Felhívjuk a Kedves Olvasók figyelmét, hogy jelen dokumentumban a GDPR aktuális szövegének és fogalmainak értelmezése olvasható, melyet a működő gyakorlat megváltoztathat. Mivel a hatálybalépés 2018. május 25.-én esedékes, így a Rendelet jogalkalmazói gyakorlata még hiányzik, egyes kérdéskörök és módszertanok még nem kiforrottak.

Rendszerrel kapcsolatos kérdések

Mire jó a GDPRlite?
Elsősorban kis-és középvállalkozások adatvagyonának felmérésére, ennek karbantartására és a megfelelőség elősegítésére hoztuk létre a GDPRlite.eu rendszert. A rendszer segít az adatvagyon leltár felmérésében, az adatelemek rögzítésében, az adatkezelések, jogalapok meghatározásában, klasszifikációjában és a kockázatok azonosításában.
Hogyan működik a GDPRlite?
Előre definiált szektor specifikus templatek találhatóak a rendszerben, melyek száma fokozatosan bővülni fog. Tájékozódj vásárlás előtt arról, hogy a számodra fontos szolgáltatáshoz már elérhető-e szektor specifikus csomag. Amennyiben nem, bátran jelezd felénk az igényt és kezdj bele a rendszer használatába a meglévő alap sablon csomaggal. Az alap sablon csomag egy általános KKV folyamataira épül fel. A sablonokat minden felhasználónak testre kell szabnia. A felhasználóknak a vállalkozásukra jellemző adatkezeléseket, adattárolási helyeket és szolgáltatásokat kell a rendszerben rögzíteniük. A sablonokban előre definiáltunk jellemző adatkezeléseket, adattárolási helyeket. Ezek importálásával a kitöltési idő jelentősen lecsökkenthető.
Kell-e fizetnem a rendszer használatáért?

A rendszer egy hónapig díjmentesen használható, azonban a regisztráció során megkérünk a bankkártya adataid megadására a SimplePay rendszerében. A felhasználó valódiságának ellenőrzésére 100 forint összegű tranzakciót kezdeményezünk, melyet azonnal vissza is térítünk a részedre. Amennyiben az ingyenes időszakon túl nem szeretnéd használni a GDPRlite rendszerét a bankkártya adatok törlésével tudod a fizetési kötelezettséget elkerülni. Ezt a jobb felső sarokban található felhasználói név alatt található menüben, a Profil gombra kattintva érheted el. A törlést követően csak egy bankkártya ismételt regisztrációjával és a megfelelő csomag kiválasztásával tudod újra használni a rendszert.

Az egy hónapig tartó ingyenes időszakot követően, (amennyiben nem törölted bankkártya adataid a rendszerből) havonta megújuló előfizetésként aktiválódik hozzáférésed. A kedvezőbb díjazású éves előfizetési csomagot bármikor beállíthatod magadnak, ebben az esetben a havi előfizetési csomagod hátralévő napjai elvesznek, ezért javasoljuk , hogy ezt annak lejáratát közvetlenül megelőzően tedd ezt meg.

Milyen adatokat kell a GDPRlite rendszerben a sablonok segítségével meghatározni?
  1. Adattárolási helyek. Válaszd ki, hogy a cégedre mely előre definiált adattárolási helyek vonatkoznak. Nézd meg, hogy mi miket definiáltunk és gondold át, hogy ezeken kívül található-e még egyéb fel nem sorolt a vállalkozásodban. Amennyiben az általad használt valamely adattárolási hely nem szerepel a sablonok között a +Új adattárolási hely felvétele gomb használatával tudsz új adattárolási helyeket meghatározni. Ne felejtsd el megadni az adattárolási helyek attribútumait, melyekhez segítséget kapsz az előre meghatározott példákkal. A csempéken a
    ikon azt mutatja, hogy a túloldali adatokat is meg kell adni, ne feledkezz meg róluk!
  2. Adatkezelések meghatározása. Az adattárolási helyekhez hasonlóan válaszd ki az általunk definiált sablonok közül a rád vonatkozóakat, a többit nyugodtan töröld ki. A rád vonatkozóakat egyesével nézd végig és a
    ikon segítségével tudod szerkeszteni, ha szükséges. Mivel a Te cégedre csak akkor lesz érvényes a felmérés, ha valós adatokkal töltöd ki, ne fogadd el a javaslatainkat csak abban az esetben ha tökéletesen illenek a Vállalkozásotok adatkezeléseire. Szükség esetén vigyél fel új adatkezeléseket a +Új adatkezelés felvétele gomb használatával.
  3. Az adatkezelések szerkesztése során tudod megadni a kezelt személyes adatokat és ezek attribútumait. Ahol Megjelenítés/elrejtés gomb van, ott állítsd be a szükséges időtartományokat és egyéb értékeket. Ahol csatolható állományt szükséges megadni, ott vagy kattints a szövegre, vagy egérrel húzd be a .doc, .docx, .pdf állományt a megfelelő mezőbe.
  4. A folyamatok (Szolgáltatások) menü alatt tudod összerendelni az adattárolási helyeket az adatkezelésekkel. A szerkesztés gomb-ra kattintva a választható adatkezelések közül húzd át a relevánsakat a választott adatkezelések mezőbe. (jobbról-balra)
  5. Ha kérdésed van, írj a support@gdprlite.eu email címre. Itt a rendszer működésével kapcsolatos támogatást tudunk biztosítani. Amennyiben tanácsadói segítségre van szükséged azt a sales@gdprlite.eu címre küldd el és munkatársaink hamarosan megkeresnek egy személyre szabott ajánlattal.

Rendelettel kapcsolatos kérdések

Mi is az a GDPR?

A személyes adatok védelme, mint alapvető, de legfiatalabb emberi jog a XX. század közepén jelent meg és nőtt óriássá az informatikai csúcsfejlődés velejárójaként. A védelemre a századvég óta dolgoztak ki a nagyobb nemzetközi szervezetek, szerveződések iránymutatásokat, azonban a tagországok, egyes szuverén államok önmaguk alkották meg saját szabályrendszerüket. Az incidensek növekvő száma és egyre súlyosabb károkozási képessége arra késztette az Európai Uniót (is), hogy egy, minden tagállamra egységesen vonatkozó, modern és szigorú szabályrendszert hozzon létre, így 2018. május 25-i hatálybalépéssel létrejött az Általános Adatvédelmi Rendelet (General Data Protection Regulation).

Magyarországon a Nemzeti Adatvédelmi és Információszabadsági Hatóság (NAIH) felelős a GDPR betartatásáért, hatósági ellenőrzéseket folytathat le és a rendelkezések értelmében a nemmegfeleléseket szankcionálhatja.

Kire vonatkozik a GDPR?
Uniós Rendelet lévén a GDPR-t közvetlenül alkalmazni kell valamennyi olyan vállalkozás esetén, mely az EU területén fejti ki tevékenységét és ez a tevékenység adatkezeléssel összefüggésben valósul meg.
A GDPR kulcselemei
FELDOLGOZÁS
Határozza meg adatkezelési, -feldolgozási, - gyűjtési, -rögzítési, -szervezési, -tárolási, vagy egyéb módon végzett tevékenységeinek törvényes alapját és frissítse adatvédelmi nyilatkozatát ennek magyarázása érdekében.
ELSZÁMOLTATHATÓSÁG
Biztosítsa, hogy hatósági audit során képes legyen bizonyítani megfelelését, mivel a GDPR kifejezetten előírja a felelősséget a vállaltok számára. Határozza meg, melyek azok a megfelelő technikai és szervezeti intézkedések, melyek biztosítják és bizonyítják a megfelelést.
BELEEGYEZÉS
A hozzájárulás az egyén szabadon választott, adott, konkrét és egyértelmű engedélye. Ügyeljen arra, hogy a hozzájárulások elkülönüljenek egymástól és azokat szabadon adják – hallgatás, inaktivitás és előre kipipált check-boxok már nem minősülnek opt-in-nek.
ÁTLÁTHATÓSÁG
A GDPR a magánszemélyek adatainak védelmére hivatott, vagyis fontos ügyelnie arra, hogy tevékenysége során az adatok tulajdonosai egyértelműen, világosan, könnyen és ingyenesen tudomást szerezhessek arról, pontosan mihez adták meg adataikat – ennek legjobb módja egy komplex adatkezelési tájékoztató.
Kell-e nyilvántartást vezetnem?
Az alábbi esetekben Adatvédelmi Nyilvántartást szükséges vezetnie:
  • az adatkezelés rendszeres;
  • veszélyezteti az egyének jogait és szabadságait;
  • érzékeny vagy bűnügyi adatokat érint.
Gyakorlatban minden adatkezelésben nyilvántartást kell vezetni.
Adatkezelő vagy adatfeldolgozó?

Az adatkezelés magába foglal szinte minden személyes adatokon végzett tevékenységet, így aki ezek valamelyikével foglalkozik, az Adatkezelőnek minősül.

  • felvétel
  • gyűjtés
  • tárolás
  • felhasználás
  • továbbítás
  • módosítás

Az Adatfeldolgozó az adatkezelő nevében és annak megbízásából dolgozik személyes adatokkal – tulajdonképpen csupán utasításokat hajt végre (üzemeltetés), de a célokat és a döntéseket az adatkezelő határozza meg.

Mi az a személyes adat?

Amikor egy entitás kapcsán felmerül a kérdés, hogy vajon személyes adat-e, a válasz nagy valószínűséggel igen. A Rendelet így fogalmaz: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Személyes adatokra példák:

  • Azonosító adatok (név, titulus, cím, telefonszám),
  • kormány által kiadott azonosító adatok (útlevél szám, engedély szám, nyugdíjszám, rendszám),
  • elektronikus azonosítási és lokációs adatok (IP címek, cookie-k, GSM, GPS),
  • biometrikus azonosítási adatok* (DNS adatok, ujj és hangnyomatok, arcfelismerés, retina kép),
  • pénzügyi források (jövedelem, befektetések, megtakarítás, eszközköltségek),
  • adók, költségek (kiadások, bérleti díjak, kölcsönök), nyugdíj (a nyugdíjrendszerben való részvétel időpontja, a rendszer jellege, a beérkezett és végrehajtott kifizetések),
  • személyes tulajdonságok (kor, nem születési idő, születési hely, családi állapot, nemzetiség, katonai státusz, bevándorló státusz),
  • fizikai leírás (méret, súly, hajszín, szemszín, megkülönböztető tulajdonságok),
  • családi állapot (jelenlegi életforma, többi családtag adatai),
  • igazságügyi adatok (a bejegyzett személy által, vagy ellen indított nyomozások vagy peres eljárások, büntetések és ítéletek, gondnokság, ideiglenes gyámság, fogva tartás, elhelyezés),
  • lakhatási adatok (az ingatlan elhelyezkedése: a tulajdon tulajdonában lévő, vagy bérelt ingatlan jellege, ezen a címen való tartózkodás időtartama, bérleti díj, kulcstulajdonosok nevei),
  • egészségügyi adatok (orvosi nyilvántartás, orvosi jelentés, diagnózis, kezelés, fogyatékosság vagy rokkantság, egyéb különleges egészségügyi paraméterek vagy egészségügyi státusz egy utazás vagy otthon kezelés során.),
  • képzési adatok (képzési életút, a tanulmányok pénzügyi áttekintése, szakmai kompetencia, szakmai tapasztalat, szakmai szervezetekben való részvétel),
  • munkahelyi adatok (felvétel időpontja, felvételi mód, felvétel forrása, referenciák, a próbaidő részlete, korábbi munkahelyek és munkáltatók, távollétek, szolgáltatási kötelezettség, fizetések és kifizetések, jutalékdíjak, bónuszok, kiadások),
  • országos nyilvántartási szám,
  • faji vagy etnikai adatok,
  • szexuális életről szóló adatok,
  • politikai hovatartozás, politikai kapcsolatok.

A vállalatok kötelezettségei
KOMMUNIKÁCIÓ
Világosan és (akár gyerekek számára is) közérthetően mondja el, hogy ki is Ön, mivel foglalkozik és miért végez adatokkal kapcsolatos tevékenységet.
TÁJÉKOZTATÁS
Hívja fel az érintettek figyelmét az esetleges adatsértések kockázatára és annak mértékére.
MOBILITÁS
Önnek, mint adatkezelőnek, lehetővé kell tennie, hogy az érintettek hozzáférjenek adataikhoz és ezt más vállalatok számára is megadhassák azokat.
BELEEGYEZÉS
Az érintett akaratának önkéntes megnyilvánulása, mely konkrét és megfelelő tájékoztatáson alapul. Szerezze meg adatkezeléseihez a beleegyezéseket, amennyiben gyerekek is érintettek, úgy győződjön meg a szülői hozzájárulás meglétéről.
PROFILKÉSZÍTÉS
Amennyiben a személyes adatok kezelését bármely formában automatizálja (elemzések és előrejelzések), gondoskodnia kell arról, hogy ezt ne csupán gép végezze (manuális felülvizsgálat). Tájékoztassa az érintetteket az automatizált kezelésről.
ÉRZÉKENY ADATOK VÉDELME
Biztosítsa, hogy azok az adatok, melyek a különleges kategóriák-ba tartoznak és szenzitívnek minősülnek, további védelmi intézkedé-sekkel vannak ellátva.
MARKETING
Adja meg a lehetőséget az érintettek számára, hogy kimaradjanak a direkt marketingből (opt-out-lehetőségek).
ADATOK TÖRLÉSE
Adja meg a lehetőséget az érintettek számára, hogy adataikat rendszere „elfelejthesse”, amennyiben ők kifejezetten ezt kérik.
UNIÓN KÍVÜLI ADATTOVÁBBÍTÁS
Azokban az esetekben, mikor az adattovábbítás az uniós hatóságok által jóvá nem hagyott országokba történik, biztosítsa, hogy további jogi intézkedéseket vezetett be.
Milyen esetben kell adatvédelmi felelőst (DPO) alkalmazni?
Az alábbi esetekben Adatvédelmi tisztviselőt szükséges kineveznie:
  • közhatalmi vagy közfeladatot ellátó szerv (állami óvoda);
  • a tevékenység az érintetettek szisztematikus, nagymértékű megfigyelését teszi lehetővé (térfigyelő rendszer);
  • a kezelt adatok különleges, vagy bűnügyi kategóriába tartoznak (orvosi rendelő).
Mikor kell adatvédelmi hatásvizsgálatot (DPIA) végezni?
Az alábbi esetekben Adatvédelmi Hatásvizsgálatot szükséges végeznie:
  • magas kockázatú, érzékeny adatok feldolgozása (egészségügyi adatok);
  • új technológiák bevezetése;
  • profilalkotás és automatikus döntéshozatal (hitelbírálat);
  • közterületek kiterjedt megfigyelése.
Kamerarendszer
Amennyiben vállalkozását vagyonvédelmi vagy egyéb céllal kamerás megfigyelőrendszerrel, kamerarendszerrel látja el, az alábbiakról kell gondoskodnia:
  • Megfelelő jogalap (az érintett hozzájárulása);
  • Megfelelő, előzetesen nyújtott tájékoztatás (figyelemfelkeltő áruházi tájékoztató);
  • Célhoz kötöttség (vagyonvédelem);
  • Tájékoztatásadási kötelezettség panasz esetén, összhangban a Számviteli törvénnyel és a Munka Törvénykönyvével

Rendelet alkalmazásával kapcsolatos kérdések

GDPR hatálya alá tartozik-e, hogy az ügyfelem, egy magánszemély emailben elküldi számomra a telefonos és email-es elérhetőségét és azt az email rendszerben tárolom?
Megítélésünk szerint nem. A GDPR a személyes adatok részben vagy egészben automatizált módon történő kezelésére és a nem automatizált, de nyilvántartást képező vagy e célból kezelt adatokra vonatkozik. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.
Minden személyes adathoz hozzájárulást kell kérni?
Nem. A személyes adat jogszerű kezelésére még számos lehetőségünk van: ilyen a szerződés teljesítése (ahhoz szükséges személyes adat kezelése vagy a szerződés megkötése céljából kezelt adat), a jogi kötelezettség (más jogszabály előírja az adat kezelését), a jogos érdek (sérelem ér engem vagy mást, ha nem kezelem az adatot) vagy a létfontosságú érdek.
Az Adatfeldolgozónak átadott adatért milyen felelősséggel tartozom én és milyennel a feldolgozó?
Az Adatfeldolgozóra gyakorlatilag ugyanolyan teher hárul, mint az adatkezelőre azzal a különbséggel, hogy neki nem kell bemutatnia a kezelt adatok jogalapjait. Az Adatkezelő pedig csak olyan adatfeldolgozónak adhatja át az adatokat, amelyről meggyőződött, hogy a GDPR elveinek megfelelően kezeli azokat.
Mit jelent az adatkezelés biztonsága?
A technológia állásának, a költségek és a kockázatok figyelembe vételével kell az adatokat kezelni, tehát lehetőség szerint álnevesítést, titkosítást, megfelelő mentést és egyéb más technikai-technológiai és szervezési/folyamatbeli védelmi mechanizmusokat kell működtetni.
Nem lehet vezérlő elv az, hogy bízunk bizonyos események elő nem fordulásában vagy elfordulásának ritka számában.
Hiba
Ok