GDPR MEGFELELTETÉS A GYAKORLATBAN JOGI OLDALRÓL DR. CZÉRE-RÉTI GABRIELLA ÜGYVÉD, ADÓTANÁCSADÓ DR. CZÉRE-RÉTI ÜGYVÉDI IRODA

Átírás

1 GDPR MEGFELELTETÉS A GYAKORLATBAN JOGI OLDALRÓL DR. CZÉRE-RÉTI GABRIELLA ÜGYVÉD, ADÓTANÁCSADÓ DR. CZÉRE-RÉTI ÜGYVÉDI IRODA

2 A fekete lyuk Miért beszélünk erről épp most? Biztos, hogy érinti a szabályozás az én cégemet is? Mit kell tennem, hogy megfeleljek a rendeletnek? Milyen előnyöm származik belőle?

3 GDPR ELŐZMÉNYE Miért beszélünk erről épp most? évi CXII. Info tv. hatályos: től Személyes adat, mint érték, mint termék Információs társadalom fejlődése - marketingeszközök Egységes szabályrendszer

4 GDPR ELŐZMÉNYE- INFO TV. Személyes adat fogalma Különleges adat fogalma Személyes adat kizárólag meghatározott célból kezelhető Adatkezelés jogalapja hozzájárulás Adattovábbítás Adatkezelés korlátai Adatfeldolgozás Érintettek jogai Előzetes tájékoztatási kötelezettség Belső adatvédelmi felelős Adatvédelmi szabályzat Adatvédelmi nyilvántartás Info tv. AUTOMATIZÁLT DÖNTÉSHOZATAL GDPR 22. CIKK.

5 SZEMÉLYES ADAT, MINT ÉRTÉK NAIH-559/2013/H. ügy (PEPSI ügy): október 13-án nyilvánossá vált, hogy egy török hackercsoport feltörte a promóciós internetoldalt, és több mint felhasználó személyes adatát (név, cím, telefonszám, születési dátum, a település neve, és a belépéshez használt jelszó) lopták el. 695 fő esetében az fiók jelszava is kikerült a rendszerből. NAIH-2018/356/3/H (BKK ügy) A Hatósághoz bejelentések érkeztek a Kötelezett által üzemeltett online jegyértékesítési rendszerrel összefüggő adatkezeléssel kapcsolatban. Valószínűsíthető, hogy a regisztráció során megadott személyes adataikhoz harmadik személyek jogosulatlanul hozzáférhettek. A 24.hu hírportál az adatkezelés vonatkozásában harmadik személynek minősül, akinek ismeretlen forrásból kezelésébe került egy adatbázis, amelyről egyértelműen megállapítható, hogy a Kötelezett online jegyértékesítési rendszerének adatbázisából származik, és amely a rendszerben regisztrált több, mint 3000 felhasználó személyes adatait tartalmazza. Forrás:

6 SZEMÉLYES ADAT, MINT ÉRTÉK 2. Személyes adattal visszaélés: Btk (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy b) Az adatok biztonságát szolgáló intézkedést elmulasztja 219. (2): aki személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.

7 Sérelemdíj, személyiségi jogi perek Bizonyítási teher az adatkezelőn van Jogellenes adatkezelés és adatbiztonsági követelmények megszegése esetén is Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonsági követelményeinek megszegésével az érintett személyiségi jogát sérti, az érintett az adatkezelőtől sérelemdíjat követelhet Info tv. 23. (2) Ha az adatfeldolgozó követ el valamilyen szabálysértést és/vagy szerződésszegést, ekkor is közvetlenül az adatkezelőtől kérheti a kárainak a megtérítését.

8 HOGYAN? Hova végzem a tevékenységem? CSELEKVÉSI TERV ÉS KOCKÁZATELEMZÉS KÉSZÍTÉSE MEGVALÓSÍTÁS EU Kapcsolatba lépek-e természetes személlyel? IGEN JOGÁSZ INFORMATIKUS KÜLSŐ BELSŐ Belső Saját és kapcsolt vállalkozások munkavállalói Külső partnerek, ügyfelek, adatfeldolgozók ADATKEZELŐK VAGYUNK!

9 VIZSGÁLAT, ÁLLAPOTFELMÉRÉS 1. Info tv- GDPR rendelet hatálya- van akire nem vonatkozik? 1. Tevékenységi hely fogalma az adatkezelő vagy adatfeldolgozó a tevékenységi helyén folytatott működése során, az UNIÓ területén végzett bármely személyesadat-kezelést e rendelettel összhangban kell végezni, tekintet nélkül arra, hogy maga az adatkezelés az Unió területén történik-e. Valamely tényleges és valós, tartós jelleget biztosító keretek közötti gyakorlást feltételez. (Weltimmo ügy: és tagállam jogának alkalmazását megalapozza az, ha az adatkezelő akár csekély mértékű, de valós és tényleges tevékenységet folytat a tagállam területén ) Cég székhelye, telephelye Webáruház üzemeltetési központja

10 VIZSGÁLAT, ÁLLAPOTFELMÉRÉS Személyi hatály: Unióban tartózkodó érintettek személyes adatai, a) Belső vállalati működés, VÁLLALATCSOPORT MŰKÖDÉSE, alkalmazottak adatai b) Külső vállalati működés, partnerek, vevők, ügyfelek, külső szolgáltatók, adatfeldolgozók 3. Meghatározott természetes személlyel összefüggésbe hozható adat természetes személy fogalma Ha személyes adat van a birtokunkban, illetve bármilyen műveletet végzünk rajtuk, akkor biztosan adatkezelők vagyunk

11 No de hogyan? elszámoltathatóság elve Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit. Adatkezelőknek meg kell felelni az alapelveknek Bizonyítani kell tudniuk, hogy megfelelnek az alapelveknek Képesnek kell lenniük annak bizonyítására, hogy az adatkezelésük összhangban van a GDPR rendelettel. Az adatkezelőt terheli az összes adatvédelmi jogból származó kötelezettség, és ő viseli a felelősséget azok megsértéséért.

12 TERV KÉSZÍTÉSE KI AZ ADATKEZELŐ, KI AZ ADATFELDOLGOZÓ MILYEN CÉLBÓL VÉGZI AZ ADATKEZELÉST a cél megváltoztatása új adatkezelést eredményez MILYEN JOGALAPON MILYEN MINIMÁLISAN SZÜKSÉGES SZEMÉLYES ADATOT ÉRINT MILYEN MINIMÁLISAN SZÜKSÉGES IDŐTARTAMIG KEZELI MILYEN ADATBIZTONSÁGI KÖRÜLMÉNYEKET HASZNÁL

13 ADATFELDOLGOZÓ Pl: követeléskezelő cégnek továbbított adat, ha nem történik döntési jogosítvány átruházása, ha igen: adatkezelőnek minősül, pl.: portaszolgálat üzemeltetése-vagyonvédelmi társaság, pl: szoftverfejlesztő Adatfeldolgozói szerződés írásban Adatkezelő felelőssége a megfelelő garanciákat biztosító adatfeldolgozó kijelöléseadatfeldolgozó átvilágítása Felelősségvállalása van-e írásban Garanciákat vállal-e Adatfeldolgozásban részt vevők munkavállalók stb. titoktartási kötelezettséget vállalnak-e Hogyan biztosítja az egyéb rendszereitől, adatbázisától való elkülönítést Tartozik-e valamilyen magatartási kódexhez, tanúsítási mechanizmushoz? Hogyan törli a szerződés megszűnése után az adatokat Biztonsági incidens kezelési gyakorlata

14 KOCKÁZATELEMZÉS Adatvédelmi incidensek elkerülése, kockázatok csökkentése: ÁLNEVESÍTÉS ADATOK TÁROLÁSÁNAK FELÜLVIZSGÁLATA MINIMUM ADATTÁROLÁS KÖVETELMÉNYE- ADATTAKARÉKOSSÁG ELVE: követeléskezelő nem kezelhet olyan személyes adatot, amely az adósság rendezésével nincsenek közvetlen összefüggésben pl.: hitelképességre, fizetőképességre vonatkozó adat ELFELEDTETÉSHEZ VALÓ JOG ADATOK TÖRLÉSE KIVÉTELEK A TÖRLÉS ALÓL: véleménynyilvánítás és a tájékozódáshoz való jog, jogi kötelezettségnek való megfelelés, közérdek, tudományos és történelmi kutatási cél, statisztikai cél, jogi igények miatt ADATVÉDELMI INCIDENS ESETÉN ALKALMAZANDÓ ELJÁRÁS KIALAKÍTÁSA INFORMATIKAI VÉDELMI MECHANIZMUSOK ADATVÉDELMI INCIDENS MÁSODLAGOS HATÁSAI: JÓHÍRNÉV SÉRELME, SZEMÉLYISÉGI JOGOK SÉRELME, PÉNZÜGYI VESZTESÉG

15 ÁLNEVESÍTÉS- ADATTÖRLÉS Álnevesítés: Személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy Az ilyen további információt külön tárolják Technikai és szervezési intézkedések megtételével biztosított, hogy az azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni. Feloldása is engedélyhez kötött Megfelelő műszaki megoldással az álnevesítés a törléssel azonos hatást érheti el, csak akkor jogszerű, ha erről az érintett tájékoztatást kap és engedélyt ad.

16 MEGVALÓSÍTÁS KÜLSŐ Adatvédelmi szabályzatok készítése Előzetes tájékoztatók megírása, megfelelő hozzáférhetővé tétele Hozzájáruló nyilatkozat beszerzése /szerződéses jogviszonyok Adatvédelmi hatásvizsgálat elvégzése Adatvédelmi tisztviselő Bejelentkezés az adatvédelmi nyilvántartásba Adatvédelmi nyilvántartás vezetése BELSŐ Belső tájékoztatók megírása, hozzáférhetővé tétele Belső adatvédelmi szabályzat elkészítése Adattárolás, adattovábbítás felülvizsgálata Adatfeldolgozókkal megkötött szerződések átvizsgálása Adattovábbítási nyilvántartás Biztonsági követelmények: pl.: őrzés nélkül maradt személyes adatok, nem biztonságos webáruház

17 ELŐZETES TÁJÉKOZTATÁS Adatvédelmi Munkacsoport véleménye Közérthető, olvasható, áttekinthető Igazodnia kell a célcsoport sajátosságaihoz Ismertetni kell benne az adatkezelő egyedi adatkezeléseit Megismerésre lehetőséget kell adni Folyamatosan elérhető és megtekinthető Az érintett hozzájárulását megelőzően

18 JOGSZERŰ ADATKEZELÉS FELTÉTELEI Különleges adatkezelés főszabály szerint tilos: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyes szexuális életére vagy szexuális irányultságára vonatkozó személyes adat. Az érintett hozzájárulása Szerződés teljesítéséhez szükséges Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges Érintett vagy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges Közérdekű, vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, amennyiben az érintett egyéb jogai nem élveznek elsőbbséget. Pl.: google gsv alkalmazása: nincs jogos érdeke, csupán szélet értelemben vett gazdasági érdeke

19 ÉRINTETT HOZZÁJÁRULÁSA Írásban Más ügyektől egyértelműen megkülönböztethető módon Érthető és könnyen hozzáférhető formában Világos és egyszerű nyelvezet Bármikor visszavonható - egyszerűen Előzetes, megfelelő tájékoztatás: pl: olyan területre történő belépés, ahol megfigyelő kamerát működtetnek: arra vonatkozóan figyelmeztetés elhelyezése esetén megfelelő a tájékoztatás Hozzájárulás tényét bizonyítani tudni kell! elszámoltathatóság elve! - Valós szabad választási lehetőség a hozzájáruláshoz - a hozzájárulás megtagadása miatt nem érintheti hátrány- pl: előfizetői szerződés megkötésekor személyi okmányok lefénymásolása, ügyfélszolgálat telefonos tájékoztatása esetén biztosítani kell, hogy az ügyfél kinyilváníthassa hozzájárulását, hallgatás nem tekinthető beleegyezésnek Önkéntes: Szerződés teljesítésének feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez 16 évet betöltötte, vagy 16. év alatti esetében a hozzájárulást a gyermek szülői felügyeletet gyakorló személy adta meg.

20 BELSŐ VIZSGÁLAT Munkáltató jogos érdeke munkavállalói adatok Konkrét szabályok alkotása, amelyek a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelését szabályozzák, különösen azokat a feltéteket, amelyek mellett a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésére a munkavállaló hozzájárulása alapján, a munkaerő-felvétel és a munkaszerződés teljesítése céljából kerülhet sor. KÜLÖNLEGES ADAT: egészségügyi adat főszab: tilos, kivéve: munkahelyi egészségügyi cél, munkavállaló munkavégzési képességeinek felmérése, orvosi diagnózis felállítása Nem önkéntes a hozzájárulás, amelynek megtagadása esetén az érintettnek munkája elvesztésével kell számolnia Hálózati és informatikai biztonság garantálása, fiókok Kamera: Az adathoz való hozzáférés, önmagában csak az adat megismerése akár követlen érzékeléssel mint pl megfigyelőkamera már adatkezelésnek minősül GPS: munkáltató üzleti érdek védelme érdekében jogszerű

21 BELSŐ VIZSGÁLAT - VÁLLALATCSOPORT MŰKÖDÉSE Az adatkezelő vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre ha az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget figyelembe véve az adatkezelővel való kapcsolata alapján az érintett ésszerű elvárásait adatkezelésre számíthatott-e az érintett Pl.: releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között pl.: ügyfél, alkalmazott Jogos érdek fűződik ahhoz, hogy vállalatcsoporton belül belső adminisztratív célból személyes adatokat továbbítson: pl: biztonság,

22 ÖSSZEFOGLALÁS Amennyiben eddig megfeleltünk a szabályoknak, nincs sok dolgunk Rendeletnek való megfelelés bizonyítása minket terhel (megoldás: belső szabályzatok, álnevesítés, nyomon követés, biztonsági intézkedések) Informatikus és jogász együttműködése szükséges Dokumentációkészítés Informatikai biztonság ELŐNYÖK: informatikai eszközök fejlesztése hatékonyság Marketingeszközök használata Igényes, szabályokat követő vállalkozás benyomása

23 KÖSZÖNÖM FIGYELMÜKET!

24 Dr. Czére-Réti Gabriella 4025 Debrecen Hatvan utca 55.