Mi az a GDPR?

Néhány érdekes tény
érintett cég van Magyarországon
érintett szervezet van Magyarországon
országban egységes a rendelet
MILLIÁRD Ft a maximális büntetés
 

 

Mit jelent az adatvédelem?

A mai világban kis- és középvállalkozóként is nagyon sok adattal van dolgunk, gondoljunk csak az ügyfelekről készített listákra, a munkavállalók különféle adataira, a felvételizők önéletrajzára, melyeket őrzünk, gyakran már azt sem tudjuk miért. 2018. május 25-től a magánszemélyek adatainak védelmét Magyarországon is az új európai uniós adatvédelmi rendelet szabályozza. A GDPR fő célja a személyes adatok egységes szintű adatvédelmi biztosítása.

Milyen adatokat kell védeni?

A személyes adatokat. Személyes adat gyakorlatilag bármely olyan adat, amely alapján egy ember közvetlenül vagy közvetve azonosítható, felismerhető. Ilyen a név, telefonszám, email cím, stb. De ilyen a személyre vonatkozó vélemény vagy értékelés is.

Mi az a GDPR?

A GDPR a General Data Protection Regulation kezdőbetűiből képzett mozaikszó, magyarul általános adatvédelmi rendelet. 2018 májusától lépett életbe az EU 28 tagállamában, így Magyarországon is, és alapjaiban forgatja fel a korábbi adatvédelmi rutint. Nem véletlen, hogy a legszigorúbb rendeletek között tartják számon: a NAIH (Nemzeti Adatvédelmi Hivatal) akár 20 millió euróig (6 milliárd Ft) terjedő büntetést is kiszabhat azokra, akik nem tartják be az adatvédelmi szabályokat.

Kire vonatkozik a GDPR?

Gyakorlatilag mindenkire, így Önre is. A GDPR minden olyan vállalkozásra és szervezetre vonatkozik, amelynek legalább 1 munkavállalója, vagy legalább 1 ügyfele, kapcsolata van.

Mit kell másképpen csinálni?

A GDPR valójában a helyes adatkezelési gyakorlatot jelenti, de a rendelet átültetése a gyakorlatba komoly kihívást jelent, hiszen egy összetett folyamatról van szó. Ezért bármilyen csábítóan is hangzik, hogy egy mindenre vonatkozó szabályzat, vagy egy mindenre jó GDPR csomag megvásárlásával letudtuk a feladatot, sajnos, ez messze nem így van. A felkészülésben ez idáig nem kaptak hatékony tájékoztatást a vállalkozások, így nem csoda, hogy sokan abban a tévhitben élnek, hogy a megfelelés csupán egy egyszeri feladat lesz. Ha az Ön adatkezelési gyakorlata helyes, az annyit jelent, hogy a mindennapi adatkezelése most és a jövőben is megfelel a szabályozásnak. Ehhez azonban sok esetben új folyamatokat kell felépíteni és összehangolni a cég működésével.

Gyakori kérdések

Mi az a GDPR?

A GDPR (General Data Protection Regulation) az Európai Unió Általános Adatvédelmi Rendelete, amely 2018. május 25-én lépett hatályba és minden olyan vállalkozásra vonatkozik, amely az Európai Unió területén, így Magyarországon is működik. A rendelet célja a magánszemélyek személyes adatainak védelme, illetve a személyes adatokkal kapcsolatos jogainak biztosítása.

Nekem is kell foglalkozni az adatvédelemmel? avagy Kire vonatkozik a GDPR?

A GDPR Önre is vonatkozik, ha tevékenységéhez kapcsolódóan vagy üzleti célból magánszemélyek személyes adatait kezeli. A betegek egészségügyi adatai ráadásul a különleges személyes adatok közé tartoznak, így fokozott védelmet és figyelmet igényelnek.

MIKOR KELL ADATFELDOLGOZÁSI SZERZŐDÉST KÖTNI?

Az Adatfeldolgozási szerződés célja, hogy meghatározza az Adatfeldolgozó feladatait és kötelezettségeit az általa megismert – tárolt vagy más módon feldolgozott – személyes adatokkal kapcsolatban. A szerződés biztosítja, hogy az Adatkezelő akkor is meg tud felelni az Általános Adatvédelmi Rendelet (GDPR) által vele szemben támasztott adatkezelési, adatbiztonsági követelményeknek, ha külső szolgáltató szolgáltatását veszi igénybe. A szerződő Adatfeldolgozó azt is megtudja a szerződésből, hogy milyen feladatok és felelősség hárul rá az adatkezeléssel kapcsolatban.

Az Adatfeldolgozási szerződést célszerű annak a szerződésnek a kiegészítésként megkötni, amely az Adatkezelő és az Adatfeldolgozó között korábban létrejött, és a szolgáltatás nyújtására vonatkozik. Az Adatfeldolgozási szerződés kimondottan az adatfeldolgozásra vonatkozik, és tartalmazza az ezzel kapcsolatos összes olyan feladatot, kötelezettséget, illetve elvárást, ami a GDPR követelményeinek teljesítéséhez szükséges.

KIK TEKINTHETŐK ADATFELDOLGOZÓNAK?

Az Adatfeldolgozó olyan külső szolgáltató (vállalkozás vagy magánszemély), aki az Adatkezelőnek nyújtott szolgáltatással kapcsolatban – akár eseti jelleggel, akár folyamatosan – hozzáférhet az Adatkezelő által kezelt személyes adatokhoz, feldolgozza azokat vagy aki felé a személyes adatok továbbítása történik.

Ilyen lehet például:

  • az irattárolási szolgáltatást nyújtó vállalkozások
  • az adattárolást végző felhőszolgáltatók
  • külső rendszergazda vagy számítógép szerelő, akinek ugyan nincs rendszeres hozzáférése a kezelt személyes adatokhoz, de alkalmanként (például egy személyes adatokat is tároló számítógép meghibásodásának elhárítása során) hozzáférhet a személyes adatokhoz
  • a magánszemély ügyfeleknek kiállított számlákat feldolgozó könyvelő
  • a bérszámfejtést végző külső szolgáltató
  • a toborzásnál közreműködő HR cég
  • a hírlevelek kiküldését végző külső szolgáltató
  • Mikor kell adatvédelmi tisztviselőt (DPO-t) alkalmazni?

    Az adatvédelmi rendelet minden olyan esetben előírja adatvédelmi tisztviselő (DPO) kijelölését, ha egy vállalkozás vagy szervezet adatkezelése kockázatosnak tekinthető.

    Az egészségügyi adatok különleges személyes adatnak minősülnek, és mivel egy rendelőben több orvos dolgozik nagyobb számú beteggel, azaz nagymennyiségű különleges személyes adat kezelése történik, a rendelő számára adatvédelmi tisztviselő (DPO) alkalmazása minden esetben kötelező, a rendelőben dolgozók létszámától függetlenül.

    Ez vonatkozik minden orvosi rendelőre, illetve minden több orvost foglalkoztató egészségügyi vállalkozásra is. Az egészségügyben DPO alkalmazása alól csak a háziorvosok és egy orvosos magánpraxisok mentesülnek.

    KI LEHET A RENDELŐ ADATVÉDELMI TISZTVISELŐJE?

    Adatvédelmi tisztviselő lehet a rendelő bármely munkatársa (orvos, asszisztens, további egészségügyi személyzet, betegfelvevő, pácienskoordinátor stb.), aki az adatkezelésre vonatkozó döntéshozatalban nem vesz részt.

    A feladatkör más munkakörrel együtt is ellátható, akár részmunkaidőben, vagy szerződés keretében is.

    Az adatvédelmi tisztviselő nem lehet a rendelő vezetője, vagy olyan munkatársa, aki az adatkezeléssel kapcsolatos, a teljes rendelőt érintő döntések meghozatalában részt vesz, hiszen a saját adatkezelői tevékenységét nem felügyelheti az adatvédelmi tisztviselő sem.

    MI A FELADATA EGY ADATVÉDELMI TISZTVISELŐNEK?

    Biztosítja azt, hogy a rendelő az adatvédelmi előírásoknak megfelelően működjön. Ennek során többek között részt vesz az adatvédelmi döntésekben, felügyeli a rendelő adatkezelését.

    Közvetítő szerepet tölt be a rendelő, a beteg, és a hatóság között. Segíti a páciensek, és a munkavállalók adatkezeléssel kapcsolatos jogainak gyakorlását, kivizsgálja az esetleges panaszokat és kezdeményezi azok orvoslását.

    Elvégzi az adatvédelmi hatásvizsgálattal kapcsolatos teendőket: tanácsot ad annak szükségességével és elvégzésével kapcsolatban, és véleményezi az adatvédelmi hatásvizsgálat lefolytatását és eredményét.