Adatvédelem (GDPR) a fitness termekben

//Adatvédelem (GDPR) a fitness termekben
Adatvédelem (GDPR) a fitness termekben 2018-05-17T15:09:56+00:00

Iránymutatás 12 lépésben fitness termek részére

A GDPR jogszabály itt megtekinthető, ill. letölthető:

http://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU

 

A GDPR, azaz az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.)
a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szól
(általános adatvédelmi rendelet).

 

Mivel a magyar KKV cégek döntő többsége még azt sem tudja, hogy mennyiben és milyen területen vonatkoznak rá a GDPR és az ún. Infótörvény által meghatározott adatvédelem kötelező érvényű előírásai. Így tervük sincs arra vonatkozóan, hogyan feleljenek meg a szabályozásnak. Ezen helyzet és a cégeket érintő kérdések megválaszolására elkészítettünk egy tájékoztató anyagot és kidolgoztunk egy igénybe vehető 12 lépésben végigjárható segítséget.

 

  1.  Adatvédelmi tudatosság: építsük ki az új jogszabálynak való megfelelést és alakítsuk ki a szervezeten belüli szakmai felkészültséget. Gondoskodjunk róla, hogy az adatkezelő és adatfeldolgozó személyek, vagy az adatkezeléssel közreműködő szervezetek munkavállalói megfelelő felkészültséggel legyenek ellátva az új adatvédelmi rendelet megfelelő alkalmazásához.
  2.   Az adatkezelés kritériumainak felülvizsgálata: térképezzük fel és írjuk le az személyes adatkezelés célját és módszerét, annak tárolását, ellenőrzését, rögzítsük az adatok sorsát és naplózzuk a folyamatot. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzatnak biztosítania kell az általános adatvédelmi rendeletben lefektetett elszámoltathatóság, a hordozhatóság, a módosítás és a visszavonás elvét, ill. gyakorlatát, valamint a jogszerű adatkezelést és adatfeldolgozást.
  3.  Az érintett megfelelő és egyértelmű tájékoztatása: az érintett jogai kapcsán, az új szabályoknak megfelelően biztosítanunk kell az információs önrendelkezési jog érvényesülését. FONTOS változás, hogy azon a területen, ahol az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. Lehetőség szerint egyértelműen és közérthetően kell megfogalmazni a szabályozást. Az átláthatóság elve megköveteli, hogy a nyilvánosságnak, ill. az érintetteknek nyújtott tájékoztatást kötelező megjelentetni, egy könnyen hozzáférhető helyen. A tájékoztatáshoz való jog előzetesen, az adatkezelés során, annak megszűnéséig megilleti az érintetteket
  4. Az érintettek jogai és azok érvényesítésére vonatkozó szabályok során ellenőrizzük az adatkezelési folyamatainkat és műveleteinket, hogy az érintettek jogai minden esetben maradéktalanul érvényesüljenek. A GDPR, új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:
  • a rá vonatkozó személyes adatokhoz való hozzáférés;
  • azok helyesbítése;
  • törlése („az elfeledtetéshez való jog”);
  • kezelésének korlátozása;
  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
  • az adathordozhatósághoz* való jog.

(*) A legfontosabb újdonság az adathordozhatósághoz való jog: az érintett jogosult a rá vonatkozó, az általa egy adatkezelő rendelkezésére bocsátott személyes adatokat géppel is olvasható formátumban elkérni. Ezeket az adatokat bármikor továbbíthatja egy másik adatkezelőnek anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat előzetesen a rendelkezésére bocsátotta. Az Interneten megvalósuló adatkezelések és feldolgozó partnerek, bevont 3. Felek kapcsán nem elegendő csak az elsődleges felhasználási területen történt adatbázisból való törléshez jogot biztosítani, hiszen az adatok nem csak az adatkezelőnél lehetnek, hanem az adatfeldolgozóknál is, ill. egyéb adathordozókon tárolva is, mint pl. az analitikai és mérő szoftverek, a levelezőrendszerek és a keresőmotorok (korábbi verziói) is tárolhatnak személyes adatokat. Az új általános adatvédelmi rendelet szabályai értelmében a tényleges joggyakorlás megvalósítása révén, az Internet sajátosságaira tekintettel lehetővé kell tenni, hogy bármely adatalany az adatok minden lehetséges elérési pontján töröltethesse azokat.

+ TIPP: olvasd el a hatósági iránymutatást az adathordozhatóságra vonatkozóan:

https://www.naih.hu/files/wp242rev01_hu_adathord.pdf

A Wellness Gate rendszerben az ügyfél adatok PDF formátumban exportálhatók közvetlen a főmenüben elérhető.

 

A tárolt adatokat pdf formátumban tetszőleges módon (e-mail, pendrive) az érintett részére át tudja adni.

  1.  Az érintett hozzáférési joga: a tájékoztatási kötelezettségre vonatkozó szabályok új teljesítési határidőket kaptak. Eszerint a kérelem beérkezése után az adatkezelő lehetőség szerint azonnal, indokolt esetben maximum egy hónapon belül köteles tájékoztatni az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettségnek való könnyű megfelelést biztosítja egy olyan biztonságos online rendszer üzemeltetése, melyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

A Wellness Gate rendszerben az ügyfél adatok PDF formátumban exportálhatók közvetlen a főmenüben elérhető.

  1.  Az adatkezelés jogalapja is változik, és szigorúbb lesz: a hozzájárulás, mint jogalap, illetve annak visszavonása, most egy sokkal hangsúlyosabb törlési kényszert jelent majd az adatkezelőre és feldolgozóra nézve. Az új szabályozás által meghatározott jogalapokhoz és az ahhoz kapcsolódó kötelezettségekhez igazodva kell megvalósítanunk az általunk végzett adatkezelést és biztosítanunk az információs önrendelkezési jog érvényesülését. Ügyeljünk arra, hogy „az elfeledtetéshez való jog”, vagyis a törléshez való jog biztosítása szerint az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni, amennyiben az érintett visszavonja az adatkezelés alapját képező hozzájárulást.
  2.   A hozzájárulás feltételeinek felülvizsgálata: az adatkezelés egyértelmű és kifejezett hozzájárulásokon alapul. Ennek megfelelően kell megalkotni az adatkezelés folyamatát, a hozzájáruláson alapuló adatkezelés, új adatvédelmi rendelet előírásai szerint. Az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) a hozzájárulás és kifejezett hozzájárulás fogalmát is alkalmazza, úgy az új általános adatvédelmi rendeletben szintén megtalálható. Fontos figyelni arra, hogy a hozzájáruláson alapuló adatkezelésről esetén, a hozzájárulás kizárólag akkor tekinthető elfogadhatónak, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesítette. A hozzájárulás során félreérthetetlenül kell lennei az érintettnek beleegyezésének az adatkezeléshez. Ahol az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.
  3.  Gyermekek jogainak biztosítása kiemelt védelmet kap az új rendeletben: amennyiben a szervezet gyermekek személyes adatait is kezel(het)i, kiemelt figyelmet fordítsunk a rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályozására. A gyermek életkora az Infotv.-ben és az új adatvédelmi rendeletben is meghatározásra került. Az új szabályok értelmében személyes adatok kezelése a közvetlenül gyermekeknek is kínált szolgáltatások vonatkozásában akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét még be nem töltött gyermek esetén, a személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, vagy engedélyezte. A hozzájárulás tekintetében a tagállamok a 16 év alatt, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak.
  4.  Adatvédelmi incidens bejelentése: az Infotv. jelenleg nyilvántartás-vezetési kötelezettséget állapít meg az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett kérelmére az adatkezelő erről tájékoztatást ad. Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén automatikus bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül –lehetőség szerint-, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jut, köteles bejelenteni azt a felügyeleti hatóságnak. Kivétel képezhet, ha az adatvédelmi incidens minden valószínűség szerint nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
  5.  Beépített adatvédelem, és előzetes adatvédelmi hatásvizsgálat: az új szabályozás értelmében, bizonyos esetekben, a magánszférára gyakorolt hatások felmérésére, az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. Az (EU) 2016/679 rendeletet 2018. május 25-től kell alkalmazni. Az (EU) 2016/680 irányelv mellett az általános adatvédelmi rendelet 35. cikke is bevezeti az adatvédelmi hatásvizsgálat fogalmát. A rendelet arról is rendelkezik, hogy mikor indokolt és mikor nem szükséges hatásvizsgálatot lefolytatni.

„Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése, e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával. (lásd lentebb, a minimálisan előírt tartalmát a */ csillagozott, dőlt betűs részben)

 

Az adatvédelmi hatásvizsgálatok az elszámoltathatóság szempontjából is jelentőséggel bírnak, ugyanis nemcsak az általános adatvédelmi rendelet előírásainak teljesítését könnyítik meg az adatkezelők számára, de a rendelet betartása érdekében hozott megfelelő intézkedések végrehajtásának bizonyítását is. Az adatvédelmi hatásvizsgálat tehát a rendelet betartásának elérésére és bizonyítására szolgáló eljárás.

 

Az általános adatvédelmi rendelet hivatalosan nem határozza meg külön az adatvédelmi hatásvizsgálat fogalmát, de: minimális tartalmát a 35. cikk (7) bekezdése rögzíti az alábbiak szerint:

  • a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
  • b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • c) az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
  • d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat”;

E kötelezettség magában rejti az adminisztratív terhek növekedését, azonban a magas kockázatú adatkezeléseknél az információs önrendelkezési jog érvényesülésének megfelelő biztosítása érdekében indokolt, hogy az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

A Wellness Gate főmenüben a Kimutatások menüpontban a Vendéghez társított adatok törlése, leválasztása menüpontban kérhető a tárolt adatok anonimítása, a művelet sikeressége után a program PDF formátumban jegyzőkönyvet készít, melyet kinyomtatva és az érintettel aláíratva archiválhatunk.

+ TIPP: olvasd el a hatósági iránymutatást az adatvédelmi hatásvizsgálat elvégzéséhez: https://www.naih.hu/files/wp248-rev.01_hu_hatasvizsg.pdf

A hatásvizsgálat során meg kell vizsgálni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik, tekintettel az adatkezelés jellegére, hatókörére, körülményére és céljaira, a lehetségesen felmerülő kockázatokra. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek magas kockázattal járnak, és azt az adatkezelő nem lenne képes a rendelkezésre álló technológia és a végrehajtási költségek mellett megfelelően garantálni, akkor az adatkezelés adott folyamatát megelőzően, az adatkezelő konzultálnia kell a felügyeleti hatósággal. Magas kockázatú adatkezelési műveletek lehetnek például a nagyszámú érintett; nagy mennyiségű személyes adat; a kiszolgáltatott személyek, mint pl. gyermekek adatainak kezelése; profilalkotás; viselkedés vagy mozgás követése; különleges adatok kezelése. Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené a rendeletet, különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot ad, továbbá gyakorolhatja rendeletben említett hatásköreit.

  1.  Az adatvédelmi tisztviselők: az új általános adatvédelmi rendelet belső adatvédelmi felelősök, a szervezeten belüli kinevezését teszi kötelezővé, az Infotv. szabályainál szélesebb adatkezelői körben. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl, olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

+ TIPP: olvasd el a WP243 MELLÉKLETET a Gyakran ismételt kérdésekkel az adatvédelmi tisztviselő kijelöléséről, a fő tevékenységek” fogalmáról és a kifejezések értelmezéséről: https://www.naih.hu/files/wp243rev01_annex_hu.pdf

  1.  Az adatvédelmi felügyeleti hatóság illetékessége: az Infotv. 2. § (1) bekezdése értelmében e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.

A (3) bekezdés szerint a törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie. A törvény hatálya egyben megalapozza a Hatóság illetékességi területét is.

Az új általános adatvédelmi rendelet esetében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

Fő felügyeleti hatóság illetékessége: nemzetközi vállalatok, határon átnyúló adatkezelések esetében a rendelet kijelöl egy fő felügyeleti hatóságot, amelyet az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye fog meghatározni. A fő felügyeleti hatóság jogosult eljárni az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében. A fő felügyeleti hatóság az érintett felügyeleti hatóságokkal információcserét folytat és együttműködik, valamint hatáskört ruházhat át. Amennyiben a szervezet tevékenységi köre nem csak egy országra korlátozódik, vizsgáljuk meg, mely országban végezzük az adatkezelés jelentős részét (ez többnyire az anyavállalat székhelye), majd ez alapján győződjünk meg arról, mely ország hatósága jár majd el fő felügyeleti hatóságként adatkezelésünk tekintetében.

+ TIPP: olvasd el a WP244 II. MELLÉKLETÉT a Gyakran ismételt kérdésekkel a felügyeleti hatóságok, a határokon átnyúló adatkezelés, az adatfeldolgozó és adatkezelő szerepekre vonatkozóan: https://www.naih.hu/files/wp244rev01_annex_hu.pdf