GDPR felkészítés

A „Hatékony-e ez a biztonsági intézkedés?” kérdés nem megfelelő. Sokkal jobb úgy kérdezni: „Ez vajon jó kompromisszum?” Bruce Schneier

Küldetésem:

A hazai KKV-k számára érthetővé és a napi gyakorlatukban alkalmazhatóvá – élhetővé – tenni a jogszabály alkalmazását.

Alábbiakban néhány alapinformációt kínálok, melyekkel – ha a GDPR – ra gondolunk – érdemes tisztában lenni.

 

GDPR felkészülés – Alapinformációk

GDPR célja

A személyes adatok védelmének erősítése a szankciók erejével való kikényszerítéssel és az adatok Unión belüli szabad áramlásának biztosítása, szabályozott körülmények között.

Főbb alapfogalmak

  • Személyes adat: azonosított vagy azonosítható (élő) természetes személyre vonatkozó bármely információ.  Azonosítható az, aki közvetlen vagy közvetett módon különösen valamely azonosító tényező alapján azonosítható (online azonosító, IP cím, GPS vásárlási szokások, cookie ID, gk forgalmi rendszám, biometrikus, genetikai, egészségügyi adatok…)
  • Érintett: minden olyan meghatározott természetes személy, aki személyes adata alapján beazonosított vagy – közvetlenül vagy közvetve – beazonosítható.
  • Adatkezelés: adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége
    • gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
  • Adatkezelő: a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza
  • Közös adatkezelés: Az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg
  • Adatfeldolgozó, al-adatfeldolgozó: Adatkezelő nevében személyes adatokat kezel
  • Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv)

Adatkezelő kötelezettségei

  • Adatkezelői, Adatfeldolgozói minőség meghatározása
  • adatvédelmi alapelvek betartása, betartatása
    • adatkezelés minimalizálása
    • adatvédelem biztosítása (IT, fizikai biztosítás; személyi feltételek; szabályozás)
    • előírt nyilvántartások vezetése
    • a megfelelő jogalapok szerinti adatkezelés
    • az érintetti jogok gyakorlásának elősegítése és teljesítése
  • Adatfeldolgozók kijelölése, megfelelő garanciák, valamint technikai és szervezési intézkedések biztosítása
  • kötelező adatkezelés esetén alkalmazandó időszakos felülvizsgálat
  • ! Bizonyítási kötelezettség

Adatvédelmi alapelvek

  • jogszerűség, tisztességes eljárás és átláthatóság
  • célhoz kötöttség
  • adattakarékosság
  • pontosság, naprakészség
  • korlátozott tárolhatóság
  • integritás és bizalmas jelleg, biztonság: az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem
  • elszámoltathatóság: Adatkezelő felelős az alapelveknek való megfelelésért, és képesnek kell lennie e megfelelés igazolására

Érintett jogai

  • Tájékoztatás joga           
  • Hozzáférés joga
  • Helyesbítés joga
  • Törlés-elfeledtetéshez való joga
  • Adatkezelés korlátozásának joga 
  • Adathordozhatóság joga            
  • Tiltakozás joga 
  • Automatikus döntéshozatali eljárások egyedi ügyekben

Adatkezeléssel érintett témák – átgondolandó folyamatok

  • Munkáltatás
    • toborzás, kiválasztás
    • alkalmassági vizsgálatok
    • teljesítmény- és egyéb értékelések
    • munkavégzés megfigyelése
  • Üzleti kapcsolatok (B2B)
  • Külső kapcsolódások (külső Érintettek)
  • Biztonsági intézkedések, felkészültség
  • Nemzetközi érintettség
  • Incidens kezelés
  • GDPR meglévő szabályozásokba illesztése
  • Menedzsment
    • vezetés elkötelezettsége
    • GDPR gazdája
    • szervezeti egységek feladatainak, szerepek/szereplők beazonosítása
    • változáskezelés, ellenőrzés ….

Szükséges dokumentáció

  • Alapadatok:
    • adatleltár (kezelt személyes adatok)
    • folyamatleltár (vállalati folyamatok felől)
  • Kötelező nyilvántartások:
    • adatkezelési nyvt
    • adatfeldolgozók nyvt
    • érdekmérlegelési tesztek nyvt
    • adathordozók, informatikai eszközök, nyilvántartások és védelem
    • adattörlés napló
    • incidens nyvt
    • Érintettek általi adatkérések, igények nyvt
    • kockázat elemzési, hatásvizsgálati nyvt
  • Kötelező tájékoztatás:

Munkavállalók, Külső érintettek, Adatfeldolgozók és Alvállalkozók felé. Részletesen:

  • Általános adatkezelési tájékoztató (web, papír)
    • Munkáltatás során
      • toborzás, munkaviszony létesítés, foglalkoztatás
      • egyedi adatkezelések (pl.: képzések, tréningek (készség-, személyiség tesztek, kép/hangrögzítés)
      • adatkezelést érintő változások esetén
    • Vállalati beléptető rendszer, vagyonvédelmi kamerák (kép/hangrögzítés)
    • Külső, partneri kapcsolatok
    • Webáruház, online regisztráció, sütik
    • Egyéb eseti tájékoztatás (pl rendezvények)
  • Nyilatkozatok:
    • munkáltatás (az adatkezelésről szóló tájékoztatást megismerte)
    • vendégek
    • programok
    • …  minden olyan adatkezelésnél, amelynek jogalapja az Érintett hozzájárulása
  • B2B Szerződések:
    • új szolgáltatási, beszállítói stb. szerződések
    • adattovábbítási/adatfeldolgozói/közös adatkezelés megállapodás
    • meglévő szerződések kiegészítése
  • Belső szabályzatok:
    • a teljes belső folyamatot átfogó, adatvédelemmel kapcsolatos teendőket rögzítő adatkezelési szabályzat
    • incidens kezelés szabályzat

Speciálisan:

  • cégcsoporton belüli szabályozás (3.ország)
  • adatvédelmi hatásvizsgálat
    • valószínűsíthető-e magas kockázat a természetes személyek jogaira és szabadságaira nézve?
    • ! minden új adatkezelés bevezetése előtt
  • adatvédelmi tisztviselő kinevezése – ha adott Adatkezelő esetében nem előírt, akkor is ajánlott

Képzés

  • alapoktatás minden munkatársnak
  • célzott képzések vezetők, adatkezelést végző munkatársak számára
  • rendszeres ismétlő képzések
  • új munkatársak oktatása (orientáció része)

GDPR szerinti adatkezelés folyamatos működtetése

(folyamatos feladat)

  • szabályozás szerinti működés biztosítása
  • az aktualizálás gyakorlatának kialakítása
  • időszaki ellenőrzés (belső)
  • adatvédelmi auditok (külső)
  • időszaki képzések
  • incidenskezelés
  • jogszabályfigyelés

A bevezetés lépései

  1. Jelen állapot felmérése
    1. adatvagyon leltár
    1. üzleti folyamatok felmérése, adatkezeléssel kapcsolatos üzleti folyamatok felülvizsgálata
  2. Kockázatelemzés (Hatásvizsgálat)
  3. Adatkezelések jogalapjainak meghatározása
  4. Informatikai működés felülvizsgálata (adatbiztonság, mentés, helyreállítás, jogosultsági rendszer, szabályzatok, nyilvántartások)
  5. Régebbi adatbázisok felülvizsgálata (személyes adatok önrendelkezési joga érvényesíthető?)
  6. Dokumentáció, nyilvántartások, adatkezelési folyamatok kidolgozása
  7. Szabályozások elkészítése
  8. Bevezetés, oktatás

Kapcsolódó jogszabályok

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) 
  • 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról
  • 2018. évi XXXVIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (2015. évi módosítás)
  • 2018. évi LIII. törvény a magánélet védelméről
  • Magyarország Alaptörvénye (2011. április 25.) VI., IX., XVII. cikk
  • 2013. évi V. törvény a Polgári Törvénykönyvről
  • 2012. évi I. törvény a Munka Törvénykönyvéről

Linkek:

http://naih.hu/
https://www.adatvedelmirendelet.hu/

Kapcsolatfelvétel, konzultáció kérése:

A hatályos jogszabályoknak megfelelő adatkezelési gyakorlat kialakítása:

  • Adatleltár, folyamatok feltérképezése.
  • Az egyes szakterületeken szükséges adatkezelési gyakorlatok kialakítása.
  • Dokumentáció kidolgozása.
  • Felkészítés, munkatársak betanítása.
  • Üzemeltetés, a mindennapi működtetés támogatása: Dokumentáció karbantartása, jogszabály követés, megelőző intézkedések, kapcsolat a hatóságokkal, incidenskezelés, proaktív tanácsadás.