GDPR összefoglaló

Ezt az összefoglalót Dr. Kovács Bence írta nekünk így a bevezetőt is idézzük tőle:

„Megpróbálom nektek néhány oldalban összefoglalni a 2018. májusában hatályba lépő, új adatvédelmi rendelet (GPDR) fontosabb, rátok vonatkozó elemeit. Mivel teljesen új, és meglehetősen szigorú, igencsak nagy a pánik miatta, mivel sok rendelkezés a mai napig nem egyértelmű, és még jó pár évig nem is lesz, amíg ki nem alakul róla egy nagyjából stabil bírói gyakorlat. Amíg ez nem alakul ki, az értelmezésével kapcsolatban is várhatóak még viták, egyeztetések.

Igyekszem csak a nektek fontos infókat kiszűrni és nem szétjogászkodni, kellemes olvasmányt azonban nem ígérhetek…  :)”

I. Fontosabb fogalmak

Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

A tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából

Személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

A személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; –> pl. Piri néni a szomszédból egy tipikus harmadik személy

Az érintett hozzájárulása

Erre mindig különösen oda kell figyelni, ez a GPDR egyik legfontosabb jellemzője, kb. majdnem minden ezen áll vagy bukik.

Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló (!!!) és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok

II. Az érintettek jogai

Az adatkezelésnek jogszerűnek kell lennie! Ennek feltétele, hogy legalább az alábbiak egyike teljesüljön:

  • az érintett hozzájárulását adta a személyes adatainak egy, vagy több konkrét célból való kezeléséhez
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az adatkezelés a szerződéskötést megelőzően az érintett fél kérésére történő lépések megtételéhez szükséges
  • az adatkezelőre vonatkozó jogi kötelezettség teljesítése miatt szükséges
  • az adatkezelés az érintett, vagy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
  • ha az adatkezelés közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány keretében végzett feladat végrehajtásához szükséges
  • ha az adatkezelés az adatkezelő, vagy más harmadik személy jogos érdekeinek az érvényesítéséhez szükséges
  • személyes adatokat csak célhoz kötötten lehet kezelni -à azaz a tájékoztatóban minden egyes céllal kapcsolatosan külön-külön szükséges beszerezni az érintettek hozzájárulását (!!!)
  • az arányosság elve: az adatkezelés jogalapjának, az adatok mennyiségének és az adatkezelés céljának arányosan kell viszonyulni egymáshoz (sarkított példával: porszívó-ügynökként nem kérhetem be Piri néni egészségügyi adatait)

A hozzájárulás feltételei: (ez a hozzájárulás-téma még párszor előjöhet, a GPDR főleg a tájékoztatás-hozzájárulás párosát emeli ki és szigorúan bánik vele)

  • ha az adatkezelés hozzájáruláson alapul (ez a leggyakoribb), az adatkezelőnek tudnia kell igazolnia az érintett hozzájárulását 
  • ha a hozzájárulás esetleg több ügyre vonatkozna, az ügyeket egymástól jól elkülöníthető módon kell előadni, úgy, hogy sem az érintett, sem esetleg az ügyvédje ne mondhassa azt, hogy félreértette a nyilatkozatot… a hozzájárulásnak nagyon egyértelműnek, világosnak és egyszerűen megfogalmazottnak kell lennie! Bármely olyan hozzájáruló nyilatkozat, ami ezeknek nem felel meg, nem bír kötelező erővel!! 
  • A hozzájárulás bármikor visszavonható, indokolás nélkül. Erről a lehetőségről minden esetben tájékoztatni kell az érintetett. Fontos, hogy a visszavonás előtti – de hozzájáruláson alapuló – adatkezelés jogszerűségét a hozzájárulás visszavonása nem érinti 
  • A hozzájárulásnak önkéntesnek kell lennie. (Pl. sérti az önkéntességet, ha a szerződés megkötésének alapfeltétele az olyan adatkezelés, ami a szerződés megkötése szempontjából nem fontos)

Vannak az ún. különleges adatok/szenzitív adatok, mint pl. a világnézeti meggyőződés, faji hovatartozás, vallási hovatartozás, szexuális beállítottság, stb. Az ilyen adatokra vonatkozó adatkezelés tilos!

Kivéve:

  • az érintett hozzájárulása esetén
  • ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, szociális biztonságot szabályozó előírásokból fakadó kötelezettségének teljesítése, vagy jogainak gyakorolása miatt szükséges
  • érintett létfontosságú jogainak a védelme esetén
  • közérdek
  • ha az adatkezelés megelőző egészségügyi célokból, a munkavállaló munkavégzési képességeinek felmérése (stb.) miatt szükséges

Tájékoztatáshoz való jog:

  • tömör, átlátható, könnyen hozzáférhető formában, világosan és közérthetően kell megfogalmazni (kiskorúak esetén erre hatványozottan ügyelni kell!!) 
  • a szükséges információkat érdemes írásba foglalni és az érintett rendelkezésére bocsátani, esetleg egy elektronikus elérési utat is lehet számukra biztosítani 
  • a tájékoztatásnak díjmentesnek kell lenni! (kivéve megalapozatlan vagy túlzó kérelem esetén)

Tájékoztatás és a személyes adatokhoz való hozzáférés:

A személyes adatok kezelése/gyűjtése tájékoztatási kötelezettséggel jár az érintett felé. A tájékoztatás, attól függően, hogy az adatokat honnan szereztük, különböző dolgokra kell kiterjednie.

Amennyiben a személyes adatokat magától az érintettől szerezzük be, a tájékoztatásnak az adatkezelés időpontjában következőkre kell kiterjednie:

  • az adatkezelő (és ha van neki, a képviselője) kiléte és elérhetőségei
  • ha van ilyen: adatvédelmi tisztviselő elérhetőségei
  • a személyes adatok tervezett kezelésének a célja (ha az eredeti tervtől eltérő cél is keletkezik, külön tájékoztatást fog igényelni) és a jogalapja
  • ha az adatkezelés az adatkezelő, vagy harmadik személy jogos érdekeinek védelme érdekében történik, ezekről a jogos érdekekről tájékoztatni kell
  • adott esetben annak ténye, hogy az adatokat harmadik országba (azaz EU-n kívül) vagy nemzetközi szervezet (ENSZ, WHO, FIFA, stb.) részére kívánja továbbítani
  • a személyes adatok tárolásának időtartama (ha ez nem lehetséges, az időtartam meghatározásnak a szempontjairól kell tájékoztatni)
  • az érintett azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, tiltakozhat személyes adatai kezelése ellen, és tájékoztatni kell az adathordozhatósághoz való jogáról
  • a hozzájárulás visszavonáshoz való jogáról bármely időpontban, bármely okból (a visszavonás előtt végrehajtott adatkezelés jogszerűségét nem érinti) 
  • a felügyeleti hatósághoz való panasz benyújtásának jogáról (a NAIH felé) 
  • arról, hogy az adatkezelés jogszabályi vagy szerződéses kötelezettség miatt történik, a szerződés megkötésének előfeltétele-e a személyes adatok kezelésének, köteles-e adatokat megadni, továbbá, hogy az adatszolgáltatás elmaradása milyen lehetséges következményekkel járhat 
  • ha van profilalkotás vagy automatizált döntéshozatal, erről szintén tájékoztatni kell 
  • a személyes adatok címzettjei, esetleg címzettek kategóriái 

  

Amennyiben a személyes adatokat nem az érintettől szerezzük be, a tájékoztatásnak az következőkre kell kiterjednie:

  • az adatkezelő (és ha van neki, a képviselője) kiléte és elérhetőségei
  • ha van ilyen: adatvédelmi tisztviselő elérhetőségei
  • a személyes adatok tervezett kezelésének a célja (ha az eredeti tervtől eltérő cél is keletkezik, külön tájékoztatást fog igényelni) és a jogalapja
  • az érintett személyes adatok kategóriái
  • a személyes adatok címzettjei, adott esetben kategóriái
  • a személyes adatok címzettjei vagy címzettek kategóriái
  • adott esetben annak ténye, hogy az adatokat harmadik országba (azaz EU-n kívül) vagy nemzetközi szervezet (ENSZ, WHO, FIFA, stb.) részére kívánja továbbítani
  • ha az adatkezelés az adatkezelő, vagy harmadik személy jogos érdekeinek védelme érdekében történik, ezekről a jogos érdekekről tájékoztatni kell
  • a személyes adatok tárolásának időtartama (ha ez nem lehetséges, az időtartam meghatározásnak a szempontjairól kell tájékoztatni)
  • az érintett azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, tiltakozhat személyes adatai kezelése ellen, és tájékoztatni kell az adathordozhatósághoz való jogáról
  • a személyes adatok tárolásának időtartama (ha ez nem lehetséges, az időtartam meghatározásnak a szempontjairól kell tájékoztatni)
  • az érintett azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, tiltakozhat személyes adatai kezelése ellen, és tájékoztatni kell az adathordozhatósághoz való jogáról
  • a hozzájárulás visszavonáshoz való jogáról bármely időpontban, bármely okból (a visszavonás előtt végrehajtott adatkezelés jogszerűségét nem érinti)
  • arról, hogy panasszal fordulhat a felügyeleti hatóság felé (NAIH)
  • a személyes adatok forrása, adott esetben, hogy az adatok nyilvános forrásból származnak-e
  • profilalkotás, automatizált döntéshozatal ténye

Amennyiben az érintett a fenti információkkal már rendelkezik, illetve, ha a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítéssel járna, a fentiekről nem szükséges tájékoztatni. (azért csak tájékoztassuk, az a biztos)

Az érintett hozzáférési joga:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra nézve, hogy a személyes adatainak kezelése folyamatban van-e, ha folyamatban van, jogosult arra, hogy az adatokhoz és a következő információkhoz hozzáférést kapjon: 

  • az adatkezelés célja(i)
  • a személyes adatok kategóriái
  • a személyes adatok címzettjei, címzettek kategóriái
  • a tárolás tervezett időtartama (vagy ha nem lehetséges, az időtartam meghatározásának szempontjai)
  • az érintett azon joga, hogy kérelmezheti az adatok törlését, helyesbítését, a kezelés korlátozását vagy tiltakozhat a személyes adatainak kezelése ellen
  • a panasz benyújtásának jogáról
  • ha az adatokat nem az érintettől szerezték, a forrásokra vonatkozó minden elérhető információ
  • ha harmadik országba, vagy nemzetközi szervezetekhez kerülhetnek az adatok, az érintett jogosult ara, hogy tájékoztatást kapjon a megfelelő garanciákról

Az adatkezelő a személyes adatok másolatát köteles az érintett rendelkezésére bocsátani, ha kéri.

Helyesbítéshez való jog:

Az érintett jogosult személyes adatainak indokolatlan késedelem nélküli helyesbítésére.

Törléshez való jog (az „elfeledtetéshez” való jog)

Ugyanígy indokolatlan késedelem nélkül jogosult az érintett a személyes adatainak a törlésére, ebben az esetben az adatkezelő pedig késedelem nélkül köteles eleget tenni a kérésnek, amennyiben:

  • az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték (ilyenkor alapvetően is törölni kellene, kérés nélkül)
  • az érintett a hozzájárulását visszavonja és az adatkezelésnek nincs más jogalapja
  • jogi kötelezettség teljesítéséhez törölni kell

az adatokat jogellenesen kezelték

Nem élhet az érintett a törléshez való jogával, amennyiben:

  • az a véleménynyilvánítás szabadságához, és a tájékódáshoz való jog gyakorlása céljából 
  • az adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, vagy közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából 
  • népegészségügyi területet érintő közérdek alapján (pl. járványok idején)
  • jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez szükséges

Tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben:

  • Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon adatainak a közhatalmi jogosítvány valamint a „jogos érdek” alapján történő kezelése ellen, ideértve az ezeken alapuló profilalkotást is. Ezekben az esetekben az adatkezelő az adatokat tovább nem kezelheti, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelés olyan kényszerítő erejű jogos ok indokolja, mely elsőbbséget élvez az érintett jogaival szemben.
  • Ha az adatkezelés üzletszerzés céljából történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó adatok e célból történő kezelése ellen, beleértve a profilalkotást is.
  • Ha az érintett tiltakozik a személyes adatai üzletszerzés céljából való kezelése ellen, az adatok a továbbiakban e célból nem kezelhetők.
  • Erre a jogra az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni az érintett figyelmét, és a tájékoztatást a többi információtól elkülönítve kell megjeleníteni.

Automatizált döntéshozatal és Profilalkotás:

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – beleértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékig érintené.

Ez nem alkalmazandó, amennyiben:

  • az adatkezelő és az érintett közötti szerződés megkötéséhez szükséges (de tényleg szükséges)
  • meghozatalát az adatkezelőre vonatkozó uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak védelmét szolgáló intézkedéseket is megállapít
  • az érintett hozzájárulása esetén

Fontos kiemelni, hogy a személyes adatok védelme „technológiailag semlegesnek” kell lennie, azaz, az adatok védelmét a technikai lehetőségeidtől/megvalósításaidtól függetlenül a maximális szinten kell biztosítani. (azaz sajnos nem lehet arra fogni egy esetleges adatvédelmi incidenst, hogy elavult volt a technológia)

III. Egyéb hasznos tudnivalók

Adatvédelmi hatásvizsgálat:

Ha az adatkezelés valamely típusa jellegénél fogva (pl. új technológia miatt) valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, az adatkezelő előzetesen adatvédelmi hatásvizsgálatot köteles elvégezni arra nézve, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Adatvédelmi tisztviselő:

Van pár eset, amikor ki kell jelölni egyet, ami rátok vonatkozhat, az a következő:

  • ha az adatkezelő/feldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé

 

A jogalkotó igyekszik ösztönözni a vállalkozásokat egy saját magatartási kódex megteremtésére, ami hosszú távon egy jó megoldás lehet. A kódexet a NAIH-hoz lehet benyújtani, ami véleményezi és elfogadja/elutasítja a tervezetet. Szintén ösztönzi az elektronikus tanúsítási-rendszer létrehozását a cégeken belül.

SZANKCIÓK A RENDELET MEGSÉRTÉSE ESETÉN:

Szempontok:

  • az eset körülményei
  • jogsértés jellege, súlyossága, időtartama, érintettek száma
  • korábban elkövetett releváns jogsértések
  • a hatósággal való együttműködés mértéke
  • jogsértés által érintett személyes adatok kategóriái
  • ahogyan a hatóság tudomást szerzett a jogsérelemről
  • a jogsértés szándékos vagy gondatlan jellege

A szankció közigazgatási bírság formájában jelentkezik. A lehetséges összegek:

  • 10.000.000-, EURO vagy vállalkozások esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 2%-t kitevő összeggel sújtható. A kettő közül a magasabbat kell kiszabni. 
  • 20.000.000 EURO vagy vállalkozások esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-t kitevő összeggel sújtható. A kettő közül a magasabbat kell kiszabni.

IV. Webshop

(teendők és érdekességek)

Itt főleg azokról az esetekről írok, amikor magánszemélyek vásárolnak webshop használatával, és ennek kapcsán személyes adatok kezelése történik.

A GPDR hatálya kiterjed minden egyes EU-s állampolgárra, akkor is, ha esetleg az adatkezelő (webshop) nem rendelkezik EU-n belüli székhellyel. Tehát, ha EU-ban tartózkodó érintett az ügyben, a GPDR-t kell használni.

A webshop esetében nagy hangsúlyt kap az adatkezelés célja, ami jellemzően kétféle szokott lenni: egyrészt a webshopban kínált termékek értékesítéséhez kapcsolódó adatkezelési cél, másrészt a későbbi, marketing céljából történő adatkezelés, ami tipikusan hírlevél küldéséből, vásárlás utólagos értékeléséből, profilalkotásból áll.

Alapvetően négy feltételnek teljesülnie a jogszerű adatkezeléshez, különösen webshopok esetében:

  • világosan meghatározott cél
  • megfelelő jogalap
  • kellően részletes tájékoztatás
  • az érintettek jogainak megfelelő biztosítása

A legtöbb esetben egy webshop használata az érintett hozzájárulásán alapul. Ekkor fokozottan ügyelni kell arra, hogy a hozzájárulása önkéntességen alapuljon. Itt főleg az arányosságra kell figyelni. Pl. a fő szolgáltatás (jelen esetben a webshop használata, vásárlás) nyújtásának nem lehet feltétele egyéb adatkezelések igénybevételéhez. Azaz, ha az érintett csak vásárolni akar, nem lehet „rákényszeríteni”, hogy hírleveleket kapjon, esetleg profilalkotás alá essen. Magyarán, az érintettnek szabadon kell döntenie arról, hogy a vásárlással kapcsolatos adatkezeléshez való hozzájárulása mellett kíván-e hírleveleket kapni. Ha egy termék megvásárlására csak oly módon történhet meg, hogy előtte beikszeli a marketing célú adatkezeléshez történő hozzájárulást, sérül az önkéntesség elve.

Webshop esetében a jogalap a hozzájáruláson túl lehet pl. szerződés megkötése és előkészítése, hiszen bizonyos szerződéseket csak bizonyos adatok megadásával lehet megkötni minden helyzetben. A jogalap pontos megjelölése fontos, mert a vásárlók számára félrevezető jogalap megjelölése jogsértést valósít meg. (Pl. ha hozzájárulást jelöl be, holott a hozzájárulás a fenti eset szerint lett kikényszerítve).

Az adatkezeléssel kapcsolatos tájékoztatónál fokozottan ügyelni kell arra, hogy a tájékoztatás tömör, érthető, egyértelmű, pontos és mindenre kiterjedőnek kell, hogy legyen. Fontos az is, hogy még időben megkapja az érintett a tájékoztatást. Fokozottan kell ügyelni arra, hogy a tájékoztató mindig, minden esetben eljusson a címzetthez. Nem lesz elég az, ha a weboldalra feltöltésre kerül egy adatvédelmi tájékoztató, akkor sem, ha amúgy a tartalmi követelményeknek esetleg megfelel, mert az adatkezelőnek tudnia kell bizonyítani, hogy az érintett megkapta a megfelelő tájékoztatást. A tájékoztatónak ki kell terjednie arra is, hogy az érintett miként élhet a GPDR biztosította jogaival (pl. az adatok törlése). A tájékoztatót minden más dokumentumtól elkülönítve kell tárolni/feltüntetni, tehát nem lehet az ÁFSZ része.

A másik fontos dolog, amit érdemes megemlíteni a webshopok kapcsán, az a profilalkotás. Minden esetben szükséges tájékoztatni az érintettet mind a profilalkotás tényéről, az alkalmazott módszerekről (erről azért elég dióhéjban is tájékoztatni), továbbá a rá gyakorolt lehetséges hatásokról.

Indokolt a webshopok esetében egy adatfeldolgozó (adatvédelmi tisztviselő) igénybevételére, és a vele kötendő szerződésben megfelelően tisztázni az ellenőrzési és auditálási jogait. Ez pl. azért is rendkívül fontos, mert az érintettek közvetlenül az adatfeldolgozóval szemben érvényesíthetik jogaikat. Ez az adatkezelőt a saját felelőssége alól nem menti fel. Adatvédelmi tisztviselő kinevezése szükséges minden olyan cég esetében, melynek fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél/céljaiknál fogva az érintettek rendszeres, szisztematikus és nagymértékű megfigyelését teszik szükségessé. Pl. a webshopok, amelyek használnak viselkedésalapú reklámokat. Az adatvédelmi tisztviselő bárki lehet, akár a cég alkalmazottja, külsős szakértő, jogász, ügyvéd, stb.

Érdemes kitérni a bankkártyás fizetésekre is, webshop esetében ugyanis ez a domináns fizetési eszköz. Mivel ezt általában egy külső, biztonságos felültetet biztosító szolgáltató bonyolítja le, meg kell figyelni, nem valósul-e meg közös adatkezelés. (Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.) 

 

 Amennyiben bármilyen adatvédelmi incidens merülne fel (bármilyen!), a webshopnak indokolatlan késedelem nélkül, lehetőleg 72 órán belül a tudomásszerzés után be kell jelentenie az adatvédelmi hatóságnak az adatvédelmi incidens jegyzőkönyv kitöltésével (ennek a tartalmát is meghatározz a GPDR). Amennyiben a 72 órából kicsúszunk, azt igazolni kell.

Végül, néhány praktikus kérdés, amit érdemes feltenni, mielőtt belevágunk ebbe az adatkezelős dologhoz:

  • Szükségem van erre a személyes adatra?
  • Fel kell dolgoznom ezt az adatot erre a célra?
  • Mindenkinek szüksége van a hozzáférésre azok közül, akik hozzáféréssel rendelkeznek? (pl. ha az adatokat csak a HR láthatja, akkor ezeket az iratokat olyan irattárolóba kell elhelyezni, amihez csak neki van kulcsa)
  • Elavult az adat? Törölni, módosítani kell?

Legvégül felvetek egy kis problémát, amit a magam részéről óriási ökörségnek tartok, de úgy néz ki, sajnos tényleg foglalkozni kell a kérdéssel:

A céges e-mail cím személyes adat? Sokszor előfordul, hogy egy cég elektronikus levelezési címe név@vállalkozás.hu. Ilyenkor ugyebár már az email cím láttán tudunk egy nevet, munkahelyet és elérhetőséget az érintettről, aminek nem biztos, hogy örülne. VISZONT, mivel céges email cím, fel kell tüntetni a céginformációs hálózatra, ami nyilvános, és bárki bármikor hozzáférhet.

Probléma: ha én ezen az email címen a céges ügyeimmel kapcsolatban levelezek, és mást nem csinálok vele, akkor nem minősül személyes adatnak, legalábbis kezelése nem ütközik a GPDR-ba. Akkor viszont, ha ebbe már belekeveredik 1-2 személyes, akár családi levelezés is, máris személyes, esetenként különleges adatok kerülhetnek bele…. a céges levelezésedet viszont át kell adnom a munkáltatónak, amikor vége a jogviszonyodnak… kíváncsi vagyok, a jogrendszer mit kezd vele…

NE csináljatok ilyen email címet, a céges email meg maradjon céges email…

Remélem valamennyit segített