Mi a GDPR?
A GDPR rendelet az EU új általános adatvédelmi szabályozása, amelyet 2018. május 25-től kötelező jelleggel, valamennyi tagálamban – így Romániában – is közvetlenül alkalmazni kell. Akár tetszik, akár nem.
Kire vonatkozik a rendelet?
Gyakorlatilag bármely szervezetre, aki tevékenysége során személyes adatokat kezel. Ezek lehetnek ügyfelek, partnerek, munkavállalók adatai stb. Az érintettség nem függ a szervezet jellegétől, konkrét formájától, vagy méretétől.
Tehát minden bizonnyal Te is érintett vagy az ügyben.
Mire számíthatunk, ha nem felelünk meg a GDPR előírásainak?
Ilyen esetekben súlyos következményekkel – elsősorban komoly költségekkel – kell számolni! A rendeletben foglaltak megsértéséért kiróható bírság felső határa 20 000 000 euró, vagy az előző év piaci forgalmának a 4%-a – a kettő közül a magasabb összeg! (Ezt még leírni is rossz volt.)
Változást hoz a GDPR rendelet?
Igen. A GDPR az eddigi adatkezelési, adatvédelmi szabályozáshoz képest főként eljárási szempontból, különösen a dokumentáció területén hoz komoly változásokat.
Mekkora kihívást jelent a felkészülés?
Általában jelentős kihívást! A jogszabály értelmezése, sőt puszta átolvasása is komoly erőfeszítést igényel és igencsak időigényes folyamat. A teendők meghatározásához és a GDPR szerinti adatkezelés kialakításához adatvédelmi, jogi, informatikai szaktudás egyaránt szükséges, a rendeletnek megfelelő folyamatos működéshez pedig elengedhetetlen az érintett vezetők és alkalmazottak képzése. Ezen kívül előfordulhat, hogy bizonyos szervezeti intézkedéseket, illetve beszerzéseket is szükségessé tesz az új követelményekhez való igazodás. Szóval készülj fel, hogy nem leszel túl rajta pillanatokon belül…
Fel kell-e készülni az új jogszabály alkalmazására?
Természetesen! A cégek, szervezetek többségének személyes adatok kezelésével, védelmével kapcsolatos gyakorlata nagy valószínűséggel nem felel meg mindenben az új előírásoknak.
Mennyi idő van a felkészülésre?
Nincs idő! A rendeletet 2018 május 25-től Romániában is alkalmazni kell!
Szolgáltatásaink
Mi, a minic studio, teljes körű GDPR felkészítést végzünk képzett külső szakértők bevonásával.
Az együttműködést minden esetben a vállalkozás jellemzőinek, körülményeinek, tevékenységeinek és folyamatainak alapszintű feltérképezésével indítjuk. Erre építjük a teljes adatvédelmi szolgáltatáscsomagunkat, amely tökéletesen átfogja a GDPR felkészülés egyes lépéseit:
GAP analízis készítése
GAP analízis, vagy másként rés elemzés segítségével meghatározzuk azokat a területeket, folyamatokat, ahol jelenlegi, személyes adatokkal kapcsolatos adatkezelési és adatvédelmi gyakorlatod nem felel meg a GDPR szerinti követelményeknek. Az elemzés alapján felvázoljuk a GDPR kompatibilitáshoz szükséges intézkedéseket.
Adatkezelési tevékenységek nyilvántartásának összeállítása
A céged által folytatott valamennyi adatkezelési tevékenységre vonatkozó információ alapján összeállítjuk az adatkezelési tevékenységeid nyilvántartását, a GDPR 30. cikkében meghatározottak szerint.
Adatvédelmi hatásvizsgálat elvégzése, dokumentálása
Az adatkezelési műveleteid megvizsgálásával és a kockázatok felmérésével megállapítjuk, hogy cégednek, a GDPR előírásai szerint, az egyes adatkezelési műveletek tekintetében szükséges-e adatvédelmi hatásvizsgálatot végeznie. Amennyiben igen, lebonyolítjuk és megfelelően dokumentáljuk a hatásvizsgálatot.
Adatvagyon felmérés
Azonosítjuk azokat a rendszereket, nyilvántartásokat, amelyekben a céged személyes adatokat kezel, továbbá azokat a szervezeti egységeket, illetve külső, szerződéses partnereket, akik hozzáféréssel rendelkeznek és részt vesznek a kapcsolódó műveletekben. A vizsgálat adott esetben kiterjed az esetleges harmadik országbéli hozzáférésekre is. A lényeg, hogy az adatvagyonod egészére és minden adatkezelési műveletedre kiterjedhessen a GDPR megfelelés vizsgálata és biztosítása.
IT fejlesztési terv készítése
Az IT felmérés alapján, figyelembe véve egyéb vizsgálataink eredményeit is, az IT fejlesztési terv keretei között teszünk javaslatot a GDPR megfelelés támogatásához nélkülözhetetlen információs technológiai vonatkozású intézkedésekre.
Adatvédelmi tanácsadás
Folyamatos adatvédelmi tanácsadói szolgáltatást ajánlunk, amelynek keretében az esetleges jogszabály változásokból, jogértelmezési gyakorlatokból kifolyó módosításokat elvégezzük, illetve vállaljuk az esetleges adtavédelmi incidensek kezelését is.
IT felmérés elvégzése
Szakembereink bevonásával áttekintjük az informatikai rendszered a GDPR követelményeinek történő megfelelés, a személyes adatok hatékony kezelése és védelme szempontjából. Feltárjuk, az esetleges kockázatokat, problémákat, hiányosságokat és a fejlesztendő területeket.
Folyamatok, dokumentumok GDPR-hez igazítása
Tanácsot adunk a szükséges szervezeti hatáskörök és jogosultságok meghatározásával kapcsolatosan. Folyamataidat, szabályzataidat, nyilatkozataidat, szerződéseidet és egyéb dokumentumaidat összehangoljuk a GDPR-ben meghatározott követelményekkel. A kilátásba helyezett büntetések, bírságolások elkerülése végett nagyon lényeges, hogy a partnereid, ügyfeleid, vevőid, konkurenciád és a hatóság mihamarabb érzékeljék a jogszabályhoz való igazodás jeleit céged működésében és kommunikációjában egyaránt.
Gyakran ismételt kérdések
Szeretnél többet megtudni az általános adatvédelmi rendeletről és annak bevezetéséről? Ezen az oldalon összegyűjtöttünk egy csokorra valót a GDPR-rel kapcsolatosan, a leggyakrabban felmerülő kérdésekből és válaszokból.
Ám ha túlságosan elfoglalt vagy az alábbiak áttekintéséhez és úgy érzed, hogy azonnal szakértő segítségére van szükséged, lépj kapcsolatba velünk!
Mit takar a GDPR betűszó?
A GDPR az angol General Data Protection Regulation, azaz az általános adatvédelmi rendelet kifejezés rövidítése. A kifejezés, illetve a rövidítés az EU 2016/679 rendeletére vonatkozik, melyet 2018. május 25-től, kötelező jelleggel, közvetlenül kell alkalmazni valamennyi tagállamban.
Mire vonatkozik a GDPR?
A rendeletet a személyes adatok kezelésére vonatkozik, méghozzá a legalább részben automatizált (elektronikus) adatkezelésre, de a papír-alapú adatkezelésre is akkor, ha az adatok egy nyilvántartási rendszer részét képezik (tehát tagolt, kereshető adatbázist alkotnak), vagy azokat egy nyilvántartási rendszer részévé kívánják tenni.
Kire vonatkozik a GDPR?
Bármely természetes vagy jogi személyre, közhatalmi szervre, ügynökségre vagy bármely egyéb szervre, amennyiben személyes adatokat kezel. Mindenképpen, ha az adatkezelő az EU-ban tevékenységi hellyel rendelkezik, de akkor is, ha nem, viszont az adatkezelés az EU-ban folytatott kereskedelmi, szolgáltatói tevékenységhez, vagy természetes személyek EU-n belüli viselkedésének megfigyeléséhez kapcsolódik.
Természetes személyek kizárólag személyes vagy otthoni adatkezelésére nem vonatkozik a rendelet.
Pontosan mi minősül személyes adatnak?
Azonosított, vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
Pontosan mi minősül adatkezelésnek?
A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Ki az adatfeldolgozó?
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Adatfeldolgozónak minősül-e az adatkezelő alkalmazottja?
Nem. Az adatfeldolgozó általában alvállalkozói viszonyban van az adatkezelővel.
Miben más a GDPR, mint az eddigi szabályozás?
Számos elemében. A teljesség igénye nélkül: változások az adatkezelés jogszerűségének eseteit illetően; az érintettek jogainak bővülése; szigorú előzetes tájékoztatási követelmények; a gyermekek adatainak kezelésére vonatkozó szabályok; az automatizált döntéshozatalra, profilalkotásra vonatkozó új garanciák; az adatvédelmi tisztviselői (Data Protection Officer – DPO) funkció; a beépített és az alapértelmezett adatvédelem koncepciójának megjelenése; az adatvédelmi hatásvizsgálat elkészítésére, az adatkezelési nyilvántartásra vonatkozó kötelezettségek; az adatbiztonság, az adatfeldolgozás újra szabályozása; a hatóság széleskörű betekintési jogosultságokat kap; jelentősen megemelt összegű bírságok.
A változások elsősorban az adminisztráció, a dokumentálás, az adatkezelési tevékenységek nyilvántartása terén jelentkeznek és főként ebben az értelemben beszélhetünk szigorításokról.
Az eddigi adatkezelési, adatvédelmi gyakorlatunk nem kompatibilis az új szabályozással?
Nagy valószínűséggel nem, legalábbis nem minden elemében. Ezért még ott is érdemes vizsgálni a GDPR-nek való megfelelést, ahol egyébként korábban is komoly erőfeszítéseket tettek az adatkezelésre, adatvédelemre vonatkozó jogszabályokhoz való igazodás érdekében.
Valóban olyan súlyosak a GDPR szerinti büntetési tételek?
Igen. A rendelet két kategóriába sorolja a jogsértéseket. Enyhébb esetben a kiróható közigazgatási bírság felső korlátja 10.000.000 EUR, illetve vállalkozások esetében az előző év teljes éves világpiaci forgalmának legfeljebb 2 %-a (a kettő közül a magasabb összeg). A súlyosabb esetekben a maximális büntetési tétel 20.000.000 EUR-ra, illetve az előző év forgalmának 4%-ra növekszik.
Végrehajtható a GDPR alkalmazására való felkészülés saját erőből?
Ha a szervezeten belül van olyan személy, aki képes megbirkózni a terjedelmes, bonyolult szövegezésű joganyagok helyes értelmezésével és a leszűrt, vonatkozó ismeretek alapján szakmailag támogatni tudja a felkészülés szervezését és irányítását, akkor van rá esély. A folyamat feltételezi jogi és informatikai kompetenciákkal rendelkező kollégák bevonását is, valamint azokat a munkatársakét, akik a személyes adatok kezeléséért közvetlenül felelnek. A felkészülést irányító vezetőnek és minden együttműködő félnek legalább alapvető ismeretekkel kell rendelkeznie a GDPR-t illetően; ennek képzéssel történő biztosítása tulajdonképpen a felkészülés része.
Ha azonban a fenti feltételek és kompetenciák nem biztosíthatók „házon belül”, akkor a hatékony, sikeres felkészülés és a súlyos büntetésekkel járó költségek elkerülése érdekében érdemes képzett, külső szakértővel együttműködni.
A cég ügyvezetője lehet adatvédelmi tisztviselő?
Nem. Általában igaz, hogy vezető beosztású személy nem megfelelő DPO-nak. Ezen kívül nem tanácsos olyan munkatársat, vagy külsős embert kinevezni, aki saját maga részt vesz adatkezelési műveletekben. Vezetésközeli pozícióban lévő, függetlenített beosztott lehet a megfelelő választás, de meg lehet bízni alvállalkozót is ezzel az alapvetően tanácsadói feladattal.
Mit jelent a beépített és alapértelmezett adatvédelem
Lényegében egy szemléletről és az annak megfelelően kialakított gyakorlatról van szó. A beépített adatvédelem azt jelenti, hogy eleve, már az adatkezeléssel kapcsolatos döntések előkészítésétől fogva szempontként kezeljük az adatvédelem GDPR-ben meghatározott elveit és követelményeit. Az alapértelmezett adatvédelem lényege, hogy alapértelmezésként csak az adott cél szempontjából feltétlenül szükséges adatkezelésre korlátozzuk tevékenységünket és ennek a korlátozásnak a bármilyen értelemben vett oldására (pl a tárolás időtartama, a kezelés mértéke, vagy a hozzáférhetőség tekintetében) csak az érintett ilyen irányú beavatkozása esetén legyen lehetőség.
Konzultáció kérése
Az előzetes konzultáció ingyenes, azonban ehhez előbb biztosítani kell néhány a projektre vonatkozó információt