GDPR
A GDPR, azaz a General Data Protection Regulation, az EU új, egységes adatvédelmi rendelete, ami minden uniós tagállamban bevezetésre került. A 2018. május 25-től hatályos rendelet a magánszemélyek személyes adatainak kezelését, tárolását és védelmét szabályozza. A GDPR betartása minden szervezet számára kötelező, amely legalább egy magánszemély személyes adatával rendelkezik.
A jogszabály alkalmazása, rendelkezéseinek betartása a civil szervezetek számára is kötelező, jelenleg nincs szervezeti mentesség vagy kedvezmény.
Fogalmak
Minden olyan adat vagy adatcsoport, ami egy konkrét személy beazonosításra alkalmas, személyes adatnak minősül: név, szám (telefonszám, numerikus azonosítók), helymeghatározó adat (lakcím), online azonosító (email cím, IP cím), testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális adatok, de ilyen adatkategóriába tartozik akár a személyre vonatkozó vélemény vagy értékelés is. Különleges (és kiemelten védendő) kategóriába sorolódik a faji, etnikai, származási adat; a vallási, világnézeti és politikai vélemény; a szervezeti tagság (egyesületi tagság); a szexuális életre vagy irányultságra, illetve az egészségügyi állapotra vonatkozó adatok.
Érintett: az a személy, aki az adott személyes adat vagy adatcsoport alapján egyértelműen beazonosítható.
Adatkezelő: az a személy, aki az Érintett személyes adatait kezeli, az adatkezelés célját, eszközeit önállóan vagy másokkal együtt meghatározza, az adatállományokon automatizált vagy manuális, egyszerű vagy összetett műveletet végez.
Adatkezelés fajtái: adatgyűjtés, rögzítés, rendszerezés, tagolás, felhasználás, továbbítás, közlés, nyilvánosságra hozatal, összehangolás vagy összekapcsolás, fénykép-, hang- vagy képfelvétel készítése.
Adatfeldolgozó: az a külső személy, aki az adatkezelő megbízásából a begyűjtött adatállománnyal különböző műveletet végez (pl. könyvelő).
Jogszerű adatkezelés: ha az Érintett kifejezetten hozzájárulását adta személyes adatainak kezeléséhez (egy vagy több célra, több cél esetén külön mindegyikhez, pl. adományozói nyilvántartás, hírlevél küldése).
Hozzájárulás: az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás: az Érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.
Adatvédelmi incidens: a személyes adat jogellenes kezelése vagy feldolgozása, illetve az adatbiztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy azokhoz való jogosulatlan hozzáférését eredményezi.
A GDPR alapelvei:
Célhoz kötöttség
Jogszerűség, tisztességes eljárás
Átláthatóság, átlátható tájékoztatás
Arányosság, szükségesség
Hozzáférés, helyesbítés, törlés, elfeledtetés (végleges törlés) joga
Adathordozhatóság joga
Az Érintett jogorvoslathoz való joga
Gyermeki adatok fokozott védelme (szülői hozzájárulás)
A civil szervezetek tennivalói a rendelet betartása érdekében:
Szervezeten belüli adatkezelés felmérése: kiről, mit, miért kezelünk (célhoz kötöttség, szükségesség és arányosság átgondolása, azaz milyen célra, mennyi és milyen típusú adatokat gyűjtünk, tárolunk és használunk).
Adatbiztonsági kockázat felmérése (kezelt adatok tartalma, adatkezelők személye, automatizált döntési folyamatok áttekintése, profilalkotás lehetőségeinek kizárása, különleges adatok kezelése).
Adatvédelmi incidensek azonosítása, eljárásrend kialakítása, megelőzés, kármentés folyamatának meghatározása.
Az újonnan keletkező adatállománynál a hozzájárulások tartalmának, kezelési rendjének és a nyilvántartásoknak a kialakítása (adatkezelési dokumentációk, adatkezelés folyamatainak leírása, munkavállalókkal kapcsolatos adatnyilvántartások és tájékoztatási kötelezettség, eseti adatkezelés, Érintettek megkeresései, nyilatkozatai stb.).
A panaszkezelés folyamatának kialakítása, a folyamatgazda – az adatkezelésért felelős személy – kijelölése.
Adatvédelmi szabályzat, adatvédelmi tájékoztató létrehozása és közzététele (átlátható tájékoztatás a szervezet által használt kommunikációs csatornákon, például a honlapon, Facebook-oldalon).
Gyakran Ismételt Kérdések:
A GDPR teljes, magyar nyelvű szövege:
https://www.naih.hu/files/GDPR_TXT_HU.pdf
Nemzeti Adatvédelmi és Információszabadság Hatóság honlapja a rendelettel kapcsolatos folyamatosan bővülő információkkal:
A Budapesti Civil Közösségi Szolgáltató Központ adatkezelője és elérhetőségei:
Holló Eszter Vanda, budapesticivil@budapesticivil.hu, +36 20 445 4105