A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet hatálybalépése után
A személyes adatok kezelése kapcsán alkalmazandó jogszabályok Adatvédelmi jogszabályok: Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE Ágazati jogszabályok: 69/2016. (III. 31.) Korm. rendelet az állami hulladékgazdálkodási közfeladat ellátására létrehozott szervezet kijelöléséről, feladatköréről, az adatkezelés módjáról, valamint az adatszolgáltatási kötelezettségek részletes szabályairól A hulladékról szóló 2012. évi CLXXXV. törvény
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE Hatályba lépés: 2018. május 25.
Milyen újdonságokat tartalmaz a GDPR a hatályban lévő jogszabályokhoz képest? Adatvédelmi tudatosság kiépítése Beépített és alapértelmezett adatvédelem Érintetti jogok kibővülése Adatvédelmi tisztviselő kinevezési kötelezettség Új jogalapok Incidens bejelentési kötelezettség Rövid eljárási határidők Megnövekedett bírságösszegek
Adatvédelmi tudatosság kiépítése A legnehezebben teljesíthető elvárás Teljesen új szemlélet bevezetését várja el A természetes személyek személyes adatainak kezelésével kapcsolatos védelem alapvető jog mindenkinek joga van személyes adatai védelméhez Az adatvédelem nem néhány plusz nyomtatvány, amit alá kell íratni Az adatvédelem nem egy újabb szoftver A folyamatba épített rendszerszintű adatvédelem kiépítése a cél
Beépített és alapértelmezett adatvédelem A szervezettben folyó összes személyes adatkezelést át kell vizsgálni Ezeket az adatkezelési folyamatokat úgy kell átalakítani, hogy megfeleljenek a GDPR követelményeinek, elveinek: Célhoz kötöttség (5. cikk 1. bek. b. pont) Adattakarékosság (5. cikk 1. bek. c. pont) csak azt, ami feltétlenül kell Pontosság (5. cikk 1. bek. d. pont) törekedni kell rá, javítási kötelezettség Korlátozott tárolhatóság (5. cikk 1. bek. e. pont) törlési kötelezettség Integritás és bizalmas jelleg (5. cikk 1. bek. f. pont) biztonság, védelem jogosultjogosulatlan Elszámoltathatóság (5. cikk 1. bek 2. pont) adatkezelő felelőssége, igazolási kötelezettség
Új érintetti jogok Tájékoztatás már az adatkezelés megkezdésekor formai és tartalmi követelmények Hozzáférési jog másolatok, teljes körű információk Helyesbítési jog Törléshez való jog (elfeledtetés joga) kivétel: ha szükséges Adatkezelés korlátozásához való jog Adathordozhatósághoz való jog Tiltakozás joga Automatizált döntéshozatallal és profilalkotással kapcsolatos jog
Adatvédelmi tisztviselő Kinek kell adatvédelmi tisztviselőt kineveznie? Az adatkezelést közhatalmi, vagy egyéb közfeladatot ellátó szervek végzik Az érintettek megfigyelése rendszeres szisztematikus és nagymértékű Különleges adatot kezel (9. cikk, 10. cikk)
Adatvédelmi tisztviselő Ki lehet adatvédelmi tisztviselő? Jogi diploma már nem feltétel Releváns szakmai ismeretek, ágazati ismeretek, rátermettség, alkalmasság Jogállása Alkalmazott, vagy megbízási szerződés alapján, egy tisztviselő több tisztség Független adatvédelmi ügyekben nem utasítható Erős munkajogi védelem
Adatvédelmi tisztviselő Feladatai: Az adatvédelem lelke Tanácsot ad Szabályzatokat, tájékoztatókat készít Ellenőrzi a megvalósítást Hatásvizsgálatot tart Együttműködik a NAIH-hal Kapcsolattartó a NAIH-hal, az érintettekkel
Megváltozott jogalapok Hozzájárulás Önkéntes, konkrét, megfelelő tájékoztatáson alapul, egyértelműen kinyilvánított cselekvés igazolási kötelezettség Szerződés A szerződő adatai (előkészítési fázisban is) külön hozzájárulás nem kell Jogszabályon alapuló adatkezelés 6. cikk 1. bek. c. pont az adatkezelőre vonatkozó jogszabályi kötelezettség teljesítése miatt szükséges Közérdekű vagy közhatalmi jogosítvány gyakorlása céljából, amelyet az adatkezelőre ruháztak Létfontosságú érdek érintett, vagy másik természetes személy Jogos érdek adatkezelő, vagy harmadik fél
Incidens bejelentési kötelezettség Incidens: az adatok biztonságának olyan sérülése, amely személyes adatok megsemmisítése elvesztése jogosulatlan közlése jogosulatlan hozzáférése A mi adatkezelésünkben lévő adatok (továbbított, tárolt) adatfeldolgozókért való felelősség Jogellenesen vagy véletlenül
Incidens bejelentési kötelezettség Teendők: A tudomásszerzéstől 72 órás bejelentési kötelezettség Nyilvántartási kötelezettség Érintettek tájékoztatási kötelezettsége, ha magas kockázattal jár Belső szabályzatban incidenskezelési tervet kell létrehozni
Rövid eljárási határidők, megnövekedett bírságok Rendkívül megrövidültek a határidők (72 óra, indokolatlan késedelem nélkül, max. 1 hónap) A bírságösszegek megemelkedése (20 000 000, vagy az éves árbevétel 4%-a, amelyik nagyobb) Ha nem működik együtt a Hatósággal, maximális összeg!
NHKV Zrt. GDPR Hogy állunk a felkészüléssel? Adatvédelmi tisztviselőt jelöltünk ki Bekapcsolódtam a már folyó és előre haladott állapotban lévő munkálatokba és a feladatokat is azonosítottam Adatvédelmi tudatosság kiépítése folyamatos
Konkrét, aktuális feladatok Adattérkép készítése, adatvagyon felmérése Adatkezelési jogalapok felülvizsgálata, esetleg hozzájáruló nyilatkozatok újbóli beszerzése Adatkezelés belső szabályozásának felülvizsgálata, új szabályzat készítése Adatkezelési tevékenységek nyilvántartásának elkészítése Adatfeldolgozói és kiszervezési szerződések felülvizsgálata és szükség szerinti újra tárgyalása Adatvédelmi hatásvizsgálatokkal kapcsolatos módszertan implementálása és a támogató folyamatok, sablonok kialakítása
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból Adatkezelő: az a szerv, amely a személyes adatok kezelésének célját és eszközeit önállóan, vagy másokkal együtt meghatározza. Felelőssége: az adatkezelő felelős a jogszabályi követelményeknek (többek között GDPR) való megfelelésért és képesnek kell lennie ennek igazolására.
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból 2012. évi CLXXXV. törvény (a továbbiakban: Ht.) 32/A. (4) bek. A közszolgáltató, a települési önkormányzat, az önkormányzati társulás, a hulladékgazdálkodási létesítmény tulajdonosa, a közszolgáltató részére támogatást nyújtó szerv, valamint a Magyar Energetikai és Közmű-szabályozási Hivatal (a továbbiakban: Hivatal) megad minden adatot és információt, ami a Koordináló szerv feladatkörének gyakorlásához szükséges. A Koordináló szerv kezelheti, és részére átadhatók az e bekezdésben és a 38. (3) bekezdésében meghatározott adatok.
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból Ht. 32/A. (5a) bek. A közszolgáltató a 38. (3) bekezdésében meghatározott adatokat az általa ellátandó hulladékgazdálkodási közszolgáltatás ellátása, illetve jogszabályban foglalt kötelezettségei teljesítése érdekében kezelheti és tarthatja nyilván. A közszolgáltató a kezelt személyes adatokat haladéktalanul köteles törölni, ha az adatkezelés nem az e bekezdésben meghatározott célból történt, vagy azadatkezelés célja megszűnt.
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból Ht. 38. (3) bek. A gazdálkodó szervezet ingatlanhasználó a Koordináló szerv felhívására a közhiteles nyilvántartás szerinti nevét, székhelyének, telephelyének címét, adószámát, továbbá, ha elektronikus kézbesítési cím közhiteles nyilvántartásban történő szerepeltetése számára kötelező, úgy elektronikus kézbesítési címét, a természetes személy ingatlanhasználó a személyes adatai közül a családi és utónevét, születési nevét, születési helyét és idejét, anyja születési családi és utónevét, lakóhelyének, tartózkodási és értesítési helyének címét megadja.
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból A Ht. idézett rendelkezéseiből következik: A hulladékgazdálkodási közszolgáltatást végző közszolgáltató a természetes személy ingatlanhasználó személyes adatait törvényi felhatalmazás alapján önállóan (saját jogon), és nem a Koordináló szerv ezirányú jogosultságából származtathatóan kezelheti ADATKEZELŐ és nem ADATFELDOLGOZÓ {Ht. 32/A. (5a) bek.} Adatkezelési tevékenységéért önállóan felel
Feladat és felelősség megoszlás az NHKV Zrt., a közszolgáltatók és az alvállalkozók között adatvédelmi szempontból Adatfeldolgozó: aki az adatkezelő nevében személyes adatot kezel. Az adatfeldolgozó semmi érdemlegeset nem csinál az adattal, használja! Közszolgáltató alvállalkozói a közszolgáltató megbízásából dolgoznak az adattal, az adatok sorsáról, az adatkezelés céljáról, módjáról nem döntenek. Ha ilyen tevékenységet az alvállalkozó átad ha és amennyiben ezt megteheti az adatfeldolgozó tevékenységéért felel!
Együttműködés az adatvédelem területén Koordináló szerv Közszolgáltató önálló adatkezelők Közös adatkezelési szabályzat kidolgozását nem tervezzük, tekintve, hogy külön jogszabályi felhatalmazás alapján, önállóan kezeljük az adatokat. A KÖZTEGY szervezetén belül a közszolgáltatók adatvédelmi tisztviselőinek együttműködése eredményeként létrejöhetne egy közös adatkezelési szabályzat.
Biztonsági és Ellenőrzési Igazgatóság Kacsándi László igazgató Dr. László Tünde adatvédelmi tisztviselő biztonsag@nhkv.hu
Köszönöm a figyelmet!