Adatvédelmi jog

A személyek adatainak biztonságát garantáló intézkedések joga

A szakterület vezetője: 

Dr. Varga M. Péter

Az Általános Adatvédelmi Rendelettől vagy más nevén GDPR-tól számos vállalat mind a mai napig tart. Érthető a félelem, hiszen jószerével minden piaci szereplő kezel természetes személyekre vonatkozó adatokat, legyenek azok szerződéses kapcsolattartók, ügyfelek, munkavállalók, honlapok látogatói, alkalmazások felhasználói.
A személyes adatok kezelésével kapcsolatos elvárások, tekintettel a gyors technológiai változások okozta kitettségre, folyamatosan nőnek.
Irodánk megközelítése ugyanakkor az, hogy ezen változások és az ezekhez kapcsolódó elvárások nem ellenünk hatnak, hanem épp ellenkezőleg, értünk, emberekért vannak. Megfelelő folyamatokkal, dokumentációval, naprakész tudással rendelkező munkatársakkal az adatvédelem nem egy átláthatatlan követelményhalmaz, hanem a hatékony, fenntartható és jogszabályokkal összhangban lévő működés eszköze.
Mi szeretjük az adatvédelmet és azon dolgozunk, hogy ezt a szemléletet Ügyfeleink részére is közvetítsük.
Kapcsolat 

Szolgáltatások

Foglalkoztatással kapcsolatos adatkezelési kérdések
A munkaviszony vagy más munkavégzésre irányuló jogviszonyok számos adatvédelemmel összefüggő kötelezettséget keletkeztetnek a munkáltató oldalán.
Ügyfeleink részére audit lefolytatását, tanácsadást, illetve dokumentumszerkesztést vállalunk, különösen, de nem kizárólag elektronikus megfigyelőrendszerekkel, munkavállalók ellenőrzésével, vállalati informatikai eszközök, szoftverek és gépjárművek használatával, beléptetőrendszerekkel, kiválasztási folyamatokkal összefüggő adatkezelési kérdésekben.
Adatvédelmi auditok, átvilágítások lefolytatása, adatvédelmi tanácsadás
Az adatvédelmi megfelelőség kétségkívül központi és egyik legfontosabb eleme az érintettek részére szóló adatkezelési tájékoztató elkészítése. Ugyanakkor ezzel korántsem tettünk eleget az adatvédelmi jogszabályokban foglalt követelményeknek, ez „csak” a felszín, sőt, ideális esetben az utolsó teendők egyike. A mélyben húzódnak ugyanis az adatvédelmi compliance igazi kihívásai: a folyamatok, adatkezeléssel összefüggő vállalati szokások, gyakorlatok jogszabályi elvárásokkal történő összehangolása.
Ennek keretében előre meghatározott módszertannal átvilágítjuk Ügyfeleink működését, adatvédelemmel kapcsolatos napi gyakorlatát, majd azonosítjuk és rangsoroljuk kockázatokat, ezt követően az Ügyféllel közösen kidolgozzuk az őt leginkább támogató jogi megoldást.
Kötelező adatvédelmi felülvizsgálat lefolytatása
A gazdasági társaságok – mint adatkezelők - nagy része odáig már eljutott, hogy valamiféle adatvédelmi megfelelőséggel rendelkezik, vagy legalábbis tett bizonyos adatvédelmi intézkedéseket. Azt azonban már kevesen tudják, hogy a cégeknek van egy olyan kötelezettségük az adatvédelem kapcsán, amelyet akkor is foganatosítaniuk kell, ha a rendszerükben semmiféle változás az idők folyamán nem történt.

Az adatkezelő kiemelt kötelezettsége, hogy az adatkezelés megkezdésétől számítottan legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából eljáró adatfeldolgozó partnere által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e, azaz fennáll-e a folytatólagosság.

Ennek a felülvizsgálatnak és eredményének megfelelő dokumentálása akkor is szükséges, ha a felülvizsgálat eredménye csupán annyi, hogy nincs szükség az adatkezeléssel kapcsolatos jogi folyamatok módosítására.

A felülvizsgálat tehát azt fogja megmutatni, hogy az adatkezelés megkezdése óta eltelt időben az adatkezelő továbbra is célhoz kötötten és megfelelő módon végzi az adatkezelést. Ha ennek ellenkezőjét mutatja ki, akkor a jogi folyamatokon azonnal módosítani kell. Az adatkezelőnek a felülvizsgálati dokumentációt tíz évig meg kell őriznie és hatósági számonkérés esetén igazolnia kell a felülvizsgálat tényét, valamint a kapott eredményeket. A NAIH eljárásai során a felülvizsgálati dokumentációt bekéri és abba betekint.

Tekintettel a felülvizsgálati eljárás módszertanára és dokumentációs módjára, ha ez az „igazolás” a szükséges időben nem áll az adatkezelő rendelkezésére, egy esetlegesen megindult eljárás közben -azaz „utólag”- már nem lehet – és nem is jogszerű - elkészíteni.

Ha egy adott adatkezelő jogkövető módon 2018-ban már kialakította a saját adatvédelmi megfelelőségét, és az adatokat ez alapján kezeli, akkor legkésőbb 2021-ben az első ilyen felülvizsgálatot el kellett (volna) végeznie, a következő pedig 2024-ben (lenne) esedékes.

A felülvizsgálat hiányával komoly esélye van annak, hogy a hatóság megállapítja a megfelelő cél és jogalap nélkül folytatott adatkezelés tényét. A NAIH bírságkiszabási gyakorlatát – ha máshonnan nem – a hírekből minden gazdasági szereplő ismerheti. Ezen túlmenően a NAIH határozatban fogja kötelezni az adatkezelőt a felülvizsgálat elvégzésére.

Ezért javasoljuk minden adatkezelőnek, aki fenti kötelezettségét ezidáig mulasztotta, hogy a felülvizsgálatot mielőbb indítsa el.
Adatvédelmi tájékoztatók, szabályzatok, adatvédelmi nyilvántartások elkészítése, hatásvizsgálatok lefolytatása
Az adatvédelmi jogszabályok szigorú dokumentációs kényszert határoznak meg.
Ügyfeleink igényeinek és tevékenységi köreinek megfelelő adatvédelmi tájékoztatások, szabályzatok előkészítését, szükség esetén hatásvizsgálatok lefolytatását és dokumentálását vállaljuk.

Adatvédelmi peres és nemperes eljárásokban történő képviselet
Vállaljuk Ügyfeleink képviseletét az adatvédelmi hatósági határozat bírósági felülvizsgálatával kapcsolatos eljárásban, illetve adatvédelmi tárgyú peres eljárásokban.
Adatvédelmi incidens menedzsment
Elhagyott céges informatikai eszköz? Hackertámadás? Kártékony kódok betörése az informatikai rendszerbe? Téves címre küldött levél?
A felsorolt esetkörökben egy közös: a legtöbb esetben adatvédelmi incidensnek minősülnek. Egy adatvédelmi incidens bekövetkezte a legfelkészültebb adatkezelőket is kihívás elé állíthatja. Tapasztalataink azt mutatják, hogy amint az adatkezelők adatvédelmi incidenst észlelnek, tanácstalanság és bizonytalanság lesz úrrá, jellemzően még akkor is, ha egyébként vannak érvényben incidenskezelési tárgyú szabályzatok a szervezetnél.
Ebben az esetben kiemelten fontos a gyors és megfelelő reakció, tekintettel arra, hogy főszabály szerint az adatvédelmi incidenst annak észlelésétől számított 72 órán belül szükséges bejelenteni az adatvédelmi hatóság részére. Irodánk támogatja Ügyfeleit a személyes adatokat érintő incidensek kivizsgálásában, dokumentálásában, azok adatvédelmi hatóság részére bejelentésben és minden, adatvédelmi incidenssel kapcsolatos további teendőben.
Adatvédelmi képzés
Információbiztonsági szakemberek körében gyakori szállóige, hogy a „munkavállaló a legnagyobb információbiztonsági kockázat”. Szerencsére a munkavállalók megfelelő edukálásával ez a kitettség minimalizálható. Ügyfeleink számára rendszeresen tartunk adatvédelmi és információbiztonsági képzéseket, melyek során a munkavállalók megismerkedhetnek olyan fogalmakkal, mint például kukabúvárkodás, adatminimalizálás, clean desk policy, biztonsági esemény, adatvédelmi incidens.
DPO szolgáltatás
Az adatvédelmi jogszabályok által adatvédelmi tisztviselő (DPO) kinevezésére kötelezett adatkezelők részére Irodánk vállalja hosszútávú együttműködés keretében az adatvédelmi tisztviselői feladatok ellátását.
A DPO szolgáltatás keretében Irodánk felülvizsgálja az adatkezelő adatvédelmi folyamatait, folyamatos támogatást nyújt adatkezeléssel kapcsolatos kérdésekben és incidenskezelési folyamatokban, auditokat végez, kapcsolatot tart a hatóságokkal, továbbá általánosságban felügyeli és biztosítja, hogy az Ügyfél adatkezelési folyamatai az jogszabályi elvárásokkal összhangban legyenek.
Érintetti igényekkel összefüggő eljárások bonyolítása
A GDPR a korábbi szabályozásokhoz képest magas önrendelkezési lehetőséget biztosít az adatkezeléssel érintett természetes személyek számára.
Ezen önrendelkezés keretében -az adatkezelés jogalapjának függvényében- az érintetteknek joguk van hozzáférniük személyes adataikhoz, kérhetik azok törlését, helyesbítését, hordozhatóságát, kezelésük korlátozását, továbbá tiltakozhatnak személyes adataik kezelése ellen.
Az adatkezelőket érintetti igény teljesítése során is szoros jogszabály által előírt határidők kötik: az érintetti igényt annak beérkezésétől számított egy hónapon belül szükséges megválaszolni.
Irodánk vállalja Ügyfelei támogatását érintetti igények kezelésében, teljesítésében.
Lighthouse Legal - Dr. Varga M. Péter Ügyvédi Iroda
 
+36 30 382 9220
iroda@lighthouselegal.hu
Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Varga M. Péter Ügyvédi Iroda tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak.
© 2024 Dr. Varga M. Péter Ügyvédi Iroda