Category Archive Cikkek

Az adatvédelmi tisztviselő (angol nyelvű rövidítése: DPO) feladatainak megfelelően az adatkezelő, illetve az  adatfeldolgozó szoros közreműködésével tevékenyen részt vesz a szervezet adatkezeléssel LINK kapcsolatos tevékenységeinek tervezésében, ellenőrzésében, tanácsokkal, információnyújtással támogatja a munkafolyamatokat, a munkavállalókat. Közreműködik az adatkezelési műveleteket végző személyek adatvédelmi tudatosságának fejlesztésében is, ennek érdekében szükség szerint oktatásokat is tart.

Az adatvédelmi tisztviselő kapcsolatot tart az adatvédelmi hatósággal, illetve az adatkezeléssel érintett magánszemélyekkel, akik a  GDPR  szerinti jogaik (kapcsolódó cikk) érvényesítése során az adatvédelmi tisztviselőhöz is fordulhatnak.

Az adatvédelmi tisztviselő tevékenységéhez elengedhetetlen az adatkezelő részéről megfelelő együttműködés, közreműködés, és a szükséges feltételek biztosítása. Ezek hiányában nem lehetséges korrekt és az adatkezelő személyére szabott adatvédelmi tisztviselői tevékenység ellátása.

A GDPR nem határoz meg képesítési követelményeket az adatvédelmi tisztviselő (angol nyelvű rövidítése: DPO) személyével kapcsolatosan, a szabályozást keretjelleggel adja meg.

Az adatvédelmi tisztviselőre háruló feladatok jelentőségére tekintettel célszerű lehet, hogy egy államilag engedélyezett, adatvédelmi ismeretek specifikumának megismertetésére irányuló felnőttképzés során szerzett végzettséggel rendelkezzen a kijelölt adatvédelmi tisztviselő. Emellett természetesen folyamatosan tájékozódnia kell az adatkezelésre, adatvédelemre vonatkozó jogszabályok mellett a hatósági joggyakorlatról, szakmai irányelvekről is.

Mivel nincsenek konkrét kvalifikációs követelmények, az adatkezelők szabadon dönthetnek a saját tevékenységük szempontjából megfelelő adatvédelmi tisztviselő személyéről. A kiválasztás során érdemes mérlegelni különösen a kezelt adatok fajtáit, mennyiségét, az adatkezelési rendszeren belül végzett adatkezelési műveletek folyamatát, mennyiségét és összefüggéseit, a betartandó adatbiztonsági LINK intézkedéseket.

Az adatvédelmi tisztviselő kiválasztása során a következőket fontos figyelembe venni:

– szakmai rátermettség,

– az adatvédelmi jog és gyakorlat szakértői szintű ismerete,

– a feladatok ellátásához szükséges olyan személyes tulajdonságok, amelyek az adatkezelővel a nélkülözhetetlen megfelelő együttműködés kialakítását teszi lehetővé.

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség terheli.

Fontos tudni, hogy az adatkezelő, adatfeldolgozó részére a GDPR közzétételi kötelezettséget ír elő. A közzététel során az adatvédelmi tisztviselő nevét és elérhetőségét kell feltüntetni. Az adatvédelmi tisztviselő kijelölésének tényét, valamint a közzétett adatait a Hatóság felé be kell jelenteni.

Kapcsolódó cikk: Az adatbiztonságról [feltöltés alatt]

Súlyos jogsértés esetén akár 20 millió EUR, vagy a szervezet éves globális bevételének 4%-ának megfelelő összegű büntetést is kiszabhat az adatvédelmi hatóság. A kis- és középvállalkozásoknak nyilván nem kell például a globális bevételük 4 %-ával számolniuk, sőt valószínűleg a bírság legmagasabb összegével sem. Azonban sok kisvállalkozás ellehetetlenítéséhez vezethet akár egy többszázezer forintos közigazgatási bírság megfizetése is.

Ami viszont bizonyosan sújthatja a kis- és középvállalkozásokat, az az adatkezeléssel érintett magánszemélyek igényérvényesítése. Ők ugyanis jogosultak a hatósághoz, bírósághoz fordulni, ha sérelmesnek tartják az adatkezelést. Önmagában ez is kellemetlenségekkel jár, mert időt, energiát vesz el, és adott esetben még sok pénzbe is kerülhet.
Van azonban egy még zsebbevágóbb kockázat is: kártérítés, sőt sérelemdíj iránti igényt is érvényesíthetnek az adatkezelést sérelmező magánszemélyek. A kártérítés egy általánosan ismertebb fogalom, ha a magánszemély bebizonyítja a jogsértéssel összefüggésben keletkezett tényleges kárát, azt a javára a bíróság megítéli. A sérelemdíj esetében az a szabály, hogy akit személyiségi jogában megsértenek, sérelemdíjat követelhet az őt ért nem vagyoni sérelemért. Ha megtörtént a személyiségi jog sérelmét okozó magatartás, akkor jár a sérelemdíj, már csak az összeg lehet kérdéses. Nem kell tehát bizonyítani, azt hogy ténylegesen okozott-e a jogsértés joghátrányt.

A személyiségi jogok sérelmét jelenti többek között
– a személyes szabadság, a magánélet, a magánlakás megsértése;
– a személy hátrányos megkülönböztetése;
– a becsület és a jó hírnév megsértése;
– a magántitokhoz és a személyes adatok védelméhez való jog megsértése;
– a képmáshoz és a hangfelvételhez való jog megsértése.

A fentiekből következik, hogy például egy biztonsági kamera felvétel, fényképfelvétel, vagy hangfelvétel nagyon könnyen sérelemdíj-fizetési kötelezettséget vonhat maga után, mint ahogyan például álláspályázat esetében hátrányos megkülönböztetésre alkalmas adat igénylése és kezelése.

Már az adatkezelési tevékenység  megkezdése előtt célszerű a tevékenységek egészére kiterjedő „testre szabott”  szabályozást és ennek megfelelő szabályzatot készíteni.

Ha új adatkezelési tevékenység kerül bevezetésre, vagy a korábbi módosul, gondoskodni kell a szabályozás és a szabályzat módosításáról, kiegészítéséről annak érdekében, hogy  a rendszer „napra készsége” biztosított legyen. .
Mikor megfelelő a szabályzat? Ha az pontosan az adatkezelő konkrét adatkezelési folyamataihoz illeszkedik.

Mikor elég a tájékoztató? Ha csak egy adatkezelési terület szabályozását tartalmazza (pl. hírlevél, vagy  weblap látogatás, cookie-k használata stb.)

Mikor jó a szabályzat, vagy tájékoztató? Ha az adatkezelő konkrét körülményeire készült, és a  vonatkozó jogszabályoknak, hatósági állásfoglalásoknak megfelel.

A GDPR nem ír elő az adatkezelők részére kötelező adatvédelmi megoldásokat.

Ezeket ugyanis csak az adatkezelők tudják meghatározni az adott konkrét tevékenységük és helyzetük elemzése alapján.

Az elemzésnek ki kell térnie az adatkezelő által végzett konkrét adatkezelések kockázatának a felmérésére is. Itt a legfontosabb cél az ún. „adatvédelmi incidens” elkerülése.

Az elvárt IT biztonságnak megfeleltetés jó eszköze lehet az IT szakemberek részéről a biztonsági megoldásokat (pl. jelszavas védelem, biztonsági mentés stb.) tartalmazó folyamat szabályozás elkészítése, és a végrehajtás során a rendszer monitorozása. Célszerű cselekvési tervet is kidolgozni az előre ki nem védhető véletlenszerű, vagy kifejezetten jogellenes esetekre.

Az adatvédelmi incidens a személyes adatok biztonságát érintő történés, amely a kezelt személyes adatok véletlen vagy törvénytelen károsodását okozza.

Néhány gyakorlati példa:
– adatvesztés,
– adat, adatállomány módosulása,
– adatok nyilvánosságra kerülése,
– hackertámadás,
– illetéktelen személy részéről fizikai behatolás,
– adatok fizikai megsemmisülése.

Mi a teendő adatvédelmi incidens esetén?

Az adatvédelmi incidenst főszabály szerint be kell jelenteni az adatvédelmi hatóság felé, és az érintetteket is tájékoztatni kell. Emellett az adatvédelmi incidensről szabályszerű nyilvántartást is kell vezetni.

A beépített (alapértelmezett) adatvédelem olyan új foglalom, amit nagyon érdemes megjegyezni.

Lényege, hogy már az adatkezelés megkezdése előtt, meg kell tervezni az adatkezelés teljes folyamatát, szabályozást, ezekben érvényesíteni kell az adatvédelmi alapelveket.

– Jogszerűség, tisztességes eljárás, átláthatóság
jogszabály által lehetővé tett tisztességes adatkezelést jelent, az érintettek számára átlátható kell, hogy legyen, mi történik az adataikkal.

– Célhoz kötöttség
az adatok kezelése kizárólag jogszerűen előre, és egyértelműen definiált célból történhet.

– Adattakarékosság
kizárólag az adatkezelési cél szempontjából megfelelő és releváns és szükséges adatok kezelhetők.

– Pontosság
az adatkezelőnek minden ésszerű intézkedést meg kell tenni az adatok pontosságának, naprakészségének biztosítása érdekében. Nem elég, ha az érintett figyelmét felhívom az adatai megváltoztatásának a bejelentésére.

– korlátozott tárolhatóság
csak a cél megvalósulásához szükséges ideig tárolható az érintettek azonosítására alkalmas adatok. Ezeket jogszabályok is rögzíthetik, de jogszabályi feltételek megléte esetén egyéb szempontok is érvényesülhetnek.

– integritás és bizalmas jelleg
az adatkezelés során megfelelő technikai, szerbezési intézkedések alkalmazásával biztosítani kell az adatok biztonságát – ide értve jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is.

– elszámoltathatóság
a fenti követelményeknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

– beépített és alapértelmezett adatvédelem.

Első lépésként célszerű, ha az adatkezelő „leltárt ” készít arról, hogy milyen személyes adatok adatkezelését végzi.

Második lépés a tervezés. Itt eljutunk az egyik legsúlyosabb követelményhez.
Már a tervezés során be kell építeni a termékekbe, szolgáltatásokba azokat az adatvédelmi funkciókat, amelyek folyamatosan garantálják az adatkezelés jogszerűségét, az adatkezelés biztonságát. (beépített, alapértelmezett – adatvédelem: Számos tényezőt figyelembe kell venni: az adatkezelés természetét, a kapcsolódó adatvédelmi kockázatokat, a védelem iránti igényt, valamint a megvalósítás költségeit.

Harmadik lépés a működőképes adatkezelési és -védelmi szabályozás kialakítása, karbantartása.

Negyedik lépés a működőképes adatkezelési és -védelmi szervezet kialakítása és működtetése – ide értve az Adatvédelmi tisztviselő foglalkoztatását is.

Ötödik lépés az adatkezelési és -védelmi tevékenység, szabályozás monitorozása, ellenőrzése és oktatása a munkatársak részére.A fentiekből következően rögtön látható, hogy nem elég csak pro forma egy szabályzatot elkészíteni.

Jogellenes adatkezelések kérdésében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) folytat le hatósági eljárást, és szab ki bírságot.

Székhely: 1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefon: +36 (30) 683-5969, +36 (30) 549-6838, +36 (1) 391 1400
Fax: +36 1/391-1410
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://www.naih.hu

Bírság, de mikor és mennyi?
Nos, ez tényleg nem játék.

Jogellenes adatkezelés megállapítása esetén az adatvédelmi hatóság szab ki bírságot.

A GDPR a bírság felső határát elképesztően magas összegben állapítja meg. A jogsértések megállapítása esetén a bírság mértéke 20 millió EUR is lehet.

A kis és közép vállalkozások a jogellenes adatkezelés megállapítása esetén ugyanúgy szankcionálva lesznek, mint a multinacionális cégek. Reméljük, legalább a bírság mértékénél figyelembe lesz véve a kisvállalkozások időnként kritikusan alacsony pénzügyi teherbíró képessége.