GDPR – EU adatvédelmi rendelet
Jelentem GDPR megfelelőség szoftver oldalról kész!
Viszont hogy nem ez a végleges verzió, az szinte biztos:
„…a teljes alkalmazhatósága, és a számonkérés érdekébe kiegészítő szabályok szükségesek azokon a pontokon, ahol ezt maga a GDRP megengedi" - mondta Péterfalvi Attila.
Az egyik ilyen az eljárási szabályok megalkotása, a másik pedig a GDPR betartását felügyelő hatóság kijelölése
- tette hozzá Péterfalvi Attila.
(https://infostart.hu/belfold/2018/05/08/peterfalvi-attila-gdpr-union-kivul)
Az alábbiakban összeszedem azokat a szempontokat, amik a mi szakmai területünkön számítanak.
Ez az írás természetesen nem jogi tanácsadás és nem törekszik a tökéletességre, hanem inkább szempontokat szeretnék adni arra, mire érdemes gondolni, illetve felkészülni.
A GDPR magánszemélyek személyes adatinak védelméről szó!
Itt minden szónak jelentősége van. Aki ezt figyelmen kívül hagyja, könnyen tévútra kerülhet!
A GDPR célja az lenne, hogy tudhasd, Te, mint magánszemély, hogy ki mit csinál a hozzád köthető adataiddal, és csak azokkal, illetve rendelkezhess ezekkel az adataiddal.
A személyes adat bármely adat, ami egy természetes személyhez köthető, amely által egy természetes személy beazonosítható.
A GDPR tehát mindenkire vonatkozik, aki személyes adatokat kezel.
-> az AMS-en belül az ügyfél kartonon állítható, hogy az adott ügyfél vállalkozás vagy magánszemély.
Kritikusan fontos, hogy ez jól legyen beállítva, mert a GDPR szempontjából a magánszemélyre figyel a program, de az on-line NAV adatszolgáltatásnál, vagy a kötelező adószám bekérésnél (egyelőre 100.000.- áfa felett) pedig a vállalkozásokra!
A személyes adatok kezelésével adatkezelővé válsz, ha más érdekében dolgozol személyes adatokkal, akkor adatfeldolgozó vagy.
Mindig, minden esetben az adatkezelő felel a személyes adatok kezeléséért, akkor is, ha adatfeldolgozóval dolgozol együtt. (másik cég, könyvelő, stb.)
Egyébként ez az egész hasonlítható az ismert munkavédelmi kötelezettségekkel.
Lehet semmit tenni és lehet paranoiásan kezelni.
Az öregek az arany középutat szokták javasolni.
A szoftver oldala a GDPR megfelelőség egyik oldala.
Nyilván kell egy GDPR kompatibilis szoftver, hiszen e nélkül képtelen leszel megfelelni!
De a másik oldala a dolognak papírok gyártása, oktatás, betartatás, stb., mint a munkavédelemben…
Érzékeny adatokkal, nagy mennyiségű adattal, határon túli adatszolgáltatással, profil alkotással ne foglalkozz! Ott más a GDPR.
Ne legyen egészségügyi, bűnügyi, gyerek adat, vallási, szexuális beállítottságú adatod, és így tovább.
Ide tartozik még a genetikai, biometriai adatok, mint pl. arckép.
Ha bizonytalan vagy a GDPR-ben benne vannak.
A témák, amiket nem érintünk, de lehetnek, adott esetben foglalkozni kell vele:
dolgozók, alvállalkozó, marketing, pl. e-mil, telefon, sms, weboldal, pl. sütik, kamera, hangfelvételi
GPS nyomkövetők, stb. adatkezelésével.
Tehát miről is beszélünk:
Személyes adat: az érintettel kapcsolatba hozható adat-különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret-,valamint az adatból levonható, az érintettre vonatkozó következtetés;
1)azonosítható
2)természetesszeméllyel
3)kapcsolatba hozható
4)bármilyen adat(itt ez utóbbi nincs definiálva)
5)az ebből levont következtetés
Pl.:
- természetes személyazonosító adatok: név, lakcím, születési idő, születési hely, (anyja neve)
- egyedileg képzett azonosítók, kapcsolati kódok
- jövedelmi és szociális helyzetre vonatkozó adatok
- fénykép, DNS-minta, ujjlenyomat
- elektronikus levelek és dokumentumok
- GPS nyomkövető adat
A személyes adatok kezelése több esetben is lehet jogszerű, de ami mindig működik, ha az illető hozzájárulását adta az adatai kezeléséhez.
- Személyes adatokat csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig lehet kezelni.
- 1. előre
- 2. meghatározott
- 3. legitim cél
- 4. ami még fennáll
- 5. és ami az adatkezelés tartalmát és korlátait is meghatározza
Hozzájárulás:
- a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel.
De lehetnek a következő esetek is:
- szerződés teljesítéséhez szükséges,
- Az adatkezelő jogi kötelezettsége,
- létfontosságú érdekeinek védelme,
- közhatalmi jogosítvány
Érdemes egy adatvédelmi tájékoztatót, vagy adatkezelési nyilatkozatot készíteni, amihez fel kell térképezni a vállalkozásban kezelt adatokat. Erre lehet hivatkozni pl. munkalapon is.
Annyit kell feltérképezni milyen személyes adatok kerülhetnek be a vállalkozásba, mi ezeknek a felhasználási céljuk, mi történik velük, hova kerülnek, hova továbbítódnak, hogyan, mikor lesznek törölve, kik kezelhetik és milyen esetekben.
GDPR kötelezettségek és jogok:
- Az érintett kérelmezheti az adatkezelőnél
- a) tájékoztatását személyes adatai kezeléséről,
- b) személyes adatainak helyesbítését, valamint
- c) személyes adatainak -a kötelező adatkezelés kivételével -törlését vagy zárolását
- Szükség esetén jogorvoslattal élhet.
A hozzájárulás mellett ezek adják meg az információs önrendelkezési jog tartalmát.
Tehát van:
- A tájékoztatás kötelezettsége
- A tájékoztatás kötelező tartalma
- A megismeréshez, helyesbítéshez való jog
- A törléshez, elfeledtetéshez való jog
- Adathordozhatósághoz való jog.
- Bírósági jogorvoslat
- Kártérítés és sérelemdíj
Az adatkezelés biztonsága
Az adatkezelő és az adatfeldolgozó a megfelelő szintű adatbiztonságot garantálja:
- a) a személyes adatok álnevesítését és titkosítását;
- b) a személyes adatok kezelésére használt rendszerek rendelkezésre állását és ellenálló képességét;
- c) incidens esetén a visszaállíthatóságot,
- d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
-> az AMS-en belül a „A megismeréshez, helyesbítéshez való jog”
az ügyfél kartonon lett egy GDPR ikon, amit megkattintva a szoftver összeszedi az összes ügyfél adatot a magánszemélyről, amit tárolunk.
Ügyfél karton adatok, jármű adatok, számla adatok, anyagforgalmi adatok, rendelés adatok.
Lehet ettől több vagy kevesebb is, az AMS lekérdezés változhat.
Az ügyfél kérésére a szoftverben eddig is lehetett az adatai helyesbíteni.
A bizonylatok helyesbítése szintén a szoftver része, a törvényi szabályozásoknak megfelelően.
-> az AMS-en belül a „A törléshez, elfeledtetéshez való jog”
A főmenüben a NAV adatszolgáltatás menü mellett lett egy GDPR menüpont is.
Ezt elindítva lehetővé válik az ügyfél adatainak névtelenítése, ha azt egyéb szabály, pl. a számla megőrzési kötelezettség felül nem bírálja.
-> az AMS-en belül a „Adathordozhatósághoz való jog” jelenleg is fennáll, hiszen bármilyen nyomtatás menüben ott a lehetőség az adatok exportálására is.
-> Az AMS további változásai:
Ne feledjük a GDPR-ben hangsúlyos a biztonság és a megelőzés.
Ezért el kell érni, hogy egy dolgozó csak olyan adatokhoz férjen hozzá, amikhez feltétlen szüksége van!
-> Javítási megrendelő – munkalap szétválasztása
Olyan helyeken, ahol a dolgozóknak egyébként nem szükséges a megrendelő adataihoz hozzáférni, külön kell választani a javítási megrendelőt és a munkalapot.
Erre az AMS-ben a frissítéssel leküldünk egy mintát,
DE AKINEK EGYEDI FORMÁTUMA VAN, AZT EGYEDILEG KELL MEGVÁLTOZTATNI!
Ezt megteheti a rendszergazda, vagy egyedi megrendelés esetén az AutoSoft is.
-> Az AMS-ben van lehetőség, és ha eddig nem így volt javasolt a saját név+jelszó kötelező használata.
-> Az AMS-ben van lehetőség, és ha eddig nem így volt javasolt a felhasználói jogok beállítását a szükséges és elégséges mértékűre, ezzel csökkentve az adatvédelmi incidens kockázatát.
Gondolunk itt a nem kevésbé fontos Nyomtatási, ill. Adatexport jogok szűkítésére.
-> Az AMS-ben egyébként van „Kényes tevékenység naplózása”, amit a rendszergazda ellenőrizhet.
Ebből szintén megtudható ha mégis történik adatvédelmi incidens, amit valószínűleg jelenteni is kell bizonyos esetekben. Amihez persze büntetés is jár.
-> Az AMS-ben van egy teljes körű adatmentési lehetőség.
A professzionális adatbázis szoftverrel együtt ezzel egyrészt megfelelünk a GDPR adatintegritási követelményeinek, másrészt megfelelünk az adatbiztonsági követelményeknek is.
Ezzel együtt felhívom a figyelmet a Mentések gondos kezelésére!
-> Egyrészt legyen mentés, másrészt az adatot kezelő számítógépekkel együtt a mentést is illik fokozott biztonsággal kezelni, mert az adatok eltűnése, ellopása, kikerülése a cégtől most már adatvédelmi incidens is. (az egyéb károkon felül)
Ami még feladat:
Az adatkezelő által vezetett nyilvántartások:
- Az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
- Az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adat kezelést előíró jogszabályban meghatározott egyéb adatokat.
Szakértő segítségre van szükséged?
Hívj bátran most: +36 1 284 0030
Szamosfalvi István
Telefon: +36 1 2840030
e-mail: marketing@autosoft.hu