GDPR

A GDPR-nek való megfelelés, lépésről lépésre

A GDPR szabályozási rendszere nagyon összetett, így az egyszerűbb érthetőség kedvéért az intézkedéseket 3 nagy, és azon belül több kisebb csoportba soroltuk be. A lenti lépcsőfokokra kattintva részletesebben tájékozódhat az egyes előírásokról és a hozzájuk tartozó követelményekről.

1. Általános összefoglaló

Az adatvédelmi szabályozás fő célkitűzése szerte Európában az, hogy egységesen magas szintű jogi és technikai védelmet biztosítson a személyes adatok számára, előírva, hogy azokat főszabály szerint bizalmasan, az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá. A GDPR-ban lefektetett alapelvek némelyike a jelenleg hatályos adatvédelmi irányelvben is megtalálható, nevezetesen: jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; adatminőség; adatbiztonság, integritás és bizalmas jelleg.

A Rendelet új alapelvként fogalmazza meg az elszámoltathatóság elvét, amelynek lényege, hogy az adatkezelő felelősséggel tartozik az adatvédelmi szabályoknak való megfelelésért, és képesnek kell lennie e megfelelés igazolására is.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

A GDPR emellett új megközelítést követ a meglévő adatvédelmi elvekkel kapcsolatban is, az alábbiak szerint:

Jogszerűség, tisztességesség és átláthatóság – A személyes adatok kezelésének az adatalany számára átlátható módon kell történnie.

Célhoz kötöttség követelménye – Az adatvédelmi jog egyik alapelve a célhoz kötöttség követelménye, amelynek lényege, hogy személyes adatok csak meghatározott, jogszerű célból kezelhetők, azaz tilos a cél nélküli, „készletező” adatkezelés. A kezelt adatok körének is igazodnia kell e célhoz, és a gyűjtött adatok nem használhatóak fel az eredeti céllal összeegyeztethetetlen célból. Nem tekinthető az eredeti adatkezelési céllal összeegyeztethetetlennek a személyes adatok közérdekből történő archiválása, leszámítva néhány kivételt.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

Elszámoltathatóság – Az adatkezelő felelőssége a GDPR elveivel való összhang megteremtése, és képesnek is kell lennie e megfelelés igazolására, bizonyítására.

2. Strukturális követelmények

Szervezési intézkedések
A GDPR életbelépésével Önnek számos intézkedést meg kell tennie annak érdekében, hogy minimalizálja GDPR megsértésének esélyét, illetve bizonyítani tudja, hogy komolyan veszi a belső adatvédelmi szabályozást. A szükséges intézkedések között említhető az adatvédelmi hatásvizsgálat lefolytatása, az adatkezelési tevékenységek dokumentálása, a szabályzatok és tájékoztatók rendszeres felülvizsgálata, auditálás, és (adott esetben) adatvédelmi tisztviselő (adatvédelmi felelős) kinevezése.

2.1 Adatvédelmi tisztviselő (adatvédelmi felelős)

A GDPR meghatározott szervezetek részére kötelezővé teszi adatvédelmi tisztviselő (adatvédelmi felelős) kinevezését, aki a szervezet egy munkatársa, vagy külső tanácsadó is lehet.
Amennyiben Ön komplex ügyféladatbázist aktívan használó piaci szereplő vagy közfeladatot ellátó szerv, nagy valószínűséggel ki kell nevezzen egy adatvédelmi tisztviselőt. A pozíció betöltéséhez szükséges feltételeket (végzettség, tapasztalat, stb.) várhatóan a nemzeti adatvédelmi hatóságok útmutatása részletezi majd.

Az adatvédelmi tisztviselő felel majd Önnél is azért, hogy folyamatosan ellenőrizze a GDPR-nak való megfelelést, tájékoztassa Önt a vonatkozó kötelezettségekről, tanácsot adjon arról, hogy mikor és hogyan kell elvégezni az adatvédelmi hatásvizsgálatot, valamint tartja a kapcsolatot a nemzeti adatvédelmi hatóságokkal és adatvédelmi kérdésekben más személyekkel.

2.2 Egyablakos ügyintézés

Az egyablakos ügyintézés a több EU tagállamban is tevékenykedő szervezetek részére lehetővé teszi, hogy csak egy adott nemzeti adatvédelmi hatósággal kerüljenek kapcsolatba, azaz a Rendelet alapján főszabályként minden adatkezelés vonatkozásában egy vezető hatóság gyakorol majd felügyeletet. Ugyanakkor annak kijelölése, hogy melyik adatvédelmi hatóság tölti be ezt a szerepkört, és hogy pontosan miként kezelik a panaszokat, néhány esetben nagyon összetett.
A GDPR előírása szerint a felügyelő hatóság „egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv”, míg az egyablakos ügyintézés (ún. egységességi mechanizmus) azt jelenti, hogy amennyiben egy vállalkozás több tagállamban rendelkezik telephellyel, számára kijelölhető egy vezető hatóság az EU-n belüli elsődleges székhelye alapján (azonban ettől eltérő más helyi felügyeleti hatóságok is rendelkezhetnek hatáskörrel egyes esetekben).

3. Folyamatok, eljárásrendek és szabályzatok

3.1 Adatvédelmi incidens

A GDPR alapján az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.
Ez egy átfogó meghatározás, amely nincs tekintettel arra, hogy az incidens okozott-e tényleges kárt az érintetteknek. Adatvédelmi incidens esetén az adatkezelő azonnal, illetve az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és adott esetben az érintetteket is, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatkezelő azonban mentesül a bejelentés alól, ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, például titkosítást alkalmaz.

3.2 Beépített adatvédelem

Fontos része a GDPR előírásoknak történő megfelelés során a beépített adatvédelem elve, azaz pl. minden új folyamat vagy termék megtervezésekor az adatvédelmi követelményeket a középpontba kell helyezni. Ez a megközelítés, ami korábban inkább csak „jó gyakorlat” volt, immár kifejezett jogszabályi követelmény.

3.3 Adatvédelmi hatásvizsgálat

Az adatvédelmi hatásvizsgálat célja, hogy azonosítsa és minimalizálja a GDPR rendelkezéseinek megsértéséből (nem-megfelelésből) eredő kockázatokat.
A GDPR szerint az adatvédelmi hatásvizsgálat egy formális követelmény, és az adatkezelőnek kell gondoskodnia az adatvédelmi hatásvizsgálat lefolytatásáról bizonyos „jelentős kockázattal” járó adatkezelési művelet megkezdése előtt.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.”

3.4 Nemzetközi adattovábbítások (vállalatcsoporton belül / külső szervezeteknek)

Amennyiben az Ön cége nemzetközi kapcsolatokkal rendelkezik, a nem EU (ill. EGT) tagállamokba történő adattovábbítással kapcsolatos szabályok és eljárások különös figyelmet igényelnek. A GDPR életbelépését követően a kiszabható bírságok jóval szigorúbbak lesznek az adattovábbításra vonatkozó rendelkezések megsértéséért, különösen a – Bizottság értékelése szerint – nem megfelelő szintű védelmet biztosító országokba történő adattovábbítás esetén.
A személyes adatok Európai Gazdasági Térségen kívüli, illetve nemzetközi szervezetek számára történő továbbítása csak különböző korlátozások figyelembe vételével történhet, amelyeket a GDPR V. fejezete határoz meg. Amint azt a hatályos irányelv is kimondja, az adatokat nem kell fizikálisan átadni az adattovábbításhoz, egy másik helyen tárolt adat megismerése (hozzáférhetősége) is adattovábbításnak minősül a GDPR értelmében.

A GDPR úgy határozza meg a személyes adatok határokon átnyúló kezelését, mint:
(a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
(b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

4. Adatbiztonsági tudatosság

4.1 Belső intézkedések – az alkalmazottak szerepe

Már most érdemes elkezdenie tájékoztatni munkavállalóit arról, hogy miért fontos megfelelni a GDPR előírásainak. Ajánlott elkezdeni felülvizsgálni és megtervezni azt is, hogy milyen eljárások szükségesek, hogy a vállalkozása meg tudjon felelni a GDPR új, átláthatóságot és egyéni (érintetti) jogokat érintő rendelkezéseinek. Ez jelentős befektetést igényelhet pénzügyi, informatikai és képzési területeken is.

5. Elszámoltathatóság – technikai intézkedések

Technikai intézkedések
A GDPR az adatkezelő felelősségévé teszi a Rendelet adatvédelmi elveinek való megfelelés bizonyítását, ezért Önnek biztosnak kell lennie abban, hogy kellően világos adatvédelmi irányelvei vannak annak igazolására, hogy megfelel a jogszabályi követelményeknek. Ennek érdekében rendszeresen ellenőriznie, értékelnie és felül kell vizsgálnia az adatkezelési eljárásait, biztosítékokat beépíteni az adatkezelési folyamatokba, és gondoskodnia a munkavállalók képzéséről is, hogy tisztában legyenek a rájuk vonatkozó kötelezettségekkel. Mindezeken felül képesnek kell lennie ezeket a nemzeti adatvédelmi hatóság felé, annak kérésére, bármikor igazolni.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.”

6. Adatvédelmi incidens – technikai intézkedések

Egyértelmű belső szabályrendszerrel és kipróbált eljárásokkal kell felkészülnie az adatvédelmi incidensekre (amely a GDPR definíciója szerint „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”), így biztosítva, hogy képes legyen megfelelően reagálni az incidensekre, és értesíteni a hatóságot/érintetteket, amennyiben az szükséges.

7. Az érintettek jogainak biztosítása

A GDPR megerősíti az érintettek jogait, így biztosítja számukra a tájékoztatáshoz való jogot a róluk kezelt adatokkal kapcsolatban, bizonyos esetekben garantálja az adatokhoz való hozzáférést, és az esetlegesen helytelen adatok kijavítására is lehetőséget biztosít.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

7.1 Az érintett hozzáférési joga

A GDPR egyik fő célja, hogy megerősítse az egyének jogait. Ennek eredményeként az érintettek hozzáférésének kezelésére vonatkozó szabályok is szigorodnak, így Önnél is szükségessé válik a vonatkozó eljárásrendek megfelelő frissítése.
A legtöbb esetben nem számíthat majd fel díjat az érintett kérésének teljesítésért, és az érintetti jogok gyakorlását a lehető leghamarabb, de legkésőbb egy hónapon belül biztosítania kell.

7.2 Az információ törlésének joga („az elfeledtetéshez való jog”)

Az elfeledtetéshez való jog (a „törléshez” való jog a GDPR terminológiájában) lehetővé teszi az egyének számára, hogy kérjék az adatkezelőt személyes adataik indokolatlan késedelem nélküli törlésére bizonyos helyzetekben, például amennyiben a személyes adatokat jogellenesen kezelték, vagy az érintett visszavonta korábbi hozzájárulását.

A törlési kötelezettség azon harmadik felekre (pl. üzleti partnerekre) is vonatkozik, akikkel ezeket az adatokat korábban megosztotta.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

7.3 Automatizált döntéshozatal és a profilalkotás

GDPR következőképp definiálja a profilalkotást „a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére”. Ugyanakkor nem egészen egyértelmű, hogy ténylegesen hogyan gyakorolhatja majd az érintett a profilalkotáson alapuló döntésekkel kapcsolatos jogait.

7.4 Adathordozhatóság

Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog, amely továbbfejleszti az érintett arra vonatkozó jogát, hogy biztosítani kell számára az igényelt személyes adatait, és megköveteli, hogy a rá vonatkozó személyes adatokat strukturált, széles körben használt és géppel olvasható formátumban kapja meg.

Az adathordozhatósághoz való jog alapvetően ugyan csak a hozzájáruláson alapuló, vagy szerződés teljesítéséhez szükséges automatizált (elektronikus) adatkezelésekre terjed ki, az üzleti célú adatkezelések döntően e körbe tartoznak.

7.5 A tiltakozáshoz való jog (ideértve a direkt marketinggel szembeni tiltakozást is)

Az egyének jogainak erősítésére tett törekvések részeként a GDPR garantálja az adatkezelés korlátozásához való jogot és a tiltakozáshoz való jogot a közvetlen üzletszerzés (direkt marketing) céljából kezelt adatok esetében, ideértve az ehhez kapcsolódó profilalkotást is.

Amennyiben az érintett él a tiltakozási jogával, az adatai a továbbiakban nem használhatóak fel közvetlen üzletszerzés céljára.

A szervezetek kötelesek kifejezetten és más (szintén kötelezően biztosítandó) információtól elkülönülten felhívni az érintettek figyelmét az adatkezeléssel összefüggő tiltakozási jogukra.

8. Adatvédelmi információk közzététele (hozzájárulás és adatvédelmi tájékoztató)

8.1 Hozzájárulás

Vélhetően felül kell vizsgálnia az adatok gyűjtésének, és a hozzájárulás beszerzésének és rögzítésének módját. Az érintettek részére biztosítani kell a lehetőséget, hogy ugyanolyan egyszerű legyen visszavonni a hozzájárulásukat, mint megadni azt. A személyes adatok kezeléséhez kifejezett és egyértelmű hozzájárulás, azaz az érintett egyértelmű megerősítő cselekedete szükséges, a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

A GDPR a következőképpen határozza meg az érintett hozzájárulásának fogalmát: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

8.2 Szülői hozzájárulás

A közvetlenül gyermekeknek kínált internetes szolgáltatások kapcsán a személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte (ettől tagállami szabály 13. életévig lefelé eltérhet), ennél kisebb gyermek esetén a hozzájárulást a szülőnek (vagy a szülői felügyeletet gyakorló más személynek) kell megadnia.

Ennek eredményeként Önnek is erőfeszítéseket kell tennie (figyelembe véve az elérhető technológiát), hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a szülői felügyelet gyakorlója adta meg.

8.3 Adatkezelési tájékoztató

A GDPR kiszélesíti az érintetteknek kötelezően nyújtott tájékoztatás tartalmát, aminek ki kell terjednie az adatkezelés jogalapjára, az adatok megőrzésének idejére, valamint arra, hogy az érintettek panaszt tehetnek a nemzeti adatvédelmi hatóságnál, ha úgy érzik, hogy az Ön szervezete nem megfelelően kezeli a személyes adataikat. Ne feledje, hogy a GDPR megköveteli, hogy ezeket az információkat tömören, világosan és közérthetően fogalmazza meg.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

9. Adatbiztonság (sértetlenség és bizalmasság)

A GDPR a hatályos irányelvben foglaltakhoz hasonló alapelveket fogalmaz meg, többek között: a tisztességes eljárás, a jogszerűség és az átláthatóság elve; a célhoz kötöttség; az adattakarékosság; az adatminőség és az adatbiztonság követelménye, az integritás és bizalmas jelleg biztosítása.

Minden esetben meg kell bizonyosodni arról, hogy a személyes adatok kezelésének módja garantálja az adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. “A szervezeteknek és külső partnereiknek is megfelelő technikai vagy szervezési intézkedések alkalmazásával kell gondoskodnia a kockázat mértékének megfelelő szintű adatbiztonságról.”

A GDPR szerint személyes adat az „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR szintén rögzíti, hogy „a természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel.”

Tekintettel az új megfogalmazásra szükséges azt megállapítani, hogy a digitális forrásból származó adatok személyes adatok-e vagy sem.

A rendelet számos olyan biztonsági intézkedést javasol, amelyeket érdemes az adatok védelme érdekében használni, mint
a) a személyes adatok álnevesítését és titkosítását;
b) személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

9.1 Titkosítás

A GDPR olyan eszközként tekint a titkosításra, amely segíthet a Rendelet egyes követelményeinek teljesítésében, így fontos intézkedés lehet az adatbiztonságra vonatkozó követelményeknek való megfelelésben, valamint mentesítheti Önt az adatvédelmi incidensek érintettekkel történő közlésének kötelezettsége alól. A Rendelet megfogalmazásában:

32. cikk – Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a) a személyes adatok álnevesítését és titkosítását.”

34. cikk – Az érintett tájékoztatása az adatvédelmi incidensről

(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.”

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Az adatfeldolgozó az a személy vagy szervezet, aki/amely az adatkezelő nevében személyes adatokat kezel.

A GDPR fogalma alapján adatfeldolgozó „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

10. Adatdokumentáció, jogalap és audit

  10.1 Személyes adatok kezelése és besorolása

Mindenképpen szükséges dokumentálnia, hogy milyen személyes adatokat kezel, honnan/kitől gyűjtötte azokat, és kivel osztja meg.

Amennyiben pontatlan személyes adatokat osztott meg egy másik szervezettel, a GDPR megköveteli, hogy tájékoztassa a másik szervezetet az adatok pontatlanságáról, hogy ezt saját rendszerében is korrigálhassa. Ehhez szükséges lehet egy, az egész szervezetre vagy annak adott részegységeire kiterjedő audit lefolytatása. Ez a GDPR elszámoltathatóság elvének való megfelelésben is segíthet.

10.2 A személyes adatok kezelésének jogalapjai

Az GDPR alapján szükséges megvizsgálni a személyes adatok kezelésének körülményeit, és pontosan megjelölni az adatkezelés jogalapját, amely alapján elvégezhetőek és dokumentálhatóak ezek a folyamatok.

Erre azért van szükség, mert néhány, a GDPR-ban lefektetett érintetti jog az adatkezelés jogalapjától függően eltérően érvényesül. Egy példa erre, hogy az érintetteket a GDPR erősebb joggal ruházza fel az adatok törlésére a hozzájáruláson alapuló adatkezelések esetében. Azonban a hozzájárulás csak egyike a számos különböző jogalapnak és sok esetben nem is a legjobb (tekintettel arra, hogy visszavonható).

Forrás: https://encryption.eset.com/hu/gdpr-compliance/