A szervezetnek nemcsak az általános adatvédelmi rendeletnek megfelelően kell kezelnie a személyes adatokat, hanem képesnek kell lennie a megfelelés igazolására is. Ez magában foglalja a beépített adatvédelem végrehajtását, az adatkezelési tevékenységek nyilvántartásának vezetését, valamint bizonyos körülmények között adatvédelmi hatásvizsgálat elvégzését.
Beépített és alapértelmezett adatvédelem
Adatkezelőként mind az adatkezelési művelet tervezésekor, mind az adatkezelés időpontjában megfelelő intézkedéseket és biztosítékokat kell végrehajtania az adatvédelmi elvek betartásának biztosítása érdekében. Azt is biztosítania kell, hogy alapértelmezés szerint csak az egyes célokhoz szükséges személyes adatok kerüljenek feldolgozásra (ez vonatkozik az adatok mennyiségére, az adatkezelés mértékére, a tárolás korlátozására és hozzáférhetőségére).
Más szóval, az a szervezet, amely a beépített és alapértelmezett adatvédelmet alkalmazza, olyan szervezet, amely figyelembe veszi és beágyazza az egyének védelmét és magánéletét minden szempontból, adatkezelési műveleteinek minden szakaszában, az alkalmazott eszközökbe vagy bármely más üzleti tevékenységbe.
Ennek érdekében az adatkezelési műveletek megkezdése előtt az Ön szervezetének figyelembe kell vennie a következőket:
- a tervezett adatkezelési művelet jellege, háttere és hatálya;
- a tervezett adatkezelési műveletekből vagy bármely más olyan üzleti tevékenységből eredő kockázatok, amelyek hatással lehetnek az egyének személyes adataira;
- az azonosított kockázatok mérséklése érdekében bevezetendő technikai és szervezési intézkedések, mely során biztosítják az egyének személyes adatainak megfelelő védelmét;
- az annak biztosítása érdekében bevezetendő technikai és szervezési intézkedések vagy eljárások, hogy a személyes adatok kezelése (beleértve különösen az egyének adatainak gyűjtését, tárolását és általános felhasználását) a kitűzött célok fényében szükséges mértékre korlátozódjon.
A gyakorlatban
- Egy könyvesbolt növelni kívánja bevételeit azáltal, hogy könyveket értékesít online. A könyvesbolt tulajdonosa szabványosított űrlapot kíván létrehozni a rendelési folyamathoz. Először is a tulajdonos kötelezővé teszi az űrlap minden mezőjének kitöltését, beleértve az ügyfél születési dátumát, telefonszámát és lakcímét. Azonban nem minden mezőre van szükség a könyvek értékesítéséhez és kiszállításához.
Például, amikor megrendel egy e-könyvet, az ügyfél közvetlenül letöltheti a terméket a készülékére. Mint ilyen, ezek nem szükségesek a webes űrlapon a könyvek megrendeléséhez. A webáruház tulajdonosa ezért úgy dönt, hogy két webes űrlapot készít: az egyik a könyvek megrendeléséhez, az ügyfél címének mezőjével és egyet webes űrlappal az e-könyvek megrendeléséhez, az ügyfél címének mezője nélkül. Ennek során a tulajdonos gondoskodik arról, hogy csak az adatkezeléshez szükséges adatokat gyűjtsék össze. - A több orvost foglalkoztató orvosi praxis szervezeti információs rendszerében adatokat gyűjt a betegeiről. Előfordulhat, hogy a különböző orvosoknak hozzá kell férniük a beteg aktáihoz, például akkor, ha egy másik orvost helyettesítenek, hogy tisztában legyenek a betegek ellátásával és kezelésével kapcsolatos döntéseikkel, valamint a megtett diagnosztikai, ellátási és kezelési intézkedésekkel (dokumentálásával). Alapvetően csak azok az orvosok kaphatnak hozzáférést, akik az adott beteg kezelésével foglalkoznak.
Hasznos, ha nyilvántartást vezet ezekről az értékelésekről és intézkedésekről, hogy bizonyítani tudja, hogy betartja a beépített és alapértelmezett adatvédelemi elveket. Egy jóváhagyott tanúsítási mechanizmus is használható elemként a beépített és alapértelmezett adatvédelemnek való megfelelés igazolására.
Adatkezelési nyilvántartás vezetésének kötelezettsége
Szervezetként Önnek kötelessége, hogy nyilvántartást vezessen az adatkezelési tevékenységeiről. Ezeket a nyilvántartásokat írásban, többek között elektronikus formában kell megőrizni.
Ez a nyilvántartás áttekintést nyújt az adatkezelési tevékenységekről. Az ilyen nyilvántartás létrehozása érdekében meg kell határoznia, hogy mely tevékenységei igénylik a személyes adatok feldolgozását (például a toborzás, a bérszámfejtés, a képzés, a belépőkártyák és a hozzáférések kezelése, a leendő ügyfelek listája stb.). Ezen adatkezelési műveletek mindegyikét le kell írni a nyilvántartásban a következő információkkal:
- az adatkezelés célja (pl. ügyfélhűség);
- a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
- ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai szolgáltatás, a vezetőség, a szolgáltatók, a partnerek...);
- adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk;
- lehetőség szerint a tárolási időszak (az az időszak, amelyre az adatok operatív szempontból és archiválási szempontból hasznosak);
- amennyiben lehetséges, a biztonsági intézkedések általános leírása.
Az adatkezelési tevékenységek nyilvántartása a szervezet vezetőjének felelőssége. Ennek a nyilvántartásnak kérésre elérhetőnek kell lennie annak az EGT-országnak az adatvédelmi hatósága számára, ahol Ön működik.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásukban csak alkalmi tevékenységeket említsenek (pl. egyszeri események, például bolt megnyitása céljából kezelt adatok).
Olvass tovább
a 29. cikk szerinti munkacsoporthoz: állásfoglalás az adatkezelési tevékenységek nyilvántartásának vezetésére vonatkozó kötelezettség alóli eltérésekről (az Európai Adatvédelmi Testület jóváhagyásával)
Az Európai Bizottság sajtóterme
Hogyan készítsünk adatvédelmi hatásvizsgálatot (DPIA)?
Mi az a DPIA?
Amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve, az adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat a tervezett adatkezelési művelet írásbeli értékelése. Segít azonosítani a kockázatok csökkentésére és a megfelelés igazolására szolgáló megfelelő biztosítékokat.
Mikor kell DPIA-t készíteni?
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező ilyen adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:
- az érzékeny személyes adatok és a büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok nagymértékű kezelése;
- az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések meghozatala, amelyek az érintett személyre nézve joghatással járnak vagy az egyéneket hasonlóképpen jelentős mértékben érintik;
- széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.
A legtöbb esetben az alábbi kritériumok közül kettőnek megfelelő adatkezelési műveleteket adatvédelmi hatásvizsgálat keretében kell értékelni:
- értékelés vagy pontozás;
- jogi vagy hasonló jelentős hatással járó automatizált döntéshozatal;
- szisztematikus nyomon követés;
- érzékeny adatok vagy erősen személyes jellegű adatok;
- nagymértékben feldolgozott adatok:
- adatkészletek összevetése vagy összekapcsolása;
- a veszélyeztetett érintettekre vonatkozó adatok;
- új technológiai vagy szervezeti megoldások innovatív alkalmazása;
- Ha az adatkezelés önmagában megakadályozza az egyéneket valamely jog gyakorlásában, szolgáltatás vagy szerződés igénybevételében.
Kiemelt DPIA tipp
Vegye fel a kapcsolatot annak az EGT-országnak az adatvédelmi hatóságával, ahol a szervezet székhelye található, hogy megtudja, rendelkezik-e nyilvánosan hozzáférhető dokumentummal, amely felsorolja azokat a feltételeket, amelyek esetében az adatkezelési műveletekhez adatvédelmi hatásvizsgálatra van szükség, és mely adatkezelési művelethez nincs szükség adatvédelmi hatásvizsgálatra.
Példák arra, hogy mikor lehet szükség adatvédelmi hatásvizsgálatra:
- biometrikus adatok kezelése, például ujjlenyomatok vagy arcvonások szkennelése a betegek azonosítása érdekében;
- a kiszolgáltatott személyek adatainak felhasználása marketing célokra, például vásárlásuk előrejelzésére;
- mobil alkalmazás nyomon követi az egyén tartózkodási helyét.
Példák arra, ha nincs szükség adatvédelmi hatásvizsgálatra
- a tervezett adatkezelési művelet nagyon hasonlít az adatvédelmi hatásvizsgálat tárgyát képező adatkezeléshez;
- az adatkezelés szerepel az adatvédelmi hatásvizsgálat hatálya alá nem tartozó adatkezelési műveletek (az Ön nemzeti adatvédelmi hatósága által létrehozott) opcionális jegyzékében;
- az adatkezelési műveletet az uniós vagy a nemzeti jog engedélyezi.
Mit kell beilleszteni az adatvédelmi hatásvizsgálatba?
Az adatvédelmi hatásvizsgálatnak tartalmaznia kell a következőket:
- a tervezett adatkezelési művelet és céljának leírása;
- a szükségesség és az arányosság értékelése;
- az adatkezelési művelet által esetlegesen felmerülő kockázatok;
- a kockázatok kezelésére szolgáló intézkedések.
Előzetes konzultáció az adatvédelmi hatásvizsgálat során
Amennyiben az adatkezelő nem talál elegendő intézkedést ahhoz, hogy a kockázatokat elfogadható szintre csökkentse (azaz a fennmaradó kockázatok továbbra is magasak), konzultálni kell az adatvédelmi hatósággal. Ebben az esetben az adatkezelőnek a következő információkat kell megadnia:
- az adatkezelő, a közös adatkezelők és az adatkezelésben részt vevő adatfeldolgozók felelősségi köre;
- az adatkezelési művelet célja és végrehajtásának módja;
- az egyének személyes adatainak védelmére tervezett intézkedések;
- adott esetben az Ön szervezete adatvédelmi tisztviselőjének elérhetőségei;
- a szóban forgó adatvédelmi hatásvizsgálat.
Az adatvédelmi hatásvizsgálat után – Tesztelje, javítsa, ellenőrizze!
Miután elkészítette az adatvédelmi hatásvizsgálatot, tesztelnie kell azt; szükség esetén javítsa azt; adatkezelési művelet lebonyolítása; újraértékeli, hogy az adatvédelmi hatásvizsgálat megfelel-e az adatkezelési műveletnek; és ellenőrző ellenőrzés.
Olvass tovább
a 29. cikk szerinti munkacsoporthoz: Az adatvédelmi hatásvizsgálatra vonatkozó iránymutatások (DPIA)
Az Európai Bizottság sajtóterme
Az adatkezelési művelettípusoknemzeti listáinak összekapcsolása, amelyek adatvédelmi hatásvizsgálatot végeznek vagy nem igényelnek
Adatvédelmi Bizottság, ír felügyeleti hatóság
Magatartási kódexek
Attól függően, hogy az Ön szervezete hol található az EGT-ben, lehetnek olyan egyesületek vagy más szervek, amelyek adatkezelőket vagy adatfeldolgozókat képviselnek. Ezek az egyesületek és szervek magatartási kódexeket dolgozhatnak ki, ideértve az adatvédelmi mechanizmusokat is, amelyeket az adatkezelők és az adatfeldolgozók betarthatnak annak érdekében, hogy biztosítsák az egyének személyes adatainak az általános adatvédelmi rendelet szerinti tiszteletben tartását.
Konkrétabban, a bevezetett magatartási kódexek többek között a következőket hivatottak biztosítani:
- a személyes adatok kezelése tisztességes és átlátható módon történik;
- a személyes adatok kezelésének célja jogszerű;
- a személyes adatok álnevesítésének módja;
- átlátható tájékoztatást kapjanak azok az egyének, akiknek a személyes adatait feldolgozzák;
- az egyének adatainak, különösen a gyermekekre vonatkozó személyes adatok feldolgozásához való hozzájárulás szükséges;
- minden technikai és szervezési intézkedést megtesznek az egyének adatainak biztonságos kezelése érdekében;
- a személyes adatok megsértésének bejelentésére vonatkozó eljárásokat kell követni;
- a személyes adatok EGT-n kívüli országokba és szervezetek részére történő továbbítására vonatkozó eljárásokat, - beleértve a biztosítékokat is – követni szükséges;
- a bírósági eljárásokkal és a vitarendezéssel kapcsolatos eljárásokat kell követni.
Kiemelt tipp
- Vegye fel a kapcsolatot az érintett szervezettel (vagy szervvel), amely elkészíti a GDPR Magatartási Kódexeket, mivel ezek segíthetnek Önnek a GDPR-nak való megfelelésben.
Tanúsítás
Mi az a GDPR tanúsítás?
Az a szervezet, amely GDPR-tanúsítványt szerez, felhasználhatja ezt a tanúsítványt annak igazolására, hogy adatkezelési műveletei megfelelnek a GDPR-nak.
Az EGT adatvédelmi hatóságai például:
- GDPR-tanúsítványokat ad ki saját tanúsítási rendszere tekintetében;
- saját tanúsítási rendszere tekintetében maga állít ki GDPR-tanúsítványokat, de az értékelési folyamat egészét vagy egy részét harmadik felekre ruházza át;
- saját tanúsítási rendszert hoz létre, és meghatározott szerveket bíz meg e tanúsítványok kiadásával;
- a piac ösztönzése tanúsítási mechanizmusok kidolgozására;
- értékeli a tanúsító szervek tanúsítási rendszereit.
A tanúsító szerv feladata a tanúsítványok kiadása, felülvizsgálata és visszavonása tanúsítási mechanizmus és jóváhagyott kritériumok alapján.
A tanúsító szerveknek dokumentálniuk kell az Ön szervezete adatkezelési műveleteinek értékelését, amelyekre GDPR-tanúsítvány adható ki.
A szervezetem megkapta a GDPR-tanúsítványt, mi a következő lépés?
Az Ön szervezete által végzett adatkezelési műveletekre vonatkozó GDPR-tanúsítvány legfeljebb 3 évig érvényes, de megújítható vagy visszavonható. A tanúsítvány megtartása érdekében szervezetének folyamatosan és következetesen át kell ültetnie a tanúsított adatvédelmi művelettel kapcsolatos intézkedéseket.