GDPR

GDPR - General Data Protection Regulation -Általános Adatvédelmi Rendelet
„Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete”
2016.04.27-től hatályos, felfüggesztve 2018. 05. 25-ig


Célja a személyes adatok védelmének erősítése a szankciók erejével való kikényszerítéssel és az adatok unión belüli áramlásának szabályozása.

Az alapvető változás május 25-től:
Két évet biztosított a szabályozás a társadalomnak és azon belül a gazdasági társaságoknak arra, hogy felkészüljenek a következőre: tekintsék át a tárolt adataikat, (papír alapútól az elektronikus adattárolásig, az e-mailtől az xls-en át az adatbázisokig), hogy a természetes személyek adatai dinamikus módon kerüljenek tárolásra.

Minden olyan adat, adatcsoport, ami alapján egy természetes személy utolérhető, vagy azonosítható személyes adatnak minősül. Minden adattároláshoz szabályzatban (adatkezelési szabályzat) hozzá kell rendelni az adattárolás célját, jogalapját, a jogalaphoz és célhoz tartozó lejárati időt.

A célhoz és a jogalaphoz tartozó tárolási idő elteltével még a kapcsolódó e-mail levelezést is törölni kell és nem tartható meg. A személyes adatok csak és kizárólag addig tárolhatók, amíg annak a cél és a jogalap meg nem szűnik, vagy a jogalaphoz kapcsolható határidő le nem jár.

Az jogszabály szerinti résztvevők:

  • „érintett” természetes személy (fogalom meghatározáson kívül meghatározott fogalom
  • „személyes adat” minden, amivel elérhető vagy azonosítható az Érintett (természetes személy) a 29-es munkacsoport szerint még dinamikus IP cím is személyes adat tud lenni.
  • „adatkezelő” természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatokat kezeli.
  • „adatfeldolgozó” amely az adatkezelő nevében személyes adatokat kezel. Pl. Informatikai szolgáltató
  • „címzett” amely az adatkezelő nevében személyes adatokat kezel
  • „felügyeleti hatóság” egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv.

Személyes adat miden, amivel elérhető vagy azonosítható az Érintett (természetes személy) a 29-es munkacsoport szerint még dinamikus IP cím is személyes adat tud lenni.

A problémát nem az jelenti majd, hogy az ellenőrzéstől kell félni, hanem gonjaink abból lehetnek, hogy helytelen, jogszabálynak nem megfdelő adatkezelési hibáinkat (például valaki kiküld egy jogtalanul kezelt adatot tartalmazó levelet) egy „Jóakaratú Érintett” megküld a felügyeleti hatóságnak. Onnét, már bizonyított szabályszegéssel kell számolni a felügyeleti hatóságtól, ami büntetéssel jár.
Ugyan ilyen veszélyes az adatvédelmi incidens be nem jelentése! Adatvédelmi incidens az is ha a laptopon levő xls tartalmazta a dolgozók adatait és valaki ellopta a laptopot.

„83. cikk A közigazgatási bírságok kiszabására vonatkozó általános feltételek”
„(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:”

A jogszabály legfontosabb elemei

A személyes adatkezelés ELVEI

  • Jogszerűség, tisztességes eljárás és átláthatóság. A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintettek számára átláthatóan kell végezni,
  • Célhoz kötöttség: A személyes adatok gyűjtése csak meghatározott egyértelmű és jogszerű céllal történjen nem kezelhető a célokkal nem összeegyeztethető módon. A közérdekű archiválás a 89. Cikk alapján nem összeegyeztethetetlen tudományos, történelmi kutatás, vagy statisztikai cél esetében,
  • Adattakarékosság: Az adatkezelés céljai szempontjából relevánsnak és megfelelőnek kell lennie, és a szükséges adatokra kell korlátozódnia,
  • Pontosság: Az ésszerűség határain belül pontosnak naprakésznek kell lennie, a pontatlan személyes adatok haladéktalanul törlendők, vagy helyesbítendőek,
  • Korlátozott tárolhatóság: A személyes adattárolásnak olyannak kell lennie, amely az érinttettek azonosíthatóságát, azonosítását, csak az adatok tárolási céljainak és a célok elérésének szükséges ideig teszi lehetővé. Tárolás történik a korlátozás végéig de adatkezelés nem,
  • Integritás, bizalmasság: Biztosítva legyen a személyes adatok megfelelő biztonsága gátolja a jogosulatlan vagy jogellenes kezelés ellen, a véletlen elvesztés vagy megsemmisítés ellen,
  • Elszámoltathatóság: Az adatkezelő a felelős a GDPR 5. Cikk 1 bek. Elvek megvalósulásáért. Az adatkezelőnek képesnek kell lennie a megfelelés igazolására.

Jogalap:

  • Hozzájárulás (kiemelt a gyermek esetében, és különleges adatok esetében), visszavonás, önkéntes, visszavonható, célonként kell az adatkezelő bizonyítja a hozzájárulást,
  • Szerződésen alapuló,
  • Jogi kötelezettségen alapuló,
  • Érintett érdekeinek védelme,
  • Közérdekű feladat. (Tiltakozás),
  • Jogos érdek (Tiltakozás).


Érintettek jogai
Érintett (természetes személy), akinek a személyes adatait bármilyen módon, de egy szervezet rögzíti, tárolja (beszerezhette az adatokat a természetes személytől, de a természetes személytől függetlenül is hozzájuthatott az adatokhoz /vásárlás adatátadás.../).

  • Hozzáférés joga,
  • Helyesbítés joga,
  • Törlés joga,
  • Adatkezelés korlátozásának joga,
  • Adathordozhatóság joga. (egy példány ingyenes, de az adatkezelő költséget felszámolhat),
  • Tiltakozás joga.