Az általános adatvédelmi rendelet részletes követelményeket határoz meg a vállalatok és szervezetek számára a személyes adatok gyűjtésével, tárolásával és kezelésével kapcsolatban. A követelmények azokra az európai szervezetekre vonatkoznak, amelyek az EU-ban dolgoznak egyének személyes adatait, és az EU-n kívüli szervezetekre, amelyek az EU-ban élő embereket célozzák meg.

védelem

Mikor alkalmazandó az általános adatvédelmi rendelet?

Az általános adatvédelmi rendelet akkor alkalmazandó, ha:

  • vállalata feldolgozza a személyes adatokat, és az EU-ban székhellyel rendelkezik, függetlenül attól, hogy a tényleges adatkezelés hol történik,
  • az Ön vállalata az EU-n kívül található, de személyes adatokat kezel az áruk vagy szolgáltatások uniós magánszemélyeknek történő felajánlásával kapcsolatban, vagy figyeli az egyének magatartását az EU-n belül.

Unión kívüli vállalkozások és feldolgozzák az uniós polgárok adatait, nekik kell kinevezniük képviselője az EU-ban.

Amikor az általános adatvédelmi rendelet nem alkalmazandó?

Az általános adatvédelmi rendelet nem alkalmazandó, ha:

  • az érintett halott,
  • az érintett személy jogi személy,
  • a feldolgozást olyan személy végzi, aki nem a kereskedelmével, az üzleti tevékenységével vagy a hivatásával foglalkozik.

Mi a személyes információ?

A személyes adatok minden információ egy azonosított vagy azonosítható személyről, más néven az érintett személy. A személyes adatok a következő információkat tartalmazzák:

  • név,
  • cím,
  • OP/útlevél száma,
  • jövedelem,
  • kulturális profil,
  • internet protokoll (IP) cím,
  • kórház vagy orvos birtokában lévő adatok (amelyek személyesen személyesen azonosítják orvosi célokra).

Speciális adatkategóriák

Nem dolgozhat fel személyes adatokat a következőkről:

  • faji vagy etnikai származás,
  • szexuális orientáció,
  • politikai nézetek,
  • vallási vagy filozófiai meggyőződés,
  • szakszervezeti tagság,
  • genetikai, biometriai vagy egészségügyi információk, kivéve egyedi eseteket (pl. ha kifejezett beleegyezést kapott, vagy az EU vagy a nemzeti jogszabályok szerint nyomós közérdek miatt szükséges a feldolgozás),
  • bűncselekményekben és vétségekben bűnös, kivéve, ha azt az EU vagy a nemzeti jogszabályok megengedik.

Ki kezeli a személyes adatokat?

A feldolgozás során a személyes adatokat különböző vállalatok vagy szervezetek továbbíthatják. Ebben a ciklusban két fő profil foglalkozik a személyes adatok feldolgozásával:

  • Operátor - dönt a személyes adatok feldolgozásának céljáról és módjáról.
  • Bróker - adatokat tárol és dolgoz fel az adatkezelő nevében.

Ki figyelemmel kíséri a személyes adatok feldolgozását a vállalaton belül?

Feladata a személyes adatok feldolgozásának figyelemmel kísérése, valamint információk és tanácsadás biztosítása azoknak az alkalmazottaknak, akik személyes adataikat a feladataikkal összefüggésben kezelik. felelős személy, akit a társaság kijelölhet. A felelős személy együttműködik az adatvédelmi hatósággal is, kapcsolattartó pontként szolgál az adatvédelmi hatóság és az egyének számára.

Mikor kell kineveznie egy felelős személyt?

Vállalkozása köteles felelős személyt kijelölni, ha:

  • rendszeresen vagy szisztematikusan figyelemmel kíséri az egyéneket, vagy meghatározott adatkategóriákat dolgoz fel,
  • ez a feldolgozás a fő üzleti tevékenység,
  • az adatokat nagy léptékben dolgozza fel.

Például, ha személyes adatokat dolgoz fel annak érdekében, hogy a keresési hirdetést megcélozza az emberek internetes viselkedése alapján, akkor felelős személyt kell megneveznie. Ha azonban promóciós anyagokat csak évente egyszer küld el ügyfeleinek, akkor nem kell felelős személy. Hasonlóképpen, ha orvos vagy, és a betegek egészségi állapotával kapcsolatos információkat kapsz, valószínűleg nincs szükséged felelős személyre. Ha azonban személyes genetikai vagy egészségügyi adatokat kezel kórház számára, akkor felelős személyre van szüksége.

A felelős személy lehet szervezete alkalmazottja vagy külső személy szolgáltatási szerződés alapján. A felelős személy lehet egyén vagy egy szervezet része.

Adatfeldolgozás egy másik vállalat számára

Az üzemeltető csak olyan közvetítőt vehet igénybe, aki elegendő garanciát nyújt, amelynek az érintett felek közötti írásbeli szerződés részét kell képeznie. A szerződésnek tartalmaznia kell több kötelező záradékot is, mint pl hogy a közvetítő csak akkor kezeli a személyes adatokat, ha az adatkezelő erre utasítja.

Adatátadás az EU-n kívül

A személyes adatok EU-n kívüli továbbításakor az adatokat továbbra is az általános adatvédelmi rendeletnek kell védenie. Ez azt jelenti, hogy ha külföldre exportálja adatait, vállalatának biztosítania kell az alábbi intézkedések egyikének betartását:

  • Az EU-n kívüli országokban alkalmazott adatvédelem uniós szempontból megfelelőnek tekinthető.
  • Vállalkozása megteszi a szükséges intézkedéseket a megfelelő biztosítékok biztosítása érdekében, például a személyes adatokat importáló nem uniós szervezettel kötött megállapodás szerinti külön záradékok.
  • Vállalkozása külön indokolja az átruházást (eltéréseket), például az egyén beleegyezését.

Amikor az adatfeldolgozás engedélyezett?

Az EU adatvédelmi szabályai szerint tisztességesen és törvényesen kell feldolgoznia az adatokat meghatározott és törvényes célokból, és csak olyan adatokat kell feldolgoznia, amelyek szükségesek e cél eléréséhez. A személyes adatok feldolgozása megköveteli, hogy teljesítse az alábbi feltételek egyikét:

  • neked van beleegyezés az érintett személy,
  • személyes adatokra van szüksége a teljesítéshez szerződéses kötelezettségek az érintett személlyel szemben,
  • személyes adatok, amelyeknek meg kell felelnie jogi kötelezettség,
  • személyes adatokra van szüksége a védelem érdekében létfontosságú érdekek az érintett személy,
  • a személyes adatokat teljesítmény céljából dolgozza fel közérdekű feladatok ellátása,
  • ben cselekszel jogos érdekeit annak a személynek az alapvető jogait és szabadságait, akinek az adatokat kezelik. Ha az érintett jogai meghaladják a vállalat érdekeit, akkor nem dolgozhatja fel a kérdéses személyes adatokat.

Hozzájárulás az adatfeldolgozáshoz

Az általános adatvédelmi rendelet szerint szigorú szabályok vonatkoznak a beleegyezési adatok feldolgozására. E szabályok célja az annak biztosítása, hogy az érintett személy megértse beleegyezését. Ez azt jelenti, hogy a hozzájárulást szabad, konkrét, tájékozott és egyértelmű módon, egyértelmű és egyszerű kérelem alapján kell megadni. A beleegyezést beleegyezés formájában kell megadni, például a weboldalon egy négyzet bejelölésével vagy egy űrlap aláírásával.

Ha valaki hozzájárulását adja személyes adatainak kezeléséhez, akkor ezeket az adatokat csak azokra a célokra dolgozhatja fel, amelyekre a hozzájárulást megadták. Engedélyeznie kell a megadott hozzájárulás visszavonását is.

Átlátható információk biztosítása

Világos tájékoztatást kell adnia az egyéneknek arról, hogy ki és miért dolgozza fel személyes adatait. Az információnak tartalmaznia kell legalább a következőket:

  • Ki vagy te,
  • miért dolgozza fel a személyes adatokat,
  • mi a jogi alap,
  • (esetleg) ki szerzi meg ezeket az adatokat.

Bizonyos esetekben a megadott információknak tartalmazniuk kell:

  • bármely felelős személy elérhetőségei,
  • milyen jogos érdeke fűződik a társasághoz, ha ez jogi ok az adatkezelésre,
  • az EU-n kívüli országokba történő adatátvitelre alkalmazott intézkedések,
  • mennyi ideig fogják megőrizni az adatokat,
  • egyéni adatvédelmi jogok (azaz hozzáférési, helyesbítési, törlési, korlátozási, kifogásolási, hordozhatósági jog stb.)
  • hogyan vonható vissza a hozzájárulás (ha a hozzájárulás a feldolgozás jogi oka),
  • van-e jogi vagy szerződéses kötelezettség az adatok megadására,
  • automatizált döntés esetén tájékoztatás az alkalmazott eljárásról, a döntés jelentőségéről és következményeiről.

A megadott információknak világosaknak és egyszerűeknek kell lenniük.

Különleges szabályok a gyermekek számára

Ha az Ön beleegyezésével személyes adatokat kap egy gyermektől, például egy közösségi médiafiók vagy egy letöltési fiók használatával kapcsolatban, először be kell szereznie a szülő beleegyezését, például. értesítés küldésével a szülőnek vagy gondviselőnek. Az a kor, amelyben az embert gyermeknek tekintik, a lakóhelytől függ, de 13 és 16 év között mozog.

Hozzáférési jog és az adatok hordozhatósága

Biztosítania kell, hogy minden egyén rendelkezzen velük a személyes adatokhoz való szabad hozzáférés joga. Ha ilyen kérést kap, akkor:

  • mondja meg, hogy a személyes adatait kezeli-e,
  • adja meg a feldolgozás részleteit (a feldolgozás célja, az érintett személyes adatok kategóriái, az adatok címzettjei stb.),
  • benyújtja a feldolgozott személyes adatok másolatát (hozzáférhető formátumban).

Ha az adatkezelés hozzájáruláson vagy szerződésen alapul, az érintett kérheti személyes adatainak visszaszolgáltatását vagy más társasághoz történő továbbítását. Ezt nevezzük az adathordozhatóság jogának. Az adatokat gyakran használt és géppel olvasható formátumban kell megadnia.

A helyesbítéshez és a kifogáshoz való jog

Ha valaki meg van győződve arról, hogy személyes adatai helytelenek, hiányosak vagy pontatlanok, akkor azt meg is tette a javítások biztosításának joga indokolatlan késedelem nélkül.

Ebben az esetben minden változásról vagy törlésről értesítenie kell az összes címzettet azokról az adatokról, akiknek ilyen személyes adatokat szolgáltattak. Ha az alábbiakban megadott személyes adatok bármelyike ​​helytelen volt, akkor lehet, hogy tájékoztatnia kell mindenkit, aki kapcsolatba került velük (kivéve, ha ez indokolatlan erőfeszítésről szól).

Egyedi bármikor kifogást emelhet személyes adatainak kezelése ellen meghatározott célra, amikor cége jogos érdeke alapján vagy közérdekű feladat keretében dolgozza fel azokat. Ha nincs jogos érdeke, amely felülmúlja az egyén érdekét, akkor le kell állítania a személyes adatok feldolgozását.

Hasonlóképpen, egy magánszemély felkérheti Önt, hogy korlátozza személyes adatainak feldolgozását, amíg meg nem derül, hogy jogos érdeke felülmúlja-e az ő érdekét. Direkt marketing esetén azonban mindig köteles leállítani a személyes adatok feldolgozását, ha az egyén kéri.

Törléshez való jog (az elfelejtés joga)

Bizonyos körülmények között az egyén kérheti az adatkezelőtől személyes adatainak törlését, például ha ezekre az adatokra már nincs szükség a feldolgozás céljának teljesítéséhez. Vállalkozásának azonban nem kötelező ezt megtennie, ha:

  • a feldolgozás a véleménynyilvánítás szabadságának és az információhoz való jog tiszteletben tartása érdekében szükséges,
  • Önnek meg kell őriznie ezeket a személyes adatokat a jogi kötelezettségek teljesítése érdekében,
  • az ilyen személyes adatok megőrzésének más közérdekű oka van, például a közegészségügy vagy tudományos vagy történelmi kutatások céljából,
  • Önnek meg kell őriznie ezeket a személyes adatokat jogi igény bizonyítása céljából.

Automatizált döntéshozatal és profilalkotás

Az egyéneknek van jogot arra, hogy ne vonatkozzon a kizárólag automatikus feldolgozáson alapuló döntés alá. Van azonban néhány kivételek e szabály alól, például ha kifejezett beleegyezésüket adták egy automatizált döntéshez. Kivéve, ha az automatizált megoldás bármilyen jogszabályon alapszik, vállalatának:

  • tájékoztatni az egyént az automatizált döntéshozatalról,
  • jogot ad az egyénnek arra, hogy ezt az automatizált döntést egy személy felülvizsgálja,
  • lehetőséget ad az egyénnek az automatikus döntés elleni fellebbezésre.

Például, ha egy bank automatizálja a magánszemélynek nyújtott hitelt vagy sem, arról tájékoztatnia kell az érintett személyt, hogy a döntés automatizált, és fellebbezni kell a döntés ellen, és emberi beavatkozást kell kérnie.

Adatszegések - megfelelő értesítés

Adatszegés akkor következik be, ha véletlenül vagy illegálisan felelős személyes adatait illetéktelen címzetteknek adják át., a hozzájuk való hozzáférést ideiglenesen blokkoljuk vagy megváltoztatjuk.

Ha adattörés történik, és a jogsértés veszélyt jelent az egyének jogaira és szabadságaira, akkor a jogsértés tudomására jutásától számított 72 órán belül értesítenie kell az Adatvédelmi Hatóságot.

Attól függően, hogy ez az adatszegés nagy kockázatot jelent-e az érintett személyek számára, az Ön vállalatának előírhatja az összes érintett személy tájékoztatását.

Válasz a kérésekre

Ha vállalata kérést kap egy olyan magánszemélytől, aki élni kíván a jogaival, akkor indokolatlan késedelem nélkül, de a megkeresés kézhezvételétől számított egy hónapon belül válaszolnia kell a kérelemre. Összetett vagy több kérelem esetén a válaszadás határideje két hónappal meghosszabbítható, feltéve, hogy az egyént tájékoztatják erről a meghosszabbításról. A pályázatokat ingyenesen kell kezelni.

Ha a kérelmet elutasítják, tájékoztatnia kell az egyént az elutasítás okairól, valamint arról, hogy panaszt tehet-e az Adatvédelmi Hatóságnál.

Hatásvizsgálatok

Adatvédelmi hatásvizsgálat elvégzése kötelező, amikor az adatkezelést tervezik nagy kockázatot jelentett az egyének jogaiért és szabadságaiért, pl. amikor új technológiákat alkalmaznak.

Ilyen magas kockázat akkor áll fenn, ha:

  • automatizált adatfeldolgozási és profilalkotási mechanizmusokat alkalmaznak az egyének értékelésére,
  • egy nyilvánosan hozzáférhető helyet nagyrészt figyelnek (pl. kamerarendszerrel),
  • a bűnös bűncselekményekhez és bűncselekményekhez kapcsolódó különleges adatok vagy személyes adatok (pl. egészségügyi adatok) feldolgozása nagy mennyiségben történik.

Megjegyzés: A személyes adatvédelmi hatóságok az adatkezelés más kategóriáit is magas kockázatúnak tekinthetik.

Ha az adatvédelmi hatásvizsgálat alapján azonosított intézkedések nem szüntetik meg az összes megállapított magas kockázatot, a személyes adatok védelmi hatóságával konzultálni kell a tervezett adatkezelés előtt.

Nyilvántartás

Képesnek kell lennie annak bizonyítására, hogy vállalata megfelel az általános adatvédelmi szabályozásnak és teljesíti az összes vonatkozó kötelezettséget - különösen kérésre vagy az adatvédelmi hatóság ellenőrzése részeként.

Ennek egyik módja részletes nyilvántartás vezetése az olyan ügyekről, mint:

  • az adatfeldolgozó vállalatának neve és elérhetőségei,
  • a személyes adatok kezelésének oka (ok),
  • a személyes adatokat szolgáltató személyek kategóriáinak leírása,
  • a személyes adatokat fogadó szervezetek kategóriái,
  • személyes adatok továbbítása egy másik országba vagy szervezetbe,
  • a személyes adatok megőrzésének időtartama,
  • a személyes adatok feldolgozása során alkalmazott biztonsági intézkedések leírása.

Cégének írásos eljárásokat és irányelveket kell kidolgoznia, rendszeresen frissítenie és megismertetnie az alkalmazottakkal.

Figyelem

Ha vállalata kkv vagy mikrovállalkozás, akkor nem kell nyilvántartást vezetnie a feldolgozási tevékenységekről, kivéve, ha:

  • nem végeznek rendszeresen,
  • nem érintik az érintett személyek jogait vagy szabadságait,
  • nem vonatkoznak a bűnügyi nyilvántartásban őrzött érzékeny adatokra vagy nyilvántartásokra.

Kifejezetten kialakított és szabványos adatvédelem

Speciálisan megtervezett adatvédelem Ez azt jelenti, hogy vállalatának mérlegelnie kell az adatvédelmet a személyes adatok újfajta feldolgozásának tervezésének korai szakaszában. Ennek az elvnek megfelelően az adatkezelőnek minden szükséges technikai és szervezési lépést meg kell tennie az adatvédelem és az egyének jogainak védelme elveinek megvalósítása érdekében. Ilyen lépések lehetnek például az álnevesítés.

Szabványos adatvédelem Ez azt jelenti, hogy cégének mindig meg kell adnia az alapértelmezett beállításokat, amelyek a lehető legnagyobb mértékben figyelembe veszik az adatvédelmet. Például, ha kétféle adatvédelmi beállítás lehetséges, amelyek közül az egyik nem enged hozzáférést a többiek személyes adataihoz, akkor ezt kell használni alapértelmezettként.

A szabályok és a szankciók megsértése

Az általános adatvédelmi rendelet be nem tartása egyes jogsértések miatt akár 20 millió euróig terjedő, akár a cég teljes forgalmának 4% -áig terjedő bírságot is kiszabhat. Az adatvédelmi hatóság további korrekciós intézkedéseket írhat elő, például utasíthatja Önt, hogy állítsa le a személyes adatok feldolgozását.