GDPR információk mikro-, kis- és középvállalkozások számára

Összeállította: PC Center Hungary Kft., 2018. február
Informatikai támogatásért forduljon hozzánk bizalommal!

1. Mi a GDPR?
2. Mikortól kell alkalmazni a GDPR-t?
3. Miért fontos felkészülni a GDPR-ra?
4. Mi a GDPR célja?
5. Kikre vonatkozik a GDPR?
6. Vonatkozik-e a GDPR a magyar mikro-, kis- és középvállalkozásokra?
7. Ki és mi segíthet a GDPR-ra való felkészülésben és a folyamatos megfelelésben?
8. Mit jelent a személyes adat?
9. Kik lehetnek az érintettek?
10. Melyek a megkülönböztetett személyes adatok?
11. Mit kell tudni az online azonosítókról?
12. Mit jelent a profilalkotás?
13. Adatvédelmi szempontból mivel jár a profilalkotás?
14. Csak az elektronikusan kezelt adatokra vonatkozik a GDPR?
15. Ki az adatkezelő?
16. Ki az adatfeldolgozó?
17. Milyen elveknek kell megfelelni a személyes adatok kezelése során?
18. Mitől lesz jogszerű egy vállalkozás által végzett adatkezelés?
19. Mik a teendők, ha az adatkezelés az érintett hozzájárulásán alapul és az adatokat az érintettől gyűjtik?
    Ugyanitt: Konkrét példák kapcsolódó informatikai feladatokra
20. Hogyan biztosítható, hogy az érintettek a már kezelt személyes adataik felett maguk rendelkezhessenek?
    Ugyanitt: Konkrét példák kapcsolódó informatikai feladatokra
21. Milyen kockázatok származhatnak a személyes adatok kezeléséből?
22. Mik a kockázatokkal kapcsolatos teendők?
    Ugyanitt: Konkrét példák kapcsolódó informatikai feladatokra
23. Milyen külső információforrásokra lehet támaszkodni?
24. Milyen belső dokumentációk, intézkedések szükségesek?
25. Mi a teendő adatvédelmi incidens bekövetkezése esetén?
    Ugyanitt: Konkrét példák kapcsolódó informatikai feladatokra
26. Milyen esetekben továbbíthatók személyes adatok további adatkezelés céljából harmadik országokba vagy nemzetközi szervezetekhez?
27. Tekintettel van-e az adatvédelmi rendelet a mikro-, kis- és középvállalkozásokra?
28. Forradalmi változásokat okoz a GDPR az adatvédelemben?
29. Mi lehet a GDPR pozitív hozadéka a vállalkozások számára?

 

 

1. Mi a GDPR?

A GDPR az Európai Unió új Általános Adatvédelmi Rendelete. (GDPR = General Data Protection Regulation)

 

2. Mikortól kell alkalmazni a GDPR-t?

2018. május 25-től

 

3. Miért fontos felkészülni a GDPR-ra?

A GDPR be nem tartása jelentős anyagi következményekkel járhat. (Akár az éves árbevétel 4%-ának megfelelő vagy 20 millió eurós bírság is kiszabható.)

 

4. Mi a GDPR célja?

A természetes személyek személyes adatainak kezelése tekintetében történő védelme és az ilyen adatok szabad áramlásának szabályozása.

 

5. Kikre vonatkozik a GDPR?

A GDPR vonatkozik minden olyan vállalkozóra, vállalkozásra, szervezetre, mely:

• az EU-ban tevékenységi hellyel rendelkezik és bármilyen személyes adatot kezel
• az EU-ban tevékenységi hellyel nem rendelkezik és az EU-ban tartózkodó érintett(ek) bármilyen személyes adatát kezeli (ha az adatkezelés áru- vagy szolgáltatás értékesítéséhez vagy viselkedés megfigyeléséhez kapcsolódik)
• az EU-n kívüli, de tevékenységi helyén valamely EU tagállam joga alkalmazandó

 

6. Vonatkozik-e a GDPR a magyar mikro-, kis- és középvállalkozásokra?

Igen, amennyiben az adott vállalkozás természetes személy személyes adatát kezeli.

 

7. Ki és mi segíthet a GDPR-ra való felkészülésben és a folyamatos megfelelésben?

A felkészülés és a jogszabálynak való megfelelés egy folyamatos tevékenység eredménye lehet, melynek során szükséges:

• az adatvédelem alapelvként való beépítése a szervezet működésébe, folyamataiba, a szevezeti kultúrába (vállalati szintű szemléletváltás vagy szemléletformálás, biztonságtudatossági képzések)
• az együttműködés a vállalat és a vállalati adatkezelésben esetlegesen résztvevő partnerek között, a vállalaton belül és a különböző érintett szakterületekkel
• jogi és informatikai szakmai támogatás

 

8. Mit jelent a személyes adat?

A személyes adat azonosított vagy azonosítható természetes személyre (továbbiakban: érintett) vonatkozó bármely információ (online azonosítók is).

 

9. Kik lehetnek az érintettek?

Érintettek lehetnek például:

• munkavállalók
• üzleti partnerek munkavállalói
• természetes személynek minősülő ügyfelek, lehetséges ügyfelek

 

10. Melyek a megkülönböztetett személyes adatok?

A jogszabály megkülönböztet bizonyos személyes adatokat, ezek kezelésének feltételeire, a kezelésükhöz kapcsolódó elvárásokra külön kitér.

Különös védelmet érdemlő személyes adatok:

• a gyermekek személyes adatai

A személyes adatok különleges kategóriái:

• a faji vagy etnikai származásra,
• politikai véleményre,
• vallási vagy világnézeti meggyőződésre,
• szakszervezeti tagsára

utaló adatok, valamint

• a természetes személyek egyedi azonosítását célzó genetikai és biometrikus,
• az egészségügyi,
• a szexuális életre és szexuális irányultságra

vonatkozó adatok.

Személyes adatok, melyek kizárólag közhatalmi szerv által kezelhetők (vagy ha az adatkezelést uniós vagy tagállami jog lehetővé teszi):

• a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztosági intézkedésekre vonatkozó személyes adatok

 

11. Mit kell tudni az online azonosítókról?

A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal.

Online azonosítók például IP-címek, cookie-azonosítók, egyéb azonosítók (pl. rádiófrekvenciás azonosító címkék).

Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

 

12. Mit jelent a profilalkotás?

A profilalkotás a személyes adatok automatizált kezelésének olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos jellemzők értékelésére, elemzésére vagy előrejelzésére használják.

Kapcsolódhat például munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, viselkedéshez, megbízhatósághoz, tartózkodási helyhez, mozgáshoz.

 

13. Adatvédelmi szempontból mivel jár a profilalkotás?

Az érintettet a profilalkotás tényéről és annak következményeiről tájékoztatni kell.

Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen (pl. profilalkotáson) alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti.

Ilyen döntés lehet például egy online hitelkérelem automatikus elutasítása, emberi beavatkozás nélkül folytatott online munkaerő-toborzás.

Az ilyen döntéshozatal a rendeletben meghatározott esetekben és feltételekkel megengedett, továbbá szükségessé teszi az adatvédelmi hatásvizsgálat elvégzését.

 

14. Csak az elektronikusan kezelt adatokra vonatkozik a GDPR?

Nem, a manuálisan kezelt személyes adatokra is vonatkozik, ha azokat nyilvántartási rendszerben tárolják vagy kívánják tárolni.

 

15. Ki az adatkezelő?

Aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Lehet természetes vagy jogi személy, közhatalmi szerv, ügynökség, stb.

Például foglalkoztatottak vagy természetes személynek minősülő ügyfelek személyes adatait kezelő vállalkozás.

 

16. Ki az adatfeldolgozó?

Aki az adatkezelő nevében személyes adatokat kezel.

Lehet természetes vagy jogi személy, közhatalmi szerv, ügynökség, stb.

Adatfeldolgozó például az adatkezelővel szerződött könyvelő, bérszámfejtő cég, informatikai szolgáltató, hírlevélszolgáltató, messenger bot szolgáltató, stb.

 

17. Milyen elveknek kell megfelelni a személyes adatok kezelése során?

• az adatok kezelése legyen jogszerű, tisztességes és az érintett számára átlátható („jogszerűség, tisztességes eljárás és átláthatóság”)
• az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen („célhoz kötöttség”)
• a céloknak megfelelően csak a legszükségesebb adatokat kezeljék („adattakarékosság”)
• a céloknak megfelelően csak a szükséges legrövidebb ideig tárolják az adatokat oly módon, hogy az érintett azonosítható legyen („korlátozott tárolhatóság”)
• az adatok legyenek pontosak, naprakészek („pontosság”)
• a megfelelő szervezési és technikai intézkedések alkalmazásával legyen biztosítva az adatok biztonsága, védelme („integritás és bizalmas jelleg”)
• az adatkezelő felelős a fenti elveknek való megfelelésért, és képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)

 

18. Mitől lesz jogszerű egy vállalkozás által végzett adatkezelés?

Jogszerű az adatkezelés, például ha:

• az érintett hozzájárult ehhez, egy vagy több konkrét célból vagy
• az érintettel kötött szerződéshez kapcsolódik (teljesítéshez, megkötést megelőző lépésekhez) vagy
• jogi kötelezettség teljesítéséhez szükséges

 

19. Mik a teendők, ha az adatkezelés az érintett hozzájárulásán alapul és az adatokat az érintettől gyűjtik?

• írásbeli hozzájárulási nyilatkozat elkészítése a jogszabályban meghatározott módon és tartalommal
• a hozzájárulás elfogadtatását megelőzően tájékoztatást adni arról, hogy a hozzájárulás bármikor visszavonható
• a hozzájárulás érintett általi elfogadtatása
• a hozzájárulás érintett általi elfogadásának tényét - későbbi elszámolás, bizonyítás céljából - menteni
• a hozzájárulás bármikori visszavonásának lehetővé tétele

Adatkezeléshez való hozzájárulás - Konkrét példák kapcsolódó informatikai feladatokra

• webhelyen történő beállítások, frissítések
  pl. amennyiben a hozzájárulási nyilatkozat elfogadtatása weboldalon keresztül történik, szükséges a nyilatkozatot kötelezően elfogadtatni kötelezően kitöltendő jelölőnégyzet segítségével
• mentési és archiválási feladatok
  pl. a hozzájárulás érintett általi elfogadásának tényét - későbbi elszámolás, bizonyítás céljából - menteni, archiválni

 

20. Hogyan biztosítható, hogy az érintettek a már kezelt személyes adataik felett maguk rendelkezhessenek?

• az érintettek számára a már kezelt személyes adataikhoz és ehhez kapcsolódó meghatározott információkhoz való hozzáférés biztosításával és/vagy
• az érintett kérésére a fentiekről történő tájékoztatással
• az érintett számára további jogainak (helyesbítéshez, törléshez, az adatkezelés korlátozásához, az adathordozhatósághoz, a tiltakozáshoz való jogok) biztosításával

Saját személyes adatok feletti rendelkezés - Konkrét példák kapcsolódó informatikai feladatokra

• webhelyen történő beállítások, frissítések
  pl. az érintetti jogokról való tájékoztatás technikai támogatása (pl. kiemelt információk a weboldalon)
• az érintetti jogok gyakorlásának technikai támogatása, íme egy kiemelt példa
  a törléshez, az „elfeledtetéshez való jog” gyakorlásához, pl.
  - az érintett azonosítása (egy esetleges jogosulatlanul kezdeményezett intézkedés elkerülése céljából)
  - az azonosított érintett kérésére személyes adatainak törlése minden adathordozóról, archívumokból, biztonsági mentésekből is
  - a nyilvánosságra hozott személyes adatok törlése érdekében a személyes adatokra mutató linkek, ezen adatok másodpéldányának törlése / töröltetése
• opcionális: távoli hozzáférés kialakítása az érintettek számára egy biztonságos rendszerhez, melyen keresztül élhetnek jogaikkal (pl. hozzáférés, helyesbítés, törlés…) ill. kezdeményezhetik ezek gyakorlását

 

21. Milyen kockázatok származhatnak a személyes adatok kezeléséből?

A természetes személyek jogait és szabadságait érintő kockázatok, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

Kockázatok például:

• a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése
• a személyes adatokhoz való jogosulatlan hozzáférés

 

22. Mik a kockázatokkal kapcsolatos teendők?

• kockázatok objektív értékelése, valószínűség, súlyosság felmérése
• annak eldöntése, hogy az adatkezelés kockázattal vagy nagy kockázattal jár-e
• külön intézkedések a magas kockázattal járó adatkezelés esetére (pl. Adatvédelmi hatásvizsgálat, adatkezelés bejelentése a felügyeleti hatóságnál)
• kockázatokat csökkentő szervezési és technikai intézkedések megtétele

Adatvédelmi kockázatok csökkentése - Konkrét példák kapcsolódó informatikai feladatokra

Átfogó informatikai biztonsági tevékenység:

• IT biztonsági felülvizsgálat, informatikai infrastruktúra biztonsági felmérése
• informatikai biztonsági szabályozás, szabályzatok elkészítése, frissítése
• magas kockázattal járó adatkezelés esetén a rendelet szerint elvárt külön intézkedések végrehajtásának technikai támogatása
• az adatkezelő szervezetén belül a vezetőség és a személyes adatokat kezelő személyek, továbbá adott esetben az adatkezelővel kapcsolatban álló további adatkezelők (közös adatkezelés esete) és külsős adatfeldolgozók felkészítése, oktatása, tájékoztatása, tanácsadás
• technikai lépések, eljárások előkészítése adatsértés („adatvédelmi incidens”) esetére
• gyakorlati megvalósítás technikai támogatása, például:
  - biztonságos informatikai infrastruktúra tervezése, kiépítése, üzemeltetése
  - informatikai biztonságot szolgáló szoftverek telepítése, rendszeres frissítések
  - vírus- és kémprogramvédelem, tűzfalmegoldások kialakítása, karbantartása
  - folyamatos, hibamegelőző rendszerkarbantartás, rendszerfelügyelet
  - a kezelt személyes adatok mennyiségének és minőségének optimalizálását segítő technikák (pl. rendszeres felülvizsgálati, frissítési, törlési, mentési határidők beépítése az adatkezelési folyamatokba)  az adatkezelésre vonatkozó elvek figyelembevételével (pl. „adattakarékosság”, „korlátozott tárolhatóság”, „pontosság”, „elszámoltathatóság” elve)
  - az adatbiztonság támogatása az adatmentés és archiválás rendszerének kialakításával és működtetésével
  - az adatkezelő szervezetén belül az érintettek személyes adataihoz való hozzáférési jogosultságok kialakítása
  - biztonságos adattovábbítás feltételeinek  megteremtése (pl. adatkezelő és adatfeldolgozó, adatkezelő és címzett között)
  - speciális informatikai megoldások: pl. álnevesítés, titkosítás, a személyes adatok védelmét kifejezetten támogató termékek, szolgáltatások, szoftverek, alkalmazások

 

23. Milyen külső információforrásokra lehet támaszkodni?

• az EU 2016/679 rendelete, azaz az Általános Adatvédelmi Rendelet
• nemzeti szabályozások (Magyarországon elsősorban az Info. törvény – jelenleg hatályos a 2011. évi CXII. törvény) - Fontos: az EU rendelet egyes témaköröket tagállami hatáskörben tart, vagy megengedi, hogy a tagállamok kiegészítő vagy szigorúbb, illetve eltérő szabályokat állapítsanak meg.
• felügyeleti hatóságok tájékoztatásai (Magyarországon: NAIH)
• jóváhagyott magatartási kódexek, tanúsítási eljárások, adatvédelmi bélyegzőkkel, jelölésekkel kapcsolatos információk, Európai Adatvédelmi Testület iránymutatásai, adatvédelmi tisztviselő (ha van) iránymutatásai
• adatkezelőket, adatfeldolgozókat képviselő egyéb szervezetek tájékoztatásai

 

24. Milyen belső dokumentációk, intézkedések szükségesek?

Általánosságban: a rendeletnek való megfelelést alátámasztó dokumentumok, az azt szolgáló intézkedések, belső adatvédelmi szabályok, adatkezelési szabályzat.

Néhány további konkrét példa:

• közös adatkezelés esetén az adatkezelők közti megállapodás a feladatokkal összefüggő felelősségek tisztázására
• adatfeldolgozók bevonása esetén az adatfeldolgozókkal kötött szerződések, általunk nyújtott garanciákat alátámasztó dokumentáció
• adatvédelmi nyilvántartás (a 250 főnél kevesebbet foglalkoztató szervezetek számára meghatározott esetekben kötelező – lásd 30. cikk (5) bekezdés)
• Adatvédelmi hatásvizsgálat (valószínűsíthetően magas kockázattal járó adatkezelést megelőzően kell készíteni)
• előzetes konzultáció a felügyeleti hatósággal (ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezlő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár)
• adatvédelmi tisztviselő kijölölése a jogszabályban meghatározott esetekben (lásd 37. cikk)

 

25. Mi a teendő adatvédelmi incidens bekövetkezése esetén?

• az adatkezelő részéről az adatvédelmi incidens bejelentése - a jogszabályban meghatározott módon - a felügyeleti hatóságnak
• az adatfeldolgozó részéről az adatvédelmi incidens bejelentése az adatkezelőnek
• technológiai védelmi és szervezési intézkedések megtétele az incidens orvoslására, az esetleges hátrányos következmények enyhítésére
• az érintett(ek) tájékoztatása az adatvédelmi incidensről, a jogszabályban meghatározott esetekben
• adatvédelmi incidens(ek) nyilvántartása

Adatvédelmi incidens - Konkrét példák kapcsolódó informatikai feladatokra

• fizikai vagy műszaki incidens esetén az adatokhoz való hozzáférés és az adatok rendelkezésre állásának kellő időben történő visszaállítása
• az adatvédelmi incidens orvoslását, a hátrányos következmények enyhítését célzó informatikai támogatás
   

 

26. Milyen esetekben továbbíthatók személyes adatok további adatkezelés céljából harmadik országokba vagy nemzetközi szervezetekhez?

• megfelelőségi határozat megléte esetén, azaz, ha a Bizottság megállapította, hogy a harmadik ország (esetleg annak egy területe vagy egy vagy több meghatározott ágazata) vagy a nemzetközi szervezet megfelelő védelmi szintet biztosít – kapcsolódó jegyzék az Európai Unió Hivatalos Lapjában és annak honlapján vagy
• megfelelő garanciák megléte esetén (lásd 46 – 47. cikk) vagy
• a fentiek hiányában egyéb esetekben, mint például:
  - az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő esetleges kockázatokról
  - az adattovábbítás szerződés teljesítéséhez szükséges
  - stb. (lásd 49. cikk)

 

27. Tekintettel van-e az adatvédelmi rendelet a mikro-, kis- és középvállalkozásokra?

Igen, erre vonatkozóan több utalás is található a rendeletben, úgy mint:

• „... A mikro-, kis- és középvállalkozások sajátos helyzetének figyelembevétele érdekében a 250 főnél kevesebb személyt foglalkoztató szervezetek esetében e rendelet a nyilvántartás vezetése tekintetében eltérést tartalmaz. Emellett, e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit. ...” (GDPR Preambulum (13) bekezdés)
• „Az adatkezelők, illetve adatfeldolgozók kategóriáit képviselő egyesületeket vagy egyéb szerveket az e rendelet által szabott határokon belül, az e rendelet hatékony alkalmazásának az elősegítése érdekében magatartási kódexek létrehozására kell ösztönözni, adatkezelés sajátosságaira, valamint a mikro-, kis- és középvállalkozások sajátos szükségleteire figyelemmel. ...” (GDPR Preambulum (98) bekezdés)
• „A felügyeleti hatóságok által végzett, a nyilvánosságot célzó figyelemfelkeltő tevékenységek magukban foglalnak olyan konkrét intézkedéseket, amelyek az adatkezelőkre és az adatfeldolgozókra – beleértve a mikro-, kis- és középvállalkozásokat is –, valamint különösen oktatási keretek között a természetes személyekre irányulnak.”  (GDPR Preambulum (132) bekezdés)
• „E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni... Ezzel összefüggésben a Bizottságnak mérlegelnie kell különös intézkedések alkalmazását a mikro-, kis- és középvállalkozások tekintetében.” (GDPR Preambulum (167) bekezdés)
• „A tagállamok, a felügyeleti hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és középvállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.” (40. cikk (1) bekezdés)
• „A tagállamok, a felügyeleti hatóságok, a Testület, valamint a Bizottság – különösen uniós szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek e rendelet előírásainak. Figyelembe kell venni a mikro-, kis- és középvállalkozások sajátos igényeit.” (42. cikk (1) bekezdés)

 

28. Forradalmi változásokat okoz a GDPR az adatvédelemben?

Nem történik elszakadás a korábbi vonatkozó rendelettől, az abban meghatározott legfontosabb elvek tovább élnek.

Amiben jelentős az előrelépés a korábbiakhoz képest:

• úgy frissül az EU-szabályozás, hogy az megfeleljen az egységes digitális piac követelményeinek
• kibővül az érintettek rendelkezési joga saját személyes adataik felett
• szemléletváltozást követel a vállalkozásoktól, az adatvédelmi szempontoknak már a tervezési folyamatok során jelen kell lenniük

 

29. Mi lehet a GDPR pozitív hozadéka a vállalkozások számára?

Az adatvédelmi rendeletnek való megfelelés bizalmat ébreszt, javítja a vállalkozás hitelességét, megítélését, hosszú távon hozzájárulhat a pénzügyi eredményességhez is.

 

Összeállította: PC Center Hungary Kft., 2018. február
Informatikai támogatásért forduljon hozzánk bizalommal!