Mi az Általános Adatvédelmi Rendelet?
2016. május 24-én az Európai Unió rendeletet tett közzé a személyes adatok védelme érdekében. A szabályozás közvetlenül érvényes minden olyan szervezetre, amely személyes adatot kezel.
Az Általános Adatvédelmi Rendelet („Rendelet”) a személyes adatok védelmére vonatkozó új európai uniós szabályokat tartalmazza, amelyek az Ön cégét is érinteni fogják 2018. május 25. napjától.
1. Adatvédelmi tudatosság
Győződjön meg róla, hogy szervezetének döntéshozói és vezetői tudatában vannak annak, hogy a szabályozás az új általános adatvédelmi rendelet (továbbiakban GDPR) értelmében módosul. Fontos, hogy meghatározzák azokat a területeket, melyekre a GDPR hatással lehet.
A GDPR bevezetésének jelentős forrásbeli vonzatai lehetnek, főleg a nagyobb és összetettebb szervezeteknél. A GDPR két éves bevezető periódusának elejét különösen érdemes a közelgő változásokra való figyelemfelhívásra fordítani. Nehezebbnek találhatja az átállást, ha az utolsó pillanatra hagyja az előkészületeket.
2. Tárolt adatok
Dokumentálja az Önnél lévő személyes adatokat, hogy honnan származnak és kivel osztja meg azokat. Szükséges lehet egy adatvédelmi audit a szervezet egészére, vagy az egyes üzleti területekre.
A GDPR az egyes jogokat a jelenlegi, hálózatokon alapuló világhoz igazítja. Ha, például, olyan pontatlan személyes adatok birtokában van, amelyeket egy másik szervezettel is megosztott, tájékoztatnia kell az illetékes szervezetet a pontatlanságról, hogy ők is javíthassák feljegyzéseiket. Ez azonban csak akkor lehetséges, ha tisztában van az Önnél lévő személyes adatokkal, azok származásával, illetve azzal, hogy kivel osztotta meg azokat. Mindezt dokumentálnia kell. Ezáltal eleget tehet a GDPR elszámoltathatósági elvének is, mely megköveteli a szervezetektől, hogy azok számot tudjanak adni az adatvédelmi elvek teljesítéséről, például a hatékony irányelvek és eljárások bevezetése által.
3. Tájékoztatás
Nézze át a jelenlegi adatvédelmi tájékoztatóit, és tervezze meg időben a szükséges változtatásokat az általános adatvédelmi rendelet (továbbiakban GDPR) végrehajtására.
Személyes adat gyűjtésénél olyan bizonyos információkkal kell szolgálnia, mint például az Ön személyazonossága, vagy az, hogy hogyan szándékozik felhasználni a megszerzett információkat. Ez általában egy adatvédelmi nyilatkozat, tájékoztató segítségével történik. A GDPR értelmében azonban egyéb tájékoztatás is szükséges. El kell magyaráznia, például azt, hogy:
– milyen jogalappal kezeli az adatokat,
– mindenkinek jogában áll panaszt tenni az adatvédelmi hatóság felé, amennyiben úgy véli, nem megfelelően kezeli az adataikat,
– illetve ismertetnie kell az adattárolás határidejét.
Vegye figyelembe, hogy a GDPR lényegre törő, könnyen követhető, egyértelmű nyelvezetet használó információnyújtást vár el.
4. Az érintettek jogai
Ellenőrizze eljárásait, hogy azok minden, személyhez fűződő jogot szem előtt tartanak.
A magánszemélyek jogai a GDPR értelmében a következők lesznek:
• az érintettek hozzáférési joga
• a helyesbítéshez való jog
• a személyes törléséhez való jog
• a direkt marketing elleni tiltakozás
• az automatikus döntéshozás és profilalkotás megakadályozása, valamint
• az adathordozhatóság.
Egészében véve, a GDPR értelmében a magánszemélyek jogai ugyanazok lesznek, mint a jelenlegi adatvédelmi törvény esetén, azonban néhány jelentős módosítással. Ha már most is kész megadni a magánszemélyeknek az őket megillető jogokat, akkor a GDPR-ra való átállása viszonylag könnyű lesz. Itt az ideje, hogy ellenőrizze az eljárásait és kidolgozza, hogyan reagálna, ha valaki, például, személyes adatának törlését kérné Öntől.
Az adathordozhatósághoz való jog új kiegészítés. Ez az érintettek hozzáférésének megerősített formája, mely során az adatokat elektronikus úton és az általánosan bevett formátum szerint kell megosztania. Sok szervezet eddig is így kezelte az adatokat, de ha Ön papír alapú nyomtatványokat, vagy nem a megszokott elektronikus formákat használ, most megfelelő alkalom kínálkozik eljárásainak átdolgozására, és a szükséges változtatások elvégzésére.
5. Az érintettek hozzáférési joga
Aktualizálja eljárásait és tervezze meg, hogyan fogja kezelni a kérelmeket az új szabályok szerint, és hogyan nyújt további tájékoztatást.
Az érintettek hozzáférési jogára vonatkozó szabályok a GDPR értelmében megváltoznak. A legtöbb esetben nem számolhat fel költséget a kérelmek teljesítése után, és általánosságban véve egy hónap áll majd a rendelkezés végrehajtására. Az érintettek hozzáférési kéréseinek visszautasítására különböző okok állnak majd rendelkezésre – a megalapozatlan vagy túlzó kérelmek után díjat számolhat fel vagy elutasíthatja őket. Amennyiben vissza szándékozik utasítani egy kérelmet, szükséges, hogy kéznél legyenek azok az irányelvek és eljárások, melyekkel bizonyíthatja, hogy a kérelem miért nem felel meg a kívánt kritériumoknak.
Ezenkívül, egyéb információkkal is szolgálnia kell azoknak, akik kérelmet nyújtanak be, például az adattárolás időtartamáról, vagy a pontatlan adatok helyesbítésére vonatkozó jogokról. Amennyiben az Ön szervezete nagy mennyiségű hozzáférési kérelmeket kezel, a változások hatása jelentős lehet, így érdemes alaposan végiggondolnia a kérelmekkel való gyorsabb eljárás és a további információszolgáltatás logisztikai velejáróit. Az adminisztratív költségek jelentős részét megspórolhatja szervezetének, ha olyan rendszert fejleszt ki, amely lehetővé teszi az információ könnyű, online hozzáférését. A szervezeteknek érdemes megfontolnia az online adathozzáférés költség/haszon elemzésének levezetését.
6. A személyes adatok kezelésének jogalapja
Nézze át az Ön által végrehajtott adatkezelések különböző típusait, határozza meg kezelésük jogalapját, és dokumentálja azt.
Sok szervezet esetleg nem gondol a személyes adatok kezelésének jogalapjára.
Az adatvédelmi tájékoztatóban, illetve amikor az érintettek hozzáférési kéréseire válaszol, fel kell tüntetnie a személyes adatok kezelésének jogalapját. A GDPR jogalapjai nagy vonalakban megegyeznek a korábbi jogalapokkal, így lehetősége van átnéznie a jelenleg futó adatkezelései különböző típusait és meghatároznia az azokra vonatkozó jogalapot. Ezt érdemes dokumentálnia is, hogy eleget tegyen a GDPR„elszámoltathatósági” követelményeinek.
6. AZ ADATKEZELÉS JOGALAPJA
Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva biztosítsuk az információs önrendelkezési jog érvényesülését. Ügyeljünk arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást. A hozzájárulás mint jogalap tehát egy hangsúlyosabb törlési kényszert jelent az adatkezelőre nézve.
7. Hozzájárulás
Vizsgálja felül, hogyan igényli, szerzi meg és dokumentálja a hozzájárulásokat, és hogy kell-e változtatásokat tennie.
A GDPR-ben is vannak hivatkozások mindkét beleegyezési formára („beleegyezés” és „kifejezett beleegyezés”). A különbség a kettő között nincsen egyértelműen megadva, lévén hogy mindkét beleegyezési formának díjmentesnek, specifikusnak, megfelelő tájékozottságon alapulónak és egyértelműnek kell lennie. A hozzájárulásoknak ezenkívül jelölniük kell a beleegyezést a személyes adatok felhasználásához – nem alapulhat hallgatásból való vélelmen, előre bejelölt check box-on vagy inaktivitáson. Amennyiben hozzájárulás alapján kezeli az adatokat, győződjön meg róla, hogy azok megfelelnek a GDPR által elvárt szabályoknak. Ha nem, változtassa meg a hozzájárulási folyamatok szerkezetét vagy találjon rá alternatív megoldást. Vegye figyelembe, hogy a beleegyezéseknek ellenőrizhetőknek kell lenniük, és hogy a természetes személyek általánosságban véve erősebb jogokkal rendelkeznek.
A GDPR egyértelműen kijelenti, hogy az adatkezelőknek minden esetben be kell tudni mutatniuk, hogy a beleegyezés megtörtént. Éppen ezért érdemes felülvizsgálnia a jelenlegi, beleegyezéseket nyilvántartó rendszerét, hogy biztosítsa annak megfelelő visszavezethetőségét.
8. Gyermekek jogai
Már most gondolkozzon el különböző ügymenetek bevezetésén, melyekkel igazolhatja a személyek korát, és melyekkel szülői vagy törvényes képviselői beleegyezést szerezhet az adatkezelési folyamatokhoz.
Az új általános adatvédelmi rendelet (továbbiakban GDPR) most először speciális védelmet fog biztosítani a gyermekek személyes adatainak, különös tekintettel az olyan internetes szolgáltatások esetén, mint például a közösségi oldalak. Röviden, amennyiben szervezete gyermekekről gyűjt információkat – az Egyesült Királyságban ez valószínűleg a tizenhárom év alatti gyermekekre fog vonatkozni (Magyarországon 16. év marad a korhatár – a szerk.) –, akkor szüksége lesz egy szülő vagy gondviselő beleegyezésre, hogy törvényesen kezelhesse a személyes adataikat. Ennek jelentős vonzatai lehetnek, amennyiben az Ön szervezete gyermekeknek nyújt szolgáltatásokat, és ehhez személyes adatokat gyűjt be tőlük. Ne felejtse el, hogy a hozzájárulásoknak ellenőrizhetőknek kell lenniük, és amennyiben gyermekek adatait gyűjti be, az adatkezelési tájékoztatót úgy kell megfogalmaznia, hogy azt a gyermekek is megértsék.
9. Az adatok kiszivárgása
Bizonyosodjon meg róla, hogy megfelelő eljárásokat alkalmaz a adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására.
Néhány szervezetnek már most jelentenie kell az adatvédelmi hatóságnak (és talán más egyéb testületnek is), ha a személyes adatok kiszivárognak. Azonban a GDPR egy átfogó bejelentési kötelezettséget vezet be. Ez sok szervezet számára új lehet. Nem kell majd minden esetet bejelenteni az adatvédelmi hatóságnál – csak azokat, melyek során a magánszemélyeket valószínűsíthetően valamilyen kár érheti, például személyazonossággal való visszaélés vagy titoktartási követelmények megszegése esetén.
Érdemes már most meggyőződnie arról, hogy eljárásai megfelelően képesek kiszűrni, jelenteni és kivizsgálni a személyes adatok kiszivárgását. Ez jelentheti az Önnél lévő adatok típusainak felbecsülését, valamint annak dokumentálást, hogy melyek esnek a bejelentési kötelezettség alá, amennyiben kiszivárognak. Néhány esetben értesítenie kell azon természetes személyeket is, akiknek az adatait közvetlenül érinti az incidens, például ha az anyagi veszteséggel járhat számukra. A nagyobb szervezeteknek irányelveket és eljárásokat kell kidolgozniuk, hogy kezelni tudják az adatok kiszivárgását – történjen az akár központi, akár helyi szinten. Vegye figyelembe, hogy a kiszivárgás jelentésének elmulasztása, amennyiben megkövetelt lenne, bírságot von maga után, ahogy maga a kiszivárgás is.
10. Beépített adatvédelem, adatvédelmi hatásvizsgálat
Nézze át az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról (PIAs) , és tervezze meg, hogy szervezete hogyan kivitelezi azokat. Ez az útmutató tájékoztatást ad arról, hogy az adatvédelmi hatásvizsgálat hogyan kapcsolódhat más, szervezeti folyamatokhoz, mint például a kockázat- és projektkezeléshez. El kell kezdenie felbecsülnie azokat a helyzeteket, melyeknél szükséges lesz adatvédelmi hatásvizsgálatra. Ki fogja elvégezni? Kinek kell még részt vennie benne? Központilag vagy helyileg futtatják le a folyamatot?
Mindig is jól bevált módszer volt a beépített adatvédelmi megközelítés bevezetése, és az adatvédelmi hatásvizsgálat ennek részeként való lefolytatása. A beépített adatvédelem és az adatminimalizálási megközelítés mindig is magától értetődő követelménye volt az adatvédelmi elveknek. Azonban a GDPR ezeket kifejezett jogi követelményekké teszi.
Vegye figyelembe, hogy nem kell mindig lefuttatnia a PIA-t – az adatvédelmi hatásvizsgálato nagy kockázatú helyzeteknél követelik meg, például egy új technológia bevetésénél.
11. Adatvédelmi tisztviselő
Ha szükséges, jelöljön ki egy adatvédelmi tisztviselőt, aki az adatvédelmi előírásoknak való megfelelésért lesz felelős, valamint mérje fel, hogy a szervezete mely szintjén fog el helyezkedni.
A GDPR néhány szervezettől megköveteli egy adatvédelmi tisztviselő (DPO) kijelölését, például állami hatóságoktól vagy olyan szervezetektől, melyeknek főtevékenysége magába foglalja az érintett rendszeres vagy szisztematikus megfigyelését. Az a fontos, hogy megbizonyosodjon arról, hogy valaki a szervezeténél (vagy egy külső adatvédelmi tanácsadó) megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ahhoz, hogy mindezt hatékonyan hajtsa végre. Ezért már most érdemes megfontolnia, hogy szüksége lesz-e egy adatvédelmi tisztviselő kijelölésére és, ha igen, fel kell mérnie, hogy a jelenlegi adatvédelmi politikája egyezik-e a GDPR által előírtakkal.
12. Nemzetközi szint
Ha az Ön szervezete nemzetközi szinten működik, meg kell határoznia, hogy melyik adatvédelmi felügyeleti fennhatóság alá tartozik.
A GDPR elég összetett rendelkezéseket tartalmaz arra vonatkozóan, hogy melyik adatvédelmi felügyeleti hatóság veszi át az irányítást a nemzetközi szintű panaszok kivizsgálásánál, például olyan esetben, ahol egy adatkezelési, adatfeldolgozási művelet több tagállamot is érint. Leegyszerűsítve, a fő felügyeleti hatóságot az alapján határozzák meg, hogy hol folyik az Ön szervezetének központi ügyintézése, vagy hogy hol hozzák meg az adatkezelésre vonatkozó döntéseket. Egy hagyományos tevékenységi központnál ezt könnyű meghatározni. Egy összetettebb, több telephellyel rendelkező cégnél, ahol a különböző feldolgozási folyamatokra vonatkozó döntéseket különböző helyeken hozzák meg, ez nehezebb. Amennyiben nem biztos benne, hogy az Ön szervezetének melyik felügyeleti hatóság a vezetője, segíthet, ha feltérképezi, hogy szervezete hol hozza meg az adatfeldolgozásra vonatkozó legfontosabb döntéseket. Ez segíthet meghatározni az Ön „fő telephelyét”, és így a felügyeleti hatóságát is.