GDPR

EU GDPR – General Data Protection Regulation

Az EU Általános Adatvédelmi Rendeletét (General Data Protection Regulation – GDPR) ténylegesen 2018. május 25-től kell alkalmazni, tehát eddig kell felkészülnie a személyes adatokat kezelő vállalatoknak és egyéb szervezeteknek arra, hogy megfeleljenek az új egységes európai uniós adatvédelmi szabályoknak.

A GDPR új követelményeket és a meglévő előírások szigorítását jelenti a személyes adatkezelés és -tárolás folyamataiban. Az adatvédelem területén az EU Tűzfal csapata nem biztosít teljes körű szolgáltatást, viszont az általunk képviselt megoldások egyértelmű segítséget nyújtanak az adatvédelmi audithoz és hatékonyan segítik az adatvédelmi felelős és a menedzsment munkáját. Mi az adatok megfelelő védelemhez és a biztonsági incidensek menedzseléséhez, bejelenthetőségéhez és a folyamatok átláthatóságához tudunk hatékonyan hozzájárulni.

Minden szervezet, cég érintett a GDPR törvénnyel kapcsolatban, ha az ügyfeleik valamely adatát felhasználják az alábbiakból

  • Név
  • Lakcím
  • Online azonosító
  • Helymeghatározás
  • Egészségügyi adatok
  • Jövedelem
  • Kulturális profil
  • Nemzeti hovatartozás
  • Vallási nézet

A GDPR követelményeinek való megfelelés elmulasztásának szankciói akár:

  • 20 Millió € büntetés vagy
  • A vállalat globális éves bevételének 4%-a

A Rendelet címe: az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

A Rendelet Magyar nyelven .pdf formátumban is letölthető

A GDPR célja a személyes adatok és a magánszféra védelme, a központjában a felhasználó áll. Erről szól a következő meghökkentő videó is:

A GDPR Adatvédelmi Rendelet alkalmazására való felkészülés két fontos lépésében tudunk gyártói megoldásokat szállítani.

9.  Adatvédelmi incidens bejelentése
GDPR felkészülés

Az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad.

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.

10.  Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. E magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége ugyan magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell. A hatásvizsgálat során figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira valamint a kockázatok forrásaira meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Magas kockázatú adatkezelési műveletek példálózó felsorolása: nagyszámú érintett; nagy mennyiségű személyes adat; kiszolgáltatott személyek, pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése.

A rendelet arról is rendelkezik, hogy mikor nem szükséges hatásvizsgálatot lefolytatni.

Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené e rendeletet különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette , a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

Ajánlott tartalmak:

Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben