A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.
Hirdetés
 

Az idén május 25-én életbe lépő General Data Protection Regulation (GDPR) irányelvei nem csupán egységessé teszik az Európai Unióban a személyes adatkezeléssel kapcsolatos szabályozásokat, hanem le is tisztázzák azokat. Egyértelművé válik például, hogy milyen jogai vannak az adatkezeléssel érintett személyeknek.

Meddig tarthat az adatkezelés?

Az első és legfontosabb joga az érintetteknek a tájékoztatáshoz való jog. Eszerint az adatkezelő köteles részletesen, de közérthetően tájékoztatni a személyes adatok tulajdonosait az adatkezelés lényeges szempontjairól. Így amellett, hogy ki, milyen adatokat mire és hogyan használ fel, tisztázni kell azt is, hogy erre milyen időintervallumban kerül sor.

Annak érdekében, hogy ezt az információátadást el tudja végezni az adatkezelő, előre döntenie kell a személyesadat-tárolásának idejéről. Ez nem történhet ad hoc módon; munkaviszony létrejötte esetén például be kell azonosítani a munkáltatót, a meghatározott személyes adatok őrzésére kötelező jogszabályokat, valamint azok alapján a munkáltató köteles meghatározni az adatkezelés időtartamát.

Hasonló a helyzet az olyan egységes HR-adatbázisoknál, melyekhez nem csak az EU-s országokból, hanem az EU-n kívülről is hozzáférhetnek egyes személyek. Ebben az esetben először felül kell vizsgálni, hogy szükségesség van-e ilyen adatbázisra, és ha a szervezete annak fenntartása mellett dönt, adattartalmát, továbbá a hozzáférést és a tárolás időtartamát is át kell alakítani a GDPR szabályainak megfelelően.

Pár percig és évekig

A fentiekből adódóan a GPDR nem részletezi a különböző szolgáltatást nyújtó adatkezelők adatmegőrzési idejét. Lássunk egy példát: milyen feltételek vonatkoznak például a telekommunikációs szolgáltatások (pl. telefon) számlázásra és a díjak beszedésére. Amint azt a TASZ ismerteti, a hívások létrehozása céljából kezelt személyes adatokat a szolgáltatás teljesítése után törölni kell, de számos olyan kivétel létezik, ami kitolja számos adat tárolási idejét.

A szerződés megszűnéséig kezelhetők például az előfizető elérhetőségei (név, lakóhely) és születési adatai (leánykori név, születési hely, idő). Egy éves elévülési határidővel lehet megtartani az olyan adatokat, mint például az előfizetői állomás száma vagy egyéb azonosítója, az előfizető címe és az állomás típusa, az elszámolási időszakban elszámolható összes egység száma és így tovább. Ide tartozik például a díjfizetéssel és -tartozással összefüggő adatok kezelése is.

Nem érnek véget az adatkezelési feladatok a szerződés megszűnését követően sem. A személyes adatok egy részét továbbra is kötelező tárolni. Ennek elsősorban nemzet- és közbiztonsági okai vannak, illetve ez segíti az elektronikus hírközlési rendszer jogosulatlan vagy jogsértő felhasználásának üldözését is. A szerződés megszűnését követően három évig köteles tárolni ezeket az információkat a szolgáltató.

Meddig terjed az adatkezelő felelőssége?

Szintén érdekes kérdés, hogy milyen határok között felel a rábízott személyes adatokért az adatkezelő. A regulációnak való megfelelés során ugyanis rendelkezni kell arról, hogy milyen adatok – és milyen feltételek teljesülése mellett – adhatók át harmadik félnek.

A GDPR emellett előírja, hogy a rendeletet sértő adatkezelés miatt okozott kárt az adatkezelő köteles megtéríteni. Kivéve, ha bizonyítja, hogy a kár bekövetkeztéért semmilyen felelősség nem terheli. Ha pedig egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, akkor mindegyikük egyetemleges felelősséggel tartozik a teljes kárért.

Ha azonban az érintett adatkezelőket a tagállami jognak megfelelően bevonják ugyanabba az eljárásba, a kártérítési kötelezettség megosztható közöttük az általuk okozott kár arányában, feltéve hogy így is biztosított marad, hogy az érintettet ért kárt teljes mértékben és ténylegesen megtérítik. Azok az adatkezelők vagy adatfeldolgozók, akik teljes kártérítést fizettek, ezt követően viszontkereseti eljárást indíthatnak az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.

Fontos tudni, hogy a fentiek mellett az adatvédelmi tisztviselő maga személyesen nem vonható felelősségre azért, ha a szervezet nem tesz mindenben eleget a GDPR-nek, mert ez nem az ő, hanem az adatkezelő szervezet felelőssége.

Nem sok kapaszkodót ad az állam

Abban a kellemetlen helyzetben vagyunk, hogy mivel az EU-s adatvédelmi törvény inkább egy tág keretrendszer, nem pedig minden egyes helyzetre pontos leírást adó szabályozás, ezért hatékony használatához tagállami szinten kell hozni törvényeket. Ebben már közel sem állunk olyan jól, mint kellene.

A jogalkotónak számos kérdésben új szabályokat kellene alkotnia annak ahhoz, hogy az adatkezelés új jogcímein (pl. szerződés teljesítése, jogos érdek) alapuló adatkezelések a gyakorlatban is működjenek, világított rá a Jogászvilág. A lap néhány kérdést is megfogalmazott. Ha például az adatkezelő "szerződés teljesítése" vagy "jogos érdek" alapján kezel adatot, és más adatkezelőtől adatot igényel, a másik adatkezelő megtagadhatja-e az adat átadását azon az alapon, hogy az adatátadás jogalapja "csak" szerződés teljesítése vagy jogos érdek? Hogyan igazolható harmadik személyek felé a jogos érdek fennállta? Köteles-e ezt a "jogos érdeket" harmadik személy elfogadni? Milyen felelőssége van a harmadik személynek?

Az ezekre a kérdésekre választ adó joszabályok zöme egyszerűen hiányzik a magyar jogrendből. És nem is látszik túl sok esély arra, hogy a következő bő három hónap alatt létrejöjjön. Pedig fontos lenne, hiszen azzal könnyítene azoknak a hazai vállalkozásoknak az adminisztratív terhein, melyeknek így szinte biztosan komoly kihívást jelent majd a GDPR-nak való megfelelés.

Biztonság

Drágálljuk őket és félünk tőlük, de nagyon érdekelnek

Természetesen az okos otthoni eszközökről van szó, amelyekkel kapcsolatban itt a legújabb fogyasztói felmérés.
 
Hirdetés

Megvédhetjük adat-önmagunkat?

Változnak a védelmi képességeink és a lehetőségeink is, ami miatt új játékszabályokat kell írnunk. Erről is szól majd a minden eddiginél pörgősebb és interaktívabb, megújult ITBN CONF-EXPO.

Hirdetés

Így tervezzünk IAM projektet – A kiemelt jogosultságok menedzsmentje

A kiemelt jogosultságok kezelésének legégetőbb kérdései, hogy hol vannak az informatikai rendszerek kritikus pontjai, kiknek van hozzáférése ezekhez, illetve mennyire tartjuk lojálisnak őket ahhoz, hogy rájuk bízzuk az érzékeny adatainkat és az üzletmenet folytonossága szempontjából létfontosságú rendszereink működését.

Az IT feladata a technológiahasználat leegyszerűsítése – lenne. A technológiához való hozzáférés biztosítása és felügyelete azonban megbonyolítja a dolgokat. Vajon át lehet vágni a gordiuszi csomót?

a melléklet támogatója a Balasys

ÉLŐBEN SIÓFOKRÓL

SAP NOW Hungary:
technológia és HR-víziók

Az SAP kétnapos rendezvénye az idén is követhető a Bitporton!

TOVÁBB A KÖZVETÍTÉSRE >

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.