GPDR szerepkörök

Folytatva a 2018 . május 25-én életbe lépő GDPR témát, ma a GDPR szerepkörök fogalmával, az egyes felelősök feladataival és felelősségükkel foglalkozom.

GDPR szerepkörök

Mi minősül személyes adatnak?

A magán személy szinte minden adata személyes adatnak számít. Minden olyan információ, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP, cookie ID vagy bármilyen más online azonosító. Nem minősül személyes adatnak a cégekre, vállalkozásokra vonatkozó ugyanezek adatok.

Kire vonatkozik a rendelet?

A rendelet azokra vonatkozik, akik az EU-n belül vállalkozásként, civil szervezetként vagy egyéni vállalkozóként kezelnek személyes adatokat vagy az EU-n belül tartózkodó embereknek nyújtanak szolgáltatásokat. Ez utóbbi miatt érintett a Facebook és a Google is. A céges adatok kezelésére azonban nem terjed ki.

A rendelet a vállalkozásokra, egyéni vállalkozókra vonatkozik, magán emberekre nem. A barátod telefonszámára tehát nem, mert vele magán személyként tartod a kapcsolatot. Ugyanakkor ha alkalmazod őt vagy pl. a webshopban vásárol valamit, az akkor megadatott adataira már kiterjed a rendelet hatálya.

Ki az Adatkezelő és az Adatfeldolgozó?

Minden Adatkezelőre (ez a hivatalos elnevezés) tartalmaz előírásokat, tehát azokra, akik személyes adatokat kezelnek (rögzítés, gyűjtés, tárolás, használat, módosítás, továbbítás). Adatkezelő tehát az, akinek előre meghatározott céllal megadják az adatokat.

Szintén vonatkozik a rendelet az Adatfeldolgozókra, akikhez az Adatkezelő továbbítja az adatokat feldolgozásra. Pl. egy webáruháznál a megrendelésnél Te vagy az Adatkezelő, aztán az adatokat továbbadod a a futárszolgálatnak, azaz az Adatfeldolgozónak. De ugyanígy a hírlevél feliratkozásnál a Te vagy az Adatkezelő, a hírlevél rendszer üzemeltetője pedig az Adatfeldolgozó.

Ki az Adatvédelmi tisztviselő?

A törvény egyes esetekben kötelezően előírja, másoknak pedig ajánlja, hogy Adatvédelmi tisztviselőt nevezzenek ki, akik azért felel, hogy a cégnél betartsátok a szabályokat. A tisztviselő felelősségre nem vonható. Lehet a cég egy alkalmazottja, egy külső cég vagy annak alkalmazottja vagy egyszemélyes cégeknél, akár a tulajdonos is. Az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal, ezért nem árt elvégezni egy tanfolyamot.

A GDPR szerinti adatvédelmi tisztviselő egy olyan független személy, aki a vállalat adatkezelési és adatfeldolgozási tevékenységét figyelemmel kíséri, a jogi megfelelés érdekében a vállalat és a munkavállalói részére tanácsot ad, és az adatvédelmi hatósággal a kapcsolatot tartja. A jelenleg hatályos információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) szerinti belső adatvédelmi felelőshöz képest az adatvédelmi tisztségviselő egy szélesebb feladatokkal rendelkező, és autonómabb „compliance” tisztségviselő lesz.

Adatvédelmi tisztviselőről itt olvashatsz bővebben.

A sorozat előző részét itt találod:

Csak hiszed, hogy téged nem érint a GDPR

 

Szeretném felhívni a figyelmet, hogy nem vagyok jogász és még végleges magyar szabályozás sem jött ki, ezért az itt leírtak csupán tájékoztató jellegűek, azokért felelősséget nem vállalok.