Felkészülés az adatvédelmi rendeletre: 4. rész

Közzétéve szeptember 24, 2016 | Szerző: Dr. Kulcsár Zoltán

Az ICO által javasolt felkészülési útmutató következő három lépése:

8. Gyermekek jogai

Már most gondolkozzon el különböző ügymenetek bevezetésén, melyekkel igazolhatja a személyek korát, és melyekkel szülői vagy törvényes képviselői beleegyezést szerezhet az adatkezelési folyamatokhoz.

Az új általános adatvédelmi rendelet (továbbiakban GDPR) most először speciális védelmet fog biztosítani a gyermekek személyes adatainak, különös tekintettel az olyan internetes szolgáltatások esetén, mint például a közösségi oldalak. Röviden, amennyiben szervezete gyermekekről gyűjt információkat – az Egyesült Királyságban ez valószínűleg a tizenhárom év alatti gyermekekre fog vonatkozni (Magyarországon 16. év marad a korhatár – a szerk.) –, akkor szüksége lesz egy szülő vagy gondviselő beleegyezésre, hogy törvényesen kezelhesse a személyes adataikat. Ennek jelentős vonzatai lehetnek, amennyiben az Ön szervezete gyermekeknek nyújt szolgáltatásokat, és ehhez személyes adatokat gyűjt be tőlük. Ne felejtse el, hogy a hozzájárulásoknak ellenőrizhetőknek kell lenniük, és amennyiben gyermekek adatait gyűjti be, az adatkezelési tájékoztatót úgy kell megfogalmaznia, hogy azt a gyermekek is megértsék.

9. Az adatok kiszivárgása

Bizonyosodjon meg róla, hogy megfelelő eljárásokat alkalmaz a személyes adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására.

Néhány szervezetnek már most jelentenie kell az adatvédelmi hatóságnak (és talán más egyéb testületnek is), ha a személyes adatok kiszivárognak. Azonban a GDPR egy átfogó bejelentési kötelezettséget vezet be. Ez sok szervezet számára új lehet. Nem kell majd minden esetet bejelenteni az adatvédelmi hatóságnál – csak azokat, melyek során a magánszemélyeket valószínűsíthetően valamilyen kár érheti, például személyazonossággal való visszaélés vagy titoktartási követelmények megszegése esetén.

Érdemes már most meggyőződnie arról, hogy eljárásai megfelelően képesek kiszűrni, jelenteni és kivizsgálni a személyes adatok kiszivárgását. Ez jelentheti az Önnél lévő adatok típusainak felbecsülését, valamint annak dokumentálást, hogy melyek esnek a bejelentési kötelezettség alá, amennyiben kiszivárognak. Néhány esetben értesítenie kell azon természetes személyeket is, akiknek az adatait közvetlenül érinti az incidens, például ha az anyagi veszteséggel járhat számukra. A nagyobb szervezeteknek irányelveket és eljárásokat kell kidolgozniuk, hogy kezelni tudják az adatok kiszivárgását – történjen az akár központi, akár helyi szinten. Vegye figyelembe, hogy a kiszivárgás jelentésének elmulasztása, amennyiben megkövetelt lenne, bírságot von maga után, ahogy maga a kiszivárgás is.

10. Beépített adatvédelem, adatvédelmi hatásvizsgálat

Nézze át az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról (PIAs) , és tervezze meg, hogy szervezete hogyan kivitelezi azokat. Ez az útmutató tájékoztatást ad arról, hogy az adatvédelmi hatásvizsgálat hogyan kapcsolódhat más, szervezeti folyamatokhoz, mint például a kockázat- és projektkezeléshez. El kell kezdenie felbecsülnie azokat a helyzeteket, melyeknél szükséges lesz adatvédelmi hatásvizsgálatra. Ki fogja elvégezni? Kinek kell még részt vennie benne? Központilag vagy helyileg futtatják le a folyamatot?

Mindig is jól bevált módszer volt a beépített adatvédelmi megközelítés bevezetése, és az adatvédelmi hatásvizsgálat ennek részeként való lefolytatása. A beépített adatvédelem és az adatminimalizálási megközelítés mindig is magától értetődő követelménye volt az adatvédelmi elveknek. Azonban a GDPR ezeket kifejezett jogi követelményekké teszi.

Vegye figyelembe, hogy nem kell mindig lefuttatnia a PIA-t – az adatvédelmi hatásvizsgálato nagy kockázatú helyzeteknél követelik meg, például egy új technológia bevetésénél.

(Forrás: https://dpreformdotorgdotuk.files.wordpress.com/2016/03/preparing-for-the-gdpr-12-steps.pdf)

Kategória: Uncategorized | Címke: , , , , , , , , , | Hozzászólás most!

Felkészülés az adatvédelmi rendeletre: 3. rész

Közzétéve augusztus 14, 2016 | Szerző: Dr. Kulcsár Zoltán

Az ICO által javasolt felkészülési útmutató következő három lépése:

5. Az érintettek hozzáférési joga

Aktualizálja eljárásait és tervezze meg, hogyan fogja kezelni a kérelmeket az új szabályok szerint, és hogyan nyújt további tájékoztatást.

Az érintettek hozzáférési jogára vonatkozó szabályok a GDPR értelmében megváltoznak. A legtöbb esetben nem számolhat fel költséget a kérelmek teljesítése után, és általánosságban véve egy hónap áll majd a rendelkezés végrehajtására. Az érintettek hozzáférési kéréseinek visszautasítására különböző okok állnak majd rendelkezésre – a megalapozatlan vagy túlzó kérelmek után díjat számolhat fel vagy elutasíthatja őket. Amennyiben vissza szándékozik utasítani egy kérelmet, szükséges, hogy kéznél legyenek azok az irányelvek és eljárások, melyekkel bizonyíthatja, hogy a kérelem miért nem felel meg a kívánt kritériumoknak.

Ezenkívül, egyéb információkkal is szolgálnia kell azoknak, akik kérelmet nyújtanak be, például az adattárolás időtartamáról, vagy a pontatlan adatok helyesbítésére vonatkozó jogokról. Amennyiben az Ön szervezete nagy mennyiségű hozzáférési kérelmeket kezel, a változások hatása jelentős lehet, így érdemes alaposan végiggondolnia a kérelmekkel való gyorsabb eljárás és a további információszolgáltatás logisztikai velejáróit. Az adminisztratív költségek jelentős részét megspórolhatja szervezetének, ha olyan rendszert fejleszt ki, amely lehetővé teszi az információ könnyű, online hozzáférését. A szervezeteknek érdemes megfontolnia az online adathozzáférés költség/haszon elemzésének levezetését.

6. A személyes adatok kezelésének jogalapja

Nézze át az Ön által végrehajtott adatkezelések különböző típusait, határozza meg kezelésük jogalapját, és dokumentálja azt.

Sok szervezet esetleg nem gondol a személyes adatok kezelésének jogalapjára.

Az adatvédelmi tájékoztatóban, illetve amikor az érintettek hozzáférési kéréseire válaszol, fel kell tüntetnie a személyes adatok kezelésének jogalapját. A GDPR jogalapjai nagy vonalakban megegyeznek a korábbi jogalapokkal, így lehetősége van átnéznie a jelenleg futó adatkezelései különböző típusait és meghatároznia az azokra vonatkozó jogalapot. Ezt érdemes dokumentálnia is, hogy eleget tegyen a GDPR „elszámoltathatósági” követelményeinek.

7. Hozzájárulás

Vizsgálja felül, hogyan igényli, szerzi meg és dokumentálja a hozzájárulásokat, és hogy kell-e változtatásokat tennie.

A GDPR-ben is vannak hivatkozások mindkét beleegyezési formára („beleegyezés” és „kifejezett beleegyezés”). A különbség a kettő között nincsen egyértelműen megadva, lévén hogy mindkét beleegyezési formának díjmentesnek, specifikusnak, megfelelő tájékozottságon alapulónak és egyértelműnek kell lennie. A hozzájárulásoknak ezenkívül jelölniük kell a beleegyezést a személyes adatok felhasználásához – nem alapulhat hallgatásból való vélelmen, előre bejelölt check box-on vagy inaktivitáson. Amennyiben hozzájárulás alapján kezeli az adatokat, győződjön meg róla, hogy azok megfelelnek a GDPR által elvárt szabályoknak. Ha nem, változtassa meg a hozzájárulási folyamatok szerkezetét vagy találjon rá alternatív megoldást. Vegye figyelembe, hogy a beleegyezéseknek ellenőrizhetőknek kell lenniük, és hogy a természetes személyek általánosságban véve erősebb jogokkal rendelkeznek.

A GDPR egyértelműen kijelenti, hogy az adatkezelőknek minden esetben be kell tudni mutatniuk, hogy a beleegyezés megtörtént. Éppen ezért érdemes felülvizsgálnia a jelenlegi, beleegyezéseket nyilvántartó rendszerét, hogy biztosítsa annak megfelelő visszavezethetőségét.

Kategória: Uncategorized | Címke: , , , , , , , | Hozzászólás most!

Felkészülés az adatvédelmi rendeletre: 2. rész

Közzétéve június 30, 2016 | Szerző: Dr. Kulcsár Zoltán

Az ICO által javasolt következő két lépés:

3. Tájékoztatás

Nézze át a jelenlegi adatvédelmi tájékoztatóit, és tervezze meg időben a szükséges változtatásokat az általános adatvédelmi rendelet (továbbiakban GDPR) végrehajtására.

Személyes adat gyűjtésénél olyan bizonyos információkkal kell szolgálnia, mint például az Ön személyazonossága, vagy az, hogy hogyan szándékozik felhasználni a megszerzett információkat. Ez általában egy adatvédelmi nyilatkozat, tájékoztató segítségével történik. A GDPR értelmében azonban egyéb tájékoztatás is szükséges. El kell magyaráznia, például azt, hogy:
– milyen jogalappal kezeli az adatokat,
– mindenkinek jogában áll panaszt tenni az adatvédelmi hatóság felé, amennyiben úgy véli, nem megfelelően kezeli az adataikat,
– illetve ismertetnie kell az adattárolás határidejét.
Vegye figyelembe, hogy a GDPR lényegre törő, könnyen követhető, egyértelmű nyelvezetet használó információnyújtást vár el.

 

4. Az érintettek jogai

Ellenőrizze eljárásait, hogy azok minden, személyhez fűződő jogot szem előtt tartanak.

A magánszemélyek jogai a GDPR értelmében a következők lesznek:

• az érintettek hozzáférési joga
• a helyesbítéshez való jog
• a személyes törléséhez való jog
• a direkt marketing elleni tiltakozás
• az automatikus döntéshozás és profilalkotás megakadályozása, valamint
• az adathordozhatóság.

Egészében véve, a GDPR értelmében a magánszemélyek jogai ugyanazok lesznek, mint a jelenlegi adatvédelmi törvény esetén, azonban néhány jelentős módosítással. Ha már most is kész megadni a magánszemélyeknek az őket megillető jogokat, akkor a GDPR-ra való átállása viszonylag könnyű lesz. Itt az ideje, hogy ellenőrizze az eljárásait és kidolgozza, hogyan reagálna, ha valaki, például, személyes adatának törlését kérné Öntől.

Az adathordozhatósághoz való jog új kiegészítés. Ez az érintettek hozzáférésének megerősített formája, mely során az adatokat elektronikus úton és az általánosan bevett formátum szerint kell megosztania. Sok szervezet eddig is így kezelte az adatokat, de ha Ön papír alapú nyomtatványokat, vagy nem a megszokott elektronikus formákat használ, most megfelelő alkalom kínálkozik eljárásainak átdolgozására, és a szükséges változtatások elvégzésére.

Kategória: Adatvédelmi rendelet | Címke: , , , , , , , | Hozzászólás most!

Őszi adatvédelmi képzések 2016

Közzétéve június 16, 2016 | Szerző: Dr. Kulcsár Zoltán

Őszi adatvédelmi oktatások – 2016

Idén először lesz szó a 2018-ban hatályba lépő új európai adatvédelmi rendeletről, amelyre érdemes időben felkészülni. Emellett a szokásos adatvédelmi képzések várják a kedves érdeklődőket.


Képzési naptár

augusztus 29.   Adatvédelmi Felelős Képzés – 2 nap Dr. Kulcsár Zoltánnal
szeptember 08. – Kamerás megfigyelőrendszerek adatvédeleme, legális használata
szeptember 12. – Adatvédelmi felelős Képzés – 2 nap Dr. Kulcsár Zoltánnal
október 20. – Új európai adatvédelmi rendelet – Hogyan készüljünk fel az EU új általános adatvédelmi rendeletére?

Minden érdeklődőt szeretettel várunk! 🙂

Részletek és jelentkezés a képzéseket szervező Infoszféra Kft. honlapján: http://www.infoszfera.hu/category/rendezvenyek/adatvedelmi/

Kategória: Uncategorized | Címke: , , , , , , | Hozzászólás most!

Felkészülés az adatvédelmi rendeletre: 1. rész

Közzétéve június 13, 2016 | Szerző: Dr. Kulcsár Zoltán

Az Egyesült Királyság adatvédelmi hivatala (ICO) által javasolt első két lépés:

1. Adatvédelmi tudatosság

Győződjön meg róla, hogy szervezetének döntéshozói és vezetői tudatában vannak annak, hogy a szabályozás az új általános adatvédelmi rendelet (továbbiakban GDPR) értelmében módosul. Fontos, hogy meghatározzák azokat a területeket, melyekre a GDPR hatással lehet.

A GDPR bevezetésének jelentős forrásbeli vonzatai lehetnek, főleg a nagyobb és összetettebb szervezeteknél. A GDPR két éves bevezető periódusának elejét különösen érdemes a közelgő változásokra való figyelemfelhívásra fordítani. Nehezebbnek találhatja az átállást, ha az utolsó pillanatra hagyja az előkészületeket.

2. Tárolt adatok

Dokumentálja az Önnél lévő személyes adatokat, hogy honnan származnak és kivel osztja meg azokat. Szükséges lehet egy adatvédelmi audit a szervezet egészére, vagy az egyes üzleti területekre.

A GDPR az egyes jogokat a jelenlegi, hálózatokon alapuló világhoz igazítja. Ha, például, olyan pontatlan személyes adatok birtokában van, amelyeket egy másik szervezettel is megosztott, tájékoztatnia kell az illetékes szervezetet a pontatlanságról, hogy ők is javíthassák feljegyzéseiket. Ez azonban csak akkor lehetséges, ha tisztában van az Önnél lévő személyes adatokkal, azok származásával, illetve azzal, hogy kivel osztotta meg azokat. Mindezt dokumentálnia kell. Ezáltal eleget tehet a GDPR elszámoltathatósági elvének is, mely megköveteli a szervezetektől, hogy azok számot tudjanak adni az adatvédelmi elvek teljesítéséről, például a hatékony irányelvek és eljárások bevezetése által.

(Forrás: https://dpreformdotorgdotuk.files.wordpress.com/2016/03/preparing-for-the-gdpr-12-steps.pdf)

Kategória: Adatvédelmi rendelet | Címke: , , , , , , , | Hozzászólás most!

Felkészülés az EU új általános adatvédelmi rendeletére

Közzétéve május 22, 2016 | Szerző: Dr. Kulcsár Zoltán

2016. március 14-én az Egyesült Királyság adatvédelmi hivatala (ICO) közzétett egy útmutatót, amely 12 lépésben segít felkészülni a 2018-ban hatályba lépő új adatvédelmi rendeletre. A listával könnyebb átlátni a jelenlegi törvény és az új rendelet közötti különbségeket. Az elkövetkezendő néhány hónapban az ICO további új útmutatókat és egyéb segédanyagokat állít majd elő, hogy segítse a felkészülést. A magyar Infotv. kapcsán más alapokból kell majd kiindulni, ezért mások lesznek a prioritások is, de listára így is érdemes figyelmet fordítani.

ICO által javasolt 12 lépés az alábbi:

  1. Tudatosság
    Győződjön meg róla, hogy szervezetének döntéshozói tudatában vannak annak, hogy az általános adatvédelmi rendelet módosul.
  2. A meglévő információ
    Dokumentálja az Önnél lévő információkat, hogy honnan származnak és kivel osztja meg azokat. Szükséges lehet elvégeznie egy felülvizsgálatot.
  3. Az adatvédelmi információk átadása
    Nézze át a jelenlegi adatvédelmi nyilatkozatait és tervezze meg időben a szükséges változtatásokat.
  4. A személyhez fűződő jogok
    Ellenőrizze eljárásait, hogy azok minden személyhez fűződő jogot szem előtt tartanak, beleértve a személyes adatok törlését vagy az adatközlés elektronikus és általánosan bevett formáit.
  5. Az érintettek hozzáférési kérvényei
    Aktualizálja eljárásait és tervezze meg, hogyan fogja kezelni a kérelmeket az új eljárás szerint, és hogyan nyújt további információkat.
  6. A személyes adatok feldolgozásának jogalapja
    Nézze át az Ön által végrehajtott adatfeldolgozások különböző típusait, határozza meg végrehajtásuk jogalapját, és dokumentálja azt.
  7. Beleegyezés
    Vizsgálja felül, hogyan igényli, szerzi meg és jegyzi fel a beleegyezéseket, és hogy kell-e változtatásokat tennie.
  8. Gyermekek
    Már most gondolkozzon el különböző ügymenetek bevezetésén, melyekkel igazolhatja a magánszemélyek korát, és melyekkel szülői vagy gondviselői beleegyezést szerezhet az adatfeldolgozó folyamatokhoz.
  9. Az adatokat érő jogsértések
    Bizonyosodjon meg róla, hogy megfelelő eljárásokat alkalmaz a személyes adatokat érő jogsértések kiszűrésére, jelentésére és kivizsgálására.
  10. Adatvédelem beépített adatvédelem és adatvédelmi hatásvizsgálatok által (DPIA)
    Nézze át az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról, és tervezze meg, hogy szervezete hogyan és mikor kivitelezi azokat.
  11. Adatvédelmi munkatárs
    Ha szükséges, jelöljön ki egy adatvédelmi munkatársat, aki az adatvédelmi előírásoknak való megfelelésért lesz felelős, mérje fel, hogy szervezeti rendszerén belül hol lesz szerepe, és vigye véghez a szükséges intézkedéseket.
  12. Nemzetközi szint
    Ha az Ön szervezete nemzetközi szinten működik, határozza meg, melyik adatvédelmi felügyeleti fennhatóság alá tartozik.

A következő hetekben részletezni fogjuk a fentebb említett 12 lépést.

(Forrás: https://www.huntonprivacyblog.com/files/2016/03/preparing-for-the-gdpr-12-steps.pdf)

Kategória: Adatvédelmi rendelet | Címke: , , , , , , , | Hozzászólás most!

Kihirdették az általános adatvédelmi rendeletet

Közzétéve május 4, 2016 | Szerző: Dr. Kulcsár Zoltán

Az Európai Unió Hivatalos Lapjának mai számában megjelent
az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

A rendelet több nyelven is elérhető a http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.HUN&toc=OJ:L:2016:119:TOC címen, ahol PDF-ben is letölthető a joganyag.

Folyamatosan követjük a magyar kapcsolódó jogalkotást is.

Kategória: Adatvédelmi rendelet | Címke: , | Hozzászólás most!

Az Európai Parlament egyhangúan elfogadta az új adatvédelmi rendeletet

Közzétéve április 20, 2016 | Szerző: Dr. Kulcsár Zoltán

„Az utolsó szavazás is lezajlott Európa adatvédelmi törvényeinek megreformálására az Európai Parlamentben. Az EP tagok hozzájárulása több mint négy év munkáját hozza közelebb, mely frissítené a meglévő, 1995-re visszanyúló szabályzást.” – írja a techcrunch.com.

Frans Timmermans Európai Bizottság alelnök, és Věra Jourová EB tag közös nyilatkozatában örömmel fogadta a reform elfogadását: „Az új szabályzás biztosítani fogja, hogy az alapvető emberi jog a személyes adatok védelméhez mindenki számára garantált legyen. Az új általános adatvédelmi rendelet a fogyasztók bizalmának növelésével, valamint az egységes és tiszta szabályokkal segíti majd az EU Digitális Piacát.”

A mostani szavazás volt az utolsó szakasza az elfogadási folyamatnak. Az általános adatvédelmi rendeletet mostantól bevezetik mind a 28 tagállam jogrendszerébe az elkövetkezendő két évben , a szabályozás 2018-ban lép majd hatályba.

 

Forrás: 
http://techcrunch.com/2016/04/14/european-parliament-adopts-tough-new-data-protection-rules/
http://europa.eu/rapid/press-release_STATEMENT-16-1403_en.htm

Kategória: Adatvédelmi rendelet | Címke: , , , , , , , | Hozzászólás most!

Megjelent az új európai adatvédelmi rendelet

Közzétéve április 7, 2016 | Szerző: Dr. Kulcsár Zoltán

Megjelent az új európai adatvédelmi rendelet egységes szövege.

Nálunk már elérhető a végleges változat is magyarul:
ITT megnézheti!

Kategória: Adatvédelmi rendelet | Címke: , , , , , , , , , | Hozzászólás most!

A digitális lábnyomaink

Közzétéve március 3, 2016 | Szerző: Dr. Kulcsár Zoltán

Gondolom mindenki észrevette már, hogy a hirdetések egyre személyesebbek, és pontosabbak. Úgy érezzük, hogy az „internet” egyre jobban ismer minket, tudja (jobban, mint mi), hogy mire van szükségünk.  Tudja, hogy mikor merre járunk, és ott valószínűleg mire lesz szükségünk. Honnan ismer minket?

Megadjuk születési dátumunkat, lakhelyünket, érdekeltségeinket, kapcsolatainkat és így tovább. És ezzel nincs is semmi gond. Amikor tudom, hogy mely adatok kerülnek megosztásra a hozzájárulásommal, akkor bizonyos honlapok tudtára akarom adni a szokásaimat, hobbijaimat és érdekeltségeimet.
Mi van azzal, amiről nem tudunk, és nem járulunk hozzá? Minden egyes kattintás, érintés nyomot hagy rólunk az interneten. Ezek a digitális lábnyomaink. A nyomok követésére egy egész iparág épül, melynek a neve: Online Behavior Tracking. Cégek százai dolgoznak azon, hogy kialakítsák mindnyájunk digitális profilját.

Hogyan jobban lássuk miről is van szó, az alábbi grafikont egy Lightbeam nevezetű Firefox kiegészítő készítette, kb. két perces internetezés és három meglátogatott oldal után.

lightbeam grafikon

Ez a vizualizáció megmutatja, hogy milyen oldalakkal álltam kapcsolatban. A kör jelzi a közvetlenül meglátogatott site-okat, a háromszög viszont olyan oldalakat jelöl, amelyek szintén nyomon követtek, de nincs semmi közöm hozzájuk, egy úgynevezett „third party” site-ok. Ezek az oldalak egy kapcsolat hálót alkotnak, hogy képet alkothassanak rólam az interneten.

Miért történik mind ez? Egyszerű, mert hatalmas üzlet. A cégek óriási összegeket fizetnek a leendő ügyfelek megtalálásért. Az információért, amelynek segítségével jobban tudják szegmentálni a termékeiket vagy szolgáltatásaikat. Hiszen ha meg van a tökéletes ügyfél, akkor van árbevétel.

Ez ellen sajnos nem nagyon tudunk mit tenni, magánszféra az internet világában sajnos nem létezik. Ugyan a követések egy részét blokkolhatjuk a Lightbeam-el, de nem leszünk teljesen láthatatlanok. Azonban arra figyelhetünk, hogy milyen plusz információkat adunk meg magunkról. Az oktatási rendszerünk egyik elsődleges feladata kellene legyen, hogy felkészítsen minket a digitális térben való megjelenésünkre.  Az interneten megjelenő tartalom kitörölhetetlenül megmarad. Évek múlva előfordulhat, hogy olyan pozícióba kerülünk, melyre könnyen fenyegetést jelenthet egy régen megosztott, nem oda illő kép. Fontos, hogy odafigyeljünk, és törekedjünk a tudatos internetezésre.

Kulcsár Bálint

Kategória: Internet | Címke: , , , , , | 1 hozzászólás