Adatvédelem
Mi az adatvédelem?
Az adatvédelem a magánéletet, illetve magánszférát védő terület, amely alapjogi garanciákkal biztosítja a természetes személy (érintett) személyes adatainak védelmét és kötelezettségeket ír elő az adatkezelő számára. Adatkezelőnek minősülnek azok a személyek, illetve szervezetek, amelyek egy adatkezelés céljait és eszközeit önállóan, vagy másokkal együtt (közös adatkezelés keretében) meghatározzák. Adatkezelés alatt pedig a személyes adatokon végzett bármely műveletet értünk, így például a gyűjtést, a rögzítést, a tárolást és a betekintést is.
Jogi környezet
Az adatvédelmi jog egy sajátos és gyorsan fejlődő jogterület; a személyes adatok védelme jogszabály által meghatározott rendelkezései tekintetében az Európai Unióban a korábbi irányelvi keretrendszert 2018. május 25. napjától felváltotta a rendeleti szabályozás, amely szerint az általános adatvédelmi rendelet (GDPR) közvetlenül alkalmazandó, így azonos előírások vonatkoznak az összes tagállamban végzett adatkezelésre, ide nem értve az otthoni, vagy személyes tevékenység keretében végzett adatkezelést, valamint egyéb törvényi kivételeket. Ezen kívül a magyar jogi környezetben az európai adatvédelmi rendelet, mint elsődleges jogforrás figyelembevételével a hatályos adatvédelmi törvény (Infotv.) és több releváns adatkezelési törvény (például Munka Törvénykönyve, Személy-és vagyonvédelmi törvény) módosítására 2019. áprilisában sor került. Az EU adatvédelmi rendelet és az Infotv. alapján az Adatvédelmi Biztos intézményét 2012-től felváltó Nemzeti Adatvédelmi és Információszabadság Hatóság feladata Magyarországon ellenőrizni az adatvédelmi jogszabályok szerinti megfelelés megvalósulását.
Miért fontos az adatvédelem?
Napjainkban a digitalizációnak köszönhetően a személyes adatoknak a jelentősége megnövekedett. Ezen információk hatékonyabb gyűjtése és elemzése révén a piaci szereplők könnyebben tudják elérni vásárlóikat, növelni tudják szoláltatásaik minőségét és belső folyamataikat is racionalizálni tudják. A személyes adatok ésszerű felhasználása a közszolgáltatást nyújtó, illetve közhatalmat gyakorló szereplőknek is megkönnyíti a munkáját. A nagyszámú adatkezeléssel azonban magas kockázatok is járnak; egy adatvédelmi incidens, illetve jogellenes adatkezelés a korábbiakhoz képest jelentősen nagyobb kárt okozhat egy adatkezelő, illetve egy érintett számára, ennek megfelelően a személyes adatvédelem, továbbá az adatkezelés alapelvei szerinti megfelelés elérése valamennyi adatkezelő számára kiemelt jelentőségű, megkerülhetetlen feladattá vált.
Az adatvédelem és az adatvédelmi tanácsadás hozzáadott értéke egy szervezet számára nem csupán a jogi megfeleléshez (compliance) tartozó teendők ellátásában rejlik; amennyiben a szolgáltatás teljesítése keretében hatékonyan tudunk együttműködni az adatkezelővel, a redundáns folyamatait csökkentheti, valamint munkavállalói, ügyfelei, üzleti partnerei és más szervezek irányába az abban való bizalmat tudja megerősíteni, hogy tevékenysége során tisztességesen, a jogszabályi előírásoknak megfelelően jár el.
Adatvédelmi szolgáltatásainkat az alábbiakban ismertetjük. Az összegzés egy teljeskörű folyamatleírást tartalmaz, ugyanakkor van lehetőség arra, hogy ügyfelünk ezekből csak bizonyos szolgáltatásokat vegyen igénybe.
Adatvédelmi audit
Előzetesen kiküldött kérdőíves információgyűjtés alapján, munkatársakkal folytatott személyes interjúk keretében térképezzük fel ügyfelünk tényleges adatkezelési folyamatait, illetve a rá vonatkozó adatvédelmi jogi előírásokat. Megvizsgáljuk többek között, hogy a megismert folyamatok, illetve személyes adatok köre kapcsán az adatkezelés jogalapja (például hozzájárulás személyes adatok kezeléséhez) és az adatkezelés célja megfelelően van-e megjelölve. Az adatvédelmi audit szempontjából releváns információkat (körülmények, folyamatok, észrevételeink, megismert belső dokumentáció jellemzése) írásban feljegyezzük a felmérést dokumentáló kimutatásban, melyet a véglegesítést követően ügyfelünk rendelkezésére bocsátunk. Az adatvédelmi audit eredményeként a vezetés egy átfogó képet kap a szervezete aktuális adatvédelmi helyzetéről.
Adatvédelmi hatásvizsgálat
Egy, vagy több egymással összefüggő adatkezelési folyamat kapcsán rögzítjük az észlelt kockázatokat (például azt, hogy személyes adatok védelmének megsértése esetén milyen következményekre lehet számítani) és ezek csökkentésére, vagy megszüntetésére javaslatot teszünk. Kiemelnénk, hogy bizonyos adatkezelések vonatkozásában kötelező adatvédelmi hatásvizsgálatot végezni, például telefonbeszélgetés rögzítése jogszabály engedélye ellenére minőségbiztosági okokból, vagy akkor, ha kamerás megfigyelés munkahelyen történik; ebben az esetben az adott adatkezelési folyamatot egy részletesebb szempontrendszer alapulvételével elemezzük és ennek eredményét dokumentáljuk. Munkánk során a jogi előírásokon felül a vonatkozó nemzetközi szabványok és hatósági iránymutatások (például a NAIH munkahelyi adatkezelés kapcsán kiadott ajánlása) figyelembevételével járunk el.
Dokumentáció készítése
Ügyfelünk egyedi igényeire és folyamataira szabva elkészítjük az általános adatvédelmi rendeletnek (GDPR) való megfelelés igazolásához szükséges jogi dokumentációt. Ezen dokumentáció többek között az alábbiakat tartalmazhatja:
- adatvédelmi nyilatkozat és adatkezelési nyilatkozat, vagy általános adatkezelési nyilatkozat
- adatvédelmi tájékoztató, illetve adatkezelési tájékoztató
- adatvédelmi szabályzat, illetve adatkezelési szabályzat, vagy adatvédelmi és adatbiztonsági szabályzat
- weboldal adatkezelési tájékoztató, vagy webshop adatkezelési tájékoztató
- munkavállalói adatkezelési tájékoztató, amely munkahelyi adatkezelés kapcsán szükséges
- adatvédelmi irányelvek, adatvédelmi alapelvek dokumentációja
- adatkezelési hozzájáruló nyilatkozat, illetve adatkezelési hozzájárulás kapcsán tájékoztató
- munkahelyi kamerás megfigyelés ügyében kamera rendszer szabályzat
- kamerás megfigyelés tájékoztató
- kamera felvétel visszanézése esetén alkalmazható jegyzőkönyv
- társasházi kamerarendszer adatkezelési szabályzat
- közös adatkezelési megállapodás
- adatvédelmi incidens bejelentése, nyilvántartása és kezelése tekintetében eljárásrend
- adatkezelési nyilvántartás, vagy adatkezelési tevékenységek nyilvántartása
- kötelező adatkezelés vonatkozásában felülvizsgálati jegyzőkönyv
A ténylegesen elkészülő dokumentumok tartalmát és elnevezését ügyfelünkkel történt egyeztetés alapján, a szabályozni kívánt adatkezelés egyedi körülményeire figyelemmel határozzuk meg.
Oktatás
Az adatvédelmi tudatosság növelése érdekében személyes, vagy online formában oktatást tartunk ügyfelünk munkatársai számára, igény szerint tudásfelmérőt és további oktatási anyagokat készítünk. Az oktatás megtörténtét jegyzőkönyv felvételével igazoljuk, mely a későbbiekben bizonyítékként felhasználható az adatvédelmi hatóság (NAIH) esetleges eljárásában. A tréning során lehetőség van az ügyfelünknél felmerülő gyakorlati adatvédelmi kérdések közös átbeszélésére is a jó gyakorlat kialakítása érdekében.
Ellenőrzés
Megvizsgáljuk, hogy ügyfelünk gyakorlati működése során ténylegesen alkalmazza-e a megfelelő dokumentációt, illetve sor került-e a korábban – általunk, vagy más által – észlelt adatvédelmi kockázatok csökkentésére. Ezt az adatvédelmi audit során alkalmazott módszertan szerint végezzük azzal a különbséggel, hogy az ellenőrzés során a korábban rögzítésre került javaslatokra és kockázatokra, valamint a felmérés óta történt új, illetve módosult tevékenységekre koncentrálunk. Az ellenőrzés tapasztalatairól feljegyzést készítünk a nyomon követhetőség érdekében.
Tanácsadás
Egyedi adatvédelmi jogi kérdések megválaszolásával, konzultációk tartásával, jogi állásfoglalások készítésével segítjük ügyfelünket abban, hogy döntéseit magabiztosan, jogi szakértelemmel támogatva tudja meghozni. Az adatvédelmi ügyvéd részéről történő közreműködés mind a belső, mind a külső adatvédelmi jogi kérdések kezelésében és értelmezésében kiemelet fontosságú, hiszen a segítség igénybevételével gyorsabban és az ügyfelünk érdekeinek magasabb szintű érvényre juttatásával lehet kezelni a felmerülő jogi helyzeteket, legyen szó adatvédelmi tárgyú partneri egyeztetésről, vagy munkavállalóval fennálló adatvédelmi jogvitáról, ahol a másik felet is nagy valószínűséggel támogatja megbízott GDPR ügyvéd. Ezen felül az adatvédelmi tanácsadás igénybevételével lehetőség nyílik olyan helyzetek elkerülésére, amelyből ügyfelünknek kára származhat, például jogellenes kamerás megfigyelés miatti kártérítés, vagy adatvédelmi bírság.
Adatvédelmi incidens kezelése
Az adatvédelmi incidens fogalma az alábbi: „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”. Adatvédelmi incidens bekövetkezése esetén segítjük ügyfelünket az incidens körülményeinek feltérképezésében, az adott ügyben javasolt intézkedés megfogalmazásában, továbbá az incidens bejelentése (elsősorban a NAIH adatvédelmi incidens bejelentő rendszerén keresztül) és az érintettek tájékoztatása kapcsán. Adatvédelmi incidens példák: téves címre küldött, személyes adatokat tartalmazó e-mail csatolmány, személyes adatokat tartalmazó adatbázishoz való jogellenes hozzáférés, olyan adathordozó (laptop, pendrive) elvesztése, melyben személyes adatok voltak, zsarolóvírus támadás az informatikai rendszerben, amely titkosít minden adatot.
Képviselet ellátása
Ellátjuk ügyfelünk képviseletét az adatvédelmi hatóság eljárásaiban, az érintetti kérelmek megválaszolásában, valamint a peres és peren kívüli adatvédelmi jogvitákban. A szolgáltatás előnye, hogy az adatvédelmet érintő jogi ügyekben ügyfelünk az igényérvényesítés során nem saját adatvédelmi tisztviselőjének, illetve belső jogászának a kapacitásait kell felhasználnia, kockáztatva ezzel az vonatkozó összeférhetetlenségi szabályok megsértését, hanem külsős megbízott adatvédelmi ügyvéd közreműködését tudja igénybe venni, tehát lehetősége van hatékonyabban kezelni az adott ügyet.
Adatvédelmi tisztviselői (DPO) feladatellátás
A belső adatvédelmi felelős intézményt felváltó adatvédelmi tisztviselői pozíció lényege, hogy az adatvédelemmel egy olyan független személy foglalkozzon az adatkezelőnél, aki szakértői szinten ismeri és gyakorolja az adatvédelmet. Az adatvédelmi tisztviselő kötelező kijelölése elő van írva bizonyos esetekben, azonban a kijelölésre nem kötelezett adatkezelő dönthet úgy, hogy opcionális jelleggel bíz meg adatvédelmi tisztviselőt. Az adatvédelmi tisztviselő feladatai teljesítése során tanácsadó és ellenőrző funkciót tölt be a szervezetnél, közreműködése az adatvédelmet érintő kérdésekben elengedhetetlen. Ki lehet adatvédelmi tisztviselő? A GDPR alapján bárki, aki megfelel a fenti szakmai követelményeknek és függetlenül, a vonatkozó összeférhetetlenségi szabályok megsértése nélkül képes ellátni a pozícióval járó feladatot. A kijelölést a NAIH adatvédelmi tisztviselő bejelentő rendszerébe rögzíteni kell. Az adatvédelmi tisztviselő díjazása egyedi megállapodás kérdése, a pozíció mind munkaszerződés, mind szolgáltatási szerződés alapján ellátható. Ügyfelünknél megbízási jogviszony keretében töltjük be a GDPR adatvédelmi tisztviselő pozíciót, valamint a már kijelölt adatvédelmi tisztviselő munkáját külső jogi tanácsadóként segítjük. Ezen szolgáltatásunk magába foglalja az összes, honlapon leírt adatvédelmi munka folyamatos ellátását, tekintettel arra, hogy azoknak az elvégzése az ügyfél mindenkori adatvédelmi tisztviselőjének a feladata.