GDPR - mindenkire vonatkozik
- Megjelent: 2018. május 25. péntek, 09:35
Mától alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), ezzel egységessé válik az adatvédelmi szabályozás az Európai Unió egész területén. A szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza. Azoknak az intézményeknek, amelyek nagy tömegben, automatizált módon kezelnek személyes adatokat, (bankok, biztosítók, egészségügyi szolgáltató intézmények, stb.) és azoknak, amelyek különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, stb.) kezelnek, adatvédelmi felelőst kell kinevezniük.
Az új uniós szabályozás jelentősen kibővíti a személyes adatok körét. Személyes adatnak minősül minden, az érintett személlyel kapcsolatba hozható adat, többek között a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail-cím, a telefonszám, a levelezési cím, stb. Itt nem csak a hivatalos okiratokban meglévő adatokat kell érteni, a közvetett adatok köre még tágabb - a teljesség igénye nélkül:
- elérhetőségi adatok: levelezési cím, telefonszám, mail-címek;
- a különböző csoportokhoz való tartozás adatai: levelezőrendszerek, feliratkozások, kommunikációs csoportok, klubtagságok stb.;
- tevékenységgel kapcsolatos adatok: végzettségi adatok, igazoló oklevelek beazonosítása, munkakapcsolatok stb.
Ehhez kapcsolódnak még a különleges adatok, amelyek
- a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adatok; illetve
- az egészségi állapotra, a kóros szenvedélyre vonatkozó, valamint a bűnügyi személyes adatok.
A GDPR alanyává válik egy cég, ha a fenti adatokból, információkból akár egyetlen egyet is a tevékenysége során kezelt, kezel, vagy olyan rendszert épít ki, amelyben kezelni fogja. Így ADATKEZELŐ-vé válik.
A teljesség igénye nélkül azok a területek, ahol a szervezetek adatkezelést végeznek:
- alkalmazottak, foglalkoztatottak nyilvántartása;
- szervezet tagságának nyilvántartása;
- munkatársak közlekedésének nyomon követése;
- vevőkörében, megrendelői között, szállítási címeiben természetes személyek adatai is előfordulnak;
- webáruház üzemeltetése;
- honlap üzemeltetése, ahová valaki személyes bejelentkezés útján regisztrálhat;
- honlapján ún. cookie-k (sütik) kezelése;
- marketinganyagok küldéséhez tartozó címjegyzék megszerzése, tárolása, kezelése;
- természetes beazonosítást is tartalmazó (név) mail-címek tárolása;
- eseményekről, akciókról készített felvételek (fényképek, filmek) tárolása;
- természetes személyeket összehozó, közvetítő rendszerek működtetése;
- bármilyen kamera-, beléptető vagy megfigyelő rendszer működtetése stb.
Azt is tisztán kell látni, hogy annak ellenére, hogy itt jellemzően „cégről” beszélünk, ide tartozik mindenki, aki a fenti tevékenységekben érintett lehet.
A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáró. Az állampolgárokat megilleti az adatainak törlési, illetve hordozhatósági joga is. A GDPR átfogó bejelentési kötelezettséget vezet be, így minden incidenst, például hackertámadást vagy egy személyes adatokat tároló laptop elvesztését, bármilyen adat illetéktelen kezekbe kerülését 72 órán belül jelenteni kell az adatvédelmi hatóságnak (NAIH).