Igen. Már nagyon régóta feladat.

Azonban nem csak egy Adatkezelési tájékoztató elkészítése a feladat.

Fel kell mérni, hogy hol, milyen csatornákon keresztül adunk fel hirdetést és honnan érkezhet személyes adat. A személyes adat kezelésének megkezdésekor kell tájékoztatni az érintetteket.

Meg kell határozni, hogy meddig van tényleges szükség az őrzésükre, és valóban csak addig lehet tárolni az adatokat, ameddig az adatkezelés célja, jogalapja fennáll.

Be kell szerezni az érintettek hozzájárulását az adatkezeléshez. Nem lehetetlen.

Nem kereshetem meg az érintettet akkor, ha erre még, vagy már nincs felhatalmazásom.

Nem kérhetek be előre olyan adatokat, közokiratokat, amelyekre nincs felhatalmazásom.

El kell készíteni az álláspályázóknak szóló tájékoztatót, de aszerint is kell működni. Ki kell képezni a HR terület munkatársait, hogy hogyan kell eljárni, erre érdemes írásbeli útmutatást adni és értekezleten külön felhívni rá a feladattal érintett munkatársak figyelmét. Ezt követően kontrollálni kell. Tényleg törlésre kerülnek -e a dokumentumok, benyújtott pályázatok, emailek, vagy esetleg erre senki nem figyel. Az önéletrajzok, személyes adatok, értékelések közlekednek a döntéshozók mailboxaiban és ott ülnek még évekig.

Amikor a jelölt munkatárssá válik, munkába lép, komplexen tájékoztatni kell, hogy a munkaviszony keletkezésekor, fennállása alatt, megszűnésekor a személyes adataival mi fog történni.

A munkaviszonnyal kapcsolatos adatkezelés egy következő lépés, ebben is segítségére lehetünk.

Félreértés van a cégvezetők, ügyvezetők gondolataiban, amelyet nagyon gyorsan korrigálni kellene.

Az adatvédelmi szabályoknak való megfelelés nem egy állandó dolog.

Hasonlít az informatikai biztonsághoz, amely szintén egy állapot, melyet a folyamatos kontrollokkal fenn kell tartani. Rossz hír, de az adatvédelem is ilyen. A szervezet tevékenységétől, annak változásaitól, méretétől függően, illetve attól függően, hogy melyik ágazatban tevékenykedik folyamatos, vagy időszakos karbantartást igényel.

Mit jelent a karbantartás?

Kontrollálom a szervezet adatvédelmi szabályait működés közben. Ellenőrzöm, hogy valóban a bevezetett szabályok szerint működik -e? Betartják-e a munkatársak a szabályokat, vagy egyáltalán tudják-e mit kell csinálni? Jellemzően nem.

Tapasztalatunk szerint a marketingesek kitartó munkájának eredményének köszönhetően, a legtöbb ember tudja, hogy létezik GDPR és „félni kell tőle”. Nem. Nem kell félni tőle. Meg kell felelni neki.

Mi segítünk.

Sokszor találkozunk azzal a helyzettel, miszerint az ügyvezető kérése az, hogy a Hatóság elvárásainak megfelelően legyen kialakítva a szervezet dokumentációs háttere, illetve működési folyamatai.

Fontos szempont, de nem ez a megfelelés origója. Véleményünk szerint elsősorban a GDPR szabályainak kell megfelelni, ezt követően a tevékenységre vonatkozó ágazati és háttérjogszabályok rendelkezéseit kell figyelembe venni, és ezzel biztosítható lehet a NAIH megfelelés.

Ehhez a szemléletváltáshoz szükség van arra, hogy a vezetők lássák, hogy milyen feladatokkal jár az adatvédelem.

Olyan gyorsan változik az informatikai környezet, hogy azzal adatvédelmi szempontból is lépést kell tudni tartani. „Miért? Hát két évvel ezelőtt megbíztunk egy céget, aki minden dokumentumot kialakított. Nálunk minden rendben van!”

Felteszem a kérdést, hogy hány olyan cég van, ahol két év alatt nem változik semmi a folyamatokban, legyen az gyártás, termelés, eladás, marketing, HR és nem történik új adatkezelés? Például az eltelt két év alatt elkezdett hírlevelezni, megszólítani természetes személy potenciális ügyfeleket, új adatokat kezel. Épít-e Robinson listát? Tudja -e kezelni a leiratkozásokat, különböző csatornán? Tudja -e bizonyítani, hogy a vonatkozó jogszabályi előírásoknak megfelelően járt el, ha az érintettől panasz érkezik?

Bevezetett-e egy új szoftvert, amely személyes adatokat kezel? Végzett -e előzetes hatásvizsgálatot, kockázatelemzést?

Működik -e a gyakorlatban a személyes adatok törlése? Vagy csak készített erről egy szabályzatot?

Kezel-e különleges személyes adatot a munkavállalójáról? Egyáltalán megvizsgálta -e? Bizonyos betegségek fennállása esetén adókedvezményeket lehet igénybevenni és ehhez a munkavállaló különleges személyes adatait is kezelni kell. Ilyen a laktóz érzékenység.

Felmerült -e a jogos érdek jogalappal történő adatkezelés? Ha igen, végzett-e érdekmérlegelési tesztet? Éves kontrollját végrehajtotta -e?

Ha nem, vagy nincs információja arról, hogy mi történik valójában az Ön szervezeténél, keressen meg.

Mi nem csak feltárjuk, meg is fogjuk oldani.

Még mindig nagyon sok olyan céggel találkozunk, akik nem tettek semmit a GDPR megfelelőség elérése érdekében. Hogy miért? Nem tudjuk.

Amikor elkezdünk beszélgetni arról, hogy mi történt eddig, van-e szabályzat, eljárásrend, készült-e adatkezelési nyilvántartás, példának okáért amiatt, hogy 800 ember adatát kezeli, mely tartalmazhat különleges adatokat is, van-e megállapodás az adatfeldolgozókkal, óvatosan előhozakodnak azzal, hogy van, valami, de nem az igazi, készült egy táblázat, de nem fejezték be, elvégezte a kolléga a 2 napos DPO képzést, ezt követően rájött arra, hogy nem vállalja fel ezt a feladatot, mert nincs elég tudása hozzá és abbamaradt minden előkészített folyamat, dokumentum kidolgozás.

Aztán kis beszélgetés, szabadkozás után előjön a már jól ismert mondat, hogy „tulajdonképpen nincs semmink”.

Amennyiben az Ön szervezete is itt tart keressen fel bennünket és elmondjuk, hogy ebből a helyzetből hogyan kell továbblépni nagyon rövid idő alatt, mert ez a lehető legrosszabb, ha az elszámoltathatóság alapelvből kiindulva szemlélnénk az Ön helyzetét.

Nem tudjuk. Nem is tudhatjuk. Azt tudjuk, hogy mi a leggyakrabban előforduló incidens kategória, amivel mi találkozunk, ez az eltévedt e-mail-ből származó adatvédelmi incidens.

Mi az adatvédelmi incidens? A GDPR szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az eltévedt e-mail, a benne szereplő adatokhoz való jogosulatlan hozzáférést eredményezi. Olyan személy ismeri meg az adatokat, akinek semmi köze az érintett, vagy érintettek személyes adataihoz. Milyen adatok lehetnek ezek? Üzleti adatok, pénzügyi adatok, egészségügyi adatok, stb… széles a skálája a félrepostázott, és íly módon idegenek kezébe kerülő személyes adatoknak, melyek jórészt szakmai titoktartási kötelezettség alá is tartozhatnak.

Mit lehet tenni? Személyes adatokat tartalmazó dokumentumokat jelszó védelemmel kell kiküldeni az érintettek számára. Ezzel a pár másodpercet igénylő, egyáltalán nem bonyolult eljárással elkerülhető az érintett adataihoz való illetéktelen hozzáférés, adatvédelmi incidens és előre átgondolt eljárásmóddal nagy eséllyel NAIH bejelentésre sem lesz szükség.

Számtalan technika van már arra is, hogy az érintett hogyan ismeri meg a jelszóval védett állományok megnyitásához szükséges jelszót, csak egy rövid átgondolásra van szükség.

A profi eljárás az SMS-ben kiküldött jelszó.

Ennél egyszerűbb az előre közölt jelszó képzési politika. Itt már körültekintőbbnek kell lenni.

Az Ön szervezete használ jelszó védelmet? El akarja kerülni az ebből eredő incidenst? Segítünk.

Az egyik legértékesebb segítség, ha a gyakorlati tapasztalatunkból kiinduló tanácsokat osztunk meg másokkal. Cégünk számos szervezettel és vállalkozással áll kapcsolatban, így sokrétű tapasztalatot szereztünk az adatvédelem gyakorlati megvalósításáról ezen a területen. Most 5 olyan gyakorlati példát osztunk meg Önnel, ami sok ügyfelünket érint és a hozzájuk fűzött tanácsainkat érdemes megfontolni.

1. Az adatvédelem a szükséges rossz

Azt látjuk, hogy az adatvédelem szükséges rosszként jelenik meg a szervezetek mindennapjaiban. Még mindig vannak olyan vállalkozások, melyek olyan adatkezelési tájékoztatóval próbálják megoldani a GDPR-ban meghatározott tájékoztatási kötelezettséget, amelynek tényleges folyamataikhoz semmi köze. Valahonnan átvett, névátírást követően hatályba helyezett dokumentumról gondolják azt, hogy az ő tevékenységükre vonatkozó GDPR 13-14. cikkben foglalt adatkezelési tájékoztatásra vonatkozó előírásokat maradéktalanul teljesíti.

A probléma ezzel például az, hogy az adatkezelési tájékoztató nem tartalmazza teljes körűen az általuk kezelt személyes adatokat, vagy egészen más adatok tűnnek fel ebben a tájékoztatóban. Jó lenne elkerülni, hogy ez ne egy hatósági vizsgálat során derüljön ki.

Az Ön adatkezelési tájékoztatója tartalmazza a szükséges elemeket?

Nézze meg ezt a praktikus leírást, amely abban segít, hogy a jogszabály szerint mi az, amit tartalmaznia kell az adatkezelési tájékoztatónak.

2. Biztonsági kamera vs. érdekmérlegelési teszt

Előfordul, hogy az általunk végzett audit során derül ki, hogy a biztonsági kamerák nem működnek, be sincsenek kötve. Vagy van kamera, működik, de nincs róla semmilyen tájékoztatás az érintetek számára, vagy az adatkezelő nem végezte el a jogalapot alátámasztó érdekmérlegelési tesztet.

Az Ön kamerája folyamatosan működik? Rendelkezésre áll az érdekmérlegelési teszt?

Olvassa el, hogy mit jelent az érdekmérlegelési teszt pontosan. Itt bemutatjuk Önnek.

3. Egyszerű szabály, ami sok bajt megelőz

Sokszor a hely szűke miatt az ügyfelek, külsős személyek számára szabadon hozzáférhető helyen tárolnak bizalmas információkat tartalmazó iratokat, melyek tele vannak személyes adatokkal.

Jó hírünk is van! Minderre létezik megoldás! Hallott már a következő egyszerű szabályról:

Tiszta asztal – tiszta képernyő

Ez egy egyszerű ökölszabály miszerint a munkaasztal elhagyása előtt elpakolom a személyes adatokat tartalmazó dokumentumokat és zárolom a képernyőt. Ugye milyen egyszerű és nem betarthatatlan. Sok problémától kíméljük meg magunkat, ha következetesen végig visszük ezt a hozzáállást a cégen belül.

Követelje meg a munkatársaitól a tudatos adatvédelmi eljárásokat. Kezdje el ma a tudatos adatvédelmi gondolkodást.

4. Adatkezelési gyakorlati hiba

Sok esetben egy adatvédelmi audit során derül ki, hogy a vállalkozás honlapját nem kezeli senki. Konkrétan, amikor leteszteljük az írjon nekünk rovatot kiderül, hogy senki nem kezeli. Ez persze nem adatvédelmi kérdés csupán, hanem értékesítési hiba is. Amennyiben az üzleti folyamatok nincsenek megfelelően kezelve, hogyan várja a szervezet az ügyfelek megkeresését és hogyan szeretné megvalósítani az értékesítés növelést? Az értékesítés személyes adatokkal jár. Adatkezelési szempontból megfelelő az Ön cégének gyakorlata?

5. DM üzenetek feliratkozóinak kezelése

Gyakran találkozunk azzal, hogy DM üzenetek kiküldése során az érintettek hozzájárulásainak kezelése nem megfelelő. Javasolt egy adatbázisban tárolni és rendszeresen kezelni a marketinges hozzájáruló nyilatkozatokat. Lehetetlen visszakeresni több ezer papír alapon rögzített iratból a feliratkozás idejét adott esetben. A kezelés azt jelenti még, hogy a leiratkozók törlése valóban megtörténjen és ne kelljen az érintettnek több alkalommal jelezni, hogy nem kér több DM üzenetet. Szükség lehet egy Robinson listára is. Ön használ ilyet?

Kezdjük el együtt lépésenként az adatvédelmet! A legrosszabb, ha semmit sem teszünk.

Köszönjük, hogy elolvasta meglátásainkat, ha segítségre van szüksége akkor jogász és informatikus teamünk készséggel áll a rendelkezésére. Keressen bennünket elérhetőségeinken!

Ez a fogalom legtöbbször kamera elhelyezés kapcsán merül fel a gyakorlatban, de természetesen nem csak ide kapcsolódik. Tudjon meg többet róla!

Az érdekmérlegelési tesztre vonatkozó meghatározás a következő:

Az Európai Adatvédelmi Testület 6/2014. számú véleményében határozta meg a jogos érdek jogalapra vonatkozó iránymutatásokat.

A GDPR 6. cikk (1) bekezdése előírja, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha a cikkben felsorolt hat jogalapból legalább egy alkalmazható. Így különösen a személyes adatok csak akkor dolgozhatók fel, ha

1. az érintett ahhoz egyértelmű hozzájárulását adta; vagy ha – röviden – az adatfeldolgozás az alábbiak miatt szükséges:
2. az érintettel kötött szerződés teljesítése;
3. az adatkezelőre vonatkozó jogi kötelezettség teljesítése;
4. az érintett létfontosságú érdekeinek védelme;
5. közérdekből elvégzendő feladat végrehajtása; vagy
6. az adatkezelő jogszerű érdekeinek érvényesítése, (amely függ az említett érdekek és az érintett jogai és érdekei közötti mérlegelés kiegészítő tesztjének eredményétől).

Ez utóbbi lehetővé teszi az adatkezelő vagy az adatokat megkapó harmadik fél vagy felek jogszerű érdekének érvényesítéséhez szükséges adatkezelést, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintett érdekei vagy alapvető jogai és szabadságai. Más szóval a 6. cikk (1) bekezdésének f) pontja egy mérlegelési teszttől teszi függővé az adatkezelést, amely összehasonlítja az adatkezelő – vagy az adatokat megkapó harmadik fél vagy felek – jogszerű érdekeit és az érintettek érdekeit vagy alapvető jogait.

Amíg számítógépünk, okos eszközünkön tárolt adatokról van szó, addig kézzelfoghatóbbnak tűnik az adatvédelem és a GDPR működése. De mi a helyzet akkor, amikor Cloud vagy Felhőszolgáltatást veszünk igénybe?

Mindenek előtt röviden tisztázzuk a Cloud vagy Felhőszolgáltatás fogalmát:

A számítástechnikai felhőszolgáltatás lehetővé teszi az igény szerinti hálózati hozzáférést megosztott, konfigurálható számítástechnikai erőforrásokhoz (például hálózatokhoz, szerverekhez, tárolókhoz, alkalmazásokhoz és szolgáltatásokhoz), melyeket gyorsan lehet allokálni és használatukat lezárni, minimális menedzsment ráfordítással vagy szolgáltatói közreműködéssel.

A felhőszolgáltatás öt lényegi ismérve a következő:

• a szolgáltatás igény szerinti, akár önkiszolgáló módon való igénybevétele;
• általános hálózati elérés (interneten vagy magánhálózaton keresztül);
  megosztottan használt erőforrások; a szolgáltató erőforrásaival több ügyfelet szolgál ki („multi-tenant” modellben), a különböző fizikai és virtuális erőforrásokat dinamikusan allokálja a felhasználói igények függvényében; az ügyfelek jellemzően nem ismerik, és nem befolyásolhatják az igénybe vett erőforrások pontos helyét, de adott esetben lehetőségük van a hely magasabb absztrakciós szinten való meghatározására (például ország, régió, vagy adatközpont szinten);
• a változó kapacitás-igények gyors lekövetése;
• mért szolgáltatás (felhasználással arányos használati díj).

MNB 4/2019. (IV.1.) számú ajánlása alapján.

Adatvédelmi gyakorlatunk során az alábbi veszélyekre külön is felhívjuk az Ön figyelmét:

• Sokan nem tudják, hogy milyen adatvédelmi ajánlások és szabályok vonatkoznak erre a területre.
• Sokszor nincsenek tisztában az ügyfelek azzal, vagy nem tájékoztatják őket arról, hogy a szolgáltatójuk az adataikat egy magyarországi szerverparkban, vagy külföldön tárolja-e. Ez azért fontos, mert ha az EGT területén kívül lévő helyszínről van szó, akkor más-más biztonsági szabályok az irányadók.
• Természetesen a hatósági eljárás is különbözik az ilyen szolgáltatás használatával tárolt adatok ügyében, különösen ha külföldön lévő szerverparkban tárolt adatkoról van szó.
• Fontos szem előtt tartani, hogy milyen biztonsági követelményeknek kell megfelelnünk ilyen esetben,
• valamint, hogy adott esetben milyen Uniós ajánlások vonatkoznak ránk.

Kérdése, észrevétele van? Vegye fel velünk a kapcsolatot!

Végre egy lista, ami abban segíti, hogy mi szerepeljen egy jól elkészített adatkezelési tájékoztatóban.

Munkánk során gyakran találkozunk azzal a helyzettel, hogy a honlapokon elhelyezett adatkezelési tájékoztató láthatóan máshonnan letöltött tartalom, amely adott esetben a cég működésétől eltérő folyamatokról nyújt tájékoztatást. Emiatt a cégre vonatkozóan nem tartalmazza a kezelt adatok teljes körét sem.

Az alábbi listában összegyűjtöttük, melyek azok a fontos elemek, amelyek nem maradhatnak ki egy ilyen dokumentumból és mit kell tartalmaznia ezeknek.

Ha kérdése merül fel az alábbiakkal kapcsolatban, bátran vegye fel a velünk a kapcsolatot. Tanácsadással, konzultációval gyorsan kijavíthatóak az egyes hibák.

Elérhetőségeinket ide kattintva megtalálja:

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő GDPR 13. cikk (1) és (2) bekezdései alapján egyértelmű tájékoztatást kell, hogy adjon a személyes adatok megszerzésének időpontjában és az érintett rendelkezésére bocsátja a következő információk mindegyikét:

• az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kilétéről és elérhetőségeiről;
• az adatvédelmi tisztviselő elérhetőségeiről, (ha van ilyen)
• a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról;
• a 6. cikk (1) bekezdésének f) pontján, azaz a jogos érdeken alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
• adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás
• adott esetben a személyes adatok címzettjeiről, illetve a címzettek kategóriáiról, ha van ilyen;
• a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
• a hozzájárulás bármely időpontban történő visszavonásához való jogáról, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
• arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
• az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Kérdése van? Vegye fel a velünk a kapcsolatot. Tanácsadással, konzultációval gyorsan kijavíthatóak az egyes hibák.