Néhány hete interjút készítettem a GDPR-ról Földvári Gyurival, aki adatvédelmi tisztviselő. Az interjú szövegének első részét olvashatjátok itt.
Helló, sziasztok! Üdv a csütörtöki hackben, ez egy rendhagyó rész lesz, itt az első interjúnk. Hagy mutassam be Földvári Gyuri barátomat, aki a Beszerző Központ Kft. képviseletében van most jelen, ugye mondtad, te IT világból érkezel, az a Beszerző Központ Kft. is IT-related. Egy pár szót mondj nekem légyszíves erről.
Igazából ez egy családi vállalkozás, informatikai eszközök beszerzésével illetve helyszíni üzemeltetéssel foglalkozunk, elsősorban a KKV-kra koncentrálunk, kis- és középvállalatokra, azt látjuk, hogy az egy olyan kör, ahol jelentős igény van ezeknek a professzionális szintű megoldására. És ezenkívül a GDPR-ral – amiről a mostani beszélgetésünk szólni fog – kapcsolatban adatvédelmi tisztségviselői szolgáltatást nyújtunk ezeknek az ügyfeleknek.
Oké, tehát te adatvédelmi tisztségviselő vagy. Ez mit jelent pontosan?
Ezt távolabbról kellene elkezdeni, magát a törvényt kéne ehhez megérteni. Bizonyos feltételek teljesülése esetén, ami sajnos elég sok vállalkozás és szervezet számára teljesülni fog, kötelező kijelölni adatvédelmi tisztviselőt és adatvédelmi hatásvizsgálatot kell készíteni. De, hozzáteszem, hogy ahol nem kötelező kijelölni ilyen adatvédelmi tisztviselőt és hatásvizsgálatot elkészíteni, azoknak is kötelező megfelelni magának a törvénynek, tehát maga a tisztviselő és a hatásvizsgálat az csak egy eszköz, ami segít, hogy ellenőrizni tudja az adott szervezet, hogy ő megfelel-e a törvénynek.
Oké, miből áll egy ilyen hatásvizsgálat?
Szerintem ez már a vége felé van a témának, hogy igazából megértsék az egészet, az alapfogalmakkal kéne kezdeni, meg hogy kire hat ez a törvény, ilyesmi, de összességében azt tudom mondani, hogy ez egy folyamat, nem egy egyszeri, egyszer végrehajtandó dolog, hanem folyamatosan, időközönként felül kell vizsgálni a szervezetnek az összes adatkezelési műveletét, azonosítani kell a kockázatokat, azonosítani kell a jogalapot, hogy milyen jogalapon kezeljük a személyes adatokat, ezeket az adatokat milyen kockázat fenyegeti, mit tudunk tenni, hogy ezeket a kockázatokat csökkentsük,ezeket utána végre kell hajtani, ezeknek a végrehajtásoknak az ellenőrzését le kell dokumentálni, hogy megtörténtek ezek a végrehajtások és valóban csökkentek-e a kockázatok vagy nem csökkentek a kockázatok. Erről a GDPR rendelet illetve az azt értelmező WP 29–es – majd sokat fogok erre hivatkozni a beszélgetésben – munkacsoport, ez egy nemzetközi munkacsoport, ami értelmezi magát a rendeletet és különböző állásfoglalást ad ki, egy körülbelül két oldalon keresztüli szempontrendszert határoz meg, tehát elég sok szempontot kell beletenni ebbe az adatvédelmi vizsgálatba.
Kezdjük az elején: hogy mi a rendelet célja? Tehát itt két célt fogalmaznak meg: az egyik az, hogy az új technológiák megjelenésével tömegessé vált az adatgyűjtés. Az adatgyűjtés alatt természetes személyekre vonatkozó adatgyűjtésről beszélünk, ez a legfontosabb, tehát a normál magánszemélyek adatairól beszélünk és ezeknek a védelméről. Érintetteknek hívjuk ezeket a magánszemélyeket, akikről adatot gyűjtenek, akármilyen alkalmazás, akármilyen szervezet és ezeknek az érintetteknek a védelmével foglalkozik a törvény. Tehát milyen feltételekkel kell gyűjteni az ő adataikat, hogy kell védeni azokat az adatokat, milyen jogaik vannak ezeknek az érintetteknek, milyen kártérítési joggal tartozik az, aki gyűjti ezeket az adatokat? Elég sokrétű és nagyon fontos, hogy az egész törvény kockázatszemléletű, mégpedig az érintett szempontjából kockázatszemléletű, tehát mindent úgy kell vizsgálni, hogy az adott érintett számára ez a tevékenység milyen kockázattal jár. Ez az egyik része a törvénynek, az egyik célja, a másik célja a törvénynek pedig maga az, hogy egy egységes digitális piacot hozzon létre.
Arról szól a dolog, hogy az Európai Unió versenyzik az Amerikai Egyesült Államokkal vagy más feltörekvő térségekkel a digitális iparági vezető pozícióért, és ehhez a pozícióhoz elengedhetetlen, hogy ne kelljen országhatáronként megvizsgálni azt, hogy itt más az adatkezelési rendelet, mint egy másik tagországban. Tehát egy egységes adatkezelési rendeletet akartak létrehozni, ennek nagyon fontos szerepe lesz majd például a bírságolásnál, mert ez kihat arra is, hogy a bírságok mértéke, megállapításának módja is szintén egységes kell, hogy legyen. Tehát Németországba is hasonló módon kell bírságolni, mint Magyarországon, ebből bizony, én úgy érzem, lesznek komoly problémák – vagy legalábbis lehetnek komoly problémák, nem akarok elébe vágni a dolognak, de a legutolsó konferencián, ahol voltam, ott ezt ki is jelentette a Nemzeti Adatvédelmi Hatóságnak a vezetője, dr. Péterfalvi Attila, hogy ez nekik egy kötelezettségük, hogy összhangban legyen a többi tagállammal a bírságolási gyakorlatuk.
Ez a bírságolási tételekre is vonatkozik?
Valószínűleg igen, most itt azt kell tudni, hogy a törvény alkalmazását május huszonötödikéig felfüggesztették, illetve nem szankcionálják, ez a pontosabb fogalmazás, és május huszonötödikétől elinduló adatvédelmi vizsgálatoknál, az Adatvédelmi Hatóság vizsgálatainál már ez alapján fogják szankcionálni, az előzőben elindított vizsgálatokat, tehát a május huszonöt előtt elindított vizsgálatokat azt még a magyarországi infótörvény alapján vizsgálják és szankcionálják. Az infótörvényben a legnagyobb birsága az Adatvédelmi Hatóságnak húszmillió forint volt. Most jelent meg egy pár napja, egy-két napja a sajtóhírben, hogy a BKK-t tízmillió forintra bírságolták meg, korábban az ÖMV-t tizennyolc millióra, teháta büntetés gyakorlatilag elérte az elméleti maximumot, Hogy ha ezt átfordítanám – a bírságolási tételt mondjuk a GDPR szabályai szerinti bírságolási tétellé és arányosítanám, ott bizonyos eljárások megszegésénél vagy bizonyos törvényszegéseknél, amik nem közvetlen az érintettre vonatkoznak, hanem ha például belső eljárási szabályokat nem hajtottunk végre, ott tízmillió euró vagy az éves világpiaci árbevétel két százaléka, és a magasabbik számit. Ez a maximum tétel, tehát nem azt jelenti, hogy minden megállapításnál ezt fogja alkalmazni a hatóság. Ha meg olyan törvénysértést követünk el, ami súlyosan hátrányosan érinti az érintettet, akkor viszont húszmillió euró vagy az éves világpiaci árbevétel négy százaléka, és itt is a nagyobbat értéket kell venni.
Az éves világpiaci árbevétel az azt jelenti, hogy van nekem egy cégem, ami több országban tevékenykedik, akkor a globális bevétele a cégnek.
Nem tudok erre igennel vagy nemmel válaszolni, ez majd kiderül a bírságolási gyakorlatból, sajnos még sok minden képlékeny. Tehát hogy lehet ezt érteni? Lehet úgy is, hogy az adott leányvállalat, aki elkövette ezt a törvénysértést, annak a világpiacon elért árbevételének a négy százaléka vagy két százaléka, de lehet úgyis értelmezni, hogy az egész cégcsoport árbevételének a kettő vagy négy százaléka – és hogy ezt hogy fogják értelmezni, erről én még nem kaptam tájékoztatást.
Jó, szerintem a rendelet célját azt megvilágítottuk, kire van hatással ez az adatvédelmi rendelet, a GDPR?
Igazából én azt sajnálom, hogy azt látom, hogy bár itt-ott megjelenik a sajtóban, de igazából nem kap akkora hangsúlyt ez a rendelet vagy ez a törvény, mint amekkorát kéne. Tehát most itt ülünk egy kávézóban, ebben a kávézóban is biztos vagyok benne, hogy alkalmazni kell ezt a rendeletet, mert van munkavállalójuk. Az ő adatait kezelik, hogyha van wifi-eszköz, van ingyenes wifi, akkor a rájelentkezők MAC-addresse szintén személyes adat, szintén kezelni kell. Esetleg végeznek kamerás megfigyelést vagy beléptető rendszer van a hátsó kiszolgáló helyiségeknél, ott is ugyanúgy, azoknak a gyűjtött adataira ugyanez vonatkozik, tehát igazából nagyon-nagyon kevés olyan szervezetet tudok mondani, akinek nem lesz ezzel kapcsolata.
Gyakorlatilag a törvény hatálya kiterjed minden olyan természetes személy adatára, vagy természetes személytől gyűjtött adatra, aki az EGT, tehát az Európai Gazdasági Térségen belül tartózkodik vagy minden olyan vállalkozás, aki az Európai Gazdasági Térségen belülre nyújt gazdasági szolgáltatást vagy tevékenységet. Tehát nem is biztos, hogy itt van a székhelye, lehet ez egy amerikai vállalat, lehet egy indiai adatfeldolgozó, hogyha ide nyújt szolgáltatást, akkor rá vonatkoznia kell ennek a rendeletnek.
Jó, tehát ott tartottunk, hogy azokról a cégekről beszélünk, akik bármilyen módon hozzáférnek, gyűjtik, kezelik, módosítják, döntéseket hoznak személyes adatokból, amik vagy az Európai Gazdasági Térségben élő természetes személyekre vonatkoznak. Beszéltünk az érintettről, adatkezelésről, adatfeldolgozóról, ugye ezeket tisztázni kell, hogy ki micsoda, el kell helyezni magunkat ebbe a törvénybe.
Egyszerre több szerepünk is lehet, tehát mondjuk én Földvári György egyéni vállalkozó is lehetek egyszerre érintett, hiszen az én személyes adataimról gyűjthet Facebook akár mozgásadatokat, stb., lehetek adatkezelő és adatfeldolgozó is. Tehát több szerepem is lehet ebben a törvényben vagy ebből a rendeletből kifolyólag. Az érintett maga az a természetes magánszemély, akiről, természetes személy, akiről az őhozzá köthető bármilyen információt gyűjtenek, ami hozzá kapcsolódik, akár közvetve vagy közvetetten is,
Mondok egy példát: mondjuk egy MAC address az nem kapcsolódik közvetlenül az adott magánszemélyhez, mégis közvetve, mondjuk az internetszolgáltató adatbázisának segítségével beazonosítható. Tehát nem is biztos, hogy én rendelkezek azzal az eszközzel, hiszen csak a rendőrség tudná azt beazonosítani, mégis hiába nem rendelkezek azzal az eszközzel, hogy beazonosíthassam, az elméleti lehetősége megvan, hogy valaki valamikor beazonosítja. Tehát akkor az már a természetes személyhez kapcsolódó adat, elég tágan kell venni ezt a fogalmat, hogy mi számít személyes adatnak.
Ki az adatkezelő? Az adatkezelő az, aki meghatározza, hogy milyen személyes adatot gyűjtünk, milyen célból és milyen jogalappal, meddig tároljuk ezeket, és hogy dolgozzuk föl?
Tehát egy KKV mondjuk, aki hírlevéllistát gyűjt, ő akkor főként adatkezelő szereplő lesz.
Így van, mondjunk egy példát: mondjuk van egy vállalkozás, egy informatikai vállalkozás, akinek a tevékenysége – csak hogy kellően összetett legyen, meg a valóságot szerintem úgy fedje – akinek a tevékenysége informatikai üzemeltetés plusz hírleveleket bocsát ki az ügyfelek részére. Itt a hírlevélhez tartozó adatgyűjtés szempontjából ő adatkezelő, hiszen ő határozta meg, hogy milyen célból fogja gyűjteni ezeket az adatokat, hogy milyen módon tárolja őket, mit csinál velük, hogy kezeli őket, hogy hogy szelektál belőle. Viszont tegyük föl, hogy van egy megbízási szerződése egy másik szervezettel, ahol ő informatikai szolgáltatást nyújt és hozzáfér az ő szervereihez, adatbázisához, amin személyes adatok is vannak, innentől kezdve ő adatfeldolgozó is egyben.
És neki, mint adatfeldolgozónak mit kell tennie?
Gyakorlatilag az adatfeldolgozónak hasonló kötelezettsége van, mint az adatkezelőnek. Itt is adott ki a WP 29 –es munkacsoport iránymutatásokat, hogy milyen pontokat kell beleemelni a szerződésbe, tehát konkrétan meg van határozva, hogy miket kell megjelölni: például, az incidenskezelés, mit történik ha mint adatfeldolgozó egy incidenssel találkozik, egy adatvédelmi incidenssel találkozik? Le kell írni pontosan, hogy milyen módon adhat utasítást számára az adatkezelő az adatok kezelésével kapcsolatban, amihez ő hozzáférhet. Milyen módon kerül számára átadásra, kezelésre, az ő szervezetén belül, az adatfeldolgozó szervezetén belül milyen módon kerül feldolgozásra ez az adat.
És erre létezik valami sablon egyébként?
Majd biztos szép lassan elkészülnek ezek a sablonok, de jelen pillanatban nincs ilyen sablon, hanem iránymutatások vannak, ezeket az iránymutatásokat kell böngészni, fönn van a Nemzeti Adatvédelmi- és Információs Hivatal honlapján, van ott egy olyan rész, hogy EU-s adatvédelmi rendeletre felkészülés és ott van a GDPR rendeletnek a szövege magyarul, meg ott vannak az WP 29-es iránymutatások. Ezek az iránymutatások úgy kezdődnek mindig, hogy WP, mondjuk kettőszázötvenhárom, tehát háromjegyű kód,amivel egy adott témát fejtenek ki, ami a rendeleten belül van és ezek egy része már le van fordítva magyarra, de egy része csak angolul elérhető egyelőre, idővel változik.
Tehát gyakorlatilag, ha jól értem, hogyha valakinek van egy olyan szolgáltatása, hogy weboldalakat tart karban és néha biztonsági mentéseket csinál róla, akkor most az összes ilyen szerződését át kéne írni, hogy ezek a pontok benne legyenek és legyenek szabályozva?
Így van.
Ez visszamenőleg is kell, tehát ha valaki tavalyelőtt küldött ilyen szerződést, akkor újra kell szerződni vele vagy csak az újonnan kötöttekre érvényes?
A törvény úgy szól – elég sok szempontból gumiparagrafusok vannak benne – hogy ha valószínűsíthető kockázattal jár az érintettek számára a korábban megkezdett adatkezelésed vagy adatfeldolgozásod, akkor igen, meg kell tenni, márpedig hogyha most arról beszélünk, hogy te végzel egy mentést, ami az ügyfeleidnek a személyes adatai is benne vannak és utána az a mentés illetéktelen kezekbe kerül és ezek a személyes adatok kikerülnek a világhálóra. Ebben az esetben nem csak kellemetlenséget és presztízsveszteséget okoz, hanem az érintett számára akár anyagi, forintban mérhető veszteséget is okozhat. Tehát igen, a válaszom az, hogy a legtöbb esetben igen, meg kell ezt csinálni. Ezért mondtam azt, hogy igazából nincs kellő súllyal hangsúlyozva ez a törvény.
Jó, és ilyenkor, gondolom, hogy ha ilyen történik és kiszivárognak az adatok, akkor az adatfeldolgozónak, tehát ilyen esetben, mondjuk neked, mint szolgáltatónak, aki mentéseket végez, a te felelősséged. Van-e felelőssége ilyen esetben a te megbízódnak?
Igen, van, tehát egyetemleges felelősséget állapit meg a rendelet. Tehát azt jelenti, hogy az adatkezelő és az adatfeldolgozó közösen felel az érintett felé. Tehát igenis minden szerződését át kéne dolgozni úgy, hogy megfeleljen a GDPR-nak és csak olyan adatfeldolgozót használjon, aki önmaga is elvégezte saját magára ezt a vizsgálatot vagy ezt a gondolkodást. Nem biztos, hogy meg kell csinálni magát az adatvédelmi vizsgálatot, de akkor is el kell kezdeni azt a gondolkodást, hogy én milyen kockázatot hordozok a tevékenységemben, azt milyen módon lehet csökkenteni, ezeket végrehajtani és így tovább. És utána nyilatkoztatni kell az adatkezelőnek az adatfeldolgozót, hogy megfelel az adott GDPR-nak, sőt az Adatvédelmi Hatóság azt mondta, hogy a nyilatkozat szerintük nem elég, hanem bizonyos szabályzatokat is kérjenek be, amivel ellenőrizni tudják, hogy tényleg megcsinálta ezt a folyamatot.
Most lesz teendő, úgy látom…
Most kezdjük érezni a súlyát ennek a dolognak. És attól félek, hogy a nézők is most kezdik érezni csak. De visszatérve az alapfogalmakra, még egy-két dolgot hadd tisztázzak, ami később a megértéshez szükséges. Ugye beszéltünk az adatkezelőről, aki meghatározza az adatkezelés célját, jogi alapját, stb., van az adatfeldolgozó, az adatfeldolgozót azt úgy tudjuk megfogni, hogy ő az aki technikai tevékenységet végez az adatkezelő megbízásából. De ez a technikai tevékenység ez lehet teljesen széleskörű, tehát jó példa például egy könyvelő cég. Én nem mondom meg, hogy mennyivel szorozza meg a bruttó bért, hogy megkapja a járulékalapot meg a nem tudom micsodát, hanem én csak megbízom a könyvelőcéget azzal, hogy az általam alkalmazott munkavállalók bérét kiszámolja. Ők adatfeldolgozók.
Ugyanígy egy tárhelyszolgáltató, aki elvileg nem csinál semmit az adatokkal, csak tárhelyet ad hozzá, ő is adatfeldolgozóvá válik?
Így van, pontosan. Az a helyzet, hogy várunk egy blacklist-re meg egy whitelist-re, amit a Nemzeti Adatvédelmi Hatóság fog kibocsátani, csak itt minden azért megy lassan, mert miután ez az egész európai térségre vonatkozó rendelet, ezért a nemzeti hatóságok egymással egyeztetnek, tehát nem lehet az, hogy az egyiknek másmilyen ez blacklist-je, meg whitelist-je, mint egy másik hatóságnak, ezeknek össze kell hangolni és sajnos minden ilyen tevékenység úgy látom, hogy lassabban megy. Gyakorlatilag lesz egy olyan lista, ahol megmondja azt, hogy ezek azok a tevékenységek, ahol nem kell elvégezni adatvédelmi vizsgálatot és nem kell kijelölni adatvédelmi tisztségviselőt – DPO az angol neve, így fogok majd rá később hivatkozni. És lesz egy olyan lista, ahol meg azt mondja, ezeknél a tevékenységeknél kötelező elvégezni az adatvédelmi vizsgálatot meg kijelölni a DPO-t. Csak az a baj, hogy ez még nincs meg, és május huszonötödikétől bírságolhatnak. Az ember ismerve a törvényt meg a szabályozást meg amit hallott, próbálja összerakni, hogy ezt meg kell-e csinálni vagy nem kell megcsinálni. És miután még nincsen gyakorlat rá, hogy hogyan fogja szankcionálni a hatóság ezeket, én azt mondom, hogy az nem jó, hogyha úgy állunk hozzá, hogy „ez már határeset, de szerintem még nem kell nekem egy ilyen adatvédelmi vizsgálat”, mert nagyon könnyen átcsúszunk, miután még nincs meg a gyakorlat, nem érezzük, hogy a hatóság hol érzi ezt határesetnek, tehát nagyon könnyen átcsúszunk oda, ahol szankcionálnak minket.
Úgy állnék ehhez a kérdéshez, hogy ahol már határeset, valószínűleg meg kell csinálni, ott valóban meg kell csinálni ezeket a lépéseket. Visszatérve az alapfogalmakra, még annyit kiemelnék, hogy az egyéni vállalkozó az ugyanúgy gazdasági tevékenységet végző szervezet, tehát ugyanúgy meg kell csinálnia.
Mi is pontosan az adatkezelés? Bármilyen személyes adat rögzítése, rendszerezése, hozzáférése, módosítása, törlése, értékelése, összekapcsolása, továbbküldése, tehát hogy gyakorlatilag, amikor én adathoz hozzáférek, csak rápillantok egy személyes adatra, azzal én már adatkezelést végzek. Van egy olyan definíció, hogy mi számít különleges adatnak? Különleges adatnak számít a faji, az etnikai információ, a genetikai adatok, biometrikus adatok, egészségügyi adatok, a szexuális irányultságra szóló adatok, érdekes módon ez Magyarországon annyira nem elterjedt, de a szakszervezeti tagsági adatok, világnézeti, vallási irányultság adatai, gyakorlatilag ez a kategória, ami a különleges adat kategória, illetve még van egy, a büntetőügyi adatok, tehát, hogy büntetve vagyok, miért voltam büntetve, stb., ezek mind különleges adatok, ezek már alapból már egy emelt szintű védelmet kapnak.
Viszont ami nagyon érdekes, ezt a Gyuri említette nekem, hogy például a pénzügyi adatok azok nem tartoznak bele ebbe a körbe.
Igen, nincs így kiemelve, viszont a jogalkotó nyitva hagyta azt a kategóriát, amikor magasabb szintű védelem kell, vagy fokozottan kell figyelnünk a GDPR megfelelésre. Mégpedig azzal, hogy az értelmezésébe beletettek egy olyan részt, hogy magasabb szintű védelem kell gyakorlatilag minden olyan adat esetén, ami az érintett számára vagy a magánélet szentségét, vagy a magánéleti jogokat megsértené, vagy az érintett számára különösen kényelmetlen joghatással járna. Például ugye ha az én banki adataim kikerülnének és valaki leszívja a pénzt a számlámról, az különösen kényelmetlen joghatással járna.
Tehát ilyen szempontból mégis nyitva hagyta ezt, és ami még fontos és talán az elején kellett volna megemlítenem, hogy a rendeletet úgy kell értelmezni, hogy van ez a GDPR rendelet, és ehhez hozzájönnek az ágazati törvények, tehát hogyha, most mondok valamit, mondjuk egy egészségügyi szolgáltatónál, ott van egy egészségügyi adatok kezeléséről szóló törvény, magyar törvény, abba le van írva, hogy a, ki jogosult egészségügyi adatot kezelni, mennyi ideig jogosult egészségügyi adatot kezelni, ezeknek a törvényeknek is meg kell felelni, tehát ilyenkor a GDPR-t és ezt a két törvényt együtt kell értelmeznie az adott vállalkozásnak, aki az egészségügyben tevékenykedik.
Tehát attól függően ugye, hogy hova sorolódik az ő tevékenysége, ott is megvannak a különleges adatkezeléseknek a szabályai, ezekre ugyanúgy meg kell felelni, plusz a GDPR-nak, a kettőt együtt kell értelmezni. Vagy mondjuk, hogy kamerás megfigyelést végzünk, akkor ugye ott a személy- és vagyonvédelmi törvény hatálya alá tartozó rendelkezéseknek kell megfelelni plusz a GDPR-nak, tehát így kell mindig átgondolni a tevékenységünket.
A definíciókban elhangzott, hogy „adatkezelés célja”. Ezt mindig meg kell határozni, le kell írni és az érintettet tájékoztatni kell róla, ez szerintem nem újdonság a jelenlegi hatályos infótörvényhez képest, de az a lényeg, hogy nagyon pontosan kell tájékoztatni az érintettet azokról a célokról, amiért mi gyűjtjük az ő személyes adatait. Ez lesz az első lépése egy adatvédelmi vizsgálatnak, hogy megnézik, hogy milyen célból – mit jelöltem meg az érintettek felé – és ha más célból használom föl az adatait, akkor máris jogszabályt sértettem. Tehát inkább írjunk bele többet. Ha tervezzük azt, hogy egy éven belül mondjuk marketingcélból fölhasználjuk az ő adatait, akkor írjuk bele azt is, hogy nem csak a szerződés teljesítéséhez használjuk az ő adatait, hanem marketingcélból is föl fogjuk használni az adatait.
Ilyenkor elég annyit írni, hogy marketingcélból vagy ki kell fejteni, például hírlevelet akarok küldeni, telefonos megkeresést akarok, stb.?
Konkrétnak kell lenni. Tehát ezeket mind ki kell fejteni és ráadásul az új rendelet szerintem mindegyik mellé oda kell tenni egy checkbox-ot. Mondjuk eldöntheti, oké, szerződéskötésre használd az adatom, de míg marketingcélra és hírlevélre használhatod az adatom, de nem adható tovább harmadik személynek. Ha ezt a három célt akarom megjelölni, akkor három checkbox. És ráadásul azoknak a checkbox-oknak üresnek kell lenni, tehát a hallgatás az nem beleegyező nyilatkozat.
És utána ezt nekünk tanúsítanunk vagy bizonyítanunk is kell. Ami még nagyon fontos ebben a rendeletben – majd később lesz szó erről – hogy itt megváltozik a bizonyításnak a követelménye, tehát nekem, mint adatkezelőnek kell bizonyítanom, hogy minden elvárható gondosságot megtettem azért, hogy az ő adata ne kerüljön ki.
Hogyan bizonyítható ez?
Sok-sok dokumentációval. Szomorú hír, de ez van. Meg kell csinálnom egy előzetes vizsgálatot, majd hogy mit kell tennünk. De ugyanígy kell csinálnom egy előzetes vizsgálatot, hogy kell-e alkalmaznom adatvédelmi tisztviselőt, kell-e végeznem adatvédelmi vizsgálatot? Ha nem kell, akkor is meg kell néznem, hogy milyen adatkezelés zajlik a cégen belül vagy a szervezeten belül, azoknak milyen kockázata van, azt hogyan tudom csökkenteni, végrehajtottam-e ezeket a lépéseket, oktattam-e a munkavállalókat? Utána meghatároztam, hogy milyen módon kerül az incidens felfedezésre, bejelentésre, kivizsgálásra és utána mikor vizsgálom felül az én meglévő adatkezelésem.
Menjünk tovább és akkor majd erre visszatérünk.
… FOLYT. KÖV …