GDPR - Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat?
Bejegyzés dátuma:Több magyar és külföldi szervezet foglalta össze az új adatvédelmi rendelet információit és ad segítséget civil szervezeteknek ennek alkalmazásához, a nonprofit.hu -n ezeket gyűjtöttük össze.
A Társaság a Szabadságjogokért írása:
Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat?
A legtöbb civil szervezet kezel személyes adatokat. Ezeket érdemes két nagy csoportra elkülöníteni:
- vannak a szervezettel, a munkatársakkal, munkaviszonnyal kapcsolatos adatok (itt nem foglalkozunk vele),
- és azok, amelyek a szervezet működése során keletkeznek, a szervezet másoktól gyűjti be és tárolja őket.
A törvény értelmében minden olyan adat személyes adatnak minősül, amely kapcsolatba hozható az érintettel – különösen ilyen a neve, azonosítója, telefonszáma, emailcíme, lakcíme, és azok is, amelyekből következtetéseket lehet levonni az érintettre nézve.
A személyes adat kategóriáján belül külön kört alkotnak a különleges adatok, amelyek olyan érzékeny információk, amelyek a nemzetiségre, politikai, vallási meggyőződésre, szexuális életre vagy beállítottságra, egészségi állapotra vagy éppen kóros szenvedélyre utalnak.
A személyes adatnak kezelője az, akinél az adat van, vagyis az is adatkezelésnek minősül, hogyha az adatok egy senki által nem használt pendrive-on vagy egy fiók mélyén elsüllyesztett papíron szerepelnek. A három fő tudnivaló ennek kapcsán:
- az adatkezelés csak meghatározott célhoz kötött lehet (és ha a cél megvalósul, az adatokat törölni kell);
- az adatkezelés csak az érintett beleegyezésén alapulhat, az erről szóló dokumentummal az adatkezelőnek kell tudnia bizonyítani, hogy az adatkezelés jogszerű;
- az adatkezelő felelőssége, hogy gondoskodjon az adatok védelméről, vagyis hogy azok ne kerüljenek át máshoz.
Májusban lép hatályba az adatvédelemről szóló egységes EU-s szabályozás, az Általános Adatvédelmi Rendelet (GDPR). A GDPR sok változást hoz, az alábbiakban áttekintjük a legfontosabb szempontokat, amikre érdemes odafigyelni az adatkezelés során.
Önellenőrző kérdések:
- Milyen személyes adatokkal dolgozunk és milyen adatokat kezelünk?
- Hol tároljuk ezeket az adatokat? (online, papíron, fájlokban stb.)
- Milyen módon szivároghatnak ki az adatok? Mit teszünk egy adatszivárgás esetén?
- Ki férhet hozzá az adatokhoz a szervezeten belül és kívül? (zárható szekrényben vannak? jelszóval védett fájlban? link birtokában bárki hozzáférhet az adatokat tartalmazó fájlhoz? stb.)
- Mi(k) az adatkezelés célja(i)? Megvalósultak ezek a célok, vagy még folyamatban vannak?
- Milyen hozzájárulást adtak a természetes személyek az adatkezeléshez?
Fontos, hogy az adatok kezelésének kell, hogy legyen valamilyen jogalapja. Ez civil szervezetek esetében leginkább az lehet, hogy az érintett hozzájárul az adatai kezeléséhez. A hozzájárulás ténye az érintettektől származó, az adatkezelésre vonatkozó, írásbeli hozzájárulási nyilatkozattal bizonyítható, ezt az adat kezelőjének kell megőriznie. Javasoljuk, hogy az adatkezelés csak a feltétlenül szükséges ideig és csak a feltétlenül szükséges adatokra vonatkozzon, azokat az adatokat, amelyek nem ilyenek, javasoljuk törölni.
Az adatkezelésre felhatalmazó hozzájárulásokat meg kell őrizni. A GDPR szerint az adatkezelőnek utólag is tudnia kell igazolni, hogy az érintettek a rendeletnek megfelelően hozzájárultak az adatkezeléshez. Ennek megfelelően a hozzájárulásokat meg kell őrizni, lehetőleg úgy, hogy visszakereshető legyen és kérés esetén törölni is lehessen a kérdéses adatokat.
16. év alattiak adatait csak a szülői hozzájárulással szabad kezelni. Ezt a fentieknek megfelelően dokumentálni kell.
Érdemes felülvizsgálni a meglévő adatvédelmi szabályzato(ka)t, adatvédelmi tájékoztatókat, egységesíteni és a szervezet honlapján is közzétenni azokat. A tájékoztató térjen ki az érintetteknek a kezelt adataival kapcsolatos jogaira is, ilyen például az adatok törléséhez való jog (az ún. elfeledtetéshez való jog).
Jó, ha van a szervezetben egy adatvédelmi felelős, aki tisztában van az adatvédelem szabályaival és odafigyel az adatok jogszerű kezelésére. Természetesen ez a munkaidejének csak kis részét köti majd le (a kezelt adatok mennyiségétől függően), de jobb, ha van valaki, akinek a dedikált feladata, hogy átgondolja a szervezeten belül az adatkezelési folyamatokat, és maximalizálja a személyes adatok védelmét, szükség esetén pedig hatásos lépéseket tudjon tenni.
Ha ún. adatvédelmi incidens történik, vagyis illetéktelen személyhez vagy nyilvánosságra kerülnek a személyes adatok, akkor ezt a lehető leghamarabb jelenteni kell az adatvédelmi hatóságnak (NAIH).
---------------------
A Net-jog.hu Adatvédelmi és Internetjogi Tanácsadó Iroda írása az alábbi linken érhető el.
Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben
https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html
Dr. Holló Dóra Ügyvéd: A Nagy GDPR Kérdezz-felelek
https://7blog.hu/gdpr/
Milyen szabályok vonatkoznak a kép- és hangfelvétel készítésére? - interjú Jakabosné dr. Németh Monikával
https://birosag.hu/media/aktualis/milyen-szabalyok-vonatkoznak-kep-es-hangfelvetel-keszitesere-interju-jakabosne-dr
Angol nyelvű összefoglalók:
Useful GDPR Resources:
https://www.eugdpr.org/more-resources-1.html
Önellenőrző lista adatkezelők számára, kapcsolódó magyarázatokkal (www.ico.org.uk):
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/data-controllers/
Egyéb önellenőrző listák:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/
Az összeállítást folyamatosan bővítjük.