Mi az a GDPR?
A GDPR egy rövidítés, ami az alábbi EU-s Adatvédelmi Rendelet angol nevéből ered: General Data Protection Regulation. A fenti rendelet pontos neve az alábbi: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
Mikortól hatályos a GDPR?
A GDPR-t az Európai Parlament 2016 áprilisában fogadta el, és a jogszabály már 2016-ban hatályba is lépett. A GDPR-t azonban csak 2018. május 25-től kell kötelezően az egész Európai Unióban alkalmazni.
Kit érint a GDPR?
A GDPR nemcsak az EU-ban elhelyezkedő szervezetekre vonatkozik, hanem az EU-n kívüli szervezeteket is érinti, ha árukat vagy szolgáltatásokat ajánlanak EU-adatalanynak, vagy amennyiben az érintett az EU-ban tartózkodik. Vonatkozik minden olyan vállalkozásra, amelyek az Európai Unión belüli adatalanyok adatait dolgozzák fel vagy tárolják, függetlenül attól, hogy a vállalkozás maga nem az EU-n belül van.
Milyen büntetés szabható ki, ha nem teljesítik a rendeletben foglaltakat?
A szervezeteket akár az éves árbevételük 4%-ával vagy 20 millió euróval is megbírságolhatják, ha megsértik a GDPR-t. Ez a maximális bírság, amit ki lehet szabni a legsúlyosabb jogsértésekért, például ha nincs megfelelő vásárlói hozzájárulás az adatfeldolgozáshoz. A bírságok egy többszintű rendszerben helyezkednek el, például egy vállalkozást megbírságolhatnak az éves árbevétel 2%-ára is, ha hiányoznak az alapvető adatvédelmi dokumentumai, vagy ha nem értesítik az adatvédelmi hivatalt egy adatvédelmi incidensről, vagy nem végeznek hatásvizsgálatot, amikor ez szükséges lenne. Fontos kiemelni, hogy ezek a szabályok mind az adatkezelőkre, mind pedig az adatfeldolgozókra vonatkoznak—ami azt jelenti, hogy a „felhők” nem mentesülnek a GDPR végrehajtása alól.
Mi számít személyes adatnak?
Bármilyen természetes személyhez vagy vállalkozáshoz kapcsolódó információ, aminek segítségével közvetve vagy közvetlenül azonosítani lehet a személyt. Bármi lehet a névtől kezdődően egy fényképig, e-mail cím, banki adatok, közösségi médián megjelenő posztok, orvosi információ vagy egy számítógép IP-címe.
Mi a különbség az adatfeldolgozó és az adatkezelő között?
Az adatkezelő az a személy vagy vállalkozás, aki vagy amely meghatározza az adatkezelés céljait, feltételeit és a személyes adat feldolgozásának eszközeit, míg az adatfeldolgozó egy olyan a közreműködő személy vagy vállalkozás, aki vagy amely az adatkezelő utasításai alapján kezeli csak a személyes adatokat az adatkezelő nevében.
Az adatfeldolgozóknak kifejezett vagy egyértelmű adatalany-beleegyezésre van szükségük, és mi a különbség?
A beleegyezés feltételei megszigorodtak, a vállalkozások már nem használhatnak hosszú, olvashatatlan általános szerződési feltételeket, tele jogi kifejezésekkel. A beleegyezési kérelemnek érthető és könnyen elérhető formában kell megjelennie, hozzácsatolva az adatkezelés célját, aminek egyértelműnek kell lennie. Ugyanolyan egyszerűnek kell lennie a hozzájárulás visszavonásának is, mint a beleegyezés megadásának.
Mi a helyzet a 16 éven aluli Adatalanyokkal?
Szülői beleegyezés lesz szükséges ahhoz, hogy egy 16 éven aluli személy személyes adatait online szolgáltatásokkal kapcsolatosan fel lehessen dolgozni. Az EU-s tagállamok meghatározhatnak alacsonyabb kort is, de az 13 évnél nem lehet kevesebb.
Mi a különbség egy EU-s rendelet és irányelv között?
A rendelet egy kötőerővel bíró jogalkotási aktus. Alkalmazni kell teljes egészében az EU-ban. A GDPR is egy ilyen rendelet. Míg az irányelv egy olyan jogalkotási aktus, amely egy célt tűz ki, amit minden EU tagállamnak el kell érnie. Az, hogy miként érik el ezt a célt, az adott országtól függ.
Szükséges a vállalkozásomnak Adatvédelmi Tisztviselőt kineveznie?
Kötelező Adatvédelmi Tisztviselőt kinevezni a következő esetekben: hatóságok, szervezetek, amelyek nagyléptékű rendszeres ellenőrzésben vesznek részt, szervezetek, amelyek nagyléptékű személyes adatfeldolgozásban vesznek részt, társaságok, amelyek különleges adatokat kezelnek, pl. egészségügyi, faji, etnikai, politika, stb. adatokat. Ha az Ön szervezete nem tartozik ezekbe a kategóriákba, akkor nincs szükség Adatvédelmi Tisztviselő kinevezésére.
Hogyan hat a GDPR az adatokkal kapcsolatos jogsértésekre vonatkozó szabályokra?
A javasolt szabályok az adatokkal kapcsolatos jogsértésekre vonatkozóan elsődlegesen a jogsértő vállalkozások bejelentési szabályzataira utalnak. Az adatokkal kapcsolatos jogsértéseket, amelyek kockázatnak tehetik ki az egyéneket, 72 órán belül be kell jelenteni az illetékes Adatvédelmi Hivatalnak és az érintett egyéneknek késedelem nélkül.