AdatvedelemNEKED.hu

GDPR, Profilalkotás, DPO, Hatásvizsgálat

GDPR, személyes adatok, az adatkezelés elvei, GYIK

2018. január 18. 10:59 - AdatvedelemNEKED.hu

Én vagyok én és te vagy te, melyikünk a ...

 

Mostanában gyakran ez a mondóka jut eszembe, amikor azt látom, hogy közösségi felületeken több nézőpont találkozik GDPR kérdéskörben. És hogy mire is gondolok? Arra amikor laikusok egymást túlharsogva próbálják meggyőzni és a vélt saját igazukat próbálják ledugni a másik torkán. (És természetesen mindenki úgy gondolja, hogy ért hozzá, mert az ismerős, ismerőse azt mondta... és akkor már hiteles a forrás.)

letoltes_3.jpg

De azért inkább a teljes bizonytalanság a jellemző. Senki nem tud semmit, csak találgat. Ilyeneket olvasok napi szinten, “...szerintem én nem kezelek személyes adatokat, rám nem vonatkozik” vagy “...most én adatkezelő vagy adatfeldolgozó vagyok” vagy “Mi is az az adatvédelmi incidens?...”.

Mindig mindenkinek elmondom, aki a segítségemet/tanácsomat kéri, hogy nem egy egyszerű téma az adatvédelem és azt megvilágítani, hogy kire mi vonatkozik,nem triviális. Komoly és mély felkészülés kell az elsajátításához, de nem MISSION IMPOSSIBLE!

 

 

Tudom, hogy bár kényelmetlenségekkel jár az új hatályba lépő rendelet, de mégsem érdemes úgy tekinteni rá, hogy már megint egy plusz terhet húznak a vállunkra a törvényhozók!

Egyszerűen megérett a társadalom, hogy végre átgondoltan, szisztematikusan saját maga rendelkezzen az adatainak felhasználásáról.

Te, mint magánszemély ugye te sem szereted, ha bárki, bármire, bármikor felhasználja az adataidat?  Esetleg még kereskedik is vele… Vagy szereted, amikor tudtod nélkül profiloznak, adatokat gyűjtenek a szokásaidról? Ugye, hogy nem szimpatikus? Ezért is fontos az új szabályozás! Megadja a kereteket!

images_3.jpg

Emlékszem amikor a Google bevezette, hogy csak bejelentkezett fiókkal lehetett keresni a keresőjében. Ismerőseim nagy része tapsikolt örömében, hogy milyen szuper, hogy megjegyzi, ha valamit már kerestem, nem kell mindig mindent előről kezdeni… Hát nekem nem volt őszinte a mosolyom... Mekkora kincs van annak a kezében, aki mindent tud a felhasználóiról vagy esetleg a potenciális ügyfeleiről! Ugye?

Hallottál már az anonimizált profilozásról? Ilyen is van már. Már az sem kell tudni, hogy pontosan ki vagy, mi az e-mailcímed, ami fontos pl. az érdeklődési köröd, a lokációd, merre jársz, mikor jársz ott, milyen gyakran... annyi a feladat, hogy már csak be kell csalogatni az értékesítési tölcsérbe és majd az utolsó lépésben megtudnak rólad minden részletes személyes adatodat. Egyszerűen nem kell kapkodniuk... Folyamatosan remarketing eszközökkel próbálnak elkapni, becserkészni.  És ha sokszor látod, beépül a tudatalattidba és idővel elkapnak. :)

És lásd milyen szuper, ez is le van szabályozva. (Csak 90 napig lehet tárolni ezeket az adatokat …)

De nézzük egy vállalkozó szemszögéből is egy picit az adatvédelem fontosságát.

Mint adatkezelő, ha eddig is tisztában volt a rá vonatkozó adatvédelmi jogszabályokkal, akkor nincs miért izgulnia. Természetesen pontosítások kellenek, de valószínűleg nem lesznek nyugtalan éjszakái. Már a finishben van.

Viszont vannak azok a vállalkozók, akik ezt teherként élik meg, fel vannak háborodva, hogy “...már megint mi van, már ez is???” vagy “...eddig miért is nem hallottam erről?”. Hát ők tényleg bajban vannak. Mert ez azt jelenti, hogy eddig sem voltak adatkezelés témakörben a helyzet magaslatán.

És akkor most kanyarodjunk vissza egy picit a magánszemély nézőpontjára. Te szívesen adod meg egy olyan adatkezelőnek az adataid, aki azt sem tudja, hogy ő igazából mire használja és megfelelően biztonságban tartja-e? Nem tudja a különbséget az adatkezelő és az adatfeldolgozó között? Hát nem jó, hogy végre a GDPR hatályba lépésével talán tudatosabb adatkezelők várhatók a piacon?

Emlékeztek még az első generációs Facebook csoportok indulására? Először csak megalakultak egyes csoportok olyan jelzővel, hogy “... én nem szeretnék senkit sem szabályozni, felnőttek vagyunk…”, aztán idővel szükségessé vált, hogy a csoportokban szabályzatok legyenek! Ugye?

Egyszerű a képlet. Ha valami nincsen feketén-fehéren leírva, óhatatlanul keresi mindenki a kiskaput. (És még sokan az után is :) ).

Szóval értitek már miért is fontos és nem elhanyagolható ez az új szabályozás?

Tehát összességében nem kell megijedni, nem kell ördögtől valónak gondolni az új rendelkezést. Inkább venni egy mély levegőt és előre tekinteni. Gondold végig hosszú távon mennyi mindenben profitálhat a vállalkozásod egy-egy ilyen mélységű átvilágítástól.

  • Készül egy belső audit, kockázatelemzés, hatásvizsgálat, érdekmérlegelés, nyilvántartások, checklist... Mindenki számára megfoghatatlannak tűnő direkt marketinged végre gatyába lesz rázva...

Hát nem nyugodtabb éjszakák várhatóak?

Higgyétek el, nem hiába nem jelölnek ki a hatóságok DPO-kat. Mert minden vállalkozás egyedi, minden adatkezelőnek más a kialakult adatkezelési metódusa, más szoftvereket használ, más specifikumok vonatkoznak rá. Az alapok persze mindenkire ráhúzhatók, de nem érdemes ezen a szinten leragadni.  Egyszerű, adj időt magadnak és KÉSZÜLJ FEL!

A Rendeletet ténylegesen 2018. május 25-től kell alkalmazni, ez tehát a tényleges hatályba lépés napja. (EU Általános Adatvédelmi Rendelete, azaz a GDPR, amelynek száma 2016/679/EU) A tagállamoknak, így Magyarországnak is lehetősége van saját jogszabályi rendelkezésben (Infotv.) konkretizálni a specifikumokat. De az Infotv.-ben már csak olyan kérdéseket pontosítanak, amelyeket a rendelet külön nem érint!  Tehát semmi esetre sem ad lehetőséget a tagállamokban a rendeletnek enyhítésére, csak pontosítására! A magyar tagállamspecifikus rendelkezések pontosításainak az Infotv. módosítása ad teret (ami sajnos jelenleg csak előterjesztésben van).

 

És akkor jöjjenek a rendelet alapján összegyűjtött GYIK-ek :)

Miért fontos a személyes adatok védelme?

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az adatvédelem elveit pedig minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell!

“A természetes személyek személyes adataik kezelésével összefüggő védelméhez kapcsolódó elvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen, ami a személyes adataik védelméhez való jogukat illeti. Ez hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint a természetes személyek jólétéhez.” [2016/679 RENDELET(2)]

 

Az adatkezelés elvei, személyes adatot mikor lehet kezelni?

A természetes személyek jogaira és szabadságaira nézve magas kockázattal járó eseteket az adatkezelő köteles kivizsgálni. És hogy egyértelműen megállapítható legyen az adatkezelés jellege, ki kell zárni a kockázatok forrásait, ehhez figyelembe kell venni, minden olyan tényezőt, ami alapján feltérképezhetőek a várható intézkedések. Ezért az adatkezelés megkezése előtt adatvédelmi hatásvizsgálat elvégzése szükséges. “Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat…Az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti hatósággal konzultálni kell. Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait. ” [2016/679 RENDELET(90)(94)]

 

Személyes adat kezelhető ha:

  • az érintett hozzájárul.
  • kötelező adatkezelés céljából történik.
  • vagy különleges adatként 2011. évi CXII. törvény 6. §-ban meghatározott esetekben kezelhető.
  • a kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet meghatározás szerint kerül csak felhasználásra.
  • kizárólag állami vagy önkormányzati szerv kezeli az állam, bűncselekmények megelőzésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.

 

Mi minősül adatkezelésnek?

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

Mi számít adatvédelmi incidensnek?

Az adatvédelmi incidensről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor az adatvédelmi incidens körülményeire megfelelő figyelmet kell fordítani, beleértve azt is, hogy a személyes adatokat olyan megfelelő technikai védelmi intézkedésekkel védték-e, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának a valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti közlés szükségtelenül veszélyeztethetné az adatvédelmi incidens körülményeinek kivizsgálását. [2016/679 RENDELET (88)]

Adatvédelmi incidens: Személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

“Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó L 119/16 HU Az Európai Unió Hivatalos Lapja 2016.5.4. természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt…” [2016/679 RENDELET (84)]

Bővebben itt olvashatsz az adatvédelmi incidensről, minta sablonnal: KATT IDE!

Az adatbiztonság követelménye (2011. évi CXII. törvény 7. §):

  • Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.
  • Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról.
  • Az adatokat megfelelő intézkedésekkel védeni kell.
  • A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell!
  • A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel kell biztosítania a jogosulatlan adatbevitel megakadályozását. Mindig a személyes adatok védelme érdekében, a biztonság fenntartása és a rendeletet sértő adatkezelés megelőzése érdekében mindenkori legmagassabb technológiai adatvédelmi megoldásokat kell igénybe venni, ami a legmagasabb szintű védelmet biztosítja (ehhez érdekmérlegelés és adatbiztonsági kockázat felmérése szükséges. A jogosulatlan személyek adatátviteli berendezés segítségével történő használatának megakadályozását és annak ellenőrizhetőségét és megállapíthatóságát monitoroznia kell.
  • A telepített rendszerek üzemzavar esetén történő helyreállíthatóságáról és az automatizált feldolgozás során fellépő hibákról jelentés kell készüljön.

“Az e rendeletnek való megfelelés olyan esetek érdekében történő előmozdítása érdekében, amikor valószínű­síthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel e rendeletnek. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell.” [2016/679 RENDELET (84)]

Az érintettek jogai és érvényesítésük

Az érintett kérelmezheti az adatkezelőnél:

  1. a) tájékoztatását személyes adatai kezeléséről,
  2. b) személyes adatainak helyesbítését, valamint
  3. c) személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.

Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

A személyes adatot törölni kell, ha

  1. a) kezelése jogellenes;
  2. b) az érintett (a 14. § c) pontjában foglaltak szerint) kéri;
  3. c) az hiányos vagy téves (és ez az állapot jogszerűen nem orvosolható), feltéve, hogy a törlést törvény nem zárja ki;
  4. d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
  5. e) azt a bíróság vagy a Hatóság elrendelte.

 

Az érintett előzetes tájékoztatásának követelménye

  1. § (1) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.

(2) Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

(3) Kötelező adatkezelés esetén a tájékoztatás megtörténhet a (2) bekezdés szerinti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

(4) Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

  1. a) az adatgyűjtés ténye,
  2. b) az érintettek köre,
  3. c) az adatgyűjtés célja,
  4. d) az adatkezelés időtartama,
  5. e) az adatok megismerésére jogosult lehetséges adatkezelők személye,
  6. f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint
  7. g) ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma, kivéve a 68. § (2) bekezdésében foglalt esetet.

 

Források:

 

Kérdésed van? Nem minden egyértelmű az új adatvédelemmel kapcsolatban?

Kérdezz bátran!!! Örülünk, ha te is elküldöd a kérdéseid, ami téged foglalkoztat!

fb oldalunkhoz: KATT IDE!

Weboldalunkat ITT találod! (Itt hirdetjük meg elsőként kiscsoportos online kurzusainkat, ahol biztos, hogy a kérdéseidre szakértőinktől megkapod a választ!)

Szólj hozzá!

A bejegyzés trackback címe:

https://adatvedelemneked.blog.hu/api/trackback/id/tr7113585461

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.