- Az Európai Parlament és Tanács új rendelete – területi hatály – tárgyi hatály
- Fogalmak pontosítása, új fogalmak
- Elvek
- Jogszerűség, tisztességes eljárás és átláthatóság
- Célhoz kötöttség
- Adattakarékosság
- Pontosság
- Korlátozott tárolhatóság
- Integritás és bizalmas jelleg (adatbiztonság)
- Elszámoltathatóság
- Az érintettek jogai
- Az adatkezelő és az adatfeldolgozó kötelezettségei és feladatai, Közös adatkezelők
- Átlátható tájékoztatás, kommunikáció
- Adatvédelmi incidens bejelentése
- Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat
- Adattovábbítások
- harmadik országba
- megfelelő garanciák alapján
- Az adatvédelmi tisztviselő
- Független felügyeleti hatóságok
- Az Európai Adatvédelmi Testület
- Jogorvoslat, felelősség, kártérítés, szankciók, bírságok
Felkészülés a rendelet alkalmazására 12 lépésben
- Tudatosság
Győződjön meg róla, hogy szervezetének döntéshozói tudatában vannak annak, hogy az általános adatvédelmi rendelet módosul.
2. A meglévő információ / Az adatkezelés kritériumainak felülvizsgálata
Dokumentálja az Önnél lévő információkat, hogy honnan származnak és kivel osztja meg azokat. Szükséges lehet elvégeznie egy felülvizsgálatot. Illetve kötelezően létrehozandó egy adatvédelmi szabályzat, mellyel összhangba kell kerülni az általános adatvédelmi rendeletben lefektetett elszámoltathatóság elvével és biztosítani kell a jogszerű adatkezelést vagy adatfeldolgozást.
3. Az adatvédelmi információk átadása / Az érintett megfelelő tájékoztatása
Nézze át a jelenlegi adatvédelmi nyilatkozatait és tervezze meg időben a szükséges változtatásokat.
Az érintett jogai, ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve továbbá megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.
4. A személyhez fűződő jogok / Az érintettek jogai
Ellenőrizze eljárásait, hogy azok minden személyhez fűződő jogot szem előtt tartanak, beleértve a személyes adatok törlését vagy az adatközlés elektronikus és általánosan bevett formáit.
Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:
- a rá vonatkozó személyes adatokhoz való hozzáférés;
- azok helyesbítése;
- törlése („az elfeledtetéshez való jog”);
- kezelésének korlátozása;
- a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
- az adathordozhatósághoz való jog.
5. Az érintettek hozzáférési kérvényei
Aktualizálja eljárásait és tervezze meg, hogyan fogja kezelni a kérelmeket az új eljárás szerint, és hogyan nyújt további információkat.
Az új szabályok szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet.
6. A személyes adatok feldolgozásának jogalapja / Az adatkezelés jogalapja
Nézze át az Ön által végrehajtott adatfeldolgozások különböző típusait, határozza meg végrehajtásuk jogalapját, és dokumentálja azt.
Ügyeljen arra, hogy a törléshez való jog („az elfeledtetéshez való jog”) alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást.
7. Beleegyezés / A hozzájárulás feltételeinek felülvizsgálata
Vizsgálja felül, hogyan igényli, szerzi meg és jegyzi fel a beleegyezéseket, és hogy kell-e változtatásokat tennie.
Fektessen hangsúlyt a hozzájárulás és kifejezett hozzájárulás fogalmának értelmezésére. Tartsa szem előtt, hogy a hozzájárulás kizárólag akkor tekinthető jog szerint elfogadhatónak, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti.
8. Gyermekek / Jogaik kiemelt védelme
Már most gondolkozzon el különböző ügymenetek bevezetésén, melyekkel igazolhatja a magánszemélyek korát, és melyekkel szülői vagy gondviselői beleegyezést szerezhet az adatfeldolgozó folyamatokhoz.
Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
9. Az adatokat érő jogsértések / Adatvédelmi incidens bejelentése
Bizonyosodjon meg róla, hogy megfelelő eljárásokat alkalmaz a személyes adatokat érő jogsértések kiszűrésére, jelentésére és kivizsgálására.
Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
10. Adatvédelem beépített adatvédelem és adatvédelmi hatásvizsgálatok által (DPIA)
Nézze át az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról, és tervezze meg, hogy szervezete hogyan és mikor kivitelezi azokat.
Mivel az új szabályok értelmében, bizonyos esetekben az adatkezelő az adatkezelést megelőzően hatásvizsgálatot kell, hogy végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
11. Adatvédelmi munkatárs / tisztviselő
Ha szükséges, jelöljön ki egy adatvédelmi munkatársat, aki az adatvédelmi előírásoknak való megfelelésért lesz felelős, mérje fel, hogy szervezeti rendszerén belül hol lesz szerepe, és vigye véghez a szükséges intézkedéseket.
Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. Olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
12. Nemzetközi szint / Az adatvédelmi felügyeleti hatóság illetékessége
Ha az Ön szervezete nemzetközi szinten működik, határozza meg, melyik adatvédelmi felügyeleti fennhatóság alá tartozik.
Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében.
Amennyiben a szervezet tevékenységi köre nem csak egy országra korlátozódik, meg kell vizsgálni, mely országban végzi az adatkezelés jelentős részét (ez többnyire az anyavállalat székhelye), majd meg kell győződni róla, mely ország hatósága jár majd el fő felügyeleti hatóságként adatkezelések tekintetében.