Az új EU adatvédelmi rendelet (angol nyelvű rövidítéssel, ahogy sokszor említik: GDPR), 2018. május 25-től kötelezően alkalmazandó minden EU tagállamban, így Magyarországon is. A GDPR alkalmazása szinte minden cégre komoly hatással lesz. Az alábbiakban arról szeretném tájékoztatni, hogy milyen következményei lesznek a rendeletnek.
Az új európai adatvédelmi rendelet, mint EU jogszabály közvetlenül alkalmazandó, tehát a szabályok nem fognak megjelenni magyar törvényként vagy más jogszabályként. A rendelet szövege magyarul is elérhető az alábbi helyen: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32016R0679&from=HU
Várható, hogy Magyarországon kiegészítő jogszabályok jelennek majd meg a GDPR bevezetése kapcsán (ezek jelenleg csak tervezeti formában elérhetők, elfogadásukra valószínűleg tavasszal, nyár elején kerülhet majd sor).
A GDPR jelentős változásokat hoz az adatvédelem területén:
- azonos szabályok lesznek az egész EU területén, sőt az EU állampolgárok adatainak kezelésére vonatkozóan még az EU területén kívül is alkalmazni kell a szabályokat;
- az oltalmazott „személyes adatok” definíciója szélesebbé vált, idetartoznak a jól ismert adatokon kívül a jövőben pl. az IP címek is;
- az adatok begyűjtésére szigorú szabályok vonatkoznak továbbra is, de az adatok kezelésére vonatkozó jogalapok kiegészültek új lehetőségekkel;
- a korábbi viszonylag megengedő adatvédelmi szabályozás helyett várhatóan rendkívül magas bírságok kerülnek majd kiszabásra (az éves árbevétel 4 %-a, max. 20 millió EURO).
Az alábbiakban összefoglalom a rendelet alapján előírt feladatokat:
Aktuálisan, május 25-éig elvégzendő feladatok:
- A cég azon folyamatainak felmérése és számbavétele, ahol személyes adatok kezelése folyik - az adatkezelési műveletek átvilágítása.
„Személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- A cég adatvédelmi szabályzatának aktualizálása a GDPR rendelkezéseivel való összhangba hozatal céljából. A szabályzat aktualizálása a társaság vezetőjének feladata..
3.Adatvédelmi szabályzat hatályba léptetése (és a cég székhelyén, telephelyén tartása.
- A weboldal adatkezelési tájékoztató aktualizálása, feltöltése a cég honlapjára.
- Az adatvédelmi szabályzat rendelkezéseinek megismertetése a munkavállalókkal, egyben a munkavállalók személyes adatainak kezelésével kapcsolatos tájékoztatás megadása részükre. E körben a munkahelyi adatkezelési tájékoztatót ismertetni kell a munkavállalókkal.
- A munkavállalókkal kötött munkaszerződések felülvizsgálata, módosítása. A munkaszerződést ki kell egészíteni a személyes adatok kezelésével kapcsolatos titoktartási nyilatkozattal és a szabályzat rendelkezéseinek betartására kötelezettséget vállaló nyilatkozattal.
- Természetes személy szerződő partnerek esetén a természetes személyek tájékoztatása személyes adataik kezelésével kapcsolatban.”
- Adatfeldolgozási szerződés kötése. Ha a cég más nevében személyes adatokat kezel, pl. könyvviteli szolgáltatást végez, adatfeldolgozási szerződést kell kötni a megbízóval (az adatkezelővel)..
- A munkavállalók titoktartási nyilatkozatának beszerzése az adatfeldolgozói tevékenységre vonatkozóan.
- Adatkezeléshez hozzájáruló nyilatkozatok közzététele és beszerzése önkéntes hozzájáruláson alapuló adatkezelés esetén. (Pl. regisztráció, hírlevél feliratkozás)
- Adatkezelési nyilvántartás készítése és vezetése az egyes adatkezelési tevékenységekről.
A munkaviszonnyal kapcsolatos adatkezelések nyilvántartására
- Adatfeldolgozói nyilvántartás készítése. Az adatfeldolgozó köteles nyilvántartást vezetni az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról.
- Adatvédelmi incidensek nyilvántartásának elkészítése.
- Kamerák üzemeltetése esetén kamera tájékoztatók kihelyezése, amelyeket úgy kell elhelyezni, hogy a megfigyelt területre/helyiségbe belépés előtt megismerhetők legyenek. A kamerák hangot nem rögzíthetnek.
- Adatvédelmi tisztviselő kinevezése. Abban az esetben kötelező, ha az adatkezelést közhatalmi, közfeladatot ellátó szerv végzi, továbbá ha a fő tevékenység az érintettek rendszeres, szisztematikus nagymértékű megfigyelésre irányul, illetve ha a vállalkozás különleges adatokat, vagy büntetőjogi felelősséggel kapcsolatos adatokat kezel nagy mennyiségben fő tevékenységként.
- Adatvédelmi hatásvizsgálat elkészítése magas kockázatú adatkezelés esetén.
Évente elvégzendő ismétlődő feladatok:
- Adatvédelmi szabályzat felülvizsgálata, aktualizálása, adatkezelési tájékoztató felülvizsgálata, aktualizálása.
- Az alkalmazottak rendszeres ellenőrzése, számonkérése az adatvédelmi előírások betartásával kapcsolatban.
- Az adatkezelés biztonságának garantálására alkalmazott rendszerek és eljárások folyamatos bizalmas jellegének biztosítása, ellenálló képességének fenntartása.
Alkalmanként elvégzendő feladatok:
- Az adatvédelmi szabályzat rendelkezéseinek megismertetése a belépő munkavállalókkal, egyben a munkavállalók személyes adatainak kezelésével kapcsolatos tájékoztatás megadása részükre.
- A belépő munkavállalóval kötött munkaszerződésnek részét kell képeznie a személyes adatok kezelésével kapcsolatos titoktartási nyilatkozatnak és az adatvédelmi szabályzat rendelkezéseinek betartására kötelezettséget vállaló nyilatkozatnak.
- Adatfeldolgozási szerződés kötése, ha a cég megbízást kap más nevében történő személyes adatok kezelésére. Utóbbi esetben a munkavállalók titoktartási nyilatkozatát be kell szerezni az adatfeldolgozói tevékenységre vonatkozóan.
- Adatkezeléshez hozzájáruló nyilatkozatok közzététele és beszerzése önkéntes hozzájáruláson alapuló adatkezelés esetén
- Természetes személy szerződő partnerek esetén a természetes személyek tájékoztatása személyes adataik kezelésével kapcsolatban.
- Az érintettek kérelmeinek teljesítése. (Hozzáférés biztosítása az érintett számára a személyes adatokhoz, személyes adatok helyesbítése, törlése, az érintett adathordozhatósághoz való jogának körében másolat kiadása az adatokról, illetve az érintett kérésére más adatkezelő részére való közvetlen továbbítás.)
- Adatvédelmi incidens esetén 72 órán belül bejelentés megtétele a felügyeleti hatóság részére, kivéve ha valószínűleg alacsony kockázattal jár az incidens. Az érintett értesítése az incidensről akkor kötelező, ha nagy kockázatú az incidens.
- Az adatvédelmi szabályzatban rögzített adatköröknek megfelelően a határozott idő elteltét, vagy az érintetti hozzájárulás visszavonást követően a kezelt személyes adatok végleges megsemmisítése, törlése.
Szükséges adatbiztonsági intézkedések
Az adatvédelmi szabályzat rendelkezései szerint. (ilyenek a személyes adatok álnevesítése, titkosítása, informatikai nyilvántartások és papír alapú nyilvántartások védelmére tett intézkedések, jogosulatlan hozzáférés elleni védelem biztosítása.
- Antivírus szoftvert kell telepíteni minden olyan eszközre, amelyen személyes adatokat tárolnak, ha erre korábban került sor. A számítógépes vírusok elleni védelmet folyamatosan biztosítani kell az antivírus szoftver és az operációs rendszer automatikus frissítéseinek beállításával, lehetőség szerint folyamatos vírusellenőrzéssel.
- A helyi hálózat tűzfallal való ellátása.
- A Wifi hozzáférést jelszavasítani kell, amennyiben erre korábban nem került sor.
- A számítógépeken felhasználói név/jelszó beállítása minden egyes munkavállaló esetén, az informatikai rendszerben kezelt adatállományok jelszavakkal való védelme, illetve titkosítása.
- Rendszeres biztonsági mentések végrehajtása a kezelt adatállomány tekintetében, a biztonsági másolatok elkülönített kezelésének megvalósítása külső merevlemezre történő mentéssel.
- A munkavégzéshez használt szoftverek használata során minden munkavállalónak legyen felhasználói neve/felhasználói fiókja.
- Villámvédelemről gondoskodás túlfeszültség levezető beszerelésével.
- Az irodákat zárhatóvá kell tenni, a számítógépekhez fizikailag csak a felhasználóik férhessenek hozzá. Ezzel elkerülhető, hogy illetéktelenek (pl. ügyfelek) fizikailag hozzáférjenek az eszközökhöz.
- Gondoskodni kell az informatikai rendszer hardver eszközeinek fizikai védelméről. A szervert zárható helyen kell elhelyezni, ahhoz fizikailag is csak a jogosult(ak) férhessenek hozzá.
- A szerver helyiségben szükség esetén a lokális klimatizálásról gondoskodni kell.
- A tűzvédelem megvalósítása céljából a tűzvédelmi előírásokat be kell tartani, a amennyiben tűzoltókészülékek nincsenek felszerelve, azokról gondoskodni kell.
- A papíralapú dokumentumon kezelt személyes adatok védelme céljából ezeket a dokumentumokat kizárólag kulccsal zárható szekrényben lehet tárolni. Az ügyfélfogadás során el kell kerülni, hogy az ügyfél személyes adatokat tartalmazó dokumentumokhoz hozzáférjen, vagy azokba betekinthessen.
- Iratmegsemmisítő használatának bevezetése.
Adatvédelmi felmérés során megválaszolandó kérdések
Nincs két egyforma vállalkozás és a GDPR kockázat alapú megközelítést alkalmaz. Ezért minden cégnek magának kell felmérnie adatgyűjtési és tárolási folyamatait, jogi tanácsot kérnie és biztosítania, hogy működésük megfelel a GDPR elvárásainak. A szükséges lépések meghatározásában segítenek a lenti kérdések.
- Milyen Személyes adatokat gyűjtünk, tárolunk?
- Megfelelő forrásból származnak? Megvan az adatkezeléshez szükséges hozzájárulás mindenkitől, mindenkit megfelelően tájékoztattunk a konkrét adatkezelési céljainkról? Egyértelmű és félreérthetetlen volt a tájékoztatás? Tartalmazta a tényt, hogy bármikor visszavonhatják hozzájárulásukat?
- Hogyan biztosítjuk, hogy a már nem szükséges Személyes adat összes példánya törlésre kerüljön?
- Hogyan biztosítjuk a megtartott Személyes adatok naprakészen tartását?
- A kockázatnak megfelelő biztonsági megoldásokat alkalmazva tárolunk minden Személyes adatot? Alkalmazunk titkosítást, adat roncsolást ahol kell? Hogyan korlátozzuk a hozzáférést, hogyan biztosítjuk, hogy csak a szándékolt célból lehessen hozzáférni Személyes adatokhoz?
- Gyűjtünk különlegesnek minősülő személyes adatokat? Különleges személyes adatnak minősül többek között a faji, etnikai hovatartozás; politikai vélemények; vallási és filozófiai hitek; szakszervezeti tagság; genetikai vagy biometriai adatok melyek alkalmasak a személy beazonosítására; egészségi állapotra vonatkozó adatok vagy a szexuális élettel illetve szexuális irányultsággal kapcsolatos adatok. Ha igen, megfelelünk az emiatt ránk vonatkozó sokkal szigorúbb feltételeknek is?
- Hogyan kezeljük alkalmazottaink adatait?
- A cég munkatársai tisztában vannak a GDPR által szabott kötelezettségekkel?
- működtetünk-e WEB oldalat? Ha igen, adatvédelmi tájékoztató került e elhelyezésre, ha igen, harmónikus e hatályos jogszabályokkal?
- Van-e kamerarendszerünk: ha igen, erre vonatkozó Szabályzat?
- Megvan a biztonsági riasztó rendszer, ami biztosítja, hogy az érintetteket egy esetleges incidens után megfelelő időn belül és részletességgel tájékoztatni tudjuk?
- A cég összes munkatársa megfelelő képzésben részesült, hogy biztosítsuk az új EU szabályozásnak megfelelően kezelik a Személyes adatokat?
- Van publikus Adatvédelmi tájékoztatónk? Ha igen, frissítettük, hogy megfeleljen a GDPR-nak és "infotörvénynek" (információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény)?
- Van a cégnek hatályos Adatvédelmi irányelve? Ha igen, frissítettük, hogy megfeleljen a GDPR-nak és "infotörvénynek"?
- Készült részletes adatvagyon leltár ami lefed minden kezelt Személyes adatot (vevők, érdeklődők, marketing adatbázisok, beszállítók, partnerek, munkatársak, álláshirdetésre jelentkezők). Megfelel a GDPR-nak?
- Minden csoporthoz megvan az előre meghatározott adatkezelési időtartam? Biztosított az időtartam lejárta utáni törlés?
- Ha adatfeldolgozók vagyunk, frissültek szerződéseink adatkezelőkkel, hogy a GDPR 28.-ik cikkejében meghatározott kötelező elemek szerepeljenek benne?
A GDPR előírásainak való megfeleléshez a fenti kérdések Szabályzatokban, Tájékoztatókban, Hozzájáruló nyilatkozatokban történő rögzítése szükséges.