ADATVÉDELEM
Shadow
Slider

A 2018. május 25-e óta alkalmazandó Általános Adatvédelmi Rendelet, azaz a GDPR az eddiginél sokkal szigorúbb kötelezettségeket keletkeztet azok oldaláról, akik európai állampolgárok személyes adatait kezelik, így a szabályoknak való megfelelés alól nem lesznek kivételek sem a kkv-k, sem a nagyvállalkozások, de még az egyéni vállalkozások sem, mivel működésük során elkerülhetetlen, hogy személyes adatok birtokába kerüljenek (pl. beérkezett önéletrajzok, vagy munkaszerződések elektronikus tárolása).

A legnagyobb ösztönző tényező e tekintetében egyértelműen a bírságolás kockázata, mivel a kiszabható bírság mértéke felfoghatatlan károkkal járhat egyes adatkezelők tekintetében. A Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden: NAIH) már így is jelentős bírságokat szabott ki kihágásokért.

Súlyos jogsértés megállapítására okot adó körülmények a Hatóság gyakorlata alapján (a teljesség igénye nélkül) a következők:

  • Az adatkezelés jogalapjának hibás meghatározása a tájékoztatóban;
  • Az adatkezelési tájékoztató csak részben felel meg az adatvédelmi követelményeknek, abban kirívó hibák szerepelnek;
  • Az adatkezelés hiányos megtervezése;
  • Egy adatvédelmi incidens jelentős számú érintett személyes adatai vonatkozásában következik be, vagy az adatkezelő jelentős számú érintett személyes adatainak kezelését tervezte;
  • Az adatkezelő körülményeinek ismeretében elvárható gondosabb magatartás (tervezés és kivitelezés) elmaradása.

Ezek mind olyan követelmények, amelyek csak mély, orientált tudás birtokában teljesíthetők, hiszen a Hatóság nem a kötelező dokumentumok meglétét, hanem azok megfelelőségét, és a tényleges adatkezelések tekintetében fennálló összhangot vizsgálja. Különös figyelemmel az adatvédelem egyre növekvő jelentőségére, vállalkozásunk ezen területen az alábbi szolgáltatásokat nyújtja:

§  Teljes adatvédelmi szabályozás kialakítása

Egyedülálló szolgáltatásnak tekinthető a piacon, mely négy részből áll:

  • Adatvédelmi szabályzat:
    Ez elsősorban egy belső használatú dokumentum, mely a szervezeten belüli adatkezeléseket és adatvédelmi szabályokat határozza meg. Elsősorban a beosztottaknak kell megismerniük, és ennek tényéről írásban nyilatkozniuk. Ezen dokumentum megléte bizonyos adatkezelők számára kötelezettség, ugyanakkor elképzelhetetlen a vonatkozó szabályok implementálása egy szervezetben, amennyiben azokat nem szabályzatban vagy azzal egyenértékű dokumentumban rögzítik.
  • Adatkezelési tájékoztató:
    E dokumentumot az adatkezelő ügyfelei (megrendelői, vásárlói) számára készül, és azt a célt szolgálja, hogy tájékoztassa azokat a személyeket, akik – például megrendelésükkel – adott esetben az adatkezelő kezelésébe adják adataikat, hogy ezen adatok kezelése milyen szabályok szerint valósul meg, illetve az adatkezelések szempontjából milyen jogok illetik meg őket, különös tekintettel a jogorvoslat lehetőségére.
  • Adatkezelések nyilvántartási folyamat kialakulása:
    Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezelési műveletekről, az adatfeldolgozó az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezelési műveletekről nyilvántartást vezet.
  • Szakmai beszámoló (jelentés):
    Egy közvetlenül a szervezet vezetőjének címzett beszámoló elkészítése a teljesítésről, valamint a teljesítés eredményeként létrejövő adatvédelmi szabályzattal, illetve adatvédelmi tájékoztatóval összefüggő tudnivalókról.

A szolgáltatás elve, hogy minden adatkezelőnek elsősorban megfelelő tájékoztatóval és alapos szabályzattal kell rendelkeznie, hogy teljesítse adatvédelmi kötelezettségeit mind az ügyfelei, mind az apparátusa irányába.

§  Adatvédelmi tisztviselő pozíciójának ellátása

A GDPR életbe lépésével adatkezelők igen tág köre (köztük az állami feladatot ellátó szervezetek is) köteles a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének, az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmazni, mely pozíciót egy kompetens személy megbízás alapján akár több adatkezelőnél is betölthet. Az adatvédelmi tisztviselő feladatai közt szerepel: figyelemmel kíséri a vonatkozó jogi előírásokat, melyekről tájékoztatást nyújt, együttműködik a Hatósággal, valamint közreműködik az adatvédelmi szabályzat megalkotásában.

            Kiknek kell adatvédelmi tisztviselőt megbízniuk vagy kijelölniük?

  • Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek (kivéve bíróságok);
  • Akinek fő tevékenységei olyan műveleteket foglalnak magukba, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  • Akik személyes adatok különleges kategóriáit kezelik (beleértve a büntetőjogi felelősség megállapítására vonatkozó határozatok és bűncselekményekre vonatkozó adatok nagy számban történő kezelését).

Kiknek érdemes adatvédelmi tisztviselőt megbíznia?

  • Akik folyamatosan akarják képviseltetni szervezetüknél az adatvédelmi szakértelmet;
  • Akik szeretnék kiszervezni az adatvédelmi követelmények teljesítését;
  • Akik meg kívánnak bízni egy összekötő személyt köztük és a Hatóság között;
  • Akik szeretnének bármikor fordulni valakihez adatvédelmi kérdésekkel.

§  Adatvédelmi audit

Az elszámoltathatóság elve alapján adatkezelő felelős a személyes adatok kezelésére vonatkozó elveknek való megfelelésért, továbbá adatkezelőnek képesnek kell lennie e megfelelés igazolására. Ezen igazolás legcélszerűbb módja egy adatvédelmi audit foganatosítása, amely alapján az adatkezelő egyrészt tanúbizonyságot tesz az adatbiztonsági szempontok betartása iránti elkötelezettségéről, másrészről ténylegesen képes lesz ezáltal megvalósítani a teljes adatbiztonságot szervezetén belül.

Az adatvédelmi audit egy tartalmas és alapos vizsgálati procedúra, melynek célja:

  • a végzett vagy tervezett adatkezelési műveletek a NAIH által meghatározott és közzétett szakmai szempontok szerinti értékelésén keresztül a magas szintű adatvédelem és adatbiztonság megvalósítása;
  • annak megállapítása, hogy az adatkezelő érvényesíti az Infotv.-ben tükröződő adatvédelmi alapelveket.

Az adatkezelők számára a következő előnyökkel jár egy adatvédelmi audit lefolytatása saját szervezetük vonatkozásában:

  • Az adatvédelmi auditot kérő adatkezelő jelzi az érintettek felé, hogy fontos számára az adatvédelem és elkötelezett az adatvédelmi előírások betartása iránt;
  • Az adatkezelő független szakértőkre támaszkodva alakíthat ki a jogszabályi előírásoknak megfelelő adatkezelést;
  • Feltárásra kerülnek az adatvédelmi kockázatok és az adatkezelő javaslatokat kap a hiányosságok kiküszöbölésére;

§  Adatmegsemmisítés

Az adatok megsemmisítésének kérdése az adatvédelmi törvények megléte óta nagy rejtélynek számít, mindig az adatkezelők vagy adatfeldolgozók, mind a jogalkotó számára. Ennek oka, hogy bár jogilag érthető a törlés indokoltsága, a gyakorlati, technikai megoldásokat illetően azonban valamennyien értetlenül állnak: a papír alapú dokumentumok megsemmisítésének módja nem okoz különösebb problémát (legfeljebb annak időigényessége), azonban az elektronikusan tárolt adatok, a levelezés, illetve a hardverelemek megsemmisítése már annál több kérdést vet fel. A Hatóság – a számtalan típusú adatkezelő egyedi sajátosságai okán - sajnos nem tud részletekbe menő válasszal szolgálni ebben a kérdésben, ezért az adatkezelő felelőssége, hogy megfelelően gondoskodjon a vonatkozó adatok megsemmisítéséről.

Az első és legfontosabb követelmény az adatmegsemmisítés terén, hogy az adatkezelő bizonyítékot tudjon szolgáltatni arról, hogy az adatokat megsemmisítette. Ennek teljesítése sok esetben szinte lehetetlen. Viszont, amennyiben az adatkezelő kiszervezi ezt a feladatot egy olyan cégnek, amelynek a szakterülete az adatmegsemmisítés, úgy egyrészt teljesíti a kötelezettségeit, másrészt birtokában lesz egy bizonyíték arról, hogy intézkedett az adatok megsemmisítéséről.

A szolgáltatás keretében egy nagyon sokoldalú feladatot vállalunk át a megbízó adatkezelőtől, melyre nincs hivatalosan elfogadott módszertan. A feladatokat átvállaljuk, melyek keretében:

  • Megsemmisítjük az adatokat, illetve dokumentáljuk a folyamatot.
  • Bizonyítékot szolgáltatunk az adatok megsemmisítéséről.
  • Vállaljuk a felelősséget az adatkezelő ilyen irányú kötelezettségéért.
  • Az adatok átadását megkönnyítendő, dobozokat és álnevesítő sablonokat bocsátunk az adatkezelő rendelkezésre, illetve a csomagolásban és elszállításban is segítünk.
  • Ellenőrizzük, hogy tényleg lejárt-e az adatkezelés időtartama, és nem tartozik-e az adat a kötelező iratkezelés kategóriájába (opcionális).

 

Kérjen ajánlatot - Lépjen velünk kapcsolatba

Kapcsolat

dr. Schubert István

Adatvédelmi szakértő

Cím: 1239 Budapest, Szitás utca 123. 

Telefon: +36 30 317 2279 

Email: info@crackensys.hu

Web: www.crackensys.hu