A GDPR – az Európai Unió általános adatvédelmi rendelete. Ezzel kapcsolatban 2018 májusában több oldalas összefoglaló levelet küldtünk. Annak részleteit most megismételjük, mert úgy látjuk, hogy ügyfeleink egy része még nem tett módosításokat weboldalán a rendelet megfelelésére. Felhívjuk figyelmét, hogy cégünk a weboldalak tartalmáért és azon folyó adatvédelmi szabályok betartásáért nem vállal felelősséget! Az adminisztrációs környezetben az ügyfelek adatainak tárolásánál az Infoartnet Kft. minden észszerű óvintézkedést megtesz. Kiegészítő és megvásárolható funkcióinkkal is segítjük a weboldaluk adatvédelmi biztonságát. Ilyen elem, a már említett SSL tanúsítvány is. (6. pont)
Írásbeli, konkrét feladatra irányuló módosítási kérés nélkül az Infoartnet Kft. nem tesz módosítást az Önök weboldalán!
Hírlevél le- és feliratkozások
Az AWE portálrendszerünkben a felületen hírlevélre történő fel- és leiratkozások a következő naplóadatokat fogják tárolni a háttérben a következő frissítés után:
Név; e-mail cím; időpont; IP cím; fel/leiratkozás módja (intézkedések)
Ezekkel az adatokkal biztosítható a törvényben megfogalmazott nyilvántartás.
Megváltozik a letiltott e-mail címek (rendszerünkben Robinson lista) kezelése. A törvényi megfelelőség érdekében a tiltott címek mellett a kérelemhez tartozó kötelező adatok is tárolásra kerülnek.
Amennyiben még nem tett a GDPR-nek megfelelő lépéseket:
-
Fel kell mérni a vállalkozás adatvagyonleltárát. (Milyen személyes adatok kerültek begyűjtésre.)
-
Ellenőrizni kell, hogy adatkezelések jogszerűek voltak-e.
-
Azon adatbázisokat, amelyeknél az adatkezelés és begyűjtés nem volt az Infotv.-nek megfelelő, az adatkezelést meg kell szüntetni: az elektronikusan tároltakat törölni, a papír alapúakat pedig meg kell semmisíteni.
-
Át kell nézni a meglévő hozzájáruló nyilatkozatokat, tájékoztatókat és érdekmérlegelési tesztet kell készíteni, az adatkezelési nyilatkozatnak, felhasználási feltételeknek a weboldalon is GDPR szabályait kell, hogy tartalmazza.
-
El kell készüljön többféle belső nyilvántartás (adatkezelői és adatfeldolgozói), amely a GDPR 30. cikkének megfelelő.
30. cikk
Az adatkezelési tevékenységek nyilvántartása
(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:
a) |
az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; |
b) |
az adatkezelés céljai; |
c) |
az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; |
d) |
olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; |
e) |
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; |
f) |
ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; |
g) |
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. |
(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
a) |
az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; |
b) |
az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; |
c) |
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; |
d) |
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. |
(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.
(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.
(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Meglévő adatbázisok felülvizsgálata
Sokuk kérdése az volt, hogy mi lesz az eddig összegyűjtött nagy adatbázisukkal, akiknek eddig kiküldhették hírleveleinket.
A rendelet alapján abban az esetben tartható meg az adatbázis, hogy ha:
-
a személyes adat közvetlenül az érintettől van, és
-
a hozzájárulása és tájékoztatása megfelelő volt az adatkezeléssel kapcsolatban.
A tájékoztatásnak tartalmaznia kellett:
-
az adatkezelés hozzájáruláson alapult, vagy kötelező volt
-
mi volt az adatkezelés jogalapja, célja, időtartama
-
történik-e adattovábbítás
-
kik ismerhetik meg az adatokat
-
az érintett jogai (leiratkozás, törlés, tiltakozás, stb.)
Az ezekhez történő hozzájárulásnak ráutaló magatartással kellett megtörténnie.
Amennyiben a tájékoztatás és hozzájárulás nem volt megfelelő, akkor az adatbázist törölni kell!
Lehetőség az adatok megtartására:
-
Ki kell küldeni egy hírlevelet az adatbázisban lévőknek
-
Tájékoztatni kell az érintetteket, hogy listára vannak iratkozva (mi a cél)
-
Tájékoztatni kell a fent említett kötelező dolgokról, hozzájárulásukat kell kérni.
-
Amennyiben nem nyilatkozik valaki, az törlésre kerül az adatbázisból.
Mi a helyzet vásárolt adatbázissal? Amennyiben bizonyítani lehet a fentieket, és hogy az érintett külön engedélyezte, hogy adatai értékesítésre kerüljenek, csak akkor tartható meg a lista.
Ha a személyes adatok nem az érintettől lettek megszerezve, akkor a rendelet 14. cikke vonatkozik erre:
14. cikk
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) |
az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei; |
b) |
az adatvédelmi tisztviselő elérhetőségei, ha van ilyen; |
c) |
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; |
d) |
az érintett személyes adatok kategóriái; |
e) |
a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen; |
f) |
adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás. |
(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a) |
a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; |
b) |
ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről; |
c) |
az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga; |
d) |
a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét; |
e) |
a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; |
f) |
a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és |
g) |
a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. |
(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:
a) |
a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül; |
b) |
ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy |
c) |
ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor. |
(4) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:
a) |
az érintett már rendelkezik az információkkal; |
b) |
a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében; |
c) |
az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy |
d) |
a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia. |
Új adatbázist kizárólag a GDPR elvei és jogalapjai mentén lehet építeni.
(32) |
Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. |
NAIH bejelentkezés
2018. május 25-től nem kell megtenni a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) bejelentkezést, mert ekkor lépett hatályba a GDPR szerinti egyéni nyilvántartások vezetése.
Az érintett hozzáférési jogával kapcsolatos eljárás az AWE rendszerében
15. cikk
(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) |
az adatkezelés céljai; |
b) |
az érintett személyes adatok kategóriái; |
c) |
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket; |
d) |
adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; |
e) |
az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; |
f) |
a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; |
g) |
ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; |
h) |
a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. |
(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.
(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
A weboldalról történő hírlevélre feliratkozások és regisztrációk naplózva vannak a rendszerben.
A Rendszer – Levelezés – Célcsoportok-on belül több listában láthatók adatkezelési csoportonként a feliratkozottak listája, amelyekben visszakereshető a feliratkozás időpontja nap, óra, perc pontossággal és státusz megjelöléssel.
A szabályosan létrehozott kézi hírlevél listákban (Leiratkozás engedélyezve a lista létrehozáskor) és feliratkozottak esetében is a hírlevelekben Leiratkozási link szerepel, amelyet megnyomva az érintett önmaga törölheti magát a listákról. A hírlevél komponensünkben lehetőség van arra, hogy a feliratkozási felületen is az érintett adatainak újbóli megadásával megnyomhassa a Leiratkozom linket is, így nem függ a hírlevél kiküldéstől a leiratkozási lehetősége.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
A regisztrációval rendelkező weboldalaknál az érintettek a rendszerbe történő belépésük alkalmával elérhetik az adatkezelő felületet és ott módosíthatják adataikat. Amennyiben igazoltan más úton kérik az adatmódosítást, akkor a rendszer arra jogosult adminisztrátora a módosítást meg tudja tenni az admin felületen is.
Törléshez való jog
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) |
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; |
b) |
az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; |
c) |
az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen; |
d) |
a személyes adatokat jogellenesen kezelték; |
e) |
a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; |
f) |
a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. |
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) |
a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; |
b) |
a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából; |
c) |
a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján; |
d) |
a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy |
e) |
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. |
Felhívjuk figyelmüket, hogy rendszerünkből továbbra sem biztosítjuk a felhasználók törlésének lehetőségét, mivel az bizonylatolási és egyéb működési problémákat okozhat. Minden törlési kérelmet az adatok felülírásával (elrontás) javasoljuk megtenni. Erre a portálfelületen a beépített eszközöket javasoljuk használni.