GDPR: Mit és hogyan? – Iránymutatás a kérdések útvesztőjében

Written By Kelen Krisztina

Sokféle hírt hallunk mostanában a GDPR-rel kapcsolatban, a határidő pedig szorít. De pontosan miylen intézkedésekre is van szükség ahhoz, hogy megfeleljünk a május 25-től életbe lépő rendeletnek?

Kezdjük a legelején – Mi is a GDPR pontosan?

A GDPR az Európai Unió május 25-től életbe lépő új adatvédelmi rendelete, mely az Európai Unió minden tagállamára kiterjed és teljesen átalakítja az adatvédelem területét. Magyarországon a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) foglalkozik a rendelettel.

Milyen kötelezettségekkel jár a GDPR?

A GDPR először is a belső adatvédelmi felelősi pozíciót felváltva bevezeti az adatvédelmi tisztviselő jogintézményét – ez által egy szélesebb körű feladatokkal és nagyobb felelősséggel rendelkező, független pozíciót alakítva ki. Az adatvédelmi tisztviselő feladata a cégen belüli adatbiztonsági követelmények és az érintettek jogainak a megerősítése és minél magasabb szintű érvényesülésének biztosítása. Az ezzel járó feladatok:

  • Az adatvédelmi tisztviselő kijelölése minden olyan esetben kötelező, amikor:
    • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik;
    • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres, szisztematikus, illetve nagymértékű megfigyelését teszik szükségessé;
    • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Az adatkezelés nemcsak úgy kapcsolódhat a főtevékenységhez, hogy maga a tevékenység kifejezetten erre irányul, hanem úgy is, ha az a főtevékenység végzéséhez elengedhetetlenül szükséges.

Valamennyi cég kezel például adatokat a munkavállalói tekintetében, melyek ugyan elengedhetetlenül szükségesek a vállalkozás fő tevékenységének a végzéséhez, azonban „kisegítő” funkciónak tekinthetőek, így az ilyen adatkezelés nem teszi kötelezővé az adatvédelmi tisztviselő kinevezését.

A második esetben felmerülhet a kérdés, hogy mely adatkezelés tekinthető nagymértékűnek. Az alábbi esetekben az adatkezelés általában „nagymértékűnek” minősül:

  • egészségügyi intézmények, kórházak esetében a páciensek adatainak kezelése;
  • tömegközlekedési vállalatok esetében az utasok utazási adatainak kezelése;
  • geolokációs technológiát alkalmazók (pl. gyorsétterem-lánc statisztikai célú adatkezelése);
  • bankok és biztosítók ügyfeleinek adatkezelése;
  • viselkedés alapú reklámozást alkalmazók;
  • telefon- és internetszolgáltatók adatkezelése (tartalom, forgalom, helyszín).

És mikor tekinthető rendszeresnek és szisztematikusnak a megfigyelés?

  • Rendszeres a megfigyelés, ha az folyamatos, vagy meghatározott időpontokban ismétlődik.
  • Szisztematikus, ha előre megszervezetten, akár egy terv vagy stratégia részeként történik.

Jellemzően az alábbiak tartoznak a rendszeres és szisztematikus megfigyelések körébe:

  • a távközlési szolgáltatások;
  • a retargeting szolgáltatások;
  • az adat alapú marketingtevékenységek;
  • a kockázatelemző rendszerek működtetése (pl. hitelképesség elbírálása);
  • a lokációfigyelés;
  • a hűségprogramok;
  • az egészségügyi állapot megfigyelése;
  • az összekapcsolt rendszerek (pl. okos mérők, okos otthonok és közlekedési eszközök

Amennyiben a fenti kategóriák alapján egy vállalat esetében nem szükséges az adatvédelmi tisztviselőt kijelölése, akkor célszerű ezt dokumentálni, hogy a későbbiekben az adatkezelő/adatfeldolgozó a hivatal felé bizonyítani tudja, hogy a Rendelet szerinti szempontokat figyelembe véve állapították meg, hogy nem kötelesek adatvédelmi tisztviselőt kijelölni.

Mik az adatvédelmi tisztviselő feladatai?

Az adatvédelmi tisztviselő elsősorban az alábbi feladatokat látja el:

  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó részére adatvédelmi kérdésekben;
  • ellenőrzi az adatvédelmi jogszabályoknak, valamint az adatkezelő/adatfeldolgozó belső szabályainak való megfelelést;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan és nyomon követi annak elvégzését;
  • együttműködik és tartja a kapcsolatot a felügyeleti hatósággal.

Mi az adatvédelmi tisztviselő jogállása?

  • Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, de szolgáltatási szerződés alapján külső személy vagy szervezet is elláthatja e feladatokat.
  • Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szüksége szakértelemmel (ennek szintjét a megbízó által végzett adatkezelési folyamatok komplexitása, valamint a kezelt személyes adatok tekintetében megkövetelt védelem alapján kell megállapítani).
  • Az adatvédelmi tisztviselő függetlenségét biztosítja, hogy:
    • feladatai ellátása körében nem utasítható és biztosítani kell számára, hogy véleményét a legfelső vezetésnek kifejthesse.
    • A rá vonatkozó speciális felmondási védelem értelmében a törvényben meghatározott feladatai ellátásával összefüggésben nem bocsátható el, és nem lehet büntetésben részesíteni.
  • Az önellenőrzés és az önfelügyelet összeférhetetlen az adatvédelmi tisztviselői státusszal, vagyis az a személy, akinek a szervezeten belüli egyéb feladatai miatt saját maga ellenőrzését kellene ellátnia, nem töltheti be az adatvédelmi tisztviselő pozícióját. Illetve az adatvédelmi tisztviselő sem tölthet be a szervezeten belül olyan pozíciót, amelyben az adatkezeléssel kapcsolatban döntéseket hozhat; így különösen meghatározhatja az adatkezelés célját és eszközeit.
Kelen Krisztina
Previous

Új adatszolgáltatási törvény – Az online adatszolgáltatás szabályaira vonatkozó legfontosabb kérdések
Next

A készenlét is munkaidőnek minősül – állítja az uniós jog