GDPR
A GDPR a személyes adatok védelméről szóló, az Európai Unió és az Európai Tanács által elfogadott rendelet. A mozaikszó jelentése: General Data Protection Regulation, magyarul: általános adatvédelmi rendelet. 2018 május 25-től hazánkban is a GDPR szabályoz szinte mindent, ami személyes adatokkal kapcsolatos: azok összegyűjtését és rögzítését, tárolását, módosítását, továbbítását, egyszóval: bármilyen szintű felhasználását.A GDPR főbb szabályai
Jelen összefoglalóval tájékoztatjuk
Önöket a 2018. május 25. napján hatályba lépő uniós adatvédelmi rendelet
(GDPR) főbb szabályairól, és az ennek kapcsán felmerülő intézkedésekről.
1, Alapfogalmak:
• GDPR (General Data Protection Regulation): az EU új adatvédelmi rendelete, mely Magyarországon közvetlenül alkalmazandó
• Érintett: bármely meghatározott személyes adat alapján azonosított, vagy – közvetlenül, vagy közvetve – azonosítható természetes személy
• Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamely fizikai, fiziológiai, mentális, gazdasági, kulturális, vagy szociális azonosságára jellemző ismeret -, valamint az adatól levonható, az érintettre vonatkozó következtetés
• Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet, vagy műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása, összekapcsolása, zárolása, törlése, megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujjnyomat, tenyérnyomat, DNS minta stb.) rögzítése.
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
A fenti alapfogalmak értelmezése kapcsán látható, hogy az adatvédelmi reform személyi hatálya bármely olyan társaságra, vagy természetes személyre kiterjed, aki személyes adatokat kezel.
• Érintett: bármely meghatározott személyes adat alapján azonosított, vagy – közvetlenül, vagy közvetve – azonosítható természetes személy
• Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamely fizikai, fiziológiai, mentális, gazdasági, kulturális, vagy szociális azonosságára jellemző ismeret -, valamint az adatól levonható, az érintettre vonatkozó következtetés
• Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet, vagy műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása, összekapcsolása, zárolása, törlése, megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujjnyomat, tenyérnyomat, DNS minta stb.) rögzítése.
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
A fenti alapfogalmak értelmezése kapcsán látható, hogy az adatvédelmi reform személyi hatálya bármely olyan társaságra, vagy természetes személyre kiterjed, aki személyes adatokat kezel.
2, Adatvédelmi stratégia
A GDPR tükrében az 1. pontban körülírt
adatkezelők esetében az alábbi lépéseknek megfelelően kell kialakítani
az adatvédelmi stratégiát:
1. Az adatkezelés céljának meghatározása
2. Egyedi szempontrendszer kialakítása
3. Adatvédelmi szabályzat megalkotása
4. Az érintettek védelme érdekében általános és egyedi tájékoztatási struktúra kidolgozása
5. Adatkezelés és adattovábbítás bejelentése a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) részére
2. Egyedi szempontrendszer kialakítása
3. Adatvédelmi szabályzat megalkotása
4. Az érintettek védelme érdekében általános és egyedi tájékoztatási struktúra kidolgozása
5. Adatkezelés és adattovábbítás bejelentése a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) részére
Az adatvédelmi rendelkezéseknek való
megfelelőség vonatkozásában kiemelt figyelmet kell fordítani a
kiskorúak, és az ún. kiemelt kockázatú adatkezeléssel járó speciális
szabályokra. Az utóbbi szempont a felsorolt adatvédelmi stratégia
kialakítása során kerül meghatározásra. A kiemelt kockázat eseti
tevékenység specifikus, így minden adatkezelő esetében egyedileg
vizsgálandó.
3. A GDPR sajátosságai
Az EU adatvédelmi rendelet elsődleges
célja, hogy az érintettek védelmét erősítve olyan komplex jogszabályi
környezetet hozzon létre, mely az adatkezelők tevékenységét
szankcionálja. Kiemelkedően fontos ezért, hogy a rendelet hatálya alá
tartozó adatkezelők a rendelet hatálybalépését megelőzően, azaz 2018.
május 25. napja előtt végrehajtsák a szükséges felkészülést, és
kialakítsák saját adatvédelmi stratégiájukat.
További fontos új, kiegészítő fogalmi elemek:
• Adatvédelmi
tisztviselő: a közhatalmi, és közfeladatot ellátó szerv, bűnügyi
adatállományt kezelő, illetve feldolgozó szerv esetében belső
adatvédelmi felelős kinevezésén túl olyan adatkezelőknél is elrendeli az
adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan
adatkezelési műveleteket foglalnak magukba, amelyek jellegüknél,
hatókörüknél, vagy céljaiknál fogva az érintettek rendszeres és
szisztematikus, nagymértékű megfigyelését teszik szükségessé. Az
adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az
érintettek jogérvényesítésének elősegítését célozza.
• Előzetes
adatvédelmi hatásvizsgálat: az új szabályok értelmében az adatkezelőknek
bizonyos esetekben előzetes adatvédelmi hatásvizsgálatot kell
végezniük, mely a magánszférára gyakorolt hatások előzetes felmérésének
kötelezettsége. Ez a gyakorlat az adminisztratív terhek növekedését
hozza magával, azonban a magas kockázatú adatkezeléseknél az információs
önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében
indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően
hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett
adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
• Bejelentési
kötelezettség: személyes adat jogellenes kezelése vagy feldolgozása
esetén bejelentési kötelezettség keletkezik a felügyelő hatóság (NAIH)
felé. Az adatkezelő indokolatlan késedelem nélkül megteszi a bejelentést
a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens
valószínűsíthetően nem jár kockázattal a természetes személyek jogaira
nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége
indokolt és nem jelent aránytalan terhet az adatkezelőre nézve.
Fentiek alapján megállapítható, hogy a
jogalkotó célja az új rendelet bevezetésével egy tudatosabb adatvédelmi
szabályozás kiépítése, az érintettek alapjogaira, és személyes adatainak
védelmére tekintettel.
Forrás (propen.hu) >>> GDPR dióhéjban
Lásd még (GDPR) >>> GDPR - 2 (hamarosan)