Általánosságban

A hatályosság egy olyan helyzet, mely nem opció, hanem egyenes kötelezettség. Minden olyan vállalkozás vagy tevékenység, ahol személyes adatok kezelése történik, ott a GDPR életbe lép.
Compliance – Megfelelés. Minden vállalkozás szükségessége, hogy szabályzatokat, folyamatokat hozzon létre. Ezeknek meg kell, hogy feleljenek azoknak a rendeleteknek, melyek miatt a kötelezettség nem mulaszható.

A SecTech vállalkozás abban igyekszik segíteni a kis és közép vállalkozások működsését, hogy a megfelelés a lehető leghamarabb, költséghatékonysággal megfelelhessen.

Kiknek kell alkalmazni a GDPR -t?

GDPR = „General Data Protection Regulation: Általános Adatvédelmi Rendelet” rövidítése

A Rendelet teljes neve:
„Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)”.

A GDPR 2018. május 25-től közvetlenül alkalmazandó az EU minden tagállamában, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Emellett a hatályos magyar Adatvédelmi törvény: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) továbbra is alkalmazandó lesz, amelynek módosítása megtörtént.

A GDPR alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, így a GDPR nemcsak a nagyvállalatokat és a közintézményeket érinti, hanem minden személyes adatot kezelő magánszemélyt, vagy vállalkozást, legyen az egyéni vállalkozó, vagy kis- és középvállalkozás (kkv).

Minden szervezetnek implementálnia kell a GDPR rendelkezéseit a hazai jogszabályok mellett (Infotv., Mt., stb.). Ezért felül kell vizsgálni a jelenlegi folyamatokat és eljárásokat minden területen (sales, marketing, pénzügy, logisztika, IT, beszerzés, HR, jog, stb.) és szükség szerint át kell alakítani.

Az Adatvédelmi tisztviselő (DPO) az adatkezelőt vagy az adatfeldolgozót a GDPR rendeletnek való belső megfelelés ellenőrzésében segíti. Kinevezése nem minden esetben indokolt, viszont sok esetben elkerülhetetlen (pl. kötelező egészségügyi intézmény, közigazgatási szerv, távközlési cég, pénzügyi szervezet eseteiben stb.).

A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.

Kinek van szükséges DPO -ra ?

Amikor kötelező…

A GDPR rendelet szerint DPO adatvédelmi tisztviselő kinevezése kötelező mindenkinek, aki szenzitív adatokat kezel; különösen:

  1. egészségügyi intézményeknek, magánorvosoknak;
  2. vallási, politikai, etnikai hovatartozásra vonatkozó adatokat kezelőknek;
  3. biometrikus adatkezelőknek;
  4. közintézményeknek;
  5. profilozással foglalkozó szervezeteknek (kamerarendszerek üzemeltetőinek, marketingcégeknek).

DPO kinevezése ajánlott mindazoknak, akik folyamatos GDPR megfelelést szeretnének.

Ha már kipipáltad a GDPR jogi és IT részét, működésed úgy sem feltétlen lesz a rendeletnek megfelelő. Bármikor kialakulhatnak újabb, adatvédelmi szempontból kockázatos üzleti folyamatok, így a megfelelés folyamatos készenlétet igényel.

  • Fontosnak tartod üzleti folyamataid rendben tartását adatvédelmi szempontból?
  • Tapasztalt, jogász végzettségű DPO és IT biztonsági szakemberekre bíznád magad?
  • Követhető, óradíjas elszámolást szeretnél?

Ki lehet DPO?

A GDPR új alapokra helyezi az adatvédelmi tisztviselők szabályozását. A 37. cikk (5) bekezdése – többek között – kimondja, hogy az adatvédelmi tisztviselőket (DPO) szakmai rátermettség, az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a jogszabályban meghatározott feladatok ellátására való alkalmasság alapján kell kijelölni. A GDPR ugyanakkor nem határozza meg azt, hogy a DPO-nak pontosan milyen képzettséggel kell rendelkeznie ahhoz, hogy a feladataikat elláthassák.

A pontos kvalifikációs követelmények hiányának az oka, hogy a jogalkotó ily módon teszi lehetővé az adatkezelők számára, hogy a saját tevékenységi körükhöz igazodóan tudjanak tisztviselőt kijelölni. A kiválasztás során figyelembe kell venni az általuk végzett adatkezelési műveleteket, az adatkezelés terjedelmét, a kezelt adatok fajtáit, és a megvalósítandó adatbiztonsági intézkedéseket. A DPO-k oldaláról nézve a pozíció betöltéséhez szükséges ismeretek felölelik az adatvédelem hazai és európai szabályozását, az adatkezelő által végzett adatkezelések, a felhasznált IT és adatbiztonsági megoldásokat, az adott szektor és az adatkezelőt, valamint azon képességet, hogy a DPO elő tudja mozdítani a magas szintű adatvédelmet az adatkezelő szervezetén belül. A képesítést adó szervezeteket is figyelembe kell venni: bizonyos ismereteket egyetemi, másokat pedig akkreditált felnőttképzés keretében lehet megszerezni. A DPO-któl megkövetelt végzettségi szintnek is a megvalósítandó feladatokhoz kell igazodnia.

A szabályozás keretjellege tehát végeredményben azt szolgálja, hogy az adatkezelők mindenkor a legmegfelelőbb, szakmailag legrátermettebb jelöltet választhassák ki a GDPR szempontjából kiemelt feladatot ellátó DPO-nak.

Milyen jelentési kötelezettségek vannak?

Adatvédelmi incidens esetén kell jelenti.

Bővebben