Egy hónap múlva életbe lép a GDPR – összegyűjtöttük a legfontosabb tudnivalókat
GDPR – a napokban egyre több helyen találkozhatunk ezzel a pár betűvel, vagy akár azzal a kifejezéssel, hogy adatvédelem. Hogy választ adhassunk néhány alapvető kérdésre, cikkünkben összefoglaljuk, mi is az, ami ennyire felforgatta az internetet pár hónapja.
Mit is jelent a GDPR?
A GDPR az angol General Data Protection Regulation rövidítésből ered, ami magyarul annyit tesz: Általános Adatvédelmi Rendelet. Ez a rendelet egy Európai Parlament által megfogalmazott jogi döntés a személyes adatkezelésről. Az adatok feldolgozásáról, bekérésének módjáról, céljáról, tárolásának módjáról és időbeli pontos meghatározásáról szól. Hajmeresztően hangozhat, de valójában csak arra akar sarkallni minket Adatkezelőket, illetve Adatfeldolgozókat, hogy minden egyes adatot biztonságosan kezeljünk. A rendelet teljes szövege itt elérhető.
Mikortól él ez az új szabályozás?
A határozat pontosan egy hónap múlva, 2018. május 25-én lép érvénybe, ezt követően szigorú ellenőrzésekkel riogat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Ezért mindenképpen kellő időt és energiát érdemes fektetni ezen kérdések boncolgatására, mi ezen a felületen lehetőségeinkhez mérten megoldást kínálunk minden rendeletben megfogalmazott szabály betartására.
Ki minősül adatkezelőnek és ki adatfeldolgozónak?
Mivel a közösségi oldalak, illetve minden rajtuk keresztül történő tevékenység regisztrációhoz kötött, amely során az oldal tulajdonosához vagy megbízottjaihoz is befutnak személyes adatok (mint pl. teljes név, profilokhoz kötött ID-k, IP címek, e-mail címek, telefonszámok, postai címek, stb.), ezért az oldalak tulajdonosai mindannyian Adatkezelőknek minősülnek, akik felelősséggel tartoznak az általuk kezelt bárminemű adatfelhasználási tevékenységek iránt. Ez esetben a megfelelő Adatfeldolgozó(k) kiválasztása is az Adatkezelő felelőssége.
Adatfeldolgozó(k)nak nevezzük azokat a társaságokat, ügynökségeket, futárszolgálatokat, stb., akik hozzáférnek a személyes adatokhoz, tárolhatják őket, illetve az Adatfeldolgozó megbízásából megjelölt célra felhasználhatják.
Összefoglalva az Adatkezelő meghatározza az adatkezelés célját, kijelöli az Adatfeldolgozókat és dönt az adatok sorsáról, az Adatfeldolgozó pedig az Adatkezelő utasításai alapján műveleteket végez az adatokkal (pl. webtárhely szolgáltatója, nyereményjátékok lebonyolítója, nyereményátadó-, nyereményfelajánló társaság).
Hogyan érinthet magánszemélyként a GDPR?
Magánszemélyként azt érdemes tudnunk a GDPR-szabályozásról, hogy a rendelet érvénybe lépése után magunk rendelkezünk minden adatunkról. Vagyis ha jóváhagyjuk adataink különböző célokra való felhasználását, és ennek tudatában adjuk meg nevünket, címünket, telefonszámunkat stb., akkor a későbbiekben nem áll módunkban emiatt reklamációt benyújtani, csakis abban az esetben, ha az adott Adatfeldolgozó jogtalanul, előre nem egyeztetett célból és módon jár el.
Tanácsunk, hogy mielőtt bármilyen adatot szolgáltatnánk akár egy közösségi oldalon, akár egy kérdőív kitöltésénél a buszmegállóban, mindenképpen tájékozódni érdemes, hogy kinek, milyen célból, milyen időpontig bocsájtjuk a rendelkezésére az adatokat, illetve hogy van-e bármilyen írásos bizonyítéka arra, hogy az adatok begyűjtője jogszerűen jár el (pl. rendelkezik-e egy olyan nyilatkozattal, amelyben a fenti kérdésekre megadja neked a választ). A nyilatkozatban annak is szerepelnie kell, hogy az adatot begyűjtő hogyan biztosítja számunk annak a lehetőségét, hogy bármikor kérhessük adataink törlését az adatgyűjtő szervereiről, tárhelyeiről.
Milyen szankcióra lehet számítani?
Mi történik akkor, ha nem vesszük komolyan a szabályokat, és nem tesszük meg legalább az első intézkedő lépéseket a GDPR betartására? Röviden: szinte borítékolhatóan komoly bírságoknak tehetjük ki a cégünket – 100.000 Ft-tól akár 20 millió forintig is terjedhet ez az összeg. Ugyanakkor belefuthatunk adatvédelmi incidensekbe is, amelyek nagyobb kárt is okozhatnak rendszerekben – ilyen például egy szerverről való adatszivárgás vagy egy adattároló eszköz elvesztése is. Szigorúan büntetni fogják azokat az Adatkezelőket, akik elsunnyogják a hasonló eseteket. Minden adatkezelési tevékenységet dokumentálnunk kell, amelyet a rendeletben megfogalmazottak szerint kell tárolnunk és kérdés esetén az ellenőrző szerveknek felmutatnunk.
Hogy elkerüljük a fent megfogalmazott igencsak kellemetlen helyzeteket, mindenképp tanácsos már most, akár az utolsó hónapban nekifogni a felkészülésnek, hogy majd a rendelet hatályba lépését követően megfelelően járhassunk el.
Ki lehet a szakértője a területnek?
Azoknak a cégeknek, amelyek rendelkeznek jogi tanácsadóval, mindenképp érdemes őt elküldeniük olyan konferenciákra, képzésekre, ahol minden GDPR-rel kapcsolatos tudást megkaphat, (a következő ilyen például a Media Hungary Siófokon), illetve biztosítaniuk kell, hogy a változásokról is mindig tájékozódhasson. Amennyiben nincs külön jogi tanácsadó, érdemes szakembert bevonni, aki már felkészült a témában, illetve érdemes kijelölni cégen belül egy adatvédelmi tisztviselőt, aki a továbbiakban tartja a kapcsolatot a jogi szakemberrel, igyekszik képben lenni a változásokkal és ellenőrzése alá helyez minden cégen belüli adatforgalmat. Ide tartozhat akár a cég munkavállalói adatainak kezelése is.
Ha a jogi tanácsadó és/vagy az adatvédelmi tisztviselő már kellőképpen felkészült a rendelettel kapcsolatosan, érdemes a cég teljes személyzetét edukálni. Kialakíthatók közösen olyan mechanizmusok, amelyek megalapozzák a cég által kezelt adatok biztonságát.
Milyen lépésekre lehet még szükség?
Ha már korábban is kezelt a cég adatot ilyen-olyan céllal, akkor érdemes felülvizsgáltatni minden a cég birtokában lévő adathordozót, -tárolót, szervert és programot, amely bármilyen adatot megtartott, mert megtörténhet, hogy egyeseket közülük nem a GDPR-nek megfelelően használunk vagy tárolunk. Gondot okozhat például az eszközökön a kétlépcsős belépési rendszerek illetve jelszavak hiánya, vagy ha nincs korlátozva az, hogy hányan férhetnek hozzá egy adott adatbázishoz, vagy nem megoldott az adatok titkosítása.
Érdemes konzultálni egy olyan szoftvercéggel is, akik már kidolgoztak egy olyan rendszert, amely tökéletesen GDPR-biztos szolgáltatást tud nyújtani az adatok kezeléséhez, illetve ellenőrizni a már meglévő szoftvereinket, használt programokat, szolgáltatásokat, szervereket, eszközöket, hogy elég biztonságosak-e, megfelelnek-e a célnak.
Ajánlott minden egyes Adatfeldolgozóval kötött szerződést átfésülni, a rendelet által szabályozott részeket is belefogalmazni a megállapodásokba. Ebben a kérdésben bármelyik jogi tanácsadó segíthet, aki a témában már felkészült, illetve arra is figyelni kell, hogy minden adatkezelést kellőképpen dokumentáljunk. A dokumentálás annyiból áll, hogy birtokunkban kell, hogy legyen egy nyilatkozat/szerződés, vagy bármilyen írásos igazolás arról, hogy minden egyes adatot annak tulajdonosának beleegyezésével használunk, és kizárólag csak arra a célra, amelyre bekértük őket. Arra is figyelni kell, hogy ha határozatlan időre, marketing alapú megkeresésekre kérünk be adatokat, akkor annak is külön jogszabálya van, hogy ez a határozatlan idő mégis meddig terjedhet ki maximálisan.
Ha a fentieket sikerült végrehajtani, akkor a továbbiakban a gyakorlatban annyi fog változni az adatkezelési tevékenységekben, hogy minden egyes adathasználatról írásos beleegyezést kell kérni. Ez történhet egy checkbox kipipálásával, aláírással, adatvédelmi nyilatkozattal, játékszabályzatokkal, stb. Mindezt dokumentálni és tárolni kell, mert ha a későbbiekben valaki ellenőrizni szeretné tevékenységünket, elő lehessen szedni a bizonyítékokat, hogy jogszerűen jártunk el. Fontos azt is lehetővé tenni, hogy ha egy személy, akinek az adatait kezeljük, információt kér arról, hogy milyen célokra van a birtokunkban egy-egy adata, akkor azt írásos módon e-mailben vagy postai úton biztosítani tudjuk a részére
További tájékoztató cikkeinkben útmutatást adunk majd ahhoz, hogyan kell eljárni egy hírlevél adatbázisának kezelése vagy egy nyereményjáték sorsolása kapcsán.
