GDPR
2018. május 25-én lépett életbe az új egységes Európai Uniós adatvédelmi szabályozás
GDPR szövege magyarul:
https://www.gdpr.info.hu/gdpr-rendelet-szovege
Érdemes elolvasnod legalább egyszer, hogy képben legyél a tartalmával. Nem biztos, hogy mindent érteni fogsz, sőt gyanítom, hogy sok mindent nem, de azért legyen a fejedben.
Az adatvédelmi szabályozás fő célkitűzése az, hogy egységesen magas szintű védelmet garantáljon a személyes adatait megadók számára. Az előírás szerint az adatokat az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá.
Ezt előírja az egészségügyi törvény is, miszerint a kezelési dokumentációt zárható szekrényben kell tárolni, úgy, hogy más ne férjen hozzá.
„A GDPR-ban lefektetett alapelvek némelyike a jelenleg hatályos adatvédelmi irányelvben is megtalálható, nevezetesen: jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; adatminőség; adatbiztonság, integritás és bizalmas jelleg.
A Rendelet új alapelvként fogalmazza meg az elszámoltathatóság elvét, amelynek lényege, hogy az adatkezelő felelősséggel tartozik az adatvédelmi szabályoknak való megfelelésért, és képesnek kell lennie e megfelelés igazolására is.“1
A GDPR alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeitönállóan vagy másokkal együtt meghatározza”.
A GDPR megközelítése az adatkezeléssel kapcsolatban:
- Jogszerűség, tisztességesség és átláthatóság– A személyes adatok kezelésének az adatát megadó személy számára átlátható, követhető módon kell történnie.
- Célhoz kötöttség követelmény– lényege, hogy személyes adatok csak meghatározott, jogszerű célból kezelhetők, azaz tilos a cél nélküli adatkezelés, pl. csak úgy feliratkozókat, e-mail címeket gyűjteni. A gyűjtött adatok pedig nem használhatóak fel más célból. Azaz ha hírlevélre iratkoztatsz fel embereket azzal, hogy cikkeket osztasz meg velük, akkor nem hirdetsz nekik szolgáltatást. Hacsak nincs ilyen opció is felajánlva a feliratkozó boxodban.
A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
- Elszámoltathatóság– „Az adatkezelő felelőssége a GDPR elveivel való összhang megteremtése, és képesnek is kell lennie e megfelelés igazolására, bizonyítására.“1
Amikor pl. a tanfolyamon részt vett hallgatók névsorát továbbítod az adatkezelőnek, akkor mindenkit, akihez továbbítod az adatát fel kell tüntetni. Ilyenkor az adatok biztonságos megőrzéséért ő is felelősséget vállal. Neked azt kell igazolnod, hogy az illető vállalta ezt a felelősséget.
Harmadik félnekminősül a könyvelőd, a tárhelyszolgáltató, az rendszergazda, a számlázó programod, azaz mindenki, aki kap valamilyen adatot.
Ezen szolgálattók már felkészültek és GDPR kompatibilisek. Sok gondod nem lesz velük, de fel kell őket tüntetni a tájékoztatóban.
A GDPR életbelépésével számos intézkedést meg kell tenned annak érdekében, hogy minimalizáld GDPR megsértésének esélyét, illetve bizonyítani tudjad, hogy komolyan veszed a belső adatvédelmi szabályozást.
A szükséges intézkedések között említhető az adatvédelmi hatásvizsgálat lefolytatása, az adatkezelési tevékenységek dokumentálása, a szabályzatok és tájékoztatók rendszeres felülvizsgálata,auditálás, és (adott esetben) adatvédelmi tisztviselő (adatvédelmi felelős) kinevezése.1
Ezekből a vastagon szedett az, ami ránk vonatkozik. Vonatkozhat más is, de ha úgy gondolod, hogy azokban érintett vagy, egyeztess szakjogásszal.
A GDPR meghatározott szervezetek részére kötelezővé teszi adatvédelmi tisztviselő (adatvédelmi felelős) kinevezését, aki a szervezet egy munkatársa, vagy külső tanácsadó is lehet.
Amennyiben komplex ügyféladatbázist aktívan használó piaci szereplő vagy, vagy közfeladatot ellátó szerv, nagy valószínűséggel ki kell nevezzen egy adatvédelmi tisztviselőt.1
A szolgáltatásokat egyedül végző számára ez nem kötelező, tehát ránk ez a rész nem vonatkozik, hacsak nem egy nagyobb cég keretein belül végzed a tevékenységed. Ez esetben konzultálj a megfelelő szakemberrel erről a kérdésről.
Amennyiben munkavállalóként foglalkoztatsz valakit, akkor megint speciális szabályok vonatkoznak rád. Ez megint nem gyakori a kineziológusok körében.
A GDPR az adatvédelmi incidenstígy határozza meg: „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.
Ez egy átfogó meghatározás, amely nincs tekintettel arra, hogy az incidens okozott-e tényleges kárt az érintetteknek. Adatvédelmi incidens esetén az adatkezelő azonnal, illetve az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és adott esetben az érintetteket is, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Az adatkezelő azonban mentesül a bejelentés alól, ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, például titkosítást alkalmaz.1
Egyértelmű belső szabályozással kell felkészülnöd az adatvédelmi incidensekre, így biztosítva, hogy képes legyél megfelelően reagálni a történtekre, és értesíteni a hatóságot/érintetteket, amennyiben az szükséges.
Ez praktikusan azt jelenti, hogy legyenek űrlapjaid arra az esetre, ha ez bekövetezne és tedd meg a megfelelő intézkedéseket, amiket jegyzőkönyvezned is kell. Pl. NAIH bejelentés, ügyfél tájékoztatása stb.
Pl. Feltörik a lakást, ahol tárolod a személyes adatokat, vagy a honlapodat törik fel, ahol esetleg tárolsz adatot stb…
Vélhetően felül kell vizsgálnod az adatok gyűjtésének, és a hozzájárulás beszerzésének és rögzítésének módját. Az érintettek részére biztosítani kell a lehetőséget, hogy ugyanolyan egyszerű legyen visszavonni a hozzájárulásukat, mint megadni azt. A személyes adatok kezeléséhez kifejezett és egyértelmű hozzájárulás, azaz az érintett egyértelmű megerősítő cselekedete szükséges, a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.1
Tehát vizsgáld át a honlapodat és ha még nem tetted meg alakítsd át úgy, hogy ennek a szabálynak megfeleljen. Ezt fogják legelőször nézni egy vizsgálat esetén.
Különösen figyelj oda akkor, ha hírlevelet küldesz ki és e-marketinget is folytatsz. Ilyenkor nagyon fontos, hogy az egyedi hozzájárulás és leiratkozás lehetősége biztosított legyen.
Az érintett hozzájárulásának fogalma: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.
A GDPR kiszélesíti az érintetteknek kötelezően nyújtott tájékoztatás tartalmát, aminek ki kell terjednie az adatkezelés jogalapjára, az adatok megőrzésének idejére, valamint arra, hogy az érintettek panaszt tehetnek a nemzeti adatvédelmi hatóságnál, ha úgy érzik, hogy nem megfelelően kezeled a személyes adataikat. Ne feledjed, hogy a GDPR megköveteli, hogy ezeket az információkat tömören, világosan és közérthetően fogalmazzad meg.1
A közvetlenül gyermekeknekkínált internetes szolgáltatások kapcsán a személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte (ettől tagállami szabály 13. életévig lefelé eltérhet), ennél kisebb gyermek esetén a hozzájárulást a szülőnek (vagy a szülői felügyeletet gyakorló más személynek) kell megadnia.1
Ennek eredményeként neked is fel kell készülnöd (figyelembe véve az elérhető technológiát), hogy ilyen esetekben ellenőrizd, hogy a hozzájárulást a szülői felügyelet gyakorlója adta meg.
Amikor gyermeket hoznak kezelésre hozzád, akkor a szülő is írja alá az adatvédelmi tájékoztatást és a beleegyező nyilatkozatot.
Milyen adatkezelési jogalapokat ismer a GDPR?
Erről egy külön cikket olvashatsz itt:2
https://gdpr.blog.hu/2018/05/22/mik_lehetnek_a_jogszeru_adatkezeles_jogalapjai_a_gdpr_alapjan
A jolly joker a jogos érdek alapján történő adatkezelés. Pl. Kezelésnél nem tudsz valakit ellátni, ha nem járul hozzá az adatainak a kezeléséhez, hiszen az anamnézisben rögzítened kell azokat.
Technikai adatvédelem
Fel kell tüntetned azt is, hogy milyen típusú sütiket használsz (ezt külön el is kell fogadtatni a látogatóval), használsz-e google vagy facebook utánkövetést, remarketinget. Illetve milyen módon véded a honlapodat a feltörés, adathalászat ellen. Erről jó esteben a honlapot készítő gondoskodik, de a te felelősséged, hogy legyen ilyen megoldás (pl: ssl minősítés, biztonsági pluginok)
Nem lehet teljes körűen mindenre kiterjedő részleteket kifejteni egy cikk kapcsán, de főbb pontokra remélem sikerült felhívni a figyelmet.
Sok hasznos infot találsz még itt: https://gdpr.blog.hu
Kiindulási alapként használhatod a MKA adatvédelmi nyilatkozatát, de mint látod sok mindent figyelmebe kell venni és személyre kell szabni. Ebben adatvédelmi szakember tud segíteni.
Elég nagy üzleti rés lett ez a piacon. Ezért figyelj arra, hogy 100 000.-+Áfa-nál többet ne fizess a munkáért. Ezért az árérét már a teljes adatkezelési nyilatkozatot elkészítik és adják a dokumentumokat is.
Vehetsz olcsóbban mintákat (kb 30 000.-), de azokat neked kell majd tartalommal feltöltened.
Gál Attila
Forrás:
Támogasd Alapítványunkat!
Mivel alapítványként és nem egyesületként működünk, ezért nem kérünk tagdíjat. Céljaink megvalósításához azonban szükségünk van támogatásodra, amit külön kedvezményekkel honorálunk.
Ki lehet támogató tag?
- Aki kineziológusként, vagy kineziológus oktatóként dolgozik, de egyenlőre nem szeretné magát minősíttetni.
- Aki kineziológiai szolgáltatást vett, vagy szeretne igénybe venni.
- Aki érdeklődik a kineziológia iránt akár mint ügyfél, akár mint tanuló.
- Aki egyetért az Alapítvány céljaival és szeretné támogatni ezen célok megvalósulását.
Mit kap a támogató tag?
- Hozzáférést a belső bloghoz, ahol kineziológiához kapcsolódó szakmai anyagok kerülnek megosztásra.
- Az Alapítvány rendezvényeiből 10% kedvezményt.
A támogató tagsághoz IDE KATTINTVA TUDSZ REGISZTRÁLNI!