1
címzett: alkuszi értékesítési csatorna
feladó: Értékesítési adminisztráció – Juhász Éva
tárgy: GDPR szabályok áttekintése
dátum: 2018. május 14.
Tisztelt Partnereink!
Az Európai Parlament és Tanács (EU) adatvédelmi rendelete (2016/679 General Data Protection Regulation, GDPR) az Európai Gazdasági Térség területén 2018. május 25-től alkalmazandóvá válik, mely szabályozás a személyes adatok kezelésével kapcsolatban új, szigorúbb szabályokat vezet be, és amelyek új feladatok és kihívások elé állítják az adatkezelőket és adatfeldolgozókat.
A fenti határidőtől kezdődően a jelenleginél sokkal szigorúbb adatkezelési gyakorlatot kell betartania minden személyes adatot kezelő gazdálkozó szervezetnek, melynek nem teljesítése esetén akár 20 millió euro (vagy az éves csoportszintű árbevétel 4 %-áig terjedő) bírság is kiszabható.
A felkészülésben szeretnénk segítséget nyújtani az alábbi szempontokkal:
- Az adatvédelmi tudatosság erősítése
Biztosítani kell a szervezeten belüli szakmai felkészültséget az új jogszabályoknak való megfeleléshez
- Az adatkezelés kritériumaninak felülvizsgálata
Az új szabályok tükrében elengedhetetlen az adatkezelés céljának, szempontrendszerének, a személyes adatkezelés koncepciójának áttekintése, továbbá a kezelt adatok sorsának felülvizsgálata.
- Az érintettek megfelelő tájékoztatása
Az érintett jogaira figyelemmel biztosítani kell az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően. Az adatkezelésnek így átláthatónak és tisztességesnek kell lennie.
- Az érintettek jogai
Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:
- tájékoztatáshoz és hozzáféréshez való jog,
- helyesbítéshez való jog,
- törléshez („elfeledtetéshez”) való jog,
- az adatkezelés korlátozásához való jog,
- tiltakozáshoz való jog,
- az adatok hordozhatóságához való jog.
- Az adatkezelési alapelvek
Az adatkezelés során az alábbi alapelveket szükséges betartani:
- jogszerűség, célhozkötöttség
- adattakarlékosság
- pontosság
- korlátozott tárolhatóság
- elszámoltathatóság
- Az adatkezelés jogalapja
Szükséges áttekinteni a szervezet által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz igazodva biztosítani kell az információs önrendelkezéshez való jog érvényesülését. Az adakezelés jogalapjai a következők lehetnek:
- hozzájárulás
- szerződés teljesítése
- jogi kötelezettség
- jogos érdek
- létfontosságú érdek
- közhatalmi jogosítvány
- Adatvédelmi incidens bejelentése
Adatvédelmi incidens a biztonság olyan sérülése, mely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, változtatását, jogosulatlan közlését vagy azokhoz jogosulatlan hozzáférést eredményez. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően – köteles az adatvédelmi incidenst bejelenteni az adatvédelmi hatóságnak, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az adatalanyokra nézve.
- Adatbiztonság
A kezelt személyes adatok helyének, tartalmának és kezelésének meghatározása elengedhetetlen a GDPR megfelelés érdekében. Az adatok biztonságára a szabályozási környezet mellett több tényező is hatással van; ilyen az adatokat tároló informatika, hálózati infrastruktúra vagy a külső információs útvonalak. A GDPR nem határoz meg közvetlen információbiztonsági kontrollokat, de elvárja, hogy a természetes személyek által ránk bízott adatokat szükséges és elégséges mértékben védjük. A védelemhez elengedhetetlenek az alábbiak:
- Eszközvagyon leltár: annak feltárása, hogy a vállalat által kezelt személyes adatok milyen rendszereken, eszközökön tárolódnak, hol érhetőek el
- Adattérkép: A megfelelő védelem kialakításához szükséges ismernünk, hogy az adat életciklusa során hova juthat el, milyen utat jár be.
- Jogosultságok kezelése: a GDPR elvárja, hogy a vállalat által kezelt személyes adatokhoz csak a szükséges és elégséges mértékben férjenek hozzá. Ennek a követelménynek a teljesítését informatikai rendszereken a hatékony és körültekintő jogosultságkezelés valósítja meg.
- Adatvédelmi incidensek észlelése: Az adatvédelmi incidensek észleléséhez a vállalatnak hatékony rendszert szükséges alkalmaznia, amelynek folyamatokon, szerepkörökön és informatikai rendszereken átívelő működést kell biztosítania.
- Kiszervezett tevékenységek kontrollja: Kiszervezés esetén meg kell bizonyosodni, hogy a szolgáltató megfelel-e az adatvédelmi követelményeknek is.
- Adatvédelmi felügyleti hatóságok illetékessége
A kizárólag Magyarországon tevékenységet folytató szervezetek felügyeleti hatósága a NAIH (Nemzeti Adatvédelmi és Információbiztonság Hatóság).
Bővebb tájékoztatásért kérem, keressétek fel a NAIH http://www.naih.hu weboldalát.
Üdvözlettel:
Juhász Éva Jávorszky Sándor