Ahogy több csoportban, fórumokon is látjuk, több mindenkiben felmerül még mindig a kérdés mi az a GDPR és valójában kell az nekem is?
- Bármennyire is elkeserítő már most szögezzük le, IGEN kell!!
Ne ijedj meg segítünk, megpróbáljuk egyszerűen közérthetően összefoglalni mi az a GDPR.
Elérhetővé teszünk egy általános adatvédelmi tájékoztató mintát amit le tudsz tölteni és nyugodtan használhatsz. Az adatvédelmi tájékoztatót a lehető legnagyobb körültekintéssel készítettük el úgy, hogy a szépségiparban dolgozók legtöbbjének megfeleljen. ADATVÉDELMI TÁJÉKOZTATÓ MINTA LETÖLTÉSE.
Ebben a cikkben tömören de érthetően írunk a szabályozásról. Egy következő cikkben, ha igénylitek alaposabban kitérünk mindenre itt leginkább gyors segítséget kívánunk nektek nyújtani a GDPR megfelelőség kapcsán.
A GDPR (General Data Protection Regulation) 2018. május 25. napján lépett hatályba ettől az időponttól hazai és Európai uniós vállalkozásoknak akiknek vannak ügyfeleik (magánszemélyek) akiknek az adatait kezelik az Unió területén egyaránt meg kell felellni a GDPR által támasztott szabályoknak.
Ez a szabályozás egyformán érint mindenkit, legyen az egy egyéni vállalkozó kozmetikus, szempillás vagy egy nagy több szépségszalont is működtető vállalkozás vagy esetleg szépségipari termékeket előállító multinacionális vállalat aki magánszemélyekkel is dolgozik. TEHÁT TÉGED IS.
Nagyon tömören:
Mi az a személyes adat? Személyes adatnak minősül minden olyan információ, amely alapján egy személyt azonosítani lehet vagy rá vonatkozóan információ vonható le: így például a név, életkor, betegségre vonatkozó információ (kiemelt személyes adat), lakcím, mobiltelefonszám, e-mail cím, kamera által rögzített képmás, de akár a vendég számítógépének internetes IP címe is, amiről a weboldalunkat megnézi. Itt láthatod, hogy az általad kezelt személyes adatok köre is sokféle lehet.
Mire való az adatvédelmi tájékoztató és hol kell azt tárolnod?
Az adatvédelmi tájékoztatóból tudják meg az ügyfeleid, hogy TE mint adatkezelő hogyan kezeled és tárolod a személyes adataikat. Milyen adatot milyen céllal kezelsz, meddig őrzöd meg azokat esetleg kivel osztod meg őket. A vendég szabadon rendelkezhet az adatok törléséről, helyesbítéséről. Információt kérhet tőled a kezelt adatairól. Az adatkezelési tájékoztatót hozzáférhető módon kell tárolni (papír alapon az üzletben, ha van weblapod, akkor ott is fel kell tüntetni. Az általunk készített minta a weblapodhoz nem alkalmas, ha ott szeretnéd használni, akkor azt ki kell egészíteni!!).
A személyes adatok valódiságáért, pontosságáért kizárólag az érintett tartozik felelősséggel. Az érintett adatainak megadásakor akként nyilatkozik, hogy 16. életévét betöltötte. 16 éven aluli személy nem adhat meg személyes adatot, tekintettel arra, hogy a GDPR 8. cikk (1) bekezdése alapján adatkezeléshez történő hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése szükséges.
Ez a törvény a magánszemélyek személyes adatai védelmére született.
A bizonyítási teher az adatkezelőt terheli, azaz TÉGED. Ez annyit jelent, hogy neked kell tudni bizonyítani, hogy jogosan kezeled a személyes adatokat, megkaptad a hozzájárulást. Lássuk be, hogy ezt igazán csak úgy tudod bizonyítani, ha egy példányt aláíratsz vele és azt elrakod.
De azért fejtsük ki kicsit jobban,
A kezelt adatok körének, céljának, módjának és időtartalmának meghatározása
Szolgáltatásaink nyújtásához milyen személyes adatokra milyen célból van szükségünk. Összegyűjtjük azokat és meghatározzuk mi minősül a rögzíteni kívánt adatokból személyes adatnak. (Időpont foglalás esetén természetesen név, telefonszám a minimum az mindenképp személyes adat a hajszín viszont nem.)
Meghatározzuk a jogalapot. Továbbá a rögzítés módját és annak időtartalmát. Elvileg annyi adatot kezelhetsz ami az adott cél eléréséhez valóban szükséges (természetesen amihez van jogalapod vagy megkaptad a személyes hozzájárulást).
Az adatkezelő
Az a természetes vagy jogi személy (“TE”) aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
Adatfeldolgozók
Tisztázzuk, mi a különbség adatkezelő és adatfeldolgozó között. Adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Adatfeldolgozó pedig az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (például egy informatikai szolgáltatás üzemeltetője, könyvelő, tárhely szolgáltató stb..).
Az adatkezelés jogalapja
Egy nagyon lényeges pont, hogy a rendelet az adatkezelő jogos érdekét is a jogalapok között nevesíti. Itt viszont az adatkezelőnek bizonyítania kell, hogy az Ő érdeke az érintetténél fontosabb!!
A személyes adatok kezelése akkor jogszerű, ha az alábbiak közül legalább egy teljesül:
- az érintett hozzájárulását adta személyes adatainak kezeléséhez
- szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
- az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges
- az adatkezelés közérdekű feladat végrehajtásához szükséges
A hozzájáruláson alapuló adatkezelésnél az adatkezelőnek bizonyítania kell tudnia, hogy az érintett szabadon adta meg a hozzájárulását.
A jogos érdekre történő hivatkozásnál az adatkezelő érdekeit és az érintett jogait érdekmérlegelési teszt elvégzésével lehet összevetni, valamint az érintettet tájékoztatni kell arról, hogy az adatkezelés az adatkezelő jogos érdekén alapul.
A rögzített adatokat csak és kizárólag arra a célra használhatod amihez a hozzájárulást megkaptad!!
Az érintettek jogai
Az érintetteknek joguk van a róluk tárolt adatokhoz hozzáférni, helyesbíteni és a törlésüket kérni
Az érintett személyek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni
- az adatkezelő kilétéről és elérhetőségéről
- az adatvédelmi tisztviselő elérhetőségeiről (amennyiben szükséges)
- a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról
- a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekről
- a személyes adatok címzettjeiről
- az EU-n kívülre történő adattovábbítás esetén a megfelelő garanciákról
- az adatkezelés tervezett időtartamáról
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról
- arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása
- az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.
Hozzáférési jog
Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen köteles az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. Mindez nem érintheti hátrányosan mások jogait és szabadságait.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
A törléshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja
- az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre
- a személyes adatokat jogellenesen kezelték.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha
- az érintett vitatja a személyes adatok pontosságát
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését
- az adatkezelőnek már nincs szüksége a személyes adatokra
Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik.
Adatvédelmi incidensek
Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A tiltakozás joga
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.
A bírósághoz fordulás joga
Az érintett a jogainak megsértése esetén bírósághoz fordulhat az Adatkezelő ellen. A bíróság az ügyben soron kívül jár el.
Panasztevési jog
Az érintett Jogorvoslati lehetőséggel, panasszal a felügyelő hatóságnál élhet NAIH
Ha igény merül fel, egy következő posztban jobban kivesézhetjük ezt a kérdést, de az interneten ezrével találtok olvasnivalót a témáról. Ha kérdésetek lenne, tegyétek fel nyugodtan megpróbálunk rá mihamarabb válaszolni.
Szamosi Tibor – Adatvédelmi tisztviselő
