GDPR – érintetti joggyakorlás

gdpr_logo

Sorozatunkban sorra vesszük azokat a kikerülhetetlen teendőket, melyeket minden adatkezelő cégnél el kell végezni az új uniós GDPR rendelet értelmében. Ebben a részben áttekintjük a joggyakorlás során előforduló nem csak informatikai feladatokat.

Érintett joggyakorlása

Minden cégnek fel kell készülnie arra, hogy májustól jelentősen meg fog változni az adatkezeléssel kapcsolatos hozzáállása. Rengeteg olyan plusz feladatnak kell bekerülnie a mindennapi rutinokba, melyekre korábban még nem is gondoltunk. Ilyenek lesznek például azok a feladatok melyeket az adatbirtokos jogainak gyakorlása ró ránk.

tájékoztatáshoz való jog

Minden érintettnek joga van közérthetően, anyanyelvén információt kapni az adatkezelőtől az adatkezelés szempontjairól (milyen jogalapon, milyen adatokat, milyen formában, ki, meddig stb.) E tájékoztatásnak még a személyes adatok bekerülése előtt meg kellene történnie, harmadik fél közreműködése esetén pedig a lehető leghamarabb. Erre legtöbbször elég egy adatkezelési tájékoztató – például a cég honlapján – ugyanakkor arra mindenképpen figyelni kell, hogy minden szempontra térjen ki kellő részletességgel. A NAIH több milliós nagyságrendben megbüntette a BKK-t, többek között azért mert az adatkezelési tájékoztatója nem közérthető, nem egyértelmű és nem könnyen áttekinthető! És ez még csak a hazai joggyakorlatnak megfelelő büntetési tétel volt, májustól ugyanilyen „hibáért” a többszörösét kell majd fizetni.

hozzáférés joga

Bárkinek bármikor joga megtudni, róla kezelnek-e bármilyen adatot, s ha igen, akkor mely adatai kezelik és milyen formában. Sajnos azt is meg kell tudnunk mondani, ki mikor kért effajta információt. Ez előre vetíti a megfelelő IT háttérrendszer meglétét és működtetését is, jelen esetben minimum egy olyan naplózó rendszert, melyből a szükséges információkat maradéktalanul át tudjuk adni. Jobban végig gondolva ez bizony nem egyszerű feladat. Már annak eldöntése sem, kiről milyen rendszerben milyen adatokat kezel egy adott cég, a számtalan helyről összeszedhető információk szinte soha nincsenek meg egy egyszerű kereséssel, tehát a céget fel kell készítenünk egy ilyen összetett adatkeresési feladatra is. A felkészülés során érdemes készíteni egy olyan munkautasítást, mely tartalmazza az ilyen esetben szükséges rutinokat, eljárásokat, esetleges lekérdezési scripteket. Nem szabad megfeledkezni arról sem, hogy a GDPR nem csak a digitálisan kezelt adatokra vonatkozik, hanem a papír vagy más média felületen tároltra is.

helyesbítési jog

Minden érintett jelezheti, ha a róla kezelt adatok nem megfelelőek, vagy adataiban változás állt be, s kérheti azok módosítását. Az adatok pontosságáért az adatkezelőt terheli a felelősség ezért egyrészt érdemes rendszeresen ellenőrizni az adatok pontosságát, másrészt frissítési gyakoriságot bevezetni. Az előzőekben felvetett gondolatsort folytatva, itt külön gondoskodni kell a változások naplózásáról is! Ha az adott cégnél alkalmazott rendszerek ezt nem teszik lehetővé, akkor szükségessé válik egy külön változásnapló bevezetése erre a GDPR elemre.

törlési jog

Az adatbirtokos bármikor kérheti adatainak törlését. Itt a legfontosabb a jogi oldal, az adatkezelés jogcímének esetleges változása, ami megakadályozhatja az adott adatok vagy azok egy részének törlését. Gondoskodni kell a harmadik fél számára átadott adatok, vagy nekik megadott hozzáférés megfelelő, ellenőrzött és naplózott törléséről is. Természetesen az érintett adatok számtalan helyen és médián előfordulhatnak egy adott cég életében. Pl. éles és teszt környezetek, mentési és archiválási médiák stb. Ezekről való adateltávolítás jelentős kihívásokat állíthat minden IT szervezet elé, épp ezért módszertani és szemlélet váltási javaslatunk a megfelelő eljárás kidolgozásában segít.

korlátozás joga

Bizonyos esetekben – pl. tisztázatlan jogi helyzet – az adatbirtokos kérheti személyes adatai kezelésének korlátozását, akár időszakosan vagy visszatérő jelleggel is. Fel kell készülni arra is, hogy ez akár a személyes hozzáférési szintekig szükséges beavatkozással járhat egyes rendszerekben. Ezért mindenképpen kell, hogy legyen egy jól átlátható hozzáféréskezelés, természetesen a sokat emlegetett naplózással, valamint kell egy mindig aktuális hozzáférési mátrix is, amiből tudjuk ki milyen adatainak kezelését milyen időszakban milyen szinten korlátozta.

tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon a személyes adatainak egy meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez. Amennyiben ennek jogi oka vagy ellenérdekű ésszerű akadálya nincs, biztosítani kell az adatkezelés megszűntetését. Ez ismét felvet bizonyos kérdéseket. Pl. mit tegyünk a már összegyűjtött esetleg már archivált adatokkal? Az előzetes hatásvizsgálat és kockázatelemzés elvégzését követően a megfelelő eljárás kiválasztásban tudunk segítséget adni. (Anonimizálás, tényleges törlés, biztonsági törlés stb.)

hordozhatósági jog

Az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat valamilyen sztenderd elektronikus formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban gondoljunk csak a hozzáférési jognál említettekre, vagy arra, hogy ez a feladat mekkora egyéb pl. anyagköltséget generálhat.

Back to Top