GDPR 2018. május 25.

Egy hónappal a GDPR előtt

Bevezető

Két év türelmi idő után, egy hónap múlva, 2018. május 25-től lesz kötelezően alkalmazandó az új Általános Adatvédelmi Rendelet, rövidített nevén a GDPR.

Az új rendelet a korábbi gyakorlattól eltérően a tagországok hatásköréből, az EU hatáskörébe sorolja át a magánszemélyek adataink felhasználására, kezelésre vonatkozó szabályozást, illetve EU szinten egységes szankcionálást is meghatároz, amelynek felső határa 20 millió euróig, illetve a megbírságolt vállalkozás teljes világpiaci bevételének 4%-ig terjedhet (a kettő közül a magasabb összeget kell kiszabni).

A GDPR minden olyan gazdálkodó szervezet működését érinti, amely ténylegesen az EU területén végzi tevékenységét, vagy akár azon kívül, amennyiben EU állampolgárok személyes adatait kezeli, vagy kezelheti. (Az EU-n kívüli vállalkozások közvetlen szankcionálhatósága homályos, de pl. betiltható a tevékenységük az EU tagállamain belül, vagy EU állampolgárok részére.)

A rendelet jelentősen kiterjeszti a személyes adat fogalmát, olyan elemeket is érint, amelyekhez az adott gazdasági társaság hozzáférhet ugyan, de azokat közvetlenül (pl. nyomozati eszközök hiányában) nem lehet képes a tényleges felhasználók személyéhez kapcsolni (pl. IP címek, biztonsági kamera felvételeken szereplő ismeretlen személyek képmásai, stb.).

A jogszabály 2016. április 27-én jelent meg, de az erre való felkészülés terén lemaradásokkal küzdenek mind a jogkötelezettek, mind a (nem csak magyar) hatóságok. Az elmúlt néhány hétben sorra küldik frissített szabályzataikról szóló értesítéseket az olyan világcégek, mint a Google, a Facebook, vagy épp a Microsoft. De már ebben az igen rövid időszakban is volt példa arra, hogy az értesítést követő néhány napon belül az új szabályzat is módosításra került.

Az érintettek körének felkészületlenségét több felmérés is alátámasztja, amelyek a teljes EU szintjén 80% köré teszik azon cégek számát, amelyek még nem foglalkoztak érdemben a kérdéssel.

A GDRP kifejezéssel én 2017. márciusában találkoztam először, azóta pedig több alkalommal vettem részt szakmai egyeztetéseken, illetve a témával foglalkozó konferencián. 2018. február végén kezdtem el az intenzív tájékozódást azzal a céllal, hogy a saját vállalkozásaim, valamint az ügyfeleim felkészülését elősegítsem, illetve egyes esetekben konkrétan elvégezzem, elvégeztessem a szükséges feladatokat.

Mára a szakmai fórumokon az az általános álláspont körvonalazódik, miszerint a szabályozási és technológiai feltételek még nem állnak készen arra, hogy azok figyelembevételével, illetve felhasználásával egy adott vállalkozás teljes körűen megfelelhessen a GDPR-szerű működés követelményeinek, ezért a hatálybalépést megelőzően minden cégnek arra kell törekednie, hogy a saját felkészülésében „minden tőle ésszerűen elvárható előkészületet” megtegyen.

A saját eredeti célkitűzésemet én is módosítottam ennek a személetnek megfelelően, ezért az alábbiakban, a teljes GDPR már ma is ismert fontosabb területeit, és azon belül az egyes feladatcsoportokat veszem sorra, valamint megpróbálom ismertetni azt, hogy az adott feladatcsoporton belül mi fedheti le a „minden tőle ésszerűen elvárható előkészület” fogalmát.

A GDRP általános ismertetése

Mi a GDPR és mi célja?

A GDPR (General Data Protection Regulation), magyarul általános adatvédelmi rendelkezés az Európai Unió 2016. május 4-én életbe lépett új, a teljes európai gazdasági közösség számára kötelező érvénnyel, és egységesen alkalmazandó, a személyi adatok jogi és technikai védelmét szabályozó rendelkezése. A 2 év türelmi időt követően, 2018. május 25-től kezdődően valamennyi EU tagállamban már egységesen ezt a szabályozást kell alkalmazni a személyes adatok kezelése során.

A GDPR célja a magánszemélyek személyes adatainak védelme, illetve azok felhasználásának egységes szabályozása, ellenőrizhetővé tétele mind a hatóságok, mind az adatkezeléssel érintett személyek által. Különös hangsúlyt kapott az adatkezelési célok, és az adatkezelések módjaival kapcsolatos előzetes, illetve az esetlegesen bekövetkezett adatvédelmi incidensekkel kapcsolatos utólagos tájékoztatás is.

Mely vállalkozásokat és szervezeteket érinti az új szabályozás?

A rendelet mérettől és tevékenységtől függetlenül minden vállalkozást és szervezetet érint, amely az EU területén működik, és/vagy EU állampolgárok személyes adatait kezeli, kezelheti.

Mi változott az új szabályozásban?

A személyi adatok kezelésének szabályozása sem az európai, sem a magyar jogrendszerben nem új keletű, mivel már idehaza is a 90-es évektől kezdődően rendszeresen jelentek meg ezzel kapcsolatos jogszabályok, majd később az európai jogharmonizáció jegyében. A korábbi jogszabályok sok területen nagyfokú hasonlóságot mutatnak az új rendelkezésekkel, de a GDPR-ben nagyon sok új adattípus lett személyes adattá minősítve.

Új típusú személyes adatok

Néhány példa az „új” személyes adatokra:

  • Online azonosító, azon belül:
    • Becenév (nickname)
    • IP cím: a számítógépünk által az internet csatlakozáshoz használt technikai azonosító cím
    • Cookie (vagy süti): a honlapok böngészése során automatikusan használt technikai azonosító fájl
  • Földrajzi elhelyezkedés
  • Kulturális azonosságra vonatkozó adat

A tájékoztatáshoz való jog és incidensjelentés

Az adatkezelők kötelesek előzetes tájékoztatást biztosítani a személyes adatok tervezett felhasználásáról, még azok megadását megelőzően, valamint a későbbi felhasználásuk során, kötelező jelleggel, amennyiben azok korrumpálódtak, így a magánszemélyek adatainak illetéktelenek általi felhasználásra valószínűsíthető (pl. hacker támadások, vagy papír alapon tárolt adatok eltulajdonítása), illetve az adatok tulajdonosainak kérésére.

Az információs önrendelkezési jog

Az adatkezeléssel érintett személy kérheti a róla nyilvántartott személyes adatai tételes listáját, azok pontosítását vagy törlését, és ezt a kérést az adatkezelőnek mérlegelés nélkül teljesítenie kell bizonyos indokolt (pl. más, magasabb szintű jogszabályokba ütköző) esetektől eltekintve.

Töröltethető például egy találat a Google kereső adatbázisából, amennyiben az adott személy nem járult hozzá a személyes adatai ilyen formában történő közzétételéhez, vagy időközben meggondolta magát.

A „Privacy barátság”, adattakarékosság elve

Fontos változás, hogy a különféle (elsősorban online) adatkezelések során a felhasználói beállítások alapértelmezéseit úgy kell megadni, hogy azok a legszigorúbb védelmet biztosítsák a felhasználóknak, amelyet aztán a felhasználók saját döntésük szerint enyhíthetnek, valamint a szükséges minimumra kell törekedni, az adott adatkezelési célhoz bekért adatok számát tekintve.

A célhoz kötöttség elve

Az adatvédelmi jog egyik alapelve a célhoz kötöttség követelménye, amelynek lényege, hogy személyes adatok csak meghatározott, jogszerű célból kezelhetők, azaz tilos a konkrét cél nélküli adatkezelés.

Az elszámoltathatóság elve

Az adatkezelő felelőssége a GDPR elveivel való összhang megteremtése, és képesnek is kell lennie e megfelelés igazolására, bizonyítására.

Szankcionálhatóság

A jogkötelezettek szempontjából a leginkább húsbavágó változás azonban a szankcionálhatóság.

A korábbi gyakorlatban – a kirívóan súlyos esetektől eltekintve- a hatóság nem tudott fellépni a jogszabályokat megsértő jogkötelezettekkel szemben (elméletileg 100 ezertől 20 millió forintig terjedő bírságot szabhatott ki, de csak többedszeri figyelmeztetést követően), az új szabályozás szerint azonban akár alacsonyabb mértékű („csupán” a hanyagságnak számító) esetekben is 20 millió euróig terjedő pénzbírság szabható ki, már az első alkalommal is, büntető tényállásban.

Számítani lehet akár a konkurencia, akár kellemetlenkedő személyek ilyen fajta „célzott támadásaira” is, amelyek megfelelő felkészülés hiányában vállalhatatlanul súlyos következményekkel járhatnak.
Azt, hogy a hatóságok várhatóan miként fognak eljárni a szankcionálás terén, egy nemzetközi szinten is elismert adatvédelmi szakjogász így foglalta össze; „Ne legyenek illúzióink”.

Van valamilyen kedvező irányú változás is a jogkötelezettek számára?

Igen, és nem.

Aktuálisan valamennyi EU tagállam eltérő adatvédelmi szabályozást alkalmaz, így a multinacionális vállalatoknak valamennyi EU-s piacon egyedileg kell megfelelniük az adott ország rendelkezéseinek.

Számunkra jelentősen egyszerűsödik az adatvédelmi megfelelés, mivel az valamennyi EU országban egységessé válik.

Azonban az egyes tagországok helyi, nemzetközi tevékenységet nem folytató gazdasági szereplőinek (köztük a tipikus magyar kisvállalkozásoknak) a korábbi „laza” szabályozás helyett, egy lényegesen összetettebb, a helyi gazdasági potenciált akár jelentősen meghaladó bírsággal fenyegető jogkörnyezethez kell alkalmazkodniuk, és ha csak most kezdik el a felkészülést, akkor mindezt igen rövid időn belül.

Fogalmak

Fontos tisztáznunk néhány fogalmat.

Személyes adat

A szóba jöhető adatok köre olyan kiterjedt, hogy azokat meg sem próbálom felsorolni.
Irányelvként minden olyan adat személyes adatnak minősül, amely egy vagy több adatból, vagy azok bármilyen kombinációjából beazonosíthatóvá teszi az adott konkrét személyt, még akkor is, ha ehhez minden adat, illetve a szükséges eszközök nem állnak az adott adatkezelő rendelkezésére, tehát így önmaga nem képes azonosítani az adott természetes személyt.

Szerepkörök

A korábbi adatvédelmi rendelkezésekhez hasonlóan az egyes adatkezelések során különféle szerepkörünk lehet (egyidejűleg akár többféle is), és ezek alapján eltérő felelősségünk van az adott adatkezelésben.

Adatalany

Az a természetes személy, akinek a személyes adatait kezeljük. Ilyenek lehetnek ügyfelek, munkatársak, vagy akár ismeretlen személyek is (pl. biztonsági kamera felvételeken).

Adatkezelő

Az a személy (természetes vagy jogi, illetve jogi személyiséggel nem rendelkező szervezet), amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

Adatfeldolgozó

Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Adatvédelmi tisztviselő (DPO)

Az adatkezelő, illetve az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó – jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – adatvédelmi tisztviselőt kell kinevezni vagy megbízni – bizonyos (jelenleg még meg nem nevezett) piaci szereplőknél kötelező jelleggel.

Hatóság

Az adott ország adatvédelmi hivatala. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság autonóm államigazgatási szerv, amelynek feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése.

Az adatkezelés lehetséges jogalapjai

Jogos érdek

Új fogalomként jelent meg a jogos érdek, amely nevéből fakadóan jogalapot képezhet az adatkezeléshez. A jogos érdek körébe az alábbiakat kell értenünk:

  • Közhatalmi szervek feladataik során végzett adatkezelésére nem alkalmazható
  • Releváns és megfelelő kapcsolat az érintett és az adatkezelő között (az érintett ügyfél vagy alkalmazott)
  • Érintett ésszerűen számíthat az adott célú adatkezelésre
  • Csalás megelőzése céljából feltétlenül szükséges az adatkezelés
  • A személyes adatok (számomra meglepő módon) közvetlen üzletszerzési célú kezelése

Hozzájárulás

  • Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez
  • Különleges adatok kezelése: az általános tilalom alól a „kifejezett” hozzájárulás a kivétel

Az adatalanyok jogai

Az (Előzetes) tájékoztatáshoz való jog

Az adatkezelésről az adatok felvételét megelőzően, vagy azzal egyidejűleg, illetve azokban az esetekben, amikor a személyes adatok felvétele nem közvetlenül az adatalanytól történik, a lehető legrövidebb időn, de legfeljebb 1 hónapon belül, de legkésőbb az első kapcsolatfelvétel alkalmával részletesen tájékoztatni kell az adatalanyt.

Ezt minden alkalommal meg kell ismételni, ha az adatalany legutóbbi tájékoztatása óta megváltozott az adatkezelés célja. Ugyanitt vannak könnyítések is, így bizonyos esetekben elégséges lehet az adatkezelés címzettjeinek megnevezése, illetve az adattárolási időt is elengedő csupán körülírni.

Bizonyos kivételes esetekben elhagyható a tájékoztatás, amennyiben az adatokat nem közvetlenül az adatalanytól veszik fel:

  • Már rendelkezik az információval
  • Lehetetlen vagy aránytalanul nagy erőfeszítés
  • Az adatkezelési cél elérését lehetetlenné tenné vagy komolyan veszélyeztetné
  • Szakmai titoktartási kötelezettségbe ütközne (bizalmas információ)
  • Uniós vagy tagállami jog rendeli el a közlést vagy a megszerzést

A kezelt adatokhoz való hozzáféréshez való jog

Az adatkezelésben érintett adatalanyoknak joguk van hozzáférniük a róluk tárolt adatokhoz.

  • Jogukban áll tudni, hogy az adott adatkezelő kezeli-e az adataikat
  • Jogukban áll hozzáférni konkrét információkhoz (pl. mikor rögzítették az adott adatukat, ki és mikor fért hozzájuk, stb.)
  • Ha nem közvetlenül az adatalanytól származtak az információk, akkor az adatok forrására vonatkozó minden információt át kell adni (pl. vásárolt címlisták esetében)
  • Másolatot kell biztosítani díjmentesen az adatokról (további példányokért ésszerű mértékű díj kérhető)
  • Elektronikus igénylés és adatszolgáltatás esetén az adatalany által kért formátumban kell biztosítani az adatokat, illetve ha nincs külön erre irányuló kérése, akkor a legelterjedtebb formátumokban

A helyesbítéshez, törléshez és adatkezelés korlátozásához való jog

Az adatalanyoknak joguk van a róluk nyilvántartott adataik helyesbítését, módosítását, azok felhasználásának időleges vagy részleges korlátozását, vagy végleges törlését kérni.

Fontos tudni, hogy olyan esetekben, amikor az adott személyes adatot (akár az adatalany hozzájárulásával) külső fél számára továbbították, a törlés esetén a külső felet is értesíteni kell a törlési igényről, és azt a külső félnek is haladéktalanul el kell végeznie.

Az általam látott valamennyi fórumon ezzel a témával kapcsolatban hangzott el a legtöbb felvetés, mivel számos igen ellentmondásos, illetve technológiailag csak igen nehezen kivitelezhető kérdést vet fel. Lássunk erre egy példát:

Az adatalany részletes tájékoztatást kér a róla tárolt személyes adatairól, majd a tájékoztatást követően kéri az adatai végleges törlését. Ez megtörténik.
Egy későbbi időpontban ugyanez az adatalany ismételten részletes tájékoztatást kér a róla tárolt személyes adatairól.
Ebben az esetben kellene tudnunk tájékoztatni arról, hogy az adatait már töröltük, és esetleg megjelölnünk az adatai törlésének időpontját, de ezt, amennyiben az adatai az előzőekben leírtak szerint ténylegesen és véglegesen törlésre kerültek nem tudjuk megtenni, tehát nem tudjuk biztosítani az előző pontban szereplő, a kezelt adatokhoz való hozzáféréshez való jogát.

Technológia értelemben az is egy igen szép kihívás, hogy biztonsági másolatokból (pl. csak írható optikai lemezekről, vagy szalagos tárolókról), miként lehet egy-egy adatalany személyes adatait egyedileg törölni.

Az adathordozhatósághoz való jog

Az adatalanyoknak joguk van az adatkezelő által részükre átadott személyes adataikat más adatkezelők részére tagolt, széles körben használt, géppel olvasható formátumban megkapni és azt más adatkezelők részére korlátozás nélkül továbbítani.

Fontos megemlíteni, hogy az új adatkezelőnek készen kell állnia az adatok fogadására, biztosítania kell az ehhez szükséges a technológiai feltételeket.

A tiltakozáshoz való jog

  • Közérdekű vagy közhatalmi feladattal kapcsolatos, illetve jogos érdekre alapított adatkezelések ellen való tiltakozást jelenti
  • Adatkezelőnek bizonyítania kell, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges
  • Közvetlen üzletszerzés érdekében történő adatkezelés ellen bármikor alkalmazható

Előzetes adatvédelmi hatásvizsgálat

Az új rendelet egyes esetekben kötelező jelleggel előírja az adatkezelést megkezdése előtt előzetes adatvédelmi hatásvizsgálat lefolytatását.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

Összefoglalva tehát a hatásvizsgálat egy célzott eljárás, mely kiterjed az adatkezelés:

  • Jellegének feltárására
  • Szükségességének és arányosságának vizsgálatára
  • Adatkezelésből eredő kockázatok kezelésére.

Adatvédelmi incidens

A GDPR alapján az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

Ez egy átfogó meghatározás, amely nincs tekintettel arra, hogy az incidens okozott-e tényleges kárt az érintetteknek. Adatvédelmi incidens esetén az adatkezelő azonnal, illetve az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és adott esetben az érintetteket is, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatkezelő bizonyos esetekben mentesülhet a bejelentés alól, például ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, például titkosítást alkalmazott. Az incidensek nyilvántartása azonban ilyen esetekben is kötelező.

Konkrét feladatok

Az előző pontokban próbáltam röviden bemutatni a GDPR néhány általam fontosabbnak tartott részletét, ebben a pontban sokkal célratörőbben és rövidebben foglalom össze azokat a konkrét feladatokat, amelyeket szerintem mindenképpen el kell végezni a határidő lejárta előtt ahhoz, hogy a vállalkozásunk elmondhassa magáról, hogy minden tőle ésszerűen elvárható előkészületet megtett az új adatvédelmi törvény betartása érdekében.

Keressünk egy jó adatvédelmi szakértőt!

És ha sikerül ilyet találni, akkor osszuk meg az elérhetőségét széles körben! (Az irányadó adatvédelmi előírásokat természetesen betartva!)

Készítsünk adatleltárt!

Vegyük sorra a vállalkozásunk valamennyi tevékenységét, és vizsgáljuk meg, hogy az egyes tevékenységeink során hol, és milyen személyes adatokat kezelünk, kezeltünk.

A személyes adat fogalma fejezetben leírtak alapján legyünk nagyon körültekintőek, mivel ez a kör jelentősen kibővült!

A hagyományosan személyes adatnak tekintett név, lakcím, születési időpont, személyi igazolvány szám, adószám, stb. adatokon felül a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó adatai, valamint a különféle technológiai (főként IT) megoldások alkalmazása esetén online illetve hardveres azonosítói, földrajzi koordinátái is ebbe a körbe tartoznak!

Végezzük el az adatok tisztítását!

Az adatleltár ismeretében végezzünk adattisztítást.

Minden egyes személyes adat esetében vizsgáljuk meg azt, hogy üzletileg valóban szükséges, és indokolható-e azok további kezelése.

Végezzük el az érdekmérlegelési tesztet!

Az érdekmérlegelési teszt egy három lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket, érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.

Tisztázzuk a jogalapokat!

Amennyiben üzletileg szükséges és indokolt, valamint az érdekmérlegelési teszt alapján megengedett az egyes adatok további kezelése, akkor tisztáznunk kell az adatkezelés jogalapját.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Jelöljük ki az adatgazdát vagy (amennyiben kötelezettek vagyunk rá) adatvédelmi tisztviselőt!

A későbbi adatvédelmi feladatok ellátásához szükséges az adatgazda (bizonyos meghatározott gazdasági szereplők esetében adatvédelmi tisztviselő) kijelölése. Az adatgazda felelőssége a kezelésében lévő adatokkal kapcsolatos tevékenységek adatvédelmi törvény szerint kezelésének biztosítása.

Készítsük el a dokumentációkat!

  • Vizsgáljuk meg a már megkötött szerződéseinket, hogy összhangban vannak-e az új adatvédelmi törvény rendelkezéseivel, amennyiben szükséges, módosítsuk azokat!
  • Készítsük el legalább az alábbi szabályzatokat:
    • Adatvédelmi szabályzat
    • Incidensjelentés
    • Panaszkezelés
  • Dokumentáljuk az érdekmérlegelési tesztünk vizsgálati szempontjait!
  • Állítsuk fel az adatkezelések (belső) nyilvántartási rendszerét!

Tájékoztassunk!

Tájékoztassuk az érintett ügyfeleket, konkrét szerződött partnereinket a szerződésmódosításokról, valamint tegyük közzé a vonatkozó szabályzatainkat.

Készüljünk fel a vészhelyzetekre!

A rendelet számos olyan biztonsági intézkedést javasol, amelyeket érdemes az adatok védelme érdekében használni, mint:

  1. a személyes adatok álnevesítését és titkosítását;
  2. személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

Kihez fordulhatunk jogi segítségért?

Néhány jogász, illetve ügyvédi iroda, akikkel/amelyekkel a keresgélésem során többször találkoztam különféle fórumokon:

Jogi nyilatkozat

Nem vagyok adatvédelmi szakértő vagy egyéb minőségemben a téma avatott ismerője, ezért ez a dokumentum kizárólag a saját személyes véleményemet tükrözi, és mint ilyen az itt leírtak felhasználásából, vagy épp a fel nem használásából származó bármilyen gazdasági következménnyel kapcsolatos felelősségvállalást elhárítok magamtól.

Források

This entry was posted in Blog by .