A kockázat alapú megközelítés szerepe és lépései…
Előzmény
Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR.
Jelentősége, új fogalmak bevezetése:
– NAIH: bírság (maximum 20M EUR / globális árbevétel 4 %-a, amelyik magasabb)
– sérelmet szenvedett: kártérítési igény, sérelemdíj
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, köteles ezzel párhuzamosan ésszerűen elvárható lépéseket tenni annak érdekében, hogy tájékoztassa az ilyen, törölni kért adatot kezelő további adatkezelőket, hogy utóbbiaknak is lehetősége nyíljon törölni ezen adatok másodpéldányait, illetve az azokra mutató linkeket. Az érintett elfeledtetéshez való joga azonban nem korlátlan – az adatkezelő bizonyos esetekben jogosult a törlést megtagadni.
Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog. Ez annyit tesz, hogy az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és azt egy másik adatkezelőnek továbbítsa.
Hátrányai
Cél: a személyes adatok védelme egyezményes szintén, az alábbiakkal:
Főbb lépések, új feladatok
Az adatkezelők kötelesek tájékoztatni az érintetteket az őket érintő személyes adatkezelésről. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell megadni
Jelenleg általában a munkaszerződés tartalmaz egy rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen, ezért fontos, hogy a munkáltató helyesen állapítsa meg az adatkezelés jogalapját. Ennek megfelelően, jövő májusig a munkáltatónak át kell vizsgálnia a munkaszerződés mintát és megállapítani, hogy egyes adatokat milyen jogcímen kezelik. A munkáltatóknak vélhetően egy részletesebb adatvédelmi tájékoztatást kell a munkaszerződésbe foglalniuk, illetve egyedi hozzájárulásokat kérni adatok kezelésére.
Az érintett hozzájárulása, mint a személyes adat kezelésének jogalapja, nem új fogalom az adatvédelemben. A GDPR azonban szigorúbb követelményeket vezet be a korábbi irányelvhez képest. Amennyiben egy vállalat az ügyfél hozzájárulását kéri személyes adatainak kezeléséhez, a hozzájárulásnak egyértelműnek kell lennie.
A továbbiakban a nem tevőleges magatartás már nem számít az ügyfél részéről hozzájárulásnak. A vállalatoknak ezért minden papír és digitális alapú adatkezelési felületen meg kell változtatniuk a hozzájárulással kapcsolatos beállításaikat, hogy megfeleljenek az új szabályozásnak.
A vállalatoknak továbbá a jogellenes adatkezelés megelőzése érdekében biztosítaniuk kell, hogy a hozzájárulás mechanizmusa szorosan összekapcsolódjon az adatkezelési tevékenységükkel. Az érvényes hozzájárulás nélküli adatkezelés jogszabályba ütköző tevékenységnek minősül.
Álnevesítés:
Új jogi fogalomként jelenik meg a személyes adatok anonimmá tételének módszere „álnevesítés” útján. Ez a kifejezés azt jelenti, hogy a személyes adatokat úgy kezelik, hogy további információ felhasználása nélkül nem lehet megállapítani, hogy az adott adat mely konkrét természetes személyre vonatkozik. Ezt a kiegészítő információt külön kell tárolni, és technikai, illetve szervezési intézkedésekkel kell megőrizni azok bizalmasságát. A Rendelet több ponton is az álnevesítést említi, mint a kívánt és jogszerű megoldást bizonyos adatkezelési helyzetek esetén.
Átstrukturálás:
A GDPR alapján az eddig alkalmazott jogalapok vonatkozásában hangsúlyeltolódás, részleges átstrukturálás és szemléletváltás várható. Kérdéses lehet az is, hogy a megfelelően kiválasztott jogalap és meghatározott célhoz kötött adatkezelés további célból való kezeléséhez milyen jogalapot tud felhívni a vállalkozás. Érdekes kérdés lesz például, hogy egy ilyen esetre lefolytatott érdekmérlegelés kiállja-e majd az adatvédelmi hatósági, illetve adott esetben bírósági próbát. Problémát jelenthet a felkészülésnél, hogy sok esetben a vállalkozások számára nem is ismert, hogy GDPR hatálya alá tartozó adatkezelést végezhetnek. Gyakori például, hogy az adatkezelés többszöröződig és egy feltételezhetően megfelelő jogalapon és célból gyűjtött adat kezelésére másodlagos jogalap meghatározása nélkül, eltérő célból kerül sor, ilyen gyakori eset például a személyesadat-alapú elemzések végzése folyamatoptimalizálási, üzletfejlesztési szempontból, vagy teljesítményértékeléssel összefüggő profil alkotása.
Kockázati pontok feltérképezése
Mind vertikális, mind horizontális folyamati szempontból fontos felmérni az adatkezelési tevékenységet és a GDPR szempontjából kockázatos pontokat, hogy ezek vonatkozásában megfelelő intézkedéseket, az érintetti jogok érvényesülését biztosító tájékoztatási, hozzájárulási, jogi intézkedéseket és mechanizmusokat lehessen bevezetni. Az ilyen megfelelőségi mechanizmusok kialakításához tartozik az olyan kulcs szerepkörök, mint az adatvédelmi tisztviselők tisztségének pontos, a függetlenségi és összeférhetetlenségi következmények mentén való körülhatárolása és az új megfelelőség demonstrálására alkalmas magatartási kódexek elfogadása.
(forrás: elhangzott a KPMG konferencián, 2018. február 21. napján)