelni?

Kövesse nyomon a legújabb jogszabályokat

A korábbi szabályozáshoz hasonlóan, az új rendelet is megköveteli, hogy a személyes adatok kezelője megfelelő módon kezelje a személyes adatokat.

A gyakorlatban ez azt jelenti, hogy nyilvántartást kell vezetnie a felelősségi körébe tartozó adatkezelési műveletekről annak érdekében, hogy bizonyítsa, hogy azok az előírásoknak mindenben megfelelnek.

Bizonyosodjon meg arról, hogy megkapta a hozzájárulást

Amennyiben a személyes adatok kezeléséhez hozzájárulás szükséges, úgy a hozzájárulás megadásának igazolhatónak kell lennie.

A hozzájárulást egyértelműen, írásos, elektronikus vagy szóban megadott nyilatkozat formájában kell megadni. Az érintett hozzájárulása: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”

Az „elfeledtetéshez való jog” érvényesítése

A rendelet kitér „a nyilvántartott személy joga az elfeledtetéshez” pontra. A gyakorlatban ez annyit tesz, hogy a személynek joga van ahhoz, hogy adatait eltávolítsák az Ön adatbázisaiból.

A helyzet akkor áll fenn, ha az Ön adatbázisában szereplő személy visszavonja hozzájárulását adatai felhasználására vonatkozóan. Abban az esetben nem áll fenn az adatok eltávolításának kötelezettsége, ha a személyes adatok kezelése jogi kötelezettség teljesítéséhez szükséges.

Ha az adatok eltávolítására vonatkozó kötelezettsége fennáll, tájékoztatnia kell minden szervezetet, amely megkapta vagy közzétette az adatokat. Ez biztosítja, hogy az anyaghoz kapcsolódó minden hivatkozás, másolat és példány szintén eltávolításra kerül.

Az adathordozhatósághoz való jog

AGDPR lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását.  A rendelet 20. cikkének (1) bekezdése értelmében:

„Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.”

A rendelet kitér azon személyes adatok szabályozására is, amelyeket az ügyfél adott meg Önnek jóváhagyás vagy megállapodás útján.  Ez azonban nem azt jelenti, hogy jóváhagyhat vagy fenntarthat olyan adatfeldolgozó rendszereket, amelyek nem felelnek meg a szabályoknak.  

A profilalkotás tiltása Önt is érintheti

A GDPR nem csak az automatizált adatfeldolgozással, profilalkotással összefüggő döntéseket szabályozza, hanem már a profilozással kapcsolatos adatok gyűjtésének is kereteket ad.

Mindenkinek joga van ahhoz, hogy adatai ne képezzék olyan döntés tárgyát, amely automatikus adatkezelésen alapszik, illetve jogi vagy más jelentős hatással lenne rá nézve.  Ez a gyakorlatban azt jelenti, hogy senki nem hozhat egy személyt érintő fontos döntést, amely automatikus adatkezelésen alapszik. A profilalkotás tilalma alól kivételt képez, ha az automatizált döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, kötelező adatkezelésen alapul, illetve, ha az adatkezeléshez az érintett kifejezetten hozzájárult.

A profilalkotás tilalma alóli kivételnek számítanak a hitelezési döntések is, hiszen gyakran automatikus besorolási rendszereken és döntési javaslatokon alapulnak.

Minden esetben bizonyosodjon meg arról, hogy profilalkotási eljárás megfelel a jogszabályokban előírtaknak.

Tájékoztatás az adatvédelmi incidensekről

Az adatvédelmi incidens a személyes adatok integritásának és bizalmas jellegének a sérülését jelenti. Ennek értelmében "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi."  

A jövőben az adatkezelő kötelessége a nyilvántartott személyeket tájékoztatni bármilyen adatvédelmi incidensről. Ide tartoznak azok az esetek, amikor a személy jogai és szabadságai sérültek. Ha ilyen helyzet áll elő, több intézkedést kell tennie az adatkezelőnek:

  1. A hatóságokat az incidenstől számított legkésőbb 72 órán belül értesítenie kell.
  2. Minden érintett személyt haladéktalanul tájékoztatni kell az incidensről, amint az incidens valószínűsíthetően jelentős kockázatnak teszi ki a jogaikat és szabadságukat.

E kötelezettségek teljesítése érdekében fontos, hogy belső utasításokat és eljárásokat alakítson ki, amelyek biztosítják a hatékony és megfelelő folyamatot.

Tájékoztatás az adatkezelési folyamatairól

A vállalatok minden eddiginél több adatot gyűjtenek világszerte. A korábbi szabályozáshoz hasonlóan, illetve az új rendeletnek is megfelelően Önnek részletes tájékoztatást kell adnia ügyfelei számára, valamint meg kell határoznia a személyes adatok tárolásának időtartamát. Amennyiben ez nem lehetséges, tájékoztatnia kell ügyfeleit a tárolást megakadályozó szempontokról.

Gyakorlatban ez annyit tesz, hogy Önnek frissítenie kell a nyilvántartást és az adatbiztonsági dokumentumokat, és végig kell gondolnia, hogy miként tudja tájékoztatni a nyilvántartott személyeket.

Az új adatvédelmi tisztviselő szerepe

Az új adatvédelmi rendeletben a jelenlegi belső adatvédelmi felelős jogintézményt felváltja az adatvédelmi tisztviselő. Ha az Ön cégében egyre nagyobb szerepet kap az adatvédelem, előfordulhat, hogy adatvédelmi tisztviselőt kell kineveznie. Adatvédelmi tisztviselőt többek között olyan szervezeteknek kötelező kineveznie, amelynek „fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése”.

Javasoljuk, hogy mérjék fel, hogy az adatvédelmi tisztviselő kinevezésének követelménye vonatkozik-e az Ön cégére vagy sem.

A személyes adatok kezelésének kiszervezése óvintézkedések meghozatalát is megköveteli Öntől

Ha az adatkezelési folyamata bármely részét egy másik szervezet látja el, azaz ők dolgozzák fel a személyes adatokat cége nevében, több kötelezettség is Önökre hárul:

  1. Gondoskodnia kell a megfelelő műszaki és szervezeti óvintézkedésekről, amelyek megfelelnek az előírásoknak.
  2. Biztosítania kell, hogy a nyilvántartott személyek jogai védve vannak.
  3. Önnek kell beazonosítania azokat a helyzeteket, amelyekben a kiszervezés helyénvaló, és gondoskodnia kell arról, hogy minden szerződés megfeleljen a szabályoknak. Például az adatok felhőszolgáltatás keretében történő tárolása kiszervezésnek minősül, noha a szolgáltató nem aktív adatfeldolgozó.

A szabálysértés súlyos bírságot von maga után

Fontos tisztában lenni azzal, hogy a figyelmeztetésen túl komoly bírsággal jár, ha az adatvédelmi rendeletet megszegik. A bírság akár 20 millió euróig vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékáig is terjedhet.