Új idők új dalaival, avagy a GDPR a gyakorlatban

Hasonló dokumentumok
GDPR a jogi háttér Domokos Márton CMS Budapest

A netsemlegesség szabályozási lehetőségei Magyarországon

Az új adatvédelemi szabályozás hatása a gyakorlatra

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT ÖKOVALENTIA KFT

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Figyelem: GDPR. dióhéjban az Általános Adatvédelmi Rendeletről. dr. Petőcz Judit Bakonybél, február 25.

I. ÁLTALÁNOS RENDELKEZÉSEK II. FOGALMAK

ADATKEZELÉSI SZABÁLYZAT

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

ADATVÉDELMI SZABÁLYZAT

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Csorba Zsolt EV. Adatvédelmi Szabályzata

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

A GDPR elmúlt egy éve

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

AZ APERTE MS EGÉSZSÉGÜGYI ÉS SZOLGÁLTATÓ BT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATÁNAK KIVONATA

BEVEZETÉS, ELŐZMÉNYEK

I. Társaságunk a GDPR 13. cikke alapján az alábbi tájékoztatást adja az érintett személyek részére:

ADATKEZELÉSI TÁJÉKOZTATÓ

SASA.COM KFT ADATVÉDELMI SZABÁLYZAT

Sajószentpéteri Polgármesteri Hivatal ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

GLOBE TRANS CARGO NEMZETKÖZI SZÁLLÍTMÁNYOZÁSI ÉS FUVAROZÁSI KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ a Pannonhalmi Apátsági Pincészet Kft. hírlevelére feliratkozó személyek részére

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

Adatkezelési tájékoztató

A GDPR GYAKORLATI KÖVETKEZMÉNYEI

New Land Media Kft. Székhely: 1123 Budapest, Nagyenyed utca 16. fszt. 4. telefon:

F-Motorwagen Rent KFT. Adatkezelési szabályzat

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

A GDPR és a Moodle. Vágvölgyi Csaba Multimédia és E-learning Technikai Központ

HBCS Audit Kft. Adatvédelmi Nyilatkozat

ADATKEZELÉSI TÁJÉKOZTATÓ

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Adatkezelési Tájékoztató Az Audi Hungaria duális felsőfokú képzésére jelentkezők részére

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

Különlegesek-ért Alapítvány

KIK-FOR Ingatlankezelő és Forgalmazó Kft.

Hódmezővásárhelyi Szent István Általános Iskola Adatkezelési Szabályzata

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

ADATVÉDELMI TÁJÉKOZTATÓ ÉS HOZZÁJÁRULÁS ADATKEZELÉSHEZ ÉS ADATFELDOLGOZÁSHOZ

Székhely: 2363 Felsőpakony, Csarnok utca iparterület 1. hrsz.: 013/71

dokumentáció személyes adatok tekintetében adatkezelésre /adatfeldolgozásra kerül sor.

ADATVÉDELMI SZABÁLYZAT

PLÉH CSÁRDA ÉTTEREM ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

AZ IQ MEDIA KFT. KIADÓBAN TÖRTÉNŐ ADATKEZELÉSRŐL SZÓLÓ TÁJÉKOZTATÓ

Frog Media Kft. Adatkezelési tájékoztató

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

HEVES MEGYEI KORMÁNYHIVATAL

ADATKEZELÉSI SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

Söjtör és Térsége Méhészeinek Egyesülete ADATKEZELÉSI SZABÁLYZATA

ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓ

Szabályzat. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési tájékoztató. a weboldal látogatói részére

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATKEZELÉSI SZABÁLYZAT KOBÍR KFT ÁLTAL ÜZEMELTETT LAP-X WEBÁRUHÁZ

A FLAVOCEREAL WEBÁRUHÁZÁNAK ADATKEZELÉSÉNEK SZABÁLYZATA

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

DR. HATHÁZI VERA ÜGYVÉDI IRODA

A MAGYAR UTAZÁSI IRODÁK SZÖVETSÉGÉNEK ADATVÉDELMI TÁJÉKOZTATÓJA

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

Adatvédelmi nyilatkozat

Az adatvédelem új rendje

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

Adatvédelmi Tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

Andrews IT Engineering Mérnöki, Információtechnikai és Szolgáltató Korlátolt Felelősségű Társaság Adatvédelmi tájékoztatója. I.

Adatkezelési Tájékoztató

Tájékoztatás az EL GUSTO KFT. adatkezeléséről

Átírás:

Új idők új dalaival, avagy a GDPR a gyakorlatban Necz Dániel

GDPR megfelelés újdonság és bevett szokás A GDPR, valamint az ágazati jogszabályok együttes alkalmazása Az egyes szakterületek gyakorlati sajátosságai A meglévő adatkezelési gyakorlatok áttekintése és a GDPR-nak való megfelelőség garantálása 2

GDPR megfelelés újdonság és bevett szokás II. A célhoz kötött adatkezelés, adattakarékosság elve excesszív adatkezelés tilalma Átláthatóság, a megfelelő tájékoztatási gyakorlat kialakítása 3

GDPR megfelelés újdonság és bevett szokás III. Hozzájárulás a jogalapok királya? A GDPR szerinti egyéb jogalapok A személyes adatok különleges kategóriáinak kezelése 4

HOGY MŰKÖDIK A GYAKORLATBAN? 5

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 6

1. Data mapping + az adatkezelési tevékenységek nyilvántartása 7

Általános adatmapping A társaság által végzett adatkezeléssekkel kapcsolatos átfogó adatleltár, amely az adatvédelmi megfelelés elemzéséhez szükséges. adatkezelő adatfeldolgozó személyes adat pszeudonim adat bűnügyi személyes adat különleges adat 8

Mi minősül személyes adatnak? A GDPR nem vonatkozik Anonim információkra (nem azonosított vagy azonosítható természetes személy) Cégadatokra (kivéve ha természetes személy, pl. kapcsolattartó, egyéni vállalkozó) Elhunyt személyekre 9

Data mapping mi kell a megfeleléshez? (1) Milyen, természetes személyek azonosítására alkalmas személyes adatot / különleges személyes adatokat kezelnek? Pl: név, elérhetőség, személyazonosító adat, fizetési adat, fénykép, kamerafelvétel, e-mail, telefonbeszélgetés, levelezés, erkölcsi bizonyítvány, hozzátartozók adatai Adattakarékosság Kiknek az adatait kezelik? Pl: állásra jelentkezők, munkatársak és közvetlen hozzátartozóik, ügyfelek, beszállítók, más partnerek, 16 év alatti kiskorúak Kérjük, nevezzék meg azt a nyilvántartási rendszert is, ahol az adatot tárolják. 10

Data mapping mi kell a megfeleléshez? (2) Milyen célból kezelik az adatokat? Minden egyes adatfelhasználási célt ismerni kell. Az adatokat csak így lehet felhasználni célhoz kötöttség. Pl: szerződéskötés, számvitel, munkaerő-felvétel, HR, marketing, piackutatás, egyéb ügyintézés, vizsgálat, kamerás megfigyelés, e-mail hozzáférés, etikai segélyvonal Hogyan gyűjtik az adatokat? Pl: közvetlenül az érintettől, szerződéses partnertől, más forrásból, nyomtatott / elektronikus formában, telefonon, internetről, vásárolt adatbázisból, nyilvános adatbázisból 11

Data mapping mi kell a megfeleléshez? (3) Van belső nyilvántartás az adatkezelési tevékenységekről? Pl. érintettek, adattípusok, adatkezelési célok, adattovábbítás, adattörlés, biztonság Ki jogosult a társaságon belül az egyes adatcsoportokhoz való hozzáférésre? Pl: meghatározott személyek, hatáskörök, osztályok. Vannak erre vonatkozó dokumentumok, belső eljárások, szerződések? 12

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 13

2. Adatkezelési tájékoztatók és hozzájárulások forrás: http://www.theatlantic.com/technology/archive/2012/03/reading-the-privacy-policies-youencounter-in-a-year-would-take-76-work-days/253851/ 14

Adatkezelési tájékoztatók és hozzájárulások A hozzájárulás (1) A hozzájárulás fogalma: Hozzájárulás: Önkéntes, konkrét és megfelelő tájékoztatáson alapul, egyértelmű nyilatkozat vagy cselekedet. Elektronikus felkérést követően: a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül a vonatkozó szolgáltatás igénybevételét. A hozzájárulás formája: Ha az érintett bejelöl egy négyzetet, vagy online technikai beállításokat hajt végre. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem hozzájárulás. Az adatkezelőnek kell igazolni, hogy az érintett az adatai kezeléséhez hozzájárult. Egyértelműen megkülönböztethető, érthető, könnyen hozzáférhető, egyszerű. 15

Adatkezelési tájékoztatók és hozzájárulások A hozzájárulás (2) A hozzájárulás önkéntessége: Érvénytelen: a felek között egyértelműen egyenlőtlen viszony. Nem önkéntes: ha nem tesz lehetővé külön-külön hozzájárulást a különböző adatkezelési műveletekhez. Szerződés teljesítésének / szolgáltatásnyújtásnak feltételéül szabták-e az ehhez nem szükséges adatok kezeléséhez való hozzájárulást? A hozzájárulás visszavonása: Az érintett jogosult a hozzájárulását bármikor visszavonni. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. 16

Adatkezelési tájékoztatók és hozzájárulások A hozzájárulás mi kell a megfeleléshez? Hogyan járul hozzá az érintett az adatgyűjtéshez? Pl.: külön szóbeli, nyomtatott vagy elektronikus hozzájárulás, szerződéses rendelkezés, regisztráció a weboldalon Van belső iránymutatásuk, hogy mikor kell hozzájárulás az adatkezeléshez? Van kapcsolódó dokumentum / hozzájáruló nyilatkozat / tájékoztató / call script Hogyan járnak el, ha az érintett visszatartja vagy visszavonja a hozzájárulást? 17

Adatkezelési tájékoztatók és hozzájárulások Hozzájárulás nélküli adatkezelés mi kell a megfeleléshez? Ha az adatkezelés jogszabályon alapul, ismerik a jogszabályt? Vannak szerződés előkészítéséhez vagy megkötéséhez szükséges jelenlegi adatkezelések? Vannak jogos érdek érvényesítéséhez szükséges jelenlegi adatkezelések? Van belső kockázatelemzési eljárás, hogy eldöntsék, ha az adatkezelés jogos érdek érvényesítéséhez szükséges, és nincsen egyéb jogalapja? 18

Adatkezelési tájékoztatók és hozzájárulások Az adatkezelést követően mi kell a megfeleléshez? Meddig őrzik az adatokat / dokumentumokat? Korlátozott tárolhatóság A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Van belső eljárás? Ismerik? Van IT támogatás? Mikor kell jogi támogatás? 19

Adatkezelési tájékoztatók és hozzájárulások Az adatkezelési tájékoztató házi feladat adatkezelő, adatvédelmi tisztviselő elérhetőségei adatkezelési cél és jogalap + jogos érdek leírás az adatszolgáltatás jogszabályon vagy szerződéses kötelezettségen alapul, vagy szerződés előfeltétele-e? az érintett köteles-e megadni az adatokat, az adatszolgáltatás elmaradásának következménye jog a hozzájárulás visszavonásához (bármikor) adattovábbítás címzettjei / kategóriái + 3. ország? adattárolási idő / meghatározásának szempontja az érintett jogai (hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, adathordozhatóság, hatósághoz és bírósághoz fordulás) automatizált döntéshozatal / profilalkotás, az alkalmazott logika, az adatkezelés milyen jelentőséggel + milyen várható következményekkel bír ( érthető információk ) Személyre szabott adatkezelési tájékoztatók és hozzájáruló nyilatkozatok. tömör átlátható érthető könnyen hozzáférhető világos közérthető Magyarország: a NAIH ajánlása szigorúbb, mint az EU-s szabályok. 20

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 21

3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 22

Az adatkezelés biztonsága (1) Integritás és bizalmas jelleg. Megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva kell legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. Nem csak IT feladat! Jogi feladat: az adatkezelés biztonságával kapcsolatos intézkedések összefoglalása, fenntartása, érvényesítése. 23

Az adatkezelés biztonsága (2) Technikai és szervezésibiztonsági intézkedések az intézkedések belső leírásának elkészítése és naprakészen tartása IT rendszerek + belső eljárások kialakítása - leiratkozások, adatkezelési korlátozások, adathordozhatóság, hozzáférési, kijavítási, adattörlési kérések hatékonyan és az előírt időtartamon belül kezelhetőek legyenek titkosítás és álnevesítés használatának megfontolása annak biztosítása, hogy a szerződéses partnerek betartsák az adatvédelmi és informatikai biztonsági követelményeket IT rendszerek + belső eljárások kialakítása adattörlés az adatmegőrzési időszak végén, vagy anonimizálás/álnevesítés folyamatok kialakítása az intézkedések rendszeres tesztelése, felmérése és értékelése érdekében 24

Adatvédelmi incidensek kezelése (1) Mi is lehet ez? Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. 25

Adatvédelmi incidensek kezelése (2) Értesítési kötelezettségek Indokolatlan késedelem nélkül, max. 72 óra, tudomásszerzést követően: Indokolatlan késedelem nélkül, tudomásszerzést követően: Adatvédelmi Hatóság Kivéve: valószínűsíthetően nem jár kockázattal Érintett személyek Ha: valószínűsíthetően magas kockázattal jár Az adatok értelmezhetetlenek a jogosulatlan számára Nem kell az érintetteket értesíteni: További (kockázatcsökkentő) intézkedéseket tettek. A tájékoztatás aránytalan erőfeszítést tenne szükségessé (de nyilvános közzététel kell) 40

Tanulságok Munkavállalók háttérellenőrzése és folyamatos biztonsági ellenőrzése (újabb adatkezelés jogos érdek) Munkavállalói szabályzatok és oktatások Hozzáférési jogok korlátozása és hozzáférések naplózása Belépési jogosultságok védelme (jelszó-szabályzat) Jó incidenskezelési eljárás (felelősség, szakértelem, elérhetőség) Bizalmas csatorna biztosítása, Bizonyítékok rögzítése, nyomonkövethetősége Az incidensek dokumentálása (GDPR) és izolálása Az incidens kockázatainak felmérése: ENISA kritériumok PR feladatok az incidens kommunikációjával 27

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 28

4. Szerződések GDPR megfelelése 29

Szerződések GDPR megfelelése A szerződések adatvédelmi kezelése as a lifecycle kié a felelősség? szerződésnyilvántartás átvilágítás a szerződés előtt megfelelő szerződéses feltételek utánkövetés 30

Szerződések GDPR megfelelése Aminek meg kell lennie Adatok kezelése feljogosított személyek titoktartási kötelezettséget vállalnak kizárólag az adatkezelő dokumentált utasításai alapján Beszerzési checklist: (1) szerződéses feltételek kialakítása, nyilvántartása és frissítése (2) due diligence (ha kell) (3) mikor kell jogászt bevonni al-adatfeldolgozó: csak előzetes, kifejezett hozzájárulással + back to back feltételekkel együttműködés (adatbiztonság, külső megkeresések, adatvédelmi incidens, adatvédelmi hatásvizsgálat) adatbiztonsági intézkedések audit jog törli / visszaadja az adatokat a szerződést követően 31

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 32

5. Adattovábbítások harmadik országba 33

Adattovábbítások harmadik országba Mi kell a megfeleléshez? Van adatátadás, vagy adattovábbítás az EU-n kívülre? Használnak felhőszolgáltatást (cloud computing)? Milyen intézkedésekkel biztosítják a személyes adatok megfelelő védelmét? Így például: ún. EU Modellszerződések, Kötelező Szervezeti Szabályozás Binding Corporate Rules, Privacy Shield, egyéb szerződéses feltételek 34

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 35

6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat Új koncepciók: beépített adatvédelem (data protection by design) alapértelmezett adatvédelem (data protection by default) Mit jelent? adatvédelem szabályozása már a termék- és szolgáltatásfejlesztési szakaszban álnevesítés, adatminimalizálás, átláthatóság, ellenőrzés a legkevésbé hátrányos adatvédelmi választás az adatok mennyisége, a kezelés terjedelme, a tárolás időtartama, adatok hozzáférhetősége Hol? fejlesztési és megbízási szerződések felülvizsgálata belső eljárások elkészítése és adatvédelmi tájékoztatók felülvizsgálata 36

Adatvédelmi hatásvizsgálat (DPIA) érintett személyek (pl. üzemi tanács) adatkezelés leírása és célja arányosság és célszerűség vizsgálata előzetes konzultáció Nagyobb kockázatú adatkezelések esetén pl. új technológia, profilozás, nagyszámú személyes adat vagy bűnügyi személyes adat, nyilvános terület megfigyelése ha a hatásvizsgálat eredménye valószínűsíthetően magas kockázat (kockázatmérséklési intézkedések hiányában) kockázatmérséklő intézkedések kockázatfelmérés előzetes konzultáció az adatvédelmi hatósággal adatvédelmi hatásvizsgálat minta kidolgozása, és belső eljárás termék/szolgáltatás bevezetésére, cseréjére, továbbfejlesztésére + üzleti titkok védelme mellett 37

Beépített és alapértelmezett adatvédelem, DPIA Mi kell a megfeleléshez? Vannak a beépített és alapértelmezett adatvédelem elveinek való megfelelést biztosító belső és külső dokumentumok? Vannak az adatvédelmi hatásvizsgálatokat szabályozó belső és külső dokumentumok? Így például: eljárások, checklistek, belső jelentési kötelezettségek, értékelési kritériumok, kötelezettségek szerződéses partnerek felé. 38

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 39

7. Egy fontos pozíció a társaságban 40

Adatvédelmi tisztviselő - DPO, illetve Privacy astronaut Régen Ügyfél: very lucky to have a job that allows dealing with topics that really help the business Ügyfél: Congratulations on your new unpaid role! Adatvédelmi szakértő (Eduardo Ustaran): privacy officers would be wise to become privacy astronauts, getting ready for the next unforeseen emergency that will surely arise from the GDPR - astronauts train and are always preparing for the next thing that can kill them Most 41

DPO kötelező kinevezése (1) Kötelező a fő tevékenység: az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése, pl. online magatartás megfigyelése, profilozás; a fő tevékenység: különleges adatok vagy bűnügyi adatok nagy számban történő kezelése, pl. egészségügyi felhő. Helyi jogszabályok előírhatják más esetekben is 42

DPO kötelező kinevezése (2) 43

Adatvédelmi tisztviselő Mi kell a megfeleléshez? Rendelkeznek DPO-val? Mik a DPO feladatkörét szabályozó dokumentumok - a munkaviszonyának / megbízási szerződésének feltételei, felelőssége, a DPO döntéshozatali eljárásának belső menete, összeférhetetlenségi szabályai, belső jelentési kötelezettségei? 44

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 45

8. Adatvédelmi jogok és jogorvoslati lehetőségek 46

Adatvédelmi jogok és jogorvoslati lehetőségek Hozzáférési jog A helyesbítéshez való jog Adatvédelmi jogok és jogorvoslati lehetőségek A törléshez való jog ( az elfeledtetéshez való jog ) A tiltakozáshoz való jog Az adathordozhatósághoz való jog Az adatkezelés korlátozásához való jog 47

Adatvédelmi jogok és jogorvoslati lehetőségek Házi feladat Vannak az adatvédelmi jogok kezelésére szolgáló belső / külső eljárások és kommunikáció-minták? Kapott a társaság ezzel kapcsolatosan már megkeresést és felmerült az ilyen kérésekkel kapcsolatban bármilyen nehézség? 48

Adatvédelmi jogok és jogorvoslati lehetőségek 49

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 50

9. Automatizált döntéshozatal, profilalkotás, marketing 51

KIZÁRÓLAG KÜLÖNLEGES ADATOK ALAPJÁN LEHET Automatizált döntéshozatal, profilalkotás, marketing szerződés megkötéséhez / teljesítéséhez szükséges jogszabály engedi, pl. csalás-megelőzés, adózás kifejezett hozzájárulás megfelelő védelem mellett emberi beavatkozásra lehetőség van az érintett kifejtheti a véleményét és kifogásolhat Hozzájárulás alapján Közérdekből Megfelelő intézkedések 52

Marketing, automatizált döntéshozatal, profilalkotás Házi feladat Folytat-e a cég adatelemzést, reklámozást, social media tevékenységet, profilalkotást, automatizált döntéshozatalt (pl. online toborzás, hiteligénylés)? Vannak kapcsolódó dokumentumok, hozzájáruló nyilatkozatok, tájékoztatók, belső eljárások, marketing checklist? Nyilvántartják az opt-outokat? Milyen védelmi intézkedéseket alkalmaznak? Hogyan mérlegelik, hogy kell-e adatvédelmi hatásvizsgálat? 53

Feladatok 1. Data mapping + az adatkezelési tevékenységek nyilvántartása 2. Adatkezelési tájékoztatók és hozzájárulások (ha kell) 3. Az adatkezelés biztonsága + adatvédelmi incidensek kezelése 4. Szerződések GDPR megfelelése 5. Adattovábbítások az EU-n kívülre 6. Beépített és alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat 7. Belső adatvédelmi tisztviselő 8. Adatvédelmi jogok és jogorvoslati lehetőségek 9. Automatizált döntéshozatal, profilalkotás, marketing 10. Audit, monitoring, oktatás 54

10. Audit, monitoring, oktatás 55

Audit, monitoring, oktatás Audit / monitoring. Hogyan ellenőrzik és frissítik az adatkezeléssel kapcsolatos eljárásaikat? Oktatás. Szoktak adatvédelmi oktatást tartani a személyes adatokkal dolgozó munkatársaknak? 56

VÉGSZÓ 57

Végszó hogyan is tekintünk a GDPR-ra? VAGY 58

Végszó most éppen hol? 59

Köszönöm a figyelmet! Necz Dániel Ügyvédjelölt T +36 1 5054906 E necz.daniel@cms-cmno.com 60

Your free online legal information service. A subscription service for legal articles on a variety of topics delivered by email. www.cms-lawnow.com Your expert legal publications online. In-depth international legal research and insights that can be personalised. eguides.cmslegal.com CMS Legal Services EEIG (CMS EEIG) is a European Economic Interest Grouping that coordinates an organisation of independent law firms. CMS EEIG provides no client services. Such services are solely provided by CMS EEIG s member firms in their respective jurisdictions. CMS EEIG and each of its member firms are separate and legally distinct entities, and no such entity has any authority to bind any other. CMS EEIG and each member firm are liable only for their own acts or omissions and not those of each other. The brand name CMS and the term firm are used to refer to some or all of the member firms or their offices. CMS locations: Aberdeen, Algiers, Amsterdam, Antwerp, Barcelona, Beijing, Belgrade, Berlin, Bratislava, Bristol, Brussels, Bucharest, Budapest, Casablanca, Cologne, Dubai, Duesseldorf, Edinburgh, Frankfurt, Geneva, Glasgow, Hamburg, Hong Kong, Istanbul, Kyiv, Leipzig, Lisbon, Ljubljana, London, Luxembourg, Lyon, Madrid, Mexico City, Milan, Moscow, Munich, Muscat, Paris, Podgorica, Prague, Rio de Janeiro, Rome, Sarajevo, Seville, Shanghai, Sofia, Strasbourg, Stuttgart, Tehran, Tirana, Utrecht, Vienna, Warsaw, Zagreb and Zurich. www.cmslegal.com 61

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés