top of page
gdpr (1).jpg

GYAKRAN ISMÉTELT KÉRDÉSEK a GDPR-ról

 

Mi a neve a rendeletnek?                   

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet GDPR)

 

Ki hozta  a rendeletet?                                      

Az Európai Parlament és az Európai Tanács. 

 

Mikor hozták a rendeletet:?                              

Brüsszelben, 2016. április 27-én.

 

Mikortól kell alkalmazni?                   

A rendeletet 2018. május 25-től kell alkalmazni.

 

Mikor lépett hatályba?                       

A rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lépett hatályba, 2016. május 25-én.

 

Hogyan kell alkalmazni?                    

A rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

 

Kik köteles alkalmazni?                     

A rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Azaz a tagállam valamennyi szervezete és állampolgára köteles alkalmazni.

 

Kell-e / van-e hazai szabályozás?                    

A GDPR közvetlenül hatályos rendelet, alkalmazásához nem kell hazai szabályozás. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) módosított formában hatályában fennmarad. Az Infotv. módosítását a Kormány benyújtotta az Országgyűlésnek. Az Infotv. módosításai tartalmazzák azokat a változásokat, amelyben a hazai szabályozás – a GDPR felhatalmazása alapján – a GDPR-ral összhangba kerül.

 

A hazai szabályozásában van-e lehetőség a GDPR alóli felmentésre?

NINCS. Az Infotv.-t és a GDPR-t együttesen kell alkalmazni. A GDPR a személyes adatok tekintetében az általános jogszabályi rendelkezés, az Infotv. annak tagállami, végrehajtási rendelete.  Az Infotv. szabályai a GDPR-t kiegészítik/hetik.

 

A hivatalos dokumentumok

A közérdekű feladat teljesítése céljából közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek, illetve magánfél szervezetek birtokában lévő hivatalos dokumentumokban szereplő személyes adatokat az adott szerv vagy szervezet az uniós joggal vagy a szervre vagy szervezetre alkalmazandó tagállami joggal összhangban nyilvánosságra hozhatja annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztesse a személyes adatok e rendelet szerinti védelméhez való joggal.

 

Adatvédelmi Tisztviselő                    

Kijelölni köteles:

  • közhatalmi szerv vagy egyéb közfeladatot ellátó szerv (függetlenül az általuk kezelt, illetve feldolgozott adatoktól) azaz minden állami és önkormányzati szerv vagy ennek fenntartásában álló szervezet,

  • az a szervezet, amelynek fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése,

  • fő tevékenysége szerint nagy számban kezel különleges (pl. egészségügyi) adatot, vagy bűnügyi adatot kezel,

  • a 250 fő feletti alkalmazotti létszám esetén valamennyi szervezet.

 

 

 Tevékenysége:

  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végzők részére,

  • ellenőrzi az általános adatvédelmi rendeletnek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését, valamint a kapcsolódó auditokat is,

  • szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan,

  • kapcsolattartóként szolgál a felügyeleti hatóság felé.

 

Mit kell tennie az adatkezelőnek?

  1. Adatvédelmi tudatosság biztosítása: oktatással kell biztosítani, hogy az alkalmazottai megfelelő ismeretekkel rendelkezzenek a GDPR előírásairól, azt a megfelelő ismerettel alkalmazni tudják.

  2. Tárolt adatok felülvizsgálata: meg kell győződnie, hogy az adatkezelése megfelel a GDPR előírásainak.

  3. Tájékoztatás biztosítása: felül kell vizsgálnia a belső szabályzatait és adatkezelési tájékoztatóit, hogy azok megfeleljenek a GDPR előírásainak.

  4. Az érintettek tájékoztatása: át kell vizsgálni az adatnyilvántartásban felvett valamennyi személyes adatkezelés dokumentációját, hogy az abban szereplő adatok esetében a GDPR és a belső szabályzatai szerint került-e sor az érintettek tájékoztatásának biztosítására.

  5. Az érintettek jogainak biztosítása: át kell tekintenie, hogy a GDPR előírásainak megfelelően érvényesülnek-e a szervezet eljárásai során a magánszemélyek jogai (hozzáférési joga, a helyesbítéshez való jog, adattörléséhez való jog, adatkezelés elleni tiltakozás joga, profilalkotás megakadályozásának joga, az adathordozhatóság joga).

  • A helyesbítéshez való jog biztosítása: át kell vizsgálni az adatnyilvántartásban felvett valamennyi személyes adatkezelés dokumentációját, hogy az abban szereplő adatok esetében a GDPR és a belső szabályzat szerint került-e sor az érintettnek helyesbítéshez való jogának biztosítására.

  • Az adatkezelés korlátozásához való jog biztosítása: meg kell vizsgálni és dokumentálni kell, hogy érkezett-e az érintettektől az elmúlt év során az adatkezelés korlátozására vonatkozó kérelem.

  • Az adathordozhatóság jogának biztosítása: meg kell vizsgálni és dokumentálni kell, hogy érkezett-e az érintettektől az elmúlt év során az adatainak hordozására vonatkozó kérelem.

  • Az adatkezelés elleni tiltakozás jogának biztosítása: meg kell vizsgálni és dokumentálni kell, hogy érkezett-e az érintettektől az elmúlt év során az adatai kezelésének megtiltására vonatkozó kérelem.

  • Az érintettek hozzáférési jogának biztosítása: az érintettek hozzáférési jogát a GDPR szabályai szerint kell biztosítani. Az érintettek hozzáférési jogának biztosításáról való tájékoztatás dokumentálása.

    1. A személyes adatok kezelésének jogalapja megfelelőségének biztosítása: át kell tekintenie a végrehajtott adatkezelések különböző típusait, meg kell határoznia az egyes adatkezelések jogalapját.

    2. Hozzájárulások megfelelőségének biztosítása: át kell tekintenie, hogyan igényli, szerzi meg és dokumentálja a hozzájárulásokat. Meg kell vizsgálni és elkülöníteni a törvényi felhatalmazáson, hozzájárulás alapján vagy érdekmérlegelésen alapuló adatkezeléseket, és meg kell győződni arról, hogy azok megfelelnek-e a GDPR által elvárt szabályoknak. 

    3. Gyermekek jogainak biztosítása: külön eljárásban kell érvényesítenie a gyermekek jogait, adataik fokozott biztonságát, felül kell vizsgálnia a szervezet különböző ügymeneteit, hogyan igazolhatja a személyek korát, és hogyan szerezheti meg a szülői vagy törvényes képviselői beleegyezést az adatkezelési folyamatokhoz.

    4. Adatszivárgás megelőzésének biztosítása: meg kell bizonyosodnia arról, hogy megfelelő eljárásokat alkalmaz az adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására, fel kell mérnie a kezelt adatok típusainak, valamint annak dokumentálását, hogy melyek esnek bejelentési kötelezettség alá, amennyiben azok kiszivárognak. Az esetleges incidensekre kockázatelemzést kell elvégeznie, ki kell alakítania az incidenskezelés belső rendjét.

    5. Beépített adatvédelem, adatvédelmi hatásvizsgálat elvégzése: át kell tekintenie az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról (PIAs), és meg kell terveznie, hogyan kivitelezi azokat.

 

Szankciók

A közigazgatási bírságok

  1. az éves forgalmának legfeljebb 2 %-a, de legfeljebb 10 000 000 EUR   

az alábbi jogsértések esetén

  • A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában

  • Azonosítást nem igénylő adatkezelés

  • Beépített és alapértelmezett adatvédelem

  • Közös adatkezelők

  • Az adatkezelési tevékenységek nyilvántartása

  • Együttműködés a felügyeleti hatósággal

  • Az adatkezelés biztonsága

  • Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

  • Az érintett tájékoztatása az adatvédelmi incidensről

  • Adatvédelmi hatásvizsgálat

  • Az adatvédelmi tisztviselő kijelölése

  • A tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek

  • Az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek

  1. az éves forgalmának legfeljebb 4 %-a, de legfeljebb 20 000 000 EUR

az alábbi jogsértések esetén

  • Az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően

  • Az érintettek jogai a 12–22. cikknek megfelelően

  • Személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása a 44–49. cikknek megfelelően

Bírságolási elvek

Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

A bírság összegét az alábbi tényezők figyelembevételével kell megállapítani:

  1. jogsértés jellege, súlyossága

  2. és időtartama,

  3. azon érintettek száma,

  4. elszenvedett kár mértéke;

  5. a jogsértés szándékos vagy gondatlan jellege;

  6. az adatkezelő kár enyhítése érdekében tett bármely intézkedés;

  7. felelősségének mértéke, technikai és szervezési intézkedéseket;

  8. korábban elkövetett releváns jogsértések;

  9. a felügyeleti hatósággal folytatott együttműködés mértéke;

  10. a jogsértés által érintett személyes adatok kategóriái;

  11. azt a felügyeleti hatóságnak az adatkezelő jelentette-e be milyen részletességgel;

  12. adatkezelővel korábban elrendelték intézkedések valamelyikét,

  13. az adatkezelő tartotta-e magát magatartási kódexekhez vagy tanúsítási mechanizmusokhoz;

  14. a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

bottom of page