GDPR - Általános Adatvédelmi Rendelet

GDPR - EU adatvédelmi rendelet!

2018.04.04.

Mi is az a GDPR? A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet - General Data Protection Regulation. Az Európai Unió 2016. április 14-én elfogadott adatvédelmi törvénye, melynek türelmi időszaka lejár 2018. május 25- én. A türelmi idő lejárta után már komoly büntetéseket róhat ki az adatvédelmi hatóság. A GDPR követelményeinek való megfelelés elmulasztásának szankciói akár 20 millió € büntetés vagy a vállalat éves bevételének 4%-a.

Mindenkire kiterjed az adatkezelési szabályzat, aki személyes adatokat kezel. Nem csak nagyvállalatokat érint, hanem minden adatot kezelő vállalkozást, annak nagyságától függetlenül. Adatkezelésnek minősül minden személyes adatokon végzett cselekmény. Ezért adatkezelésnek minősül a személyes adatok felvétele, gyűjtése, tárolása, különböző célokra való felhasználása, továbbítása, módosítása. Aki ezeket a tevékenységeket végzi az az adatkezelő. Az adatkezelő megbízásából dolgozik a személyes adatokkal az az adatfeldolgozó. Az adatkezelő a jogsértésért teljes körűen felel a szerződéses partnerek által (adatfeldolgozó) elkövetettekért is.

Az adatkezelőnek el kell döntenie milyen adatokat kezel? Milyen célból kezeli az adatokat? Kinek van hozzáférése a kezelt adatokhoz? Mennyi ideig tárolják azokat és kinek továbbítják? Ezt követően tudják elkészíteni a szükséges eljárás rendeket, szabályzatokat, iratmintákat, megszervezni a dolgozók oktatását. A kisvállalatoknak is nyilvántartást kell vezetni az adatokról, de adatkezelési tisztségviselőt és hatástanulmányt sem kell készíteniük, amennyiben nem magasa kockázattal járó adatkezeléseket végeznek.

A kezelt adatoknál figyelni kell, hogy mindig csak olyan adatok kezelésére kerüljön sor, amely szükségesek. Átláthatónak kell lenni. Ki milyen adatot, milyen céllal, milyen jogi alapon kezel. Az érintett munkavállalók számára biztosítani kell a hozzáférhetőséget. A munkavállalókat meg kell ismertetni az adatkezelés szabályaival. Az érintett személy kifejezett hozzájárulása szükséges az adatok tárolásához és kezeléséhez valamint biztosítani kell a személyes adatok tárolásának megszüntetéséhez való jogát. Természetes személy hozzájárulása kell, mint szóban vagy írásban vagy elektronikai úton. Azonos célú felhasználásra elég egy hozzájárulás. Ha több célra szeretnék felhasználni a személyes adatokat akkor az összes adatkezelési célra meg kell adni a hozzájárulást. Ezt a GDPR szerint kell megtenni.

Ha valamilyen adat illetéktelenek kezébe kerül, vagy elveszett, akkor incidensnek minősül. A GDPR incidens bejelentést határoz meg ilyen esetekben. 72 órán be kell jelenteni a hatóságnak, ha az adatok illetéktelenek kezébe került, vagy elveszett. Ha az érintettekre nincs semmi féle káros hatása vagy ilyen következménye, akkor nincs szükség a bejelentésre. Az adatkezelőknek azonnal meg kell kezdeni az incidens elhárítását. Az érintett személyeket értesíteni kell. Ha erre nincs lehetősége akkor a nyilvánosságot kell értesíteni, hogy mi történt, milyen személyi kört érint, milyen adatok kerültek nyilvánosságra.

Adatvédelmi tisztviselőt sem kell minden esetben alkalmazni. A GDPR kimondja,hogy csak meghatározott esetekben kell, vagy is közhatalmi szerveknél, az adatalanyok megfigyelése esetén, illetve különleges személyes adatok megfigyelése esetén. Ilyen például a korházak. Az adatvédelmi tisztviselő lehet alkalmazott vagy külsős személy is. Nincs semmilyen szakmai képzetséghez kötve.

Forrás: Kamarai futár

Vissza