2018. ápr 20.

Így előzd meg a GDPR-bírságot!

írta: Rákóczi Piroska, a blogger a bloggerekért
Így előzd meg a GDPR-bírságot!

Sokan tudják már, hogy mi fán terem a GDPR, de azon kevesek kedvéért, akik nem elmondom. A GDPR egy olyan EU-s rendelet, mely az EU polgárainak személyes adatainak védelmét szolgálja. Hogy ez a védelem megvalósuljon minden olyan szervezetnek, amely kényes adatokat kezel, intézkedéseket kell tennie, hogy az általa kezelt adatokhoz illetéktelenek ne férhessenek hozzá, és az azok, akikről az adatokat rögzítik könnyen rendelkezhessenek a saját adataik fölött (pl. kikérhessék a róluk vezetett adatokat.)

Ahhoz, hogy ez a védelem minél biztosabb legyen, több intézkedést is kell tennie az adatkezelőnek. Persze sok adatkezelő van, akinek ezeket az intézkedéseket nem kell végrehajtani.

gdpralapelvek.jpg

A most következő cikkben röviden ismertetem, hogy milyen esetekben kötelező egy szervezetnek az adatvédelmi intézkedéssort megvalósítani. Ha nem teszi, akkor bírságot kell fizetnie.

Mivel a rendeletben több társasház-kezelő érintett, ezért jó, ha egy társasházi tulajdonos is tisztában van a GDPR alapjaival. Az érintettek jó, ha csatlakoznak a Társasház-kezelők GDPR Csoportjához a Facebookon. Sok kérdést már megoldottunk, de...

Nézzük, akkor a teendőket és az érintettek körét!

1. Hatásvizsgálatot kell végezni. (Francia metódus van rá, megismerhető, letölthető a NAIH honlapjáról.)

Kinek kell hatásvizsgálatot készíteni?

Akinél vannak olyan személyekre vonatkozó adatok, amelyekkel bármi olyan történhet, ami magas kockázatot jelent a személyek számára. (Pl. cégvezető laptopján az összes partner adata.)

Melyek lehetnek azok a szervezetek, ahol kötelező ezt a hatásvizsgálatot véghezvinni?

pl. ha több mint 250 dolgozója van egy cégnek, akkor kötelező.

Akkor is kötelező, ha az alábbiakból, legalább kettő megvalósul egy társasházban.

pl. Nagy adattartalmú CRM van a társasház-kezelőnél (akkor is, ha papíralapú),

pl. Kamera van a házban, amin a lakók is megfigyelhetők,

pl. GPS-koordinátákkal követik a társasház-kezelők teherautóit,

pl. IoT vagy más új technológiát alkalmaznak.

Akkor mik a teendők?

1.1. Azonosítani kell a magas kockázatú adatkezelést.

1.1.1. Létre kell hozni egy munkacsoportot a társasházon belül. Tagjai: IT szakember, jogász, közös képviselő, könyvelő.

1.1.2. A csoportnak be kell azonosítani a magas kockázatú adatkezelési helyzeteket.

1.2. A csoportnak cselekvési tervet kell készíteni a kockázatok csökkentésére.

1.3. Erről a csoportnak egy dokumentumot kell készíteni.

1.4. A hatásvizsgálatot meg kell vizsgálnia egy adatvédelmi tisztviselőnek és a végleges változatot jóvá kell hagynia.

1.5. Adatkezelési Szabályzatot kell írni.

1.6. Az Adatkezelési Szabályzatban leírt szabályokat be kell tartani.

2. Végre kell hajtani a hatásvizsgálat által feltárt teendőket.

Fontos! A hatásvizsgálatot minden új projektnél (pl. beléptető kártyát vezetnek be) le kell folytatni. Ez nem egy egyszeri feladat, hanem folyamatos.

Ha bizonytalan a vezető, hogy társasházának kell-e hatásvizsgálat, akkor megvárhatja, hogy a NAIH kitegye a listáját, hogy milyen estekben és milyen cégeknél kötelező a hatásvizsgálat. Ez sokára várható, mert ezt egy EU-s intézmény fogja összeállítani. 

3. Szerződést kell kötni az adatkezelőnek az adatfeldolgozóval.

Mi a különbség az adatkezelő és az adatfeldolgozó között? Az adatkezelő határozza meg az adatfeldolgozás célját, ő ad utasításokat az adatfeldolgozónak, és övé a nagyobb felelősség, ha incidens következik be. (Magyarán, ha te vagy a honlap tulajdonosa és van egy tárhelyszolgáltató és föltörik a honlapodat, akkor úgy kell szerződnöd a tárhelyszolgáltatóval, hogy az adatlopásért ne téged bírságoljanak.)

Nagyon fontos, hogy a szervernek fizikailag az EU területén kell lennie, mert ún. harmadik országba tilos személyes adatot kivinni.

4. Adatkezelési tájékoztatót kell készíteni, amihez bármely tulajdonos hozzáférhet

Formai követelmények:

rövid legyen; ne jogász nyelven, hanem köznapi nyelven írják; ahol lehet, ott a tartalmat ikonok mutassák be; strukturált legyen, azaz pontokban és alpontokban legyen összerendezve vagy táblázatba legyen foglalva a szöveg; pdf formátum használata tilos; törvények és rendeletek paragrafusaira hivatkozás tilos.

Tartalmazza a következőket:

4.1. Ki gyűjt adatot.

4.2. Milyen céllal gyűjti az adatokat.

4.3. Milyen adatokat gyűjt.

4.5. Milyen jogalapon gyűjti az adatokat.

4.6. Mennyi ideig tárolja az adatokat.

4.7. Hol lehet panaszt tenni az adatgyűjtő ellen.

4.8. Ki az adatfeldolgozó és melyek az ő elérhetőségei.

Problémák:

sok a szöveg, hogy férne el rövid tájékoztatóban;

nem lehet benne törvénypontokra hivatkozni, így sok mindent körül kell írni, ami szintén hosszúvá teszi a szöveget;

egységesen elfogadott és közismert ikonok a témában (még) nincsenek.

Megoldási javaslat:

legyen rövid szöveg belinkelt szavakkal és a linkeken a bővebb magyarázatokat tartalmazó aloldalakhoz lehessen eljutni. 

Mit kell jelenteni a NAIH-nak?

Ha adatvédelmi incidens van. (Pl. föltörték a honlapot vagy elveszett a HR-es kolléga laptopja.)

Ha szüksége van a társasháznak adatvédelmi tisztviselőre, akkor be kell jelenteni a tisztviselő nevét és elérhetőségeit. Nem tartom valószínűnek, hogy egy társasháznak kellene adatvédelmi tisztviselő állandóna, de egyszer a szabályzat ellenőrzésére föl kell kérni valakit.

Van-e az egészre türelmi idő?

Nincs, mert 2 éve tudható, hogy idén május 25-től lép érvénybe a rendelet az EU egész területén. Fontos! Mivel rengeteg még a bizonytalanság és az EU-s szervezet, amely a témával foglalkozik is csak május 25-én alakul, így ha valakin látszik, hogy tett intézkedéseket, de lehet hogy hibázott vagy nincs minden teljesen készen, akkor nagyon enyhe bírságra számíthat.

Mi a rendelet be nem tartásának jogkövetkezménye?

Bírság. Maximális összege 20 millió euró.

Szólj hozzá