GDPR változás 2018. Ön készen áll rá?

Az új adatvédelmi szabályokat 2016 április 27-én (Európai Parlament és a Tanács (EU) 2016/679 rendelete) fogadta el az Európai Unió és az elfogadást követő 2 év leteltével fog életbe lépni. 

 

gdpr

 

A GDPR egy általános, minden EU tagállamra érvényes egységes rendelet, ami így felváltja a tagállamok korábbi szabályozásait (illetve azok releváns részeit). Nagy előre lépésnek kell tekinteni, hogy a rendelet által az egész EU-ban azonos adatvédelmi szabályok lesznek érvényesek. A rendelet emellett szigorúbb adatvédelmi szabályokat és új adatvédelmi jogokat vezet be.

Az egységes szabályozás gyakorlatilag minden szervezetet érint, ahol bármilyen módon adatokat tárolnak és/vagy dolgoznak fel. Ez akár lehet számlázási adatok tárolása, ügyfelek telefonszámának megőrzése, e-mail címek gyűjtése hírlevelekhez, stb.

 

A személyes adatok védelme

Az adatvédelem központi eleme a személyes adat: ha nincs személyes adat, nincs adatkezelés.

 

Mi a személyes adat?

Az érintettel kapcsolatba hozható adat, abból levonható következtetés pl. munkavállaló neve, címe, adószáma, stb.; ügyfelek adatai; kamerával felvett személyek (a képmás is adat!) honlapon regisztrálók adatai

 

Adatkezelés:

Az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet, vagy a műveletek összessége.

 

Mikor adatkezelő egy vállalkozás? 

  • Munkavállalói vannak
  • Kamerákat alkalmaz 
  • Honlapot üzemeltet 
  • Természetes személy ügyfelei vannak 
  • Nyereményjátékot szervez 
  • Direkt marketing tevékenységet végez 

 

Az adatkezelés jogalapja lehet: 

  • érintett hozzájárulása (különleges adatok esetén írásbeli hozzájárulás); 
  • önkéntes
  • konkrét és megfelelő tájékoztatás
  • egyértelmű
  • nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet
  • törvényi felhatalmazás. 

 

Előzetes tájékoztatási kötelezettség:

Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről. 

 

Direkt Marketing - A DM tevékenység folytatásának feltételei

 

A reklám természetes személynek, mint reklám címzettjének közvetlen megkeresése módszerével kizárólag akkor közölhető ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult. 

 

Az érintett  jogai

A DM-hez való hozzájáruló nyilatkozat bármely olyan módon tehető, amely tartalmazza a nyilatkozó nevét, illetve amennyiben a reklám, amelyre a hozzájárulás vonatkozik, csak meghatározott életkorú személyek számára közölhető - születési helyét és idejét, továbbá azoknak a személyes adatoknak a körét, amelyek kezeléséhez a nyilatkozó hozzájárul, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését.

A hozzájáruló nyilatkozat bármikor korlátozás és indokolás nélkül, ingyenesen visszavonható Ebben az esetben a nyilatkozó nevét és minden egyéb személyes adatát a nyilvántartásból haladéktalanul törölni kell, és részére reklám a továbbiakban nem közölhető.

 

Elektronikus DM

 

Elektronikus hirdetésnek minősül az olyan közlés is, amelynek célja kizárólag a Grt. 6. §-ának (1) bekezdésben előírt hozzájárulás kérése.

 

Hogyan szerezzük be a hozzájáruló nyilatkozatot?

  • Hírlevélre feliratkozás a honlapon 
  • a feliratkozáskor szükséges az adatkezelési tájékoztató elfogadása (ne legyen előre kipipálva + közvetlenül is elérhető legyen!) 
  • NAIH bejelentés szükséges a DM adatkezeléshez

Meglévő ügyfelek hozzájárulásának beszerzése 1.  Ügyfelek számára szükséges egy e-mail megküldése, amelyben tájékoztatják az ügyfeleket, hogy megváltoztak az adatkezelési szabályok, így kérik, hogy a meghatározott linkre kattintva, fogadják el azt.   2.  A link a honlap egy olyan weboldalra irányít, amely az alábbi adatokat tartalmazza:

  • név (kitöltendő)
  • e-mail cím (kitöltendő) 
  • Elfogadom a szolgáltatásokra vonatkozó adatkezelési tájékoztatót 
  • Elfogadom az ügyfélkezelésre vonatkozó adatkezelési  tájékoztatót
  • „kiskapu” Nyugodtan küldhetünk DM levelet előzetes hozzájárulás nélkül is olyan e-mailcímekre amelyek:  info@... cég@cég  Honlapon közzétett, céghez kapcsolódó e-mail cím Ebben az esetben nem beszélünk személyes adatok kezeléséről, azonban szűken értelmezendő: a Hatóság álláspontja szerint a vállalati e-mail címek is minősülhetnek személyes adatnak.

 

A szükséges dokumentumok

  • írásbeli (telemarketing esetén szóbeli) tájékoztató a DM céljából történő adatkezelésről: adatkezelés módja, időtartama, adatalanyok jogai, stb. 
  • elektronikus DM esetén hozzájárulási nyilatkozat
  • külön nyilvántartás DM céljából történő adatátadás céljából
  • adatvédelmi és adatbiztonsági szabályzat, amely tartalmazza a megfelelő technikai és szervezési intézkedéseket
  • NAIH nyilvántartásba történő bejelentkezés 
  • tilalmi lista, amely azokat az adatalanyoknak a név- és lakcímét tartalmazza, akik a DM céljából történő adatkezeléshez nem járultak hozzá, vagy éltek az adatletiltás jogával.

 

GDPR - Főbb változások 

 

Változás

Rendelet követelményei

Beépített és alapértelmezett adatvédelem

  • szükségesség és célhoz kötöttség;
  • megfelelő technikai és szervezési intézkedések
  • adattakarékosság;
  • a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára -  szabályzat

Adatvédelmi incidensek bejelentése

72 órán belül be kell jelenteni Hatóság részére, kivéve, ha valószínűsíthetően nem jár kockázattal az érintettek számára, illetve adatalanyok felé is vagy közzé kell tenni, ha incidens valószínűsíthetően magas kockázattal jár az érintettnek. (incidensekről nyilvántartást kell vezetni)

Hozzájárulás

Az adatkezelőnek kell igazolni a hozzájárulást. Tájékozott, egyértelmű akaratnyilvánítás. Világos, egyszerű nyelvezettel kell kérni a hozzájárulást. Tilos az összekapcsolás: külön-külön hozzájárulás szükséges adatkezelési műveletenként.

Adatkezelési tevékenységek nyilvántartása

Megszűnik az adatvédelmi nyilvántartás; 250 főnél többet foglalkoztató szervezeteknek általánosan, továbbá kockázatos adatkezelésről, ill. különleges kategóriájú adatok kezeléséről belső nyilvántartást kell vezetni.

Adattovábbítás külföldre

BCR és Modell Szerződések, megfelelőségi döntések hatályban maradnak; magyar jogban eddig nem létező adattovábbítási jogalapok alkalmazhatóak

Adateldolgozás

Adatfeldolgozók felelősek, bírságolhatóak. Adatfeldolgozási szerződések kötelező tartalmi elemei: írásbeli utasítások,  toktartás, együttműködés, audit jog kikötése, adatok visszajuttatása, további adatfeldolgozó igénybevétele

Adatalany jogai

Adatalanyi jogokat kiterjesztik, így tájékoztatás, hozzáférés, adatkezelés korlátozásához való jog, adathordozhatóság, törlés, felejtéshez való jog.

Adatvédelmi hatásvizsgálat

Hatásvizsgálat előzetes elvégzése kötelező, ha valamely új adatkezelés (új technológia) magas adatvédelmi kockázatot jelenthet, így például különleges adatok kezelése, nyilvános helyek módszeres megfigyelése.

Bírságok;

Max. összege 20 000 000 € vagy az előző pénzügyi év globális árbevételének 4 %-a, a ke ő közül azt alkalmazzák, amely a magasabb

Adatvédelmi tisztviselő

Kötelező, ha:

  • főtevékenységként érintettek rendszeres és szisztematikus, nagymértékű megfigyelését végzik;
  • tagállami jog előírja

Profilalkotás

Személyes jellemzők automatizált értékelését magába foglaló adatkezelés. Különösen az analytics és cookie alkalmazókat érint

Felelősség

Felelősség elve: az adatkezelő tartozik bizonyítani, hogy adatkezelése megfelel a Rendeletnek és ennek érdekében intézkedések megtételére köteles, belső adatvédelmi szabályokat is alkalmaz.

 

Teendők

 

 Az adatkezeléseket 2018. május 25-ig összhangba kell hozni a Rendelettel

  • Adatvédelmi tudatosság erősítése:
    megfelelő felkészültség, munkavállalók bevonása
  • Adatkezelések felülvizsgálata:
    kötelezően létrehozandó az adatvédelmi szabályzat
  • Érintettek tájékoztatása:
    tömör, könnyen hozzáférhető, világos és egyértelmű legyen
  • Érintettek jogainak biztosítása:
    hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság (lehetőség szerint keresőmotorokból is!)
  • Érintettek hozzáférési joga:
    tájékoztatási kötelezettség, legkésőbb 1 hónapon belül
  • Adatkezelés jogalapja:
    kötelezően felülvizsgálandó, hogy a jogalap megfelel-e a rendeletnek (hozzájárulás külön vizsgálandó!)
  • Gyermekek jogai:
    16 év alatt a szülői felügyeletet gyakorló hozzájárulása kell
  • Adatvédelmi incidensek:
    bejelentés a felügyelet hatósághoz legkésőbb 72 órával a tudomásra jutás után 

 

Javasolt lépések 

 

  • Jogi átvilágítás, hiányosságok feltárása - azaz annak megvizsgálása, hogy a jelenlegi szabályozás mely pontokon hiányos, módosítandó 
  • Az átvilágítás jellemzően több fázisból áll:  kérdőív; személyes interjúk; hatályos adatvédelmi szabályzat és egyéb dokumentumok ellenőrzése 
  • Eredmény: adatvédelmi jelentés, gap analysis 
  • Új, a GDPR-nak megfelelő adatvédelmi szabályzat elkészítése
  • Munkavállalók oktatása, adatvédelmi tudatosság erősítése