2018. aug 15.

GDPR – Negyedik rész

írta: Dr. Rákosi Ferenc
GDPR – Negyedik rész

Az adatkezelők feladatai, beépített és alapértelmezett adatvédelem,
közös adatvédelem,
adatvédelmi képviselő, belső szabályozás,
belső adatvédelmi nyilvántartás

gdpr2-3.png

A GDPR-rendelet szerint az adatkezelő az adatkezelés jellegére, hatókörére, körülményeire tekintettel, egyedi kockázatértékelés alapján megfelelő technikai és szervezési intézkedéseket hajt végre és tart napra kész állapotban annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Nemcsak ténylegesen biztosítani kell az adatvédelmi szabályok teljesítését, de olyan szabályozási és szervezési hátteret kell felmutatni, amellyel igazolható a szabályok betartása. Vitás esetekben a gyakorlatban ez azt jelenti, hogy nem a sérelmet szenvedett érintettnek vagy a hatóságnak kell a megfelelőség hiányát igazolnia, hanem a megfelelőség bizonyításának terhe az adatkezelőre hárul.  A megfelelő intézkedések hiánya vagy bizonyíthatatlansága önmagában is jogsértésnek minősülhet. A megfelelőség bizonyítása a későbbiekben bemutatott adatvédelmi tanúsítási mechanizmusokhoz (azaz akkreditált adatvédelmi megfelelőség-tanúsítási rendszerekhez) vagy adatvédelmi magatartási kódexekhez való csatlakozással és azok követelményrendszereinek betartásával is lehetséges.

A GDPR-rendelet formálisan nem teszi általánosan kötelezővé az adatkezelők számára belső adatkezelési szabályzat alkalmazását. Az arányosság követelményéből, illetve a kockázatértékelésből következhet azonban, hogy tömeges adatkezelést nem végző szervezetek, adatkezelők esetében is célszerű, sőt szükséges lehet adatvédelmi belső szabályzat kidolgozása, rendszeres aktualizálása és folyamatos hozzáférhetővé tétele.

A belső szabályozásnak teljesítenie kell az ún. beépített és az alapértelmezett adatvédelem elveit: a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, a megfelelő garanciák beépítését, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. A Rendelet ösztönzi olyan alkalmazások, szolgáltatások és termékek kifejlesztését és alkalmazását, amelyek külön felhasználói beavatkozás nélkül, eleve szem előtt tartják a személyes adatok védeleméhez való jogot. Alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerülhet sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek (mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre is kiterjedően). A személyes adatok alapértelmezés szerint ugyancsak  természetes személy beavatkozása nélkül nem válhatnak hozzáférhetővé meghatározatlan számú személy számára.hozzáférhetővé tétele.

Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. (Amennyiben egy adatkezelő külső közreműködőt vesz igénybe valamely tevékenysége körében, és a közreműködő maga is adatkezelőnek minősül, akkor nem közös adatkezelésről, hanem másodlagos adatkezelésről van szó.) A közös adatkezelőknek jogszabályi rendelkezések hiányában átlátható módon, megállapodásban kell meghatározniuk a Rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával, az általuk igényelt információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását. Közös adatkezelés esetén az érintett a megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az adatvédelemmel kapcsolatos jogait.

Számos Unión kívüli, elsősorban tengeren túli adatkezelő (adatfeldolgozó) tevékenysége irányul termékek, szolgáltatások Unión belüli kínálásához vagy az ilyen érintettek Unión belüli magatartásának a megfigyeléséhez. Ezekben az esetekben az adatkezelők (és adatfeldolgozók) kötelesek képviselőt kijelölni. A képviselő az adatkezelő vagy az adatfeldolgozó nevében jár el, és e minőségében bármelyik felügyeleti hatóság megkeresheti. Az adatkezelő vagy az adatfeldolgozó írásbeli megbízás útján kifejezetten kijelöli a képviselőt arra, hogy nevében az e rendelet értelmében fennálló kötelezettségei tekintetében eljárjon.

Az adatkezelő (képviselője) általános esetben köteles a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban vagy elektronikusan nyilvántartást vezetni a következő tartalommal:

a) az adatkezelő (ha van: közös adatkezelő, az adatkezelő képviselőjének és az adatvédelmi tisztviselő) neve és elérhetősége;

b) az adatkezelés céljai;

c) az érintettek és a személyes adatok kategóriáinak ismertetése;

d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk és garanciák;

f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g) ha lehetséges, az alkalmazott technikai és szervezési intézkedések általános leírása.

A nyilvántartást igény esetén az adatvédelmi hatósága felügyeleti hatóság részére rendelkezésére kell bocsátani. A nyilvántartás elkészítéséhez az adatkezelési folyamatokat előzetesen részletesen fel kell térképezni.

A nyilvántartási kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre (kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár), ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok külön kategóriáira.

 

Sorozatunk korábbi részei:

http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz

http://perfekt.blog.hu/2018/05/30/gdpr_masodik_resz

https://perfekt.blog.hu/2018/06/20/gdpr_harmadik_resz

Szólj hozzá

praktikum jo tudni