GDPR
Általános Adatvédelmi Rendelet
Mi az a GDPR?
Néhány érdekes tény
Mit jelent az adatvédelem?
A mai világban kis- és középvállalkozóként is nagyon sok adattal van dolgunk, gondoljunk csak az ügyfelekről készített listákra, a munkavállalók különféle adataira, a felvételizők önéletrajzára, melyeket őrzünk, gyakran már azt sem tudjuk miért. 2018. május 25-től a magánszemélyek adatainak védelmét Magyarországon is az új európai uniós adatvédelmi rendelet szabályozza. A GDPR fő célja a személyes adatok egységes szintű adatvédelmi biztosítása.
Milyen adatokat kell védeni?
A személyes adatokat. Személyes adat gyakorlatilag bármely olyan adat, amely alapján egy ember közvetlenül vagy közvetve azonosítható, felismerhető. Ilyen a név, telefonszám, email cím, stb. De ilyen a személyre vonatkozó vélemény vagy értékelés is.
Mi az a GDPR?
A GDPR a General Data Protection Regulation kezdőbetűiből képzett mozaikszó, magyarul általános adatvédelmi rendelet. 2018 májusától lépett életbe az EU 28 tagállamában, így Magyarországon is, és alapjaiban forgatja fel a korábbi adatvédelmi rutint. Nem véletlen, hogy a legszigorúbb rendeletek között tartják számon: a NAIH (Nemzeti Adatvédelmi Hivatal) akár 20 millió euróig (6 milliárd Ft) terjedő büntetést is kiszabhat azokra, akik nem tartják be az adatvédelmi szabályokat.
Kire vonatkozik a GDPR?
Gyakorlatilag mindenkire, így Önre is. A GDPR minden olyan vállalkozásra és szervezetre vonatkozik, amelynek legalább 1 munkavállalója, vagy legalább 1 ügyfele, kapcsolata van.
Mit kell másképpen csinálni?
A GDPR valójában a helyes adatkezelési gyakorlatot jelenti, de a rendelet átültetése a gyakorlatba komoly kihívást jelent, hiszen egy összetett folyamatról van szó. Ezért bármilyen csábítóan is hangzik, hogy egy mindenre vonatkozó szabályzat, vagy egy mindenre jó GDPR csomag megvásárlásával letudtuk a feladatot, sajnos, ez messze nem így van. A felkészülésben ez idáig nem kaptak hatékony tájékoztatást a vállalkozások, így nem csoda, hogy sokan abban a tévhitben élnek, hogy a megfelelés csupán egy egyszeri feladat lesz. Ha az Ön adatkezelési gyakorlata helyes, az annyit jelent, hogy a mindennapi adatkezelése most és a jövőben is megfelel a szabályozásnak. Ehhez azonban sok esetben új folyamatokat kell felépíteni és összehangolni a cég működésével.
Gyakori kérdések
A GDPR (General Data Protection Regulation) az Európai Unió Általános Adatvédelmi Rendelete, amely 2018. május 25-én lépett hatályba és minden olyan vállalkozásra vonatkozik, amely az Európai Unió területén, így Magyarországon is működik. A rendelet célja a magánszemélyek személyes adatainak védelme, illetve a személyes adatokkal kapcsolatos jogainak biztosítása.
A GDPR Önre is vonatkozik, ha tevékenységéhez kapcsolódóan vagy üzleti célból magánszemélyek személyes adatait kezeli. A betegek egészségügyi adatai ráadásul a különleges személyes adatok közé tartoznak, így fokozott védelmet és figyelmet igényelnek.
Az Adatfeldolgozási szerződés célja, hogy meghatározza az Adatfeldolgozó feladatait és kötelezettségeit az általa megismert – tárolt vagy más módon feldolgozott – személyes adatokkal kapcsolatban. A szerződés biztosítja, hogy az Adatkezelő akkor is meg tud felelni az Általános Adatvédelmi Rendelet (GDPR) által vele szemben támasztott adatkezelési, adatbiztonsági követelményeknek, ha külső szolgáltató szolgáltatását veszi igénybe. A szerződő Adatfeldolgozó azt is megtudja a szerződésből, hogy milyen feladatok és felelősség hárul rá az adatkezeléssel kapcsolatban.
Az Adatfeldolgozási szerződést célszerű annak a szerződésnek a kiegészítésként megkötni, amely az Adatkezelő és az Adatfeldolgozó között korábban létrejött, és a szolgáltatás nyújtására vonatkozik. Az Adatfeldolgozási szerződés kimondottan az adatfeldolgozásra vonatkozik, és tartalmazza az ezzel kapcsolatos összes olyan feladatot, kötelezettséget, illetve elvárást, ami a GDPR követelményeinek teljesítéséhez szükséges.
Az Adatfeldolgozó olyan külső szolgáltató (vállalkozás vagy magánszemély), aki az Adatkezelőnek nyújtott szolgáltatással kapcsolatban – akár eseti jelleggel, akár folyamatosan – hozzáférhet az Adatkezelő által kezelt személyes adatokhoz, feldolgozza azokat vagy aki felé a személyes adatok továbbítása történik.
Ilyen lehet például:
Az adatvédelmi rendelet minden olyan esetben előírja adatvédelmi tisztviselő (DPO) kijelölését, ha egy vállalkozás vagy szervezet adatkezelése kockázatosnak tekinthető.
Az egészségügyi adatok különleges személyes adatnak minősülnek, és mivel egy rendelőben több orvos dolgozik nagyobb számú beteggel, azaz nagymennyiségű különleges személyes adat kezelése történik, a rendelő számára adatvédelmi tisztviselő (DPO) alkalmazása minden esetben kötelező, a rendelőben dolgozók létszámától függetlenül.
Ez vonatkozik minden orvosi rendelőre, illetve minden több orvost foglalkoztató egészségügyi vállalkozásra is. Az egészségügyben DPO alkalmazása alól csak a háziorvosok és egy orvosos magánpraxisok mentesülnek.
Adatvédelmi tisztviselő lehet a rendelő bármely munkatársa (orvos, asszisztens, további egészségügyi személyzet, betegfelvevő, pácienskoordinátor stb.), aki az adatkezelésre vonatkozó döntéshozatalban nem vesz részt.
A feladatkör más munkakörrel együtt is ellátható, akár részmunkaidőben, vagy szerződés keretében is.
Az adatvédelmi tisztviselő nem lehet a rendelő vezetője, vagy olyan munkatársa, aki az adatkezeléssel kapcsolatos, a teljes rendelőt érintő döntések meghozatalában részt vesz, hiszen a saját adatkezelői tevékenységét nem felügyelheti az adatvédelmi tisztviselő sem.
Biztosítja azt, hogy a rendelő az adatvédelmi előírásoknak megfelelően működjön. Ennek során többek között részt vesz az adatvédelmi döntésekben, felügyeli a rendelő adatkezelését.
Közvetítő szerepet tölt be a rendelő, a beteg, és a hatóság között. Segíti a páciensek, és a munkavállalók adatkezeléssel kapcsolatos jogainak gyakorlását, kivizsgálja az esetleges panaszokat és kezdeményezi azok orvoslását.
Elvégzi az adatvédelmi hatásvizsgálattal kapcsolatos teendőket: tanácsot ad annak szükségességével és elvégzésével kapcsolatban, és véleményezi az adatvédelmi hatásvizsgálat lefolytatását és eredményét.