AdatvedelemNEKED.hu

GDPR, Profilalkotás, DPO, Hatásvizsgálat

Adatvédelmi incidens történt?

2018. május 15. 14:10 - AdatvedelemNEKED.hu

Nézzük mit is kell csinálni...

Ki hol is tart?

Nem könnyű a véghajrában átlátni, hogy akkor mit is kellene legkésőbb május 25-éig megvalósítani. Persze,azt látom, hogy sokak számára nincsenek kialakult folyamatok egy-egy kialakult helyzet kezelésére.

Ezért ehhez hoztam első körben egy-két "mankót", hogy könnyebb legyen az előkészület.

Adatvédelmi incidens MINTA

Itthon sajnos elég kevés minta áll a rendelkezésünkre, külföldön valahogy érezhetőbben könnyedebben veszik az akadályokat, a felkészülést. Itthon nagy a zűrzavar és sajnos azt érzékelem, hogy a NAIH nem sokat segít. Rengeteg szakmai konferencián vettem rész, sokat érdeklődtem, mégsem kaptam konrétumokat. Amit kifogásoltam, hogy véleményem szerint minden vállalkozás számára jól jönne egy hatóság által jóvá hagyott "mankó", ami kiindulási alapnak tökéletes lenne. De ilyet bármennyiszer érdeklődtem, mindig azt a választ kaptam, hogy a GDPR-t nem lehet egy sablon alá húzni.

Értem én, de... Na inkább NO COMMENT!

Szóval a francia adatvédelmi hatóság (CNIL) a magyar adatkezelők számára is hasznos formanyomtatványt rendszeresített az adatvédelmi incidensek bejelentésére. KATT IDE: francia INCIDENS MINTA

thinkstockphotos-498026788.jpg

(kép forrása: https://teiss.co.uk/opinion/gdpr-keep-calm-put-cheque-book-away/  )

 

Egy kis ismétlés :): Mi számít adatvédelmi incidensnek?

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését… [lásd bővebben a korábbi bejegyzésem: ITT] 

Mi a folyamat bekövetkezett adatvédelmi incidens esetén?

  1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 5. cikk - Illetékesség">55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. cikk: 39, 83 alap: 75, 

(A felügyeleti hatóság a saját tagállamának területén illetékes a rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására. Ha az adatkezelést a 6. cikk (1) bekezdésének c) pontja az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; vagy e) pontja az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; ezen tételek alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága* az illetékes.
Ezekben az esetekben az 6. cikk - A fő felügyeleti hatóság illetékessége">56. cikk nem alkalmazandó.
A felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.
*Jelenleg Magyarországon nincs kijelölt felügyeleti hatóság!
Legkésőbb május 8-án kellett volna az első parlamenti ülésen elfogadni az Infotörvény GDPR miatti módosításait, illetve minél gyorsabban ki kellett volna jelölni a NAIH-ot, mint hatóságot a kapcsolódó feladatok elvégzésére. Hát tudtommal nem történt meg, ezért várhatóan csak az őszi országgyűlés elé lesz előterjesztve!

Fontos! Felügyeleti szerv kijelölése mellett is kezdeményezhetők eljárások, csak nem a magyarországi adatvédelmi hatóság fogja vizsgálni az eseteket.
Viszont ha záros határidőn belül nem történik nemzeti felügyeleti szerv kiválasztása, kötelezettségszegési eljárás indítható Magyarország ellen!)

  1. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
  2. Az (1) bekezdésben említett bejelentésben legalább:
    1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
    2. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
    3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
    4. ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  3. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
  4. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. cikk: 58 

(forrás: http://www.privacy-regulation.eu/hu/33.htm )

 

A WP 250. számú iránymutatás az adatvédelmi incidenseket a következő három
klasszikus adatbiztonsági kritériumon keresztül kategorizálja

  • „Bizalmas jelleg sérülése”, ami a személyes adatok jogosulatlan vagy véletlen közzétételének vagy az ezekhez való hozzáférésnek felel meg;
  •  „Integritás sérülése” alatt a személyes adatok felhatalmazás nélküli vagy véletlenül bekövetkező módosítását értjük;
  •  „Rendelkezésre állás sérülése”, mely a személyes adatok véletlen vagy jogosulatlan megsemmisítésének vagy a személyes adatok elvesztésének felel meg.

Figyelem! Elképzelhető olyan adatvédelmi incidens bekövetkezése is, amely két- vagy akár mindhárom kategória alá is besorolható, és míg a „bizalmas jelleg sérülése” és az „integritás sérülése” viszonylag könnyen megfoghatóak, addig a „rendelkezésre állás sérülésének” azonosítása nem minden esetben olyan nyilvánvaló. Ilyen eset fordulhat elő például akkor, ha a biztonságos módon titkosított személyes adatok esetében elvész a titkosítás feloldására szolgáló kulcs, és a személyes adatok a biztonsági mentésből sem állíthatóak vissza.

Példa mi számít tudomásszerzésnek:

  • ha harmadik személy jelzi az adatkezelőnek, hogy az ügyfeléről véletlenül személyes adatokat kapott meg és az ennek alátámasztására alkalmas bizonyítékokat juttat el az adatkezelő részére – ekkor nincs kétség
    afelől, hogy az adatkezelő tudomást szerzett az adatvédelmi incidens
    bekövetkezéséről;
  • ha az adatkezelő észleli, hogy behatolás történt a hálózatába és megállapítja, hogy a hálózaton tároltak személyes adatokat, illetve, hogy azokat érintően következett be az incidens;
  • ha kibertámadás elkövetője a rendszer feltörését követően felveszi a kapcsolatot az adatkezelővel, pénzt követelve, majd ezt követően az adatkezelő a rendszer átvizsgálását követően megerősíti, hogy azt valóban
    támadás érte, ilyen esetben az adatkezelőnek nyilvánvaló bizonyíték áll rendelkezésre az incidens bekövetkezéséről és a tudomásszerzéséhez sem férhet kétség.

(forrás: NAIH beszámoló )

 Jó tanács!

Érdemes egy valószínűsíthető adatvédelmi incidens feltárása és kezelése céljából  egy belső eljárásrend kialakítása. Így már a megfelelő mértékű bizonyosságok feltárása gyorsíthatók, a folyamatok átláthatóbbak és a feladatok rendszerezhetőbbek.

komment

GDPR, személyes adatok, az adatkezelés elvei, GYIK

2018. január 18. 10:59 - AdatvedelemNEKED.hu

Én vagyok én és te vagy te, melyikünk a ...

 

Mostanában gyakran ez a mondóka jut eszembe, amikor azt látom, hogy közösségi felületeken több nézőpont találkozik GDPR kérdéskörben. És hogy mire is gondolok? Arra amikor laikusok egymást túlharsogva próbálják meggyőzni és a vélt saját igazukat próbálják ledugni a másik torkán. (És természetesen mindenki úgy gondolja, hogy ért hozzá, mert az ismerős, ismerőse azt mondta... és akkor már hiteles a forrás.)

letoltes_3.jpg

De azért inkább a teljes bizonytalanság a jellemző. Senki nem tud semmit, csak találgat. Ilyeneket olvasok napi szinten, “...szerintem én nem kezelek személyes adatokat, rám nem vonatkozik” vagy “...most én adatkezelő vagy adatfeldolgozó vagyok” vagy “Mi is az az adatvédelmi incidens?...”.

Mindig mindenkinek elmondom, aki a segítségemet/tanácsomat kéri, hogy nem egy egyszerű téma az adatvédelem és azt megvilágítani, hogy kire mi vonatkozik,nem triviális. Komoly és mély felkészülés kell az elsajátításához, de nem MISSION IMPOSSIBLE!

 

 

Tudom, hogy bár kényelmetlenségekkel jár az új hatályba lépő rendelet, de mégsem érdemes úgy tekinteni rá, hogy már megint egy plusz terhet húznak a vállunkra a törvényhozók!

Egyszerűen megérett a társadalom, hogy végre átgondoltan, szisztematikusan saját maga rendelkezzen az adatainak felhasználásáról.

Te, mint magánszemély ugye te sem szereted, ha bárki, bármire, bármikor felhasználja az adataidat?  Esetleg még kereskedik is vele… Vagy szereted, amikor tudtod nélkül profiloznak, adatokat gyűjtenek a szokásaidról? Ugye, hogy nem szimpatikus? Ezért is fontos az új szabályozás! Megadja a kereteket!

images_3.jpg

Emlékszem amikor a Google bevezette, hogy csak bejelentkezett fiókkal lehetett keresni a keresőjében. Ismerőseim nagy része tapsikolt örömében, hogy milyen szuper, hogy megjegyzi, ha valamit már kerestem, nem kell mindig mindent előről kezdeni… Hát nekem nem volt őszinte a mosolyom... Mekkora kincs van annak a kezében, aki mindent tud a felhasználóiról vagy esetleg a potenciális ügyfeleiről! Ugye?

Hallottál már az anonimizált profilozásról? Ilyen is van már. Már az sem kell tudni, hogy pontosan ki vagy, mi az e-mailcímed, ami fontos pl. az érdeklődési köröd, a lokációd, merre jársz, mikor jársz ott, milyen gyakran... annyi a feladat, hogy már csak be kell csalogatni az értékesítési tölcsérbe és majd az utolsó lépésben megtudnak rólad minden részletes személyes adatodat. Egyszerűen nem kell kapkodniuk... Folyamatosan remarketing eszközökkel próbálnak elkapni, becserkészni.  És ha sokszor látod, beépül a tudatalattidba és idővel elkapnak. :)

És lásd milyen szuper, ez is le van szabályozva. (Csak 90 napig lehet tárolni ezeket az adatokat …)

De nézzük egy vállalkozó szemszögéből is egy picit az adatvédelem fontosságát.

Mint adatkezelő, ha eddig is tisztában volt a rá vonatkozó adatvédelmi jogszabályokkal, akkor nincs miért izgulnia. Természetesen pontosítások kellenek, de valószínűleg nem lesznek nyugtalan éjszakái. Már a finishben van.

Viszont vannak azok a vállalkozók, akik ezt teherként élik meg, fel vannak háborodva, hogy “...már megint mi van, már ez is???” vagy “...eddig miért is nem hallottam erről?”. Hát ők tényleg bajban vannak. Mert ez azt jelenti, hogy eddig sem voltak adatkezelés témakörben a helyzet magaslatán.

És akkor most kanyarodjunk vissza egy picit a magánszemély nézőpontjára. Te szívesen adod meg egy olyan adatkezelőnek az adataid, aki azt sem tudja, hogy ő igazából mire használja és megfelelően biztonságban tartja-e? Nem tudja a különbséget az adatkezelő és az adatfeldolgozó között? Hát nem jó, hogy végre a GDPR hatályba lépésével talán tudatosabb adatkezelők várhatók a piacon?

Emlékeztek még az első generációs Facebook csoportok indulására? Először csak megalakultak egyes csoportok olyan jelzővel, hogy “... én nem szeretnék senkit sem szabályozni, felnőttek vagyunk…”, aztán idővel szükségessé vált, hogy a csoportokban szabályzatok legyenek! Ugye?

Egyszerű a képlet. Ha valami nincsen feketén-fehéren leírva, óhatatlanul keresi mindenki a kiskaput. (És még sokan az után is :) ).

Szóval értitek már miért is fontos és nem elhanyagolható ez az új szabályozás?

Tehát összességében nem kell megijedni, nem kell ördögtől valónak gondolni az új rendelkezést. Inkább venni egy mély levegőt és előre tekinteni. Gondold végig hosszú távon mennyi mindenben profitálhat a vállalkozásod egy-egy ilyen mélységű átvilágítástól.

  • Készül egy belső audit, kockázatelemzés, hatásvizsgálat, érdekmérlegelés, nyilvántartások, checklist... Mindenki számára megfoghatatlannak tűnő direkt marketinged végre gatyába lesz rázva...

Hát nem nyugodtabb éjszakák várhatóak?

Higgyétek el, nem hiába nem jelölnek ki a hatóságok DPO-kat. Mert minden vállalkozás egyedi, minden adatkezelőnek más a kialakult adatkezelési metódusa, más szoftvereket használ, más specifikumok vonatkoznak rá. Az alapok persze mindenkire ráhúzhatók, de nem érdemes ezen a szinten leragadni.  Egyszerű, adj időt magadnak és KÉSZÜLJ FEL!

A Rendeletet ténylegesen 2018. május 25-től kell alkalmazni, ez tehát a tényleges hatályba lépés napja. (EU Általános Adatvédelmi Rendelete, azaz a GDPR, amelynek száma 2016/679/EU) A tagállamoknak, így Magyarországnak is lehetősége van saját jogszabályi rendelkezésben (Infotv.) konkretizálni a specifikumokat. De az Infotv.-ben már csak olyan kérdéseket pontosítanak, amelyeket a rendelet külön nem érint!  Tehát semmi esetre sem ad lehetőséget a tagállamokban a rendeletnek enyhítésére, csak pontosítására! A magyar tagállamspecifikus rendelkezések pontosításainak az Infotv. módosítása ad teret (ami sajnos jelenleg csak előterjesztésben van).

 

És akkor jöjjenek a rendelet alapján összegyűjtött GYIK-ek :)

Miért fontos a személyes adatok védelme?

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az adatvédelem elveit pedig minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell!

“A természetes személyek személyes adataik kezelésével összefüggő védelméhez kapcsolódó elvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen, ami a személyes adataik védelméhez való jogukat illeti. Ez hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint a természetes személyek jólétéhez.” [2016/679 RENDELET(2)]

 

Az adatkezelés elvei, személyes adatot mikor lehet kezelni?

A természetes személyek jogaira és szabadságaira nézve magas kockázattal járó eseteket az adatkezelő köteles kivizsgálni. És hogy egyértelműen megállapítható legyen az adatkezelés jellege, ki kell zárni a kockázatok forrásait, ehhez figyelembe kell venni, minden olyan tényezőt, ami alapján feltérképezhetőek a várható intézkedések. Ezért az adatkezelés megkezése előtt adatvédelmi hatásvizsgálat elvégzése szükséges. “Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat…Az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti hatósággal konzultálni kell. Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait. ” [2016/679 RENDELET(90)(94)]

 

Személyes adat kezelhető ha:

  • az érintett hozzájárul.
  • kötelező adatkezelés céljából történik.
  • vagy különleges adatként 2011. évi CXII. törvény 6. §-ban meghatározott esetekben kezelhető.
  • a kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet meghatározás szerint kerül csak felhasználásra.
  • kizárólag állami vagy önkormányzati szerv kezeli az állam, bűncselekmények megelőzésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.

 

Mi minősül adatkezelésnek?

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

Mi számít adatvédelmi incidensnek?

Az adatvédelmi incidensről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor az adatvédelmi incidens körülményeire megfelelő figyelmet kell fordítani, beleértve azt is, hogy a személyes adatokat olyan megfelelő technikai védelmi intézkedésekkel védték-e, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának a valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti közlés szükségtelenül veszélyeztethetné az adatvédelmi incidens körülményeinek kivizsgálását. [2016/679 RENDELET (88)]

Adatvédelmi incidens: Személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

“Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó L 119/16 HU Az Európai Unió Hivatalos Lapja 2016.5.4. természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt…” [2016/679 RENDELET (84)]

Bővebben itt olvashatsz az adatvédelmi incidensről, minta sablonnal: KATT IDE!

Az adatbiztonság követelménye (2011. évi CXII. törvény 7. §):

  • Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.
  • Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról.
  • Az adatokat megfelelő intézkedésekkel védeni kell.
  • A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell!
  • A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel kell biztosítania a jogosulatlan adatbevitel megakadályozását. Mindig a személyes adatok védelme érdekében, a biztonság fenntartása és a rendeletet sértő adatkezelés megelőzése érdekében mindenkori legmagassabb technológiai adatvédelmi megoldásokat kell igénybe venni, ami a legmagasabb szintű védelmet biztosítja (ehhez érdekmérlegelés és adatbiztonsági kockázat felmérése szükséges. A jogosulatlan személyek adatátviteli berendezés segítségével történő használatának megakadályozását és annak ellenőrizhetőségét és megállapíthatóságát monitoroznia kell.
  • A telepített rendszerek üzemzavar esetén történő helyreállíthatóságáról és az automatizált feldolgozás során fellépő hibákról jelentés kell készüljön.

“Az e rendeletnek való megfelelés olyan esetek érdekében történő előmozdítása érdekében, amikor valószínű­síthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel e rendeletnek. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell.” [2016/679 RENDELET (84)]

Az érintettek jogai és érvényesítésük

Az érintett kérelmezheti az adatkezelőnél:

  1. a) tájékoztatását személyes adatai kezeléséről,
  2. b) személyes adatainak helyesbítését, valamint
  3. c) személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.

Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

A személyes adatot törölni kell, ha

  1. a) kezelése jogellenes;
  2. b) az érintett (a 14. § c) pontjában foglaltak szerint) kéri;
  3. c) az hiányos vagy téves (és ez az állapot jogszerűen nem orvosolható), feltéve, hogy a törlést törvény nem zárja ki;
  4. d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
  5. e) azt a bíróság vagy a Hatóság elrendelte.

 

Az érintett előzetes tájékoztatásának követelménye

  1. § (1) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.

(2) Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

(3) Kötelező adatkezelés esetén a tájékoztatás megtörténhet a (2) bekezdés szerinti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

(4) Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

  1. a) az adatgyűjtés ténye,
  2. b) az érintettek köre,
  3. c) az adatgyűjtés célja,
  4. d) az adatkezelés időtartama,
  5. e) az adatok megismerésére jogosult lehetséges adatkezelők személye,
  6. f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint
  7. g) ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma, kivéve a 68. § (2) bekezdésében foglalt esetet.

 

Források:

 

Kérdésed van? Nem minden egyértelmű az új adatvédelemmel kapcsolatban?

Kérdezz bátran!!! Örülünk, ha te is elküldöd a kérdéseid, ami téged foglalkoztat!

fb oldalunkhoz: KATT IDE!

Weboldalunkat ITT találod! (Itt hirdetjük meg elsőként kiscsoportos online kurzusainkat, ahol biztos, hogy a kérdéseidre szakértőinktől megkapod a választ!)

komment

GDPR vagyis az új Adatvédelmi rendelet 12 lépése

2018. január 04. 12:50 - AdatvedelemNEKED.hu

Hogyan induljunk neki a GDPR-nak való felkészülésnek?

Sokan még csak most kezdenek ismerkedni a GDPR-ral (azaz az Európai Parlament és a Tanács (EU) által elfogadott új egységes adatvédelmi rendelettel).

De vizsgáljuk meg 12 pontban, hogy mit is rejt magában az új rendelkezés:

 

12_step_hu.png

 

1.  Adatvédelmi tudatosság erősítése

Biztosítsuk a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez. Az adatkezelő illetőleg adatfeldolgozó szervezetén belül az adatkezeléssel összefüggő döntések meghozatalában közreműködő munkavállalók megfelelő felkészültsége elengedhetetlen az új adatvédelmi rendelet megfelelő alkalmazásához.

2.   Az adatkezelés kritériumainak felülvizsgálata


Tekintsük át az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Kövessük, rögzítsük az adatok sorsát. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal összhangba tudunk kerülni az általános adatvédelmi rendeletben lefektetett elszámoltathatóság elvével és biztosítani tudjuk a jogszerű adatkezelés vagy adatfeldolgozást. 

3.   Az érintett megfelelő tájékoztatása

Az érintett jogai kapcsán biztosítsuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően. Ügyeljünk arra, hogy ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve 
 ezen túlmenően  szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve továbbá megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. A tájékoztatáshoz való jog előzetesen, az adatkezelés során annak megszűnéséig megilleti az érintettet.

4.   Az érintettek jogai

Tekintsük át az érintett jogaira és a jogok érvényesítésére vonatkozó szabályokat. Ellenőrizzük az adatkezelési műveleteinket, hogy az érintettek jogai maradéktalanul érvényesülhessenek. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:

  • a rá vonatkozó személyes adatokhoz való hozzáférés;

  • azok helyesbítése;

  • törlése („az elfeledtetéshez való jog”);

  • kezelésének korlátozása;

  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;

  • az adathordozhatósághoz való jog.


A legfontosabb újdonság az adathordozhatósághoz való jog. E joga alapján az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat géppel olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. Az interneten megvalósuló adatkezelések kapcsán nem elegendő a törléshez való jogot biztosítani, hiszen az adatok nem csak egy adatkezelőnél rögzülnek, hanem sok más adathordozón is, ezentúl a keresőmotorok a korábban tárolt verziókat is elérhetővé teszik. Az új általános adatvédelmi rendelet szabályai értelmében az internet sajátosságaira tekintettel azt is lehetővé kell tenni, hogy az adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat, hiszen csak ez vezet el a tényleges joggyakorláshoz.

5.  Az érintett hozzáférési joga

Tekintsük át a tájékoztatási kötelezettségre vonatkozó új szabályokat és teljesítési határidőket. Az új szabályok szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz. 

6.  Az adatkezelés jogalapja

Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva biztosítsuk az információs önrendelkezési jog érvényesülését. Ügyeljünk arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást. A hozzájárulás mint jogalap tehát egy hangsúlyosabb törlési kényszert jelent az adatkezelőre nézve.

7.   A hozzájárulás feltételeinek felülvizsgálata

Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáljuk meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés új adatvédelmi rendelet szerinti kritériumait illetően. Miként az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) a hozzájárulás és kifejezett hozzájárulás fogalmát is alkalmazza, úgy az új általános adatvédelmi rendeletben szintén megtalálható. A kettő közötti esetleges különbség egyik joganyag vonatkozásában sincs meghatározva, azonban fontosnak tartjuk felhívni a figyelmet arra, hogy amennyiben hozzájáruláson alapuló adatkezelésről van szó, a hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.

8.  Gyermekek jogainak kiemelt védelme

Amennyiben a szervezet gyermekek személyes adatait is kezeli, fordítsunk kiemelt figyelmet a rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályaira. A gyermek életkora az Infotv.-ben és az új adatvédelmi rendeletben is meghatározó. Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A hozzájárulás tekintetében a tagállamok 13. életévnél nem alacsonyabb életkort is megállapíthatnak. 

9.  Adatvédelmi incidens bejelentése

Az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad. 

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül 
 ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott  megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.  


10.  Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. E magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége ugyan magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. A hatásvizsgálat során 
 figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira valamint a kockázatok forrásaira  meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Magas kockázatú adatkezelési műveletek példálózó felsorolása: nagyszámú érintett; nagy mennyiségű személyes adat; kiszolgáltatott személyek, pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése.

A rendelet arról is rendelkezik, hogy mikor nem szükséges hatásvizsgálatot lefolytatni.

Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet 
 különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette , a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

11.  Az adatvédelmi tisztviselők


Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. 

Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

12.  Az adatvédelmi felügyeleti hatóság illetékessége

Az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is. 

Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

Fő felügyeleti hatóság illetékessége: nemzetközi vállalatok, határon átnyúló adatkezelések esetében a rendelet kijelöl egy fő felügyeleti hatóságot, amelyet az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye fog meghatározni. A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében. A fő felügyeleti hatóság az érintett felügyeleti hatóságokkal információcserét folytat és együttműködik, valamint hatáskört ruházhat át.

Amennyiben a szervezet tevékenységi köre nem csak egy országra korlátozódik, vizsgáljuk meg, mely országban végezzük az adatkezelés jelentős részét (ez többnyire az anyavállalat székhelye), majd ez alapján győződjünk meg arról, mely ország hatósága jár majd el fő felügyeleti hatóságként adatkezelésünk tekintetében.

(Forrásanyag: www.naih.hu,és http://naih.hu/files/CELEX_32016R0679_HU_TXT.pdf )

 

komment

Hova tovább?

2017. december 01. 14:54 - AdatvedelemNEKED.hu

Van értelme az adatok védelmének?

 „A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását, biztosítva egyúttal a személyes adatok magas szintű védelmét.” (2016.5.4. Az Európai Unió hivatalos lapja (6) )

FIGYELEM!

A GDPR minden céget érint, ahol  személyes adatokat kezelnek!

Pl. ilyenek a munkavállalók adatai is vagy minden olyan vállalkozás aki online/offline tevékenységet folytat és bármilyen céllal adatbázisokkal dolgozik.

És lássuk be napjainkban szinte lehetetlen olyan vállalkozást találni, ahol nem kezelnek elektronikusan személyes és/vagy üzleti adatokat!

És amire a legtöbben nem is gondolnak, hogy a digitális technológia térnyerésével akár pillanatok alatt elérhető bármilyen információ a felhasználókról.

Azért ez döbbenetes, nem?

A kezünkben lévő eszközök segítségével, a háttérben futó logaritmusok által, már sokkal teljesebb képet tudnak rólunk adni a saját eszközeink, mint mi magunk. Tudják milyen időszakban vagyunk a legaktívabbak, mi az érdeklődési körünk, merre járunk vagy éppen mit csinálunk,milyen gondolatok foglalkoztatnak minket.

Nem vicc, nem Science fiction, hogy a mai korszerű eszközök segítségével (amit nap, mint nap használunk, lásd. mobiltelefon), mélységében profilozhatóvá válhat bárki! Minden információ egy felhőben gyűlik össze rólunk, az adatfelhasználókról és ezáltal teljesen monitorozhatóvá válhat bárki! Elemezhető és komplex viselkedési profil alakítható ki bármilyen userről!

Azért 10 évvel ezelőtt még ez talán a legtöbben sci-finek gondolták, ami a mai modern világban már teljesen hétköznapinak számít. Viszont, ha mélyebben belegondol bárki, ez azért félelmetes is.

Miért? Mert sajnos a mai kor társadalma egyszerűen nincs kellőképpen „kiokosítva”, hogy milyen intelligencia összpontosul egy használati eszközben. Legtöbben csak felhasználóként használják az okoseszközeiket és bele sem gondolnak, hogy mennyi információt adnak ki magukról.

És ebben mi a fenyegető?

Ha más nem is pl. a befolyásolhatóság… Hiszen, ha tudható az érdeklődés, egyértelmű, hogy ez már befolyásoló szereppel bír.  

Mivel az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat magukról, jogosan vetődik fel az adatvédelemmel kapcsolatos félelmek és aggályok.

Hiszen a technológia egyaránt átalakította, mind a gazdasági és mind a társadalmi életet, és egyre inkább elősegíti a személyes adatok Európai Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását. Ezek a fejlemények egy erős, szilárd és az eddiginél következetesebb uniós adatvédelmi keretet igényelnek, amely már szem előtt tartja a bizalom megteremtéséhez elengedhetetlen uniós-szintű adatok védelmének biztosítását!

Kövess minket a facebookon is! KATT IDE!

komment

Hírlevél szabályosan az új GDPR alapján 2. rész

2017. november 24. 09:40 - AdatvedelemNEKED.hu

Változások a Direkt marketingben

Véleményem szerint ez az a rész, ami a legtöbb hírlevélküldőt foglalkoztat. Mert ahogy a korábbi posztban is írtam, elég komoly szankcionálásokat hoz az új GDPR! (lásd >> ITT) Ezért nézzük át egy-két péda mentén milyen kérdések relevánsak...

Kezdjük az elejéről!

 

Miért is kell adatvédelem?

A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról törvény kimondja, hogy a “...törvény célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.”

Nézzünk egy-két rosszabb esetet: ellopják vagy eladják, bérbe adják az adatainkat (ez nem jogszerű, de hallottunk már ilyenről), barterban cserélnek gazdát az adataink (nem túl etikus, de jogszerű), az adatkezlőn keresztül közvetlen hirdetnek nálunk (jogszerű), különböző webanalitikai szolgáltatások igénybe vételével profiloznak, megismerik a szokásainkat és ez alapján kapunk számunkra érdekesnek tűnő ajánlatokat...

De mint egy hétköznapi természetes személynek milyen elvárása lehet egy adatkezelővel szemben? Természetesen, hogy az adatainkat csak azok kezeljék akiknek adtunk rá felhatalmazást. (Persze sok esetben azt sem tudjuk, hogy kiknek és mire adtunk, hiszen a legtöbben el sem olvassák az adatvédelmi nyilatkozatokat, csak jóváhagyják…)

Viszont ma mégis elmondható, hogy míg a vállalkozások egyre tudatosabbak, egyre inkább fel vannak készülve, hogy milyen módszerekkel lehet befolyásolni a kiszemelt szegmenst, addig az adatfelhasználók (mi userek, hétköznapi emberek) sajnos nem vagyunk még hozzászokva, hogy folyamatosan érkeznek, minden csatornán keresztül az inputok. Pl.: az e-mail fiókunkban olyan sok kéretlen levél (spam) jelentkezik napról-napra, ami már sok esetben zavaró. Továbbá, böngészés közben olyan hirdetések követik lépteinket, amiket esetleg megnéztem/ rákerestem, de (még) nem vásároltam meg, rosszabb esetben már igen és mégis “zaklat” folyamatosan. Vagy telefonon olyan hívásokat kapunk, akikről esetleg még sosem hallottunk korábban, mégis egy olyan “hihetetlen” ajánlattal keresnek meg, amiről azt állítják, hogy kihagyhatatlan...És még hosszasan lehetne sorolni!

 

Ki számít adatkezelőnek?

A 3. § 9. pont szerint adatkezelőnek számít: "az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;"

A 3. § 10. pont szerint adatkezelés: "az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása…”

Az adatkezelésnek 2 információs jogalapja lehet (Ezt majd egy későbbi posztban bővebben kifejtem):

  • Adatvédelmi jog
  • Információszabadság-jog

(Persze ezt a jogalkotók hosszasan tovább fejtik és részletezik, akit már most mélyebben érdekel a cikk végén a forrásoknál megtalálja :) .)

 block-chain-2853046_960_720.jpg

Miután ezeket az alapvető kérdéseket tisztáztuk, jöhetnek a feladatok, amiket az új adatvédelmi rendelet szerint az adatkezelőknek mindenképp el kell végezniük 2018 május 25-ig!

Profilalkotás

Minden esetben a userek felé a jövőben részletes tájékoztatás kell a profilalkotás módszeréről.

(Ilyen Pl. külső webanalitikai, hirdetés megjelenítő szolgáltatók: Google Analytics, webaudit, gemius, google adsense, youtube, facebook, cookie-k…)

(Tudtátok, hogy a mostani legtöbb cookie (süti) figyelmeztetés nem felel meg a jogszabályoknak? 2009/136/EK irányelve (66))

Továbbá az adatkezelési tájékoztatóban (régi nevén adatvédelmi nyilatkozat) külön hozzájárulást kell kérni a külső szolgáltatók bevonásához. Pl. hírlevélküldő rendszerek igénybe vételéhez, akik a userek adatait kezelik!

 

Adatvédelmi tisztségviselő kinevezése (DPO)

Minden olyan cégnek kell, ahol vállalkozásnak adatkezelés a tevékenységei között szerepel. (Vezető, adatvédelmi tisztséget nem tölthet be a cégnél! Ha külsős DPO-t keresel KATT IDE!) 

Feladatai: Gazdasági reklám jogszabályait figyelembe véve nyilvántartásokat vezet, kontrollálja az adatvédelmi kérdéseket. (Nagyobb ágazati szereplőknek érdemes Magatartási kódexet készíteni, amiben a vonatkozó rendelkezések alapján, jól definiált, átlátható, értelmezhető, világos állásfoglalásokat lehet kérni.)

 

Adatvédelmi hatásvizsgálat

Az új adatvédelmi rendelet szerint az adatkezelőnek hatásvizsgálatot kell végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Ezekben az esetekben kell elvégezni:

  • természetes személyekre vonatkozó egyes személyes jellemzők automatizált gyűjtése és értékelése (pl.: webes profilok építése), valamint ezekre a természetes személyt jelentős mértékben érintő döntések épülése; vagy
  • nyilvános helyek nagymértékű, módszeres megfigyelése.

 

Közös szabályok

  • Céges e-mailcímre csak releváns tartalommal rendelkező hírlevelet lehet küldeni (Pl. kórházaknak orvos diagnosztikai eszközök reklámozása lehet, de Bahamai nyaralási ajánlat kiküldése nem)
  • Csak természetes személyek részére
  • Nem kérhető ismerősök ajánlása
  • Egyértelműnek kell lennie, azonosítható kell, hogy legyen
  • Hírlevélre feliratkozáshoz, nem elég csak az e-mailcím elkérése (minimum nevet is kell hozzá kérni)
  • Biztosítani kell az indoklás nélküli leiratkozási lehetőséget. Nem lehet feltételhez szabni. Pl.: indokolja meg, hogy miért akar leiratkozni
  • Nem lehet feliratkozást kedvezménnyel összevonni. Pl.: 1000 Ft kupon jár annak, aki feliratkozik. (Büntetendő, mert megkárosítjuk azokat, akik nem szeretnének feliratkozni)

Direkt marketing – edm

  • Meglévő ügyfelek részére jelenleg (ha nem iratkozott fel hírlevélre), nem jogszerű emlékeztető/rendszerlevelet küldeni. DE! Jó hír, hogy májusra az a terv, hogy bekerül a jogszabályba, így alkalmazhatóvá és jogszerűvé válik!
  • Robinson listán lévő usereket (ügyfeleket) nem inaktiválom és egy listán gyűjtöm, hanem minden esetben törölni kell!
  • Feliratkozó checkbox mellé (hogy a hozzájárulás érvényes legyen) kell:
    • Név
    • Tájékoztató, hogy pontosan mire is iratkozott fel
    • info@cégnév.hu emailek esetében nem kell előzetes hozzájárulás edm-ek küldéséhez (Viszont vigyázni kell, mert ha a cégnév magánszemély neve pl. info@gipszjakab.hu, akkor már nem jogszerű a hírlevelek küldése)
    • Checkbox nem lehet bújtatott és előre bepipált! (Lead gyűjtés esetén! Minden résztvevő adatvédelmi nyilatkozatát mellé kell rakni, hogy érvényes legyen!)

    Kifejezett hozzájárulás

    Fontos, hogy a hozzájárulás egyértelmű legyen!

    NEM SZABÁLYOS:
    • Magyarázó szöveg nélkül csak: “Feliratkozom a hírlevélre!”
    • Alapértelemezettként bejelölt checkbox
    • Hírlevélre feliratkozást emailben kérni
    • Más szolgáltatáshoz való hozzáférés feltételéhez kötés Pl. 1000 forintos kupont jár, ha most feliratkozik...
    • Egy nyilatkozat alapján több adatkezelő részére való átadásra kerülnek a felhasználók adatai Pl. Hozzájárulok az adataim kezeléséhez, de még 5 cég megkapja amúgy...
    SZABÁLYOS:
    • Hírlevélre történő feliratkozásommal hozzájárulok, hogy a megadott e-mail címemre kiküldésre kerülő hírlevelekben mutatott aktivitásomat (pl. megnyitás, kattintás) az XYZ Kft. nyomon kövesse és harmadik fél reklámját is tartalmazó személyre szabott hirdetések saját vagy partner oldalon való megjelenítése érdekében használja.

    Leiratkozás:

    • Leiratkozási link nem elég, minden elérhető csatorna feltüntetése szükséges
    • Érdemes tájékoztatni (de nem kötelező) hogy mikor és milyen körülmények között iratkozott fel.
    • E-mail láblécében érdemes feltüntetni, azt, hogy milyen e-mailcímre szándékoztuk küldeni a hírlevelet (átirányított email esetén jól jön)
    • Nem érdemes különböző méretű kis betűkkel trükközni! (nem szereti a hatóság!)

     

    Kövess minket a facebookon is! KATT IDE!

     

    Források:

    https://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A1100112.TV

    https://hu.wikipedia.org/wiki/Adatv%C3%A9delem

    https://www.adatvedelmiszakerto.hu/2011/07/megjelent-az-uj-adatvedelmi-torveny-portalunkon-mar-elerheto/

    http://gdpr.blog.hu/2017/08/07/bitcoin_es_adatvedelem

    komment

    Hírlevél szabályosan az új GDPR alapján 1. rész

    2017. november 21. 09:52 - AdatvedelemNEKED.hu

    Te felkészültél már? Nagy változások, nagy büntetések jöhetnek!

    Hírlevél szabályosan az új GDPR alapján

     

    Hamarosan, azaz 2018. május 25-től lép hatályba a GDPR, azaz az Európai Parlament és a Tanács Általános Adatvédelmi rendelete.

    Az Európai Parlament, a Bizottság és a Tanács 2016. május 5-én megállapodott az új Általános Adatvédelmi Rendeletről (angolul General Data Protection Regulation, rövidítve GDPR) Ez a szabályozás a 1995-től hatályos Adatvédelmi Irányelvet váltja és helyébe egy egyablakos ügyintézési metódust állít hatályba.

    Célja az egységesítés, az európai személyek adatainak teljes körű védelme az EU minden tagállamában.

     eu-general-data-protection-regulation-2018.png

    FIGYELEM! Az új Adatvédelmi Rendelet 2018. május 25-én lép életbe

    Ettől a naptól közvetlenül alkalmazandó lesz az EU minden tagállamában!

    Mit lehet tudni?

    Egy ablakos ügyintézés alapján történnek az intézkedések, tehát pl. ha osztrák az anyacég, akkor abban az esetben bevonásra kerül az osztrák hatóság és a panasztétel típusa határozza meg, hogy melyik szerv lesz a vezető hatóság.  

    Továbbá egységesítve lettek az elvárások az adatkezelésekkel kapcsolatban, így most már teljesen irreleváns, hogy KKV vagy multi, magyar vagy nem magyar tulajdonú cégekről beszélünk! Mindenkitől ugyanazt várja el a GDPR!

    Kiszabható legmagasabb büntetés (a jelenlegi 20 millió forint vagy árbevétel 4% helyett) 20 millió euró vagy a vállalat/vállalkozás globális árbevételének 4%-a lesz! Minden esetben a cég számára magasabb büntetést alkalmazzák!

    Te felkészültél már?

    Olvasd el a többi bejegyzést is: Hírlevél szabályosan az új GDPR alapján 2. rész - Változások a direktmarketingben

     

     

    komment

    Mi a francért kell nekünk GDPR?

    2017. november 17. 09:49 - AdatvedelemNEKED.hu

    Szívás vagy segítség az új egységes adatvédelmi rendelet?

    Azt kijelenthetjük előre, hogy akár könnyebbség, akár nem, de 2018. május 25-től mindenképp ezen irányelvek szerint kell a vállalkozásoknak működniük!

    aaeaaqaaaaaaaa2_aaaajgy3mmuxnda1lwqzntqtngzkzs05nzljltjhnzrhntuyytzkoq.png

    Meg éri-e mismásolni?

    Nem! Határozottan kijelenthetem, hogy nem! Természetesen most is vannak szabályok az adatkezeléssel kapcsolatban, amelyeket figyelembe kell venni, de ezek azért lássuk be, hogy ezek egy bonyolult helyspecifikus jogszabályokkal rendelkező, elöregedett már 20 éves európai adatvédelmi jogszabályok, amik így-úgy ki lettek egészítve, pofozgatva (lásd bővebben ITT).

    Új irányelv, nagyobb védelem

    Gondoljunk bele, hogy az adatfelhasználások területén mennyi minden történt is az elmúlt 20 évben? Hogy is lehettek volna felkészülve az akkori szabályozások a mai modern információ-áramlásra? Mert hát 20 évvel ezelőtt hol volt még akkor az internet vagy a facebook vagy az email fiókunk, honlapok, webshopok stb.

    Ma már az e-mail fiókunk teli nap mint nap (számunkra úgy tűnő) kéretlen reklámokkal! Odáig jutottunk, hogy körül vesz minket egy olyan média alapzaj, amiből a vállalkozók kitűnni szeretnének valamilyen formában, a hétköznapi userek pedig eltűnni, hogy végre ne zavarják őket. Nehéz ügy ez ugye?

    Ma az információk nagy részét facebookon keresztül fogadjuk be, ha keresünk akkor pedig a főképp a google keresőjét hívjuk segítségül. Ezért mindenki minket akar, a mi digitális névjegyünket, hogy közvetlen értékesíthessenek nekünk. Mert milyen hatalom is van egy hétköznapi felhasználó kezében? Minden. Mert hatalom van a user kezében. Hiszen ma már pl. nem egyszerűen ismerősöket figyelünk/ keresünk a facebookon, információkat osztunk meg egymással és számos új más impluzust fogadunk és ezeket ismét továbbítjuk. Régen ezt a csatornát pl. egy kézzel fogható újság szolgálta utána pedig ezt egy közvetlen csatornán továbbította, tehát beszélt róla a közvetlen ismeretségi körében. Később ebbe a harcba beszállt a média, de ezen kívül volt még a posta és voltak boltok, nagyjából ennyi volt a minket körülvevő/ befolyásoló médiazaj (kisebb túlzással élve).

    Mára eléggé összetett, nehezen értelmezhető/követhető itt-ott egymásnak ellentmondók lettek ezek a korábbi szabályozások. Ezért is történhetett meg, hogy a régi adatvédelmi jogszabály számos eltérést megengedett a tagországaiban. De az is tudható volt, hogy ez azért hosszú távon nem megengedhető, nem tartható. Szükségessé vált egy új szabályozás megalkotása, hiszen a jelenlegi érvényben lévő adatvédelmi irányelv felett egyszerűen eljárt az idő!

    Akkor kezdjük elölről...

    Tehát e területen mutatkozó több mint 20 év látszólagos tétlensége után, 2016 tavaszán az Európai Parlament kihirdette az új Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR, 2016/679/EU), aminek a fő célja, hogy az EU-n belül végre egységes adatkezelési joggyakorlat alakulhasson ki az adatok szabad áramlása miatt. Lépni kellett az ügyben. Egyszerűen szükség volt egy olyan egységes jogi alapokon megfogalmazott irányelvekre, amely már erős komplex adatvédelmet nyújt az összes tagállamokra vetítve. Ez egy egyablakos ügyintézési metódus, melynek segítségével már egységes irányelvek alapján szankcionálhatók az adatkezelők tájékoztatási lehetőségeik és kötelezettségeik.

    images.png

    Amit nem szabad elfelejteni, hogy ennek a türelmi ideje 2018. május 25-én jár le!

    2018 a változások éve

    Ez már egy olyan új szabályozás, ami a mai információs technológiák nyújtotta lehetőségeket kezeli, egyfajta digitális egységes piacot alkot és már korlátozza az adatfelhasználást úgy, hogy közben maximálisan figyelembe veszi a felhasználók igényeit. Ami annyit jelent, hogy a cégeknek szigorú szabályoknak kell megfelelniük, cserébe azonos feltételekkel indulnak az európai piacon.

    Így a rendelet értelmében a szabálysértő cégek, akár a legmagasabb (egységes) büntetési díjjal is szankcionálhatók, ami 20 millió euró vagy a cégek éves globális árbevételének 4%-a, ráadásul amelyik összeg a nagyobb, az lesz a felső határ egy-egy cégnél!

    Források:
    http://index.hu/tech/2016/05/24/europai_unio_adatvedelem_gdpr/
    https://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A1100112.TV
    http://advocatus.dlapiper.hu/?p=1754
    http://www.eugdpr.org/
    http://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32016R0679
    https://ado.hu/rovatok/cegvilag/atalakul-az-adatvedelem-minden-a-gdpr-rol
    komment
    süti beállítások módosítása