Mi az a GDPR?

Személyes adatkezelésre vonatkozó EU rendelet. (Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
 
Kire vonatkozik a GDPR?
 
Mindenkire, aki személyes adatot (pl. név, telefonszám, e-mail cím, lakcím) kezel pl. gazdasági társaság, civil szervezet, állami, önkormányzati szerv adatkezelő (akár termelő, szolgáltató, humán, gazdasági, vagy marketing tevékenységeihez kapcsolódóan).

Mikortól kell alkalmazni a GDPR-t?

2018. május 25-től valamennyi EU tagállamban alkalmazandó, akkor is, ha eddig az időpontig az egyes tagállamok elmulasztják az ellentétes jogszabályok hatályon kívül helyezését.

Mire kell felkészülni?

Valamennyi adatkezelést adatkezelési célonként fel kell mérni, nyilvántartásba venni (adatkezelési nyilvántartásként, vagy adatleltárként).

Adatvédelmi szabályzatot célszerű készíteni (ennek elkészítésére jellemzően belső adatvédelmi felelőst/adatvédelmi tisztviselőt célszerű megbízni).

Nem mellőzhető az adatvédelmi tájékoztató(k) megszövegezése.

Az adatkezelések kockázatát elemezni kell, indokolt esetben hatásvizsgálatot szükséges lefolytatni és a NAIH-al konzultálni.

Közös adatkezelések, adatfeldolgozó igénybevétele esetén ezen tárgyú szerződést is írásba kell foglalni.

Az adatvédelmi incidensek kezelését is szabályozni kell, a kezelésére vonatkozó gyakorlatot ki kell alakítani.

Adatkezelési jogalapokat indokolt áttekinteni (GDPR és hazai jogalapokba besorolása).

Informatikai biztonsági feltételeket - szolgáltatások, szabályzatok - át kell tekinteni, amennyiben szükséges további védelmi intézkedéseket kell bevezetni. 

Meghatározott feltételek esetén (például egészségügyi adatok kezelése esetén) DPO=adatvédelmi tisztviselő (jelenlegi szabályozás szerint: belső adatvédelmi felelős) megbízása.

 
Mi a következmény, ha valamelyik adatkezelő nem készül fel megfelelően?

Az adatvédelmi szabályok EU szinten egységesek, megszegésük kapcsán valamennyi tagállamban egységes, legfeljebb 20.000.000,- EUR büntetés kiszabásával is számolni lehet a rendelet alapján (például alapelvekbe ütköző adatkezelés, érintetti jogok nem megfelelő biztosítása esetén).

A hazai jogszabályok deregulációjára, módosítására még nem került sor, így is érdemes felkészülni?

A GDPR rendelet a hazai jogszabályi előírások hiányában, illetve azok nem megfelelő szabályozása esetén is alkalmazandó. Jelenleg több mint 1000 ügyben alkalmazza a GDPR-t a NAIH Magyarországon (jellemzően bejelentés, honlapellenőrzés alapján). Ausztriában, Németországban, Portugáliában már történt bírságkiszabás a GDPR alapján. A fontosabb hazai jogszabályok módosításával kapcsolatos törvénytervezet elérhető.

A KKV/civil szektor esetén van mentesülés a bírság kiszabása alól?

A bírságolás alól a KKV törvény (első alkalom figyelmeztetés egyéb esetben) alapján sem lehet mentesülni. Bírság kiszabása nem minden esetben kötelező.

Az adatvédelmi rendeletet az EU területén egységesen kell alkalmaznia az adatvédelmi hatóságoknak, ezért a bírság is valamennyi tagállamban egységes elvek szerint kerül kiszabásra. Amennyiben valamely adatkezelő lényegi intézkedést nem hoz az általa kezelt adatok védelme érdekében, úgy minden bizonnyal magasabb összegű bírsággal kell számolnia, mint az olyan adatkezelő, aki megfelelő adminisztratív, fizikai, logikai, informatikai biztonsági intézkedéseket hozott (felkészült).

Mi a helyzet a felkészítő csomagokkal?

Több esetben előfordul, hogy az adatkezelő esetlegesen GDPR felkészítő csomag megvásárlása mellett dönt, azonban megfelelő szakértelem hiányában nem tudja felmérni, hogy esetlegesen milyen további adatkezelések, szabályozási igények merülnek fel, jogszabályba ütköző gyakorlatok alakultak ki (pl. törlési idők, kezelhető adatok kategóriái, adatkezelési célok meghatározása, tilalmak figyelembe vétele). Több esetben a felkészítő csomagok is csupán minták, amelyek egy része adott esetben nem alkalmazhatóak az adott adatkezelő esetén (pl. jogalapok szerinti besorolás).

Kollégám elvégezte az adatvédelmi tisztviselői képzést ez elegendő?

Több esetben előfordul, hogy jellemzően két napos képzést követően tanúsítvány kiállítására kerül sor, amivel igazolják az adatvédelmi tisztviselői képzettség meglétét. A GDPR nem ír elő meghatározott képzés megszerzését, azonban a szakértői szintű ismeretekkel rendelkezőket preferálja (utóbbi ismeretek megszerzésére jellemzően diploma utáni legalább egy éves képzés keretében kerül sor). Több esetben úgy is kiállítják a képesítést, hogy a bemeneti követelményeket nem ellenőrzik, ugyanis adatvédelmi tisztviselő összeférhetetlenségi szabályok alapján nem lehet például a gazdasági, személyzeti, informatikai vezető sem. A fentiek figyelembe vételével azonban hasznos lehet bármilyen tanfolyam, képesítés megszerzése, és a munkavállalók rendszeres - felvételt követő, illetve éves - oktatása több esetben elvárt, bevett jógyakorlat.

Adatvédelmi tisztviselő alkalmazása nem minden esetben kötelező, azonban abban az esetben is érdemes lehet foglalkoztatni, amennyiben nem kötelező.

Kihez forduljak a GDPR-ra felkészülés érdekében?

Mindenképpen érdemes megfelelő gyakorlattal rendelkező adatvédelmi szakembert (adatvédelmi felelős/adatvédelmi tisztviselő) felkeresni. 

Vállalom adatvédelmi tisztviselői feladatok ellátását a szükséges dokumentáció (szabályzatok, tájékoztatók, nyilatkozatok, nyilvántartás, hatásvizsgálati dokumentáció) elkészítését, oktatást, adatvédelmi tanúsításra felkészítést, incidenskezelést.

Mennyibe kerül az adatvédelmi felkészítés?

Az árak menüpont alatt részletes tájékoztatás érhető el, több feladat teljesítése esetén jelentős kedvezmények érhetőek el. További kérdés, ajánlatkérés érdekében keressen az alábbi elérhetőségek valamelyikén:mail: Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. 

mobil: 06-30-3889943