"A jog szenvedélymentes értelem" (Arisztotelész)

 

 

Tájékoztató

(GDPR „salátatörvény”)

 

Jogalkotóink felismerve a személyes adatok kezelésének sajátos esetköreit egy évvel az EU ún. GDPR rendeletének hatályba lépését követően megalkották az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvényt, azaz az ún. „salátatörvényt”.

 

A hivatkozott törvény 2019.04.26. napján lépett hatályba, célja a GDPR végrehajtásához szükséges koherencia biztosítása.

 

Irodánk az alábbiak szerint nyújt rövid tájékoztatás a főbb és érdemleges változásokról:

 

A gazdálkodókat leginkább érintő változások:
– Kamerázás
– Munkavállalók adatainak kezelése, a dolgozók ellenőrzése
– Erkölcsi bizonyítvány kezelése
– Kereskedelmi törvény
– Direkt marketing

  1. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvénnyel (Szvmt.) kapcsolatos változások

– Szvmt. 30. § (2) bekezdése helyébe a következő rendelkezés lép: „(2) A vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat.”

magánterület közönség számára nyilvános része tehát kikerült a megfigyelhető területek közül.
Magánterület közönség számára nyilvános része az Szvmt. szerint olyan magánterület, amely mindenki számára korlátozás nélkül igénybe vehető, ideértve a közterület azon részét is, amelynek birtokába a személy- és vagyonvédelmi tevékenység folytatására megbízó valamely polgári jogi jogügylet, különösen bérleti vagy haszonbérleti jogviszony keretében jut, feltéve, ha
a) a területrész igénybevétele, használata a személy- és vagyonvédelmi tevékenységet folytató által őrzött magánterület nyilvános részén folyó tevékenységhez szervesen kapcsolódik, annak folyamatosságát, segítését szolgálja, vagy
b) a megbízó (megrendelő), avagy a magánterület nyilvános részét igénybe vevő közönség ingóságainak elhelyezésére szolgál.

 

A fentiek alapján tehát kizárólag magánterületen alkalmazható elektronikus megfigyelőrendszer, a valamely jogviszony alapján magánterületként használt közterületi rész nem figyelhető meg, az ilyen területre irányuló kamerákat le kell szerelni. Ilyen lehet például étterem terasza, parkoló autókra, biciklitárolóra irányuló kamera.

 

 

– Az Szvmt 31.§ helyébe a következő rendelkezés lép: „31. § Az elektronikus megfigyelőrendszer működése útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni. Az ezen adatokat igazolható módon tartalmazó elektronikus nyilvántartás is jegyzőkönyvnek minősül.
Hatályon kívül kerülnek azok a rendelkezések, amelyek elektronikus megfigyelőrendszerek esetén az adatkezelés időtartamát (3 nap, 30 nap, 60 nap) és az adatkezelési célt (az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint vagyonvédelem) határozzák meg. Konkrét adatkezelési idő helyett az adatkezelő jogos érdeke alapján maga határozza meg az adatkezelési cél eléréséhez szükséges adatkezelési időt, figyelembe véve az adatkezelésre vonatkozó alapelveket mint az adattakarékosság, és a korlátozott tárolhatóság.
Hatályon kívül kerülnek az érintettek jogaival kapcsolatos garanciális szabályok is, az érintettek a GDPR-ból fakadó jogaikat érvényesíthetik az elektronikus megfigyelőrendszerekkel történő adatkezelés esetén is.

 

Az adatkezelőnek jogos érdekének igazolására érdekmérlegelési tesztet kell végeznie, és a teszt eredményének függvényében lehet az egyes kamerákat továbbra is üzemeltetni és az adatkezelési időt meghatározni.

 

A NAIH által kiadott hatásvizsgálati lista értelmében módszeres megfigyelés esetén, illetve munkavállaló munkájának megfigyelése esetén, amely szintén jelenthet kamerás megfigyelést, az adatkezelőnek a hatásvizsgálatot kötelezően le kell folytatnia.

 

A NAIH azt is hozzáteszi, hogy az adatvédelmi hatásvizsgálat egy folyamat, különösen akkor, ha az adatkezelési művelet dinamikus és állandóan változik.

 

Az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.
Az érintett továbbra is kérheti a felvételek zárolását (korlátozását), ehhez elég jogos érdekére hivatkozni, és ezt nem kell igazolnia. Az érintett ezen jogos érdeke nemcsak a hatósághoz fordulás lehet. A zárolt felvétel – a korábbi szabályozással ellentétben – 30 napon túl is tárolható. Ha az érintett másolatot is kér a felvételről, ennek okát sem kell megjelölnie.
A felvételek megismerésének okát, idejét, a megismerő személyét elektronikus nyilvántartásban is lehet rögzíteni.

 

– Az Szvmt. 32. § helyébe a következő rendelkezés lép: „32.§ Elektronikus beléptető rendszer az erre vonatkozó megbízási szerződés alapján és akkor alkalmazható, ha jogszabály vagy a terület használatára jogosult rendelkezése szerint a védett területre csak az arra jogosultak léphetnek be.”

Szintén hatályon kívül kerülnek az adatkezelési időtartamot és az érintetti garanciákat szabályozó rendelkezések, így ebben az esetben is az adatkezelő jogos érdeke alapján határozhatja meg az adatkezelési időtartamot. A módosítás után nincs rendelkezés a hatóságok részére történő adatátadásról.

Végeredményben csak annyi marad a szabályozásból, hogy a bárki számára nyitott területen nem alkalmazható elektronikus beléptető rendszer.

– Az Szvmt. 23. §, 29. §, 30. § -ait érintő változások: a vagyonvédelmi tevékenységre vonatkozó személyes adat megőrzésére, tárolása vonatkozó szabályok hatályon kívül kerülnek. A kamera- és távfelügyeleti rendszerek esetében a szerződéses szabadság érvényesül, a felek a GDPR alapján döntik el, hogy a vagyonőr adatkezelő-e vagy adatfeldolgozó. Tapasztalataink szerint általában adatfeldolgozói minőségben látják el a vagyonőrök a kamerarendszerrel kapcsolatos feladataikat.

 

– Az Szvmt. 35. §-t érintő változások: korábban a magánnyomozás csak akkor irányulhatott a megfigyelt személy személyes adataira, ha ő ehhez írásban hozzájárult. A jövőben a jogos érdek jogalappal kezelhetők a nyomozással érintett adatai, sőt, tájékoztatni sem kell az adatkezelésről, mert a magánnyomozó törvény szerint hivatásbéli titkokat kezel.

 

Az érintettek megfelelő tájékoztatása elektronikus megfigyelő és beléptető rendszerek kapcsán továbbra is az érintettek GDPR 13. cikkéből fakadó joga.

 

  1. A munka törvénykönyvéről szóló 2012. évi I. törvénnyel (Mt.) kapcsolatos változások

 

– 9. § (2) bekezdése helyébe a következő rendelkezés lép: „(2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.”

A jövőben tehát a munkáltatónak szükségességi-arányossági tesztet kell végeznie, amely alapján igazolja a személyiségi jog korlátozásának jogszerűségét és azt, hogy az adatkezelés nem indokolatlan beavatkozás a munkavállaló magánszférájába.

Írásbeli tájékoztatás: írásbelinek kell tekinteni a nyilatkozatot, ha azt a helyben szokásos és általában ismert módon közzéteszik.

 

– „10. § (1) A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges.
(2) A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti.
(3) Az (1) és (2) bekezdés alapján okirat bemutatása követelhető.

A fentiek alapján a munkavállalótól okirat bemutatása is követelhető, ha munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Így a munkavállaló okiratainak tárolására, fénymásolására a fenti okokból nem lehetséges, elegendő azok bemutatása és a szükséges adatok feljegyzése. Ilyen okirat például egyes munkakörök esetén az egészségügyi kiskönyv vagy a targonca jogosítvány, amelynek adatait a munkáltató feljegyezheti, de azt a munkavállalónak kell magánál tartania. Más adat is kezelhető egyéb jogalappal, de az nem kikényszeríthető. A munkáltató, a szakszervezet és az üzemi tanács is követelheti az Mt. III. Részével (A MUNKAÜGYI KAPCSOLATOK) összefüggésben nyilatkozat megtételét, személyes adat közlését, okirat bemutatását.

 

 Hatályon kívül helyezik: munkavállalói adat csak hozzájárulással vagy törvény alapján továbbítható, így tehát a GDPR-ban foglalt más jogalapok is megfelelőek a munkavállalói adatok továbbításához. Hatályon kívül kerül: adatfeldolgozó részére átadható az adat, anonim adat statisztikai célból átadható, ezek a GDPR-ból fakadó jogosultságok továbbra is megilletik az adatkezelőt.

 

– Az Mt. 11. §-a biometrikus és a bűnügyi személyes adatokkal kapcsolatos adatkezelést szabályozza.
biometrikus azonosítókkal, így például az ujjlenyomat-olvasó, írisz- és retina azonosító, arcfelismerő, vénaszkenner alkalmazásával kapcsolatos újdonság, hogy a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

 

Ilyen védett jelentős érdek például min. „Bizalmas!” minősítésű adat, lőfegyver, lőszer, robbanóanyag őrzéséhez, mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy a Btk. szerint legalább különösen nagy vagyoni érték (legalább ötvenmillió forint) védelméhez fűződő érdek.

A fentieknek megfelelően tehát a munkavállalók biometrikus adatai csak a fenti törvényi feltételeknek megfelelően kezelhetőek. A biometrikus azonosítás így indokolt lehet például gyógyszeripari és más egészségügyi intézmények laboratóriumaiban vagy bankokban.

 

– A munkáltató bűnügyi személyes adatot (például erkölcsi bizonyítvány)munkaviszony létesítése előtt (munkáltatóval munkaviszonyt létesíteni szándékozó személy) és a munkaviszony alatt annak vizsgálata céljából kezelhet, hogy az adott munkakörben nem zárja-e ki a foglalkoztatást törvény, illetve kizáró vagy korlátozó feltételt előzetesen, írásban a munkáltató is meghatározhat.

Törvényben meghatározott okból jelenleg a gyerekek nevelését, felügyeletét, gondozását, gyógykezelését végző munkáltatók, illetve az állami szféra adatkezelői kérhetik az erkölcsi bizonyítvány bemutatását.

A munkáltatónak ahhoz, hogy az erkölcsi bizonyítványt ellenőrizhesse előzetesen kizáró vagy korlátozó feltételt kell meghatároznia és a meg kell határozni bűnügyi személyes adat kezelés feltételeit. Ezt akkor teheti meg, ha az adott munkakörben az érintett alkalmazása a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, a nukleáris anyagok őrzéséhez fűződő védett érdek sérelmének veszélyével járna.
Erkölcsi bizonyítvány bemutatásra elkérhető, másolni és tárolni nem lehet.

– Mt. 11/A.§- a munkavállalók ellenőrzésével kapcsolatban

A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, akár technikai eszköz alkalmazásával is. Ha a munkavállaló ellenőrzéséhez a munkáltató technikai eszközt (pl.: elektronikus megfigyelő és beléptető rendszer, nyomkövető rendszer bizonyos munkakörök esetén) is alkalmaz, erről a munkavállalót előzetesen írásban tájékoztatja. A munkáltatónak a tájékoztatást a GDPR 13. cikke alapján kell megtenni.
A munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. Főszabály szerint tehát tilos a munkahelyi infrastruktúra privát használata, de a munkaadó ezt engedélyezheti.
A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Olyan mélységben tekinthet be, amíg el nem tudja dönteni, hogy az adat magáncélú-e. Amennyiben igen, nem tekinthet be az adatokba. Ezt alkalmazni kell akkor is, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt (Bring your own device – BYOD) használ. A munkavállaló magánszférája meg kell, hogy maradjon.

 

  1. A kereskedelemről szóló 2005. évi CLXIV. törvénnyelkapcsolatos változás

– 5. § a következő (4a) bekezdéssel egészül ki a vásárlók könyvével kapcsolatosan: „(4a) Más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a vásárlók könyvéből a kereskedő a bejegyzést követően haladéktalanul eltávolítja a (4) bekezdés szerint panaszt vagy javaslatot tartalmazó oldalt, azt elzártan – a folyamatos sorszámozás rendjének megfelelően – megőrzi és a hatóság felszólítására rendelkezésre bocsátja.”

Tehát amennyiben a vásárlók könyvébe bejegyzés kerül, azt haladéktalanul el kell távolítani és elzártan megőrizni, illetve a hatóság felszólítása esetén rendelkezésére bocsátani.

  1. A közvetlen üzletszerzéssel kapcsolatos (direkt marketing) változások

– A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvényben (Katv.) hatályon kívül kerülnek a közvetlen üzletszerzéssel (direkt marketing) kapcsolatos rendelkezések, valamint a Katv. teljes IV. Fejezete „A közvetlen üzletszerzési célú adatkezelés”. Így hatályon kívül kerülnek a név- és lakcím adatok forrásait tartalmazó rendelkezések (meglévő ügyfél, nyilvános adatbázis (pl. telefonkönyv), adatátvétel ugyanazon tevékenységet végzőtől, adatátvétel a lakcímnyilvántartásból), tehát direkt marketing tevékenység céljából nem használhatók fel ezen forrásból megszerzett adatok.
A tilalmi lista (Robinson lista) vezetési kötelezettség is megszűnik.

 

– A Grt. 6. §- a változatlan marad, direkt marketing tevékenységhez továbbra is főszabály szerint a reklám címzettjének előzetes egyértelműen és kifejezetten hozzájárulása szükséges. Postai direkt marketing esetén azonban opt-out módon, a törvényi feltételek betartása (azaz min. 500 db azonos tartalommal postai úton feladott dm levél) esetén a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, tiltakozás lehetősége mellett (+ első alkalommal válaszboríték) reklám. A Katv. módosítása értelmében a közvetlen üzletszerző szerv címzett reklámküldemény küldéséhez adatbázisokat a továbbiakban jogos érdekét érdekmérlegelési teszttel igazolva használhat fel, nem a Katv.-ben és a polgárok személyi adatainak és lakcímének nyilvántartásáról 1992. évi LXVI. törvényben meghatározottak szerint.

(források: Wolters Kluwer jogitár és https://www.adatvedelmirendelet.hu/adatvedelmi-rendelet/a-gdpr-salatatorveny-elfogadasaval-kapcsolatos-fobb-valtozasok/)

 

 

Tájékoztató

– Európai Uniós adatvédelmi reformról –

 

 

Tisztelt Ügyfelünk!

 

Irodánk az alábbiakban egy általános tájékoztatás keretében informálni kívánja meglévő és leendő ügyfeleit a 2018. május 25. napján hatályba lépő és hazánk számára is kötelező erővel bíró uniós adatvédelmi rendelet vonatkozó szabályairól, és az ezzel összefüggésben felmerülő kötelező intézkedések megtételéről.

 

Örömmel értesítjük Önöket, hogy irodánk az alábbiakban részletezett adatvédelmi szabályok betartásával kapcsolatban, illetve innovatív és a gyakorlatban könnyen alkalmazható jogi megoldások prezentálásával, ügyfél specifikusan tud segítséget nyújtani a hamarosan hatályba lépő GDPR rendelet betartásában.

 

  1. Alapfogalmak:

 

A komplett EU adatvédelmi reform kapcsán érdemes néhány alapfogalmat tisztázni ahhoz, hogy egy-egy adatkezelő estében, egy tematikus átvizsgálást követően jogkövető módon kerüljenek a tevékenységgel összefüggésben harmadik személy részéről kapott adatok kezelésre. Az adatkezelés illetve az adatvédelem szempontjából a laikus adatkezelő számára szükséges alapfogalmak a következők:

 

  • GDPR = General Data Protection Regulation: A GDPR rövidítés tulajdonképpen az általános adatvédelmi rendelet nevére utal, amely rendelet egyébként az Európai Unió Parlamentje és a Tanács által került elfogadásra, és amely rendelet hazánkban közvetlenül alkalmazandó, azaz kvázi jogszabályként direkt instrukciókat tartalmaz.

 

  • Érintett: „bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy”

 

  • Személyes adat: „az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés”

 

  • Adatkezelés: „az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése”

 

  • Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

 

A fentebb felsorolt alappillérek értelmezésével összhangban jól látható, hogy az adatvédelmi reform, illetve a szigorított szabályozás személyi hatálya gyakorlatilag bármely olyan társaság(ok) vagy magánszemély(ek) is lehetnek akik – a szükséges hivatalos bejelentést követően – elsősorban személyes adatok körében végeznek adatkezelést.

 

  1. Adatvédelmi stratégia:

 

A friss adatvédelmi reform struktúráját alapul véve az előzőekben (lásd: „I.”) körülírt adatkezelők esetében főszabály szerint a következő lépéseknek megfelelően kell kialakítani az adatvédelmi stratégiát:

  1. Adatkezelés céljának meghatározása;
  2. Egyedi szempontrendszer kialakítás;
  3. Adatvédelmi szabályzat megalkotása;
  4. Érintettek védelme érdekében általános és egyedi tájékoztatási struktúra kidolgozása
  5. Adatkezelés és esetleges adattovábbítás bejelentése a Nemzeti Adatvédelmi és Információszabadság Hatóság részére.

 

A komplex és rendkívül szerteágazó adatvédelmi rendelkezéseknek történő megfelelés során kiemelt figyelmet kell fordítani a kiskorúak védelmére valamint az ún. kiemelt kockázatú adatkezeléssel járó speciális szabályokra. Az utóbbi szempont a felsorolt adatvédelmi stratégia kialakítása során kerül meghatározásra. A kiemelt kockázatú adatkezelés körébe elsősorban a komplexebb adatgyűjtés és adatkezelés fogalmi elemei társulnak például az egyes magatartások elemzéséhez vezető adatgyűjtés. A jelen bekezdésben foglalt kiemelt kockázat esetei tevékenység specifikusak, ezért minden egyes adatkezelő esetében egyedi felülvizsgálatra van szükség ahhoz, hogy a főszabálytól eltérő speciális adatvédelmi stratégia kerüljön kialakításra.

 

III. EU adatvédelmi rendelet sajátosságai:

 

Az adatvédelmi rendelet elsődleges célja, hogy az érintettek védelmét erősítve egy olyan komplex jogszabályi környezetet hozzon létre, amely kellően tematizált gyakorlati közeget hozz létre az adatkezelők erősebb szankcionálásával. Éppen ezért rendkívül fontos, hogy a rendelet hatálya alá tartozó jogalkalmazók a 2018. május 25.-ei határidőt megelőzően gyakorlati értelemben végrehajtsák a szükséges felkészülést és kialakítsák saját adatvédelmi stratégiáikat.

 

Számtalan új, kiegészítő fogalmi elem kerül a GDPR rendelet megjelenésével az adatvédelem körében bevezetésre hazánk adatvédelmi szabályozásába, éppen ezért tájékoztató jelleggel, a teljesség igénye nélkül – a vonatkozó alkalmazási feltételek mellett – az alábbiakban ismertetjük ezeket:

 

  • Adatvédelmi tisztviselő: Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

 

  • Előzetes adatvédelmi hatásvizsgálat: Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. E magánszférára gyakorolt hatások előzetes felmérésének kötelezettsége ugyan magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt lehet, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

 

  • Bejelentési kötelezettség: Személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság (NAIH) felé. Az adatkezelő indokolatlan késedelem nélkül– ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve.

 

Összességében elmondható, hogy a jogalkotó célja az új szabályozás kapcsán az volt, hogy egy sokkal tudatosabb és előrelátóbb adatvédelem valósuljon meg az érintettek alapjogaira és személyes adataira való tekintettel.

 

Irodánk ezúton is szeretné felhívni minden ügyfél figyelmét, hogy az adatkezelésre vonatkozó aktuális szabályozás hatályba lépésének napja után az illetékes hatóság intenzív és mindenre kiterjedő ellenőrzéseket foganatosít, amely ellenőrzések során a hiányosságok és esetleges jogsértések esetén jogosult kiszabni pénzbírságot is, amely akár 20 millió euró is lehet illetve akár az éves árbevétel 4 %-ban is meghatározható.

 

A szakszerű adatvédelem megvalósítása érdekében azt javasoljuk, hogy a többször említett hatályba lépési határidő előtt, azaz 2018. május 25. előtt vegyék fel a kapcsolatot irodánkkal annak érdekében, hogy a legmegfelelőbb adatvédelmi stratégia és egyéb releváns megoldások időben kidolgozásra kerüljenek.

 

A prevenció szellemében várjuk az adatkezeléssel és adatvédelemmel kapcsolatos megkereséseiket!

 

 

Tisztelettel:

 

                                                 Nadray Ügyvédi Iroda

error: Védett tartalom !!