NAIH szám és a GDPR
FONTOS: 2018. május 25-én életbe lépett az Európai Unió új, 2016/679. számú, adatvédelmi rendelete, amelyet GDPR (General Data Protection Rules) néven ismerünk.
Mivel ennek értelmében az adatkezelők és adatfeldolgozóknak nyilvántartást vezetniük kötelező, ezt azonban sem bejelenteni, sem előzetesen jóváhagyatni a hatóságokkal nem kell, ma már nem kell ilyen tevékenységhez NAIH azonosítót igényelni.
Az alábbi cikket így e figyelmeztetéssel együtt archív tartalomként hagyjuk fent a blogon.
________________________________________
Sokan nem tudják, hogy mi a teendő, ha szeretnének honlapjukhoz, webáruházukhoz, hírlevelező- és egyéb tevékenységükhöz adatokat kezelni. A honlappal kapcsolatos kérdésekről nem fog szólni az írásunk, ezeket úgyis a mindenkori fejlesztővel kell egyeztetni. Ez előtt, vagy a tervezés fázisában, vagy a fejlesztés ideje alatt viszont mindenképpen el kell indítani az ún. NAIH azonosító beszerzését. Ezt az adatok kezelőjének kell megtennie.
Az adatvédelmi nyilvántartási szám igénylése
Ezt azzal kell kezdened, hogy ellátogatsz a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapjára, s ott egyrészt átolvasod a tájékoztatót, amit ide kattintva is elérhetsz (10 oldal mindössze, nem érdemes kihagyni, hogy tudd is mit csinálsz.), másrészt letöltöd az online ügyintézésre szolgáló programot. (Lustáknak közvetlen letöltés.)
Ha az indítást követően a program azt jelzi, hogy friss változatot használ, akkor ez a kommunikáció sikeres volt, és a kitöltött kérelem közvetlenül beküldhető a Hatóság szerverére. (E nélkül postázni kell a dokumentációt, vagy konzultálni a dokumentáció alapján az informatikus kollégákkal.)
A szoftver elindítása után a „Figyelmeztetés! jelenleg a legfrissebb verziót használja. A NAIH kiszolgálójával a kapcsolat sikeresen létrejött!” ablak OK gombjára kattintva, majd a „NAIH Avatár” ablakán a „Belépés a programba” gombra kattintva megnyílik a kitöltő program felülete. Itt 8 fő pontba foglalva találhatók a nyilvántartás Infotv. szerinti elemei, amelyek megadása kötelező az adatkezelés adatvédelmi nyilvántartásba történő bejelentéséhez.
Ha minden jól sikerült, akkor valami ehhez nagyon hasonlót kell látnod:
A továbbiakban a konkrét példákat a saját azonosítónk alapján mutatjuk be. Annyi különbség lesz csak, hogy a személyes adatok védelme érdekében az adatkezelő személyes adatai helyett a cégeseket szerepeltetjük (székhely, telefonszám, stb.). Természetesen ezt mindenkinek pontosan, saját adataival kell kitöltenie.
1. az Adatkezelő adatai
Ez a rész viszonylag egyszerű. Add meg a adatkezelő és a kapcsolattartó(k) adatait. Lehet mindkettő ugyanaz, abban az esetben ha nincs külön kolléga, vagy maga az adatkezelő magánszemély vagy egyéni vállalkozó. Ha cégről van szó, akkor olyan embert írj be, aki tisztában van az adatkezelés körülményeivel.
Az e-mail-cím legyen pontos, ugyanis a hatóság kizárólag ezen keresztül fog veled kommunikálni, s így érkezik maga a határozat is, mely alapján majd tevékenykedhetsz..
Az adatkezelő típusa lehet gazdasági társaság, egyéni vállalkozó, magánszemély, társadalmi szervezet, társasház, lakásszövetkezet, stb. A kitöltő program a legördülő menüben tartalmazza ezen adatkezelői típusokat. Azonban a mező szerkeszthető, így eltérő típusú adatkezelő esetén azt meg lehet adni.
A címhez cég esetén a székhelye, magánszemély esetén annak lakcíme írandó be.
2. A tényleges adatkezelés cím vagy webhelye
Amennyiben az adatkezelés egy honlapon történik, akkor a honlap címét itt kell beírni. Abban az esetben, ha az adatokat elektronikusan tároljátok, kezelitek, akkor az eszköz helyét kell megadni a tényleges adatkezelés helyeként.
Amennyiben a tényleges adatkezelésnek a helye megegyezik az adatkezelő megadott címével, akkor elegendő ezt az „ugyanaz” szó beírásával jelezni, vagy a mező üresen is hagyható.
3. Adatkezelés célja
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Egy bejelentő lapon csak egy adatkezelési cél jelölhető meg. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. Ezért ha több adatkezelési célt is be szeretnél jelenteni, akkor ezt egy új bejelentő lapon teheted meg. Így adódik lehetőség arra, hogy az adatvédelmi nyilvántartás az eltérő célú adatkezeléseket külön-külön rögzítse.
Röviden meg kell fogalmazni az adatkezelés célját. Ilyen célok lehetnek:
- hírlevél küldés,
- marketing célú adatkezelés,
- kintlévőségek kezelése,
- bolti kamerarendszer használata,
és így tovább.
Ha az adatkezelés célja nem volt egyértelmű ebben a pontban, akkor a leírási részben pontosítani kell a saját szavaiddal röviden, de úgy, hogy egyértelműen meghatározza az adatkezelés célját. Ha az előző pont lefedte a célodat pontosan, akkor nem kell kitölteni.
4. Adatkezelés jogalapja
Az adatkezelés jogalapja azt jelenti, hogy a jog a személyes adatok kezelését legitimnek tekinti. Az Infotv. értelmében a jogalapot alapvetően az érintett hozzájárulása vagy valamely törvény rendelkezése adhatja. Az, hogy adott esetben melyik jogalap tekinthető megfelelőnek, függ az adatkezeléstől, az adatkezelés céljától.
Fontos tudni, hogy:
- Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárult
- Ha az adatkezelésről tájékoztatva lett és azt elfogadta. (Pl. bepipálással, mely szerint elfogadja, vagy hozzájárul az adatkezeléshez. Érdemes ezen 2 szó legalább valamelyikét szerepeltetned a hozzájárulási szövegben.)
Tehát szükség van adatkezelési szabályzatra is, melyben pontosan szerepelnek az alábbiak:
- Jogszabályon alapuló adatkezelés esetén a jogszabály pontos megnevezése, és azon belül a konkrét jogszabályhely megjelölése is szükséges. Nem elegendő csak a „törvény rendelkezése alapján” jelölés használata.
- A tárolt adatok jellemzése, leírása ( mit tárolunk, hol és mennyi ideig)
- Hol kérhet információt az őt érintő adatokról
- Hogyan kérheti az adatok törlését (Amennyiben erre lehetősége van! Például olyat természetesen nem lehet csinálni, hogy rendelek valamit, átveszem, majd a jogaimra hivatkozva kérem az adataim törlését és nem fizetek.)
A jogalap megnevezése mező esetében ugyanúgy (mint az előző, 3. pontban), amennyiben nem volt egyértelmű az adatkezelés jogalapja menüpontban a jellemzés, akkor a leírási részben itt pontosítani kell a saját szavaiddal röviden, de úgy, hogy egyértelműen meghatározza a jogalapot. Ha az előző pont ezt lefedte pontosan, akkor szintén nem kell kitölteni.
5. Adatfeldolgozás
Ezen ponthoz tartozó mezőket csak akkor kell kitölteni, ha az adatkezelő adatfeldolgozót vesz igénybe (tehát ha az adatkezelő és az adatfeldolgozó nem egyezik meg).
Fontos tudni, hogy a szabályok szerint a következőket jelentik a megnevezések:
- Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
- Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése szerint történő szerződéskötést is – adatok feldolgozását végzi.
A fentiek értelmében adatfeldolgozó igénybe vételéről akkor beszélünk, ha az adatkezelő valamely adatkezelési művelethez kapcsolódó technikai feladat elvégzésére adatfeldolgozóként -pl. megbízási vagy vállalkozási szerződés alapján – más személyt, szervet vesz igénybe. Az adatfeldolgozó az adatkezelő megbízásából, az adatkezelő érdekében hajt végre feladatokat.
Az adatfeldolgozó bizonyos értelemben alvállalkozónak vagy teljesítési segédnek tekinthető, aki az adatkezelő részére lát el meghatározott részfeladatokat (pl. futárszolgálat, Magyar Posta, stb.).
Külön kiemelnénk, hogy ilyen cég a külső hírleveleket küldő partner is!
Ebben a pontban szereplő Kapcsolattartó és elérhetőségei részekben az adatfeldolgozó kapcsolattartójának nevét kell beírni. Kapcsolattartó lehet maga az adatfeldolgozó is, pl. ha az adatfeldolgozási tevékenységet magánszemély vagy egyéni vállalkozó végzi.
Jogi személy adatfeldolgozó esetén kapcsolattartóként olyan személyt célszerű megjelölni, aki tisztában van az adatfeldolgozás körülményeivel. Ilyen személy lehet pl. a cég képviselettel rendelkező tagja, de esetleg a marketingért felelős kolléga, vagy az informatikus is. Meg kell adni ezen kapcsolattartó működő e-mail címét és telefonszámát is, de ezen rovatok kitöltése csak ügyviteli célt szolgál, az adatok nem részei az adatvédelmi nyilvántartásnak.
Az adatfeldolgozóra vonatkozó kérdések következnek.
- A névhez értelemszerűen az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni.
- A tevékenységhez az adatkezelési műveletekre vonatkozó technikai dolgokat kell megnevezni. A legördülő menüből választhatsz.
- A címhez cég esetén székhely, magánszemély esetén annak hivatalos lakcíme írandó.
- Az adatfeldolgozás helyéhez akkor kell írni, ha a tényleges adatfeldolgozás helye nem azonos az adatfeldolgozó székhelyével /lakcímével/, hanem pl. telephelyen, fióktelepen vagy más helyen, stb. történik az adatfeldolgozás. Amennyiben az adatfeldolgozás egy honlapon történik, akkor a honlap elérhetőségét kell itt megadni. Abban az esetben, ha az adatokat elektronikusan tárolják, kezelik, akkor az eszköz helye adandó meg a tényleges adatfeldolgozás helyeként. Amennyiben a tényleges adatfeldolgozásnak a helye megegyezik az adatfeldolgozó címével, akkor elegendő ezt az „ugyanaz” szó beírásával jelezni, vagy a mező üresen is hagyható.
- Végül a technológia kérdésre a kézi vagy információs rendszer között kell választani a menüben.
6. Az adatkezelő által kezelt személyes adatok
A szabályozás itt is előírja néhány fogalom pontos ismeretét ahhoz, hogy később ne kerülhess bajba, vagy ne kapj bírságot a nem megfelelő módon végzett adatkezelés miatt.
Ezek a következők:
- Személyes adat: Az érintettel kapcsolatba hozható adat (különösen az érintett neve, azonosító jele, igazolvány számai, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret) , valamint az adatból levonható, az érintettre vonatkozó következtetés.
- Különleges adat:
- a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, vagy
- az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.
A kitöltendő részek közül először az érintettekre vonatkozó adatokat kell megadnod. Minden kezelt személyes adatot, különleges adatot tételesen fel kell sorolnod (pl. név, cím, igazolványszámok, telefonszám, kamera által készített képmás, stb.). Nem elég annyit megadni pl. hogy „személyes adatok” vagy „azonosító adatok”!
Az időtartam az adatkezelés céljától függ, nincs rá vonatkozóan egységes szabály. Általános szabályként elmondható, hogy az adatok kezelésének időtartama nem lehet korlátlan, határozatlan. Az időtartamot jogszabályon alapuló adatkezelések esetében az adott jogszabály határozza meg, míg jogszabályon nem alapuló adatkezelések esetén az időtartam az adatkezelés céljához igazodik.
Amennyiben az adatkezelés elérte a célját, azt követően törölni kell az adatokat. (Tehát például ha már az illető nem ügyfelünk. Azonban figyelembe kell venni az esetleges ránk vonatkozó törvényi előírásokat. Ilyen lehet többek között a bizonylatolási kötelezettség is.) Szintén törölni kell a személyes adatokat, ha az érintett személy azt kéri, s ezen kérés nem ütközik jogszabályba.
A kérelemben tehát ezek alapján, jogszabályon alapuló adatkezelés esetén a jogszabály pontos megnevezése és azon belül a konkrét jogszabályhely megjelölésére van szükség. A legördülő menü ad támpontokat, de a mezők szerkeszthetők, amennyiben neked nem felelnek meg az ott megtalálható lehetőségek.
Amennyiben az előző mezőben a „Törvényben meghatározott határidő” került megjelölésre, ebbe a rovatba szükséges beírnod a törvény számát és a pontos törvényhelyet.
Az adatok forrása az adatkezelésre vonatkozó egyik legmeghatározóbb információ, hogy a kezelt személyes adatokat az adatkezelő milyen forrásból szerzi. Az adatgyűjtés megvalósulhat pl. az érintettek közvetlen megkérdezésével, ilyenkor az adatforrás közvetlenül az érintett. A személyes adatok gyűjtése azonban más forrásból is megvalósulhat, így például valamilyen nyilvános állami vagy önkormányzati nyilvántartásból, más adatkezelő által már korábban létrehozott adatbázisból, vagy egyéb más forrásból. Azonban minden esetben szükséges pontosan megjelölni azt a nyilvántartást, adatkezelőt, illetve egyéb forrást, ahonnan az adatkezelő a személyes adatokat gyűjti.
A legördülő menü segítségként tartalmazza a „közvetlenül az érintettől felvett”, „nyilvános nyilvántartásokból átvett”, „más adatkezelőtől átvett”, illetve „egyéb” kifejezéseket. A mező azonban szerkeszthető, és a felhasználó maga adhatja meg az adatok forrását a fentieket figyelembe véve.
7. Adattovábbítás
Csak akkor kell kitölteni, ha történik adattovábbítás. De mit is jelent (jogi értelemben) maga a szó?
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Harmadik személynek a személyes adatok kezelése során adatkezelőnek, adatfeldolgozónak vagy érintettnek nem minősülő személyek tekinthetők. Az adattovábbítás az adatoknak ezen külső, harmadik személyek részére történő hozzáférhetővé tételét jelenti. Vagyis az adatfeldolgozó, mivel nem harmadik személy, így nem minősül adattovábbítás címzettjének. Az adatfeldolgozó az adatkezelő megbízásából, az adatkezelő érdekében hajt végre feladatokat. Az adatfeldolgozó bizonyos értelemben alvállalkozónak vagy teljesítési segédnek tekinthető, aki az adatkezelő részére lát el meghatározott részfeladatokat.
További menüpontok és magyarázatuk:
- A továbbított adatok fajtája, felsorolásuk: az adatkezelő kizárólag olyan adatokat továbbíthat, melyeket az „érintettekre vonatkozó adatok” rovatban megjelölt. Előfordulhat, hogy az ott megjelölt adatok közül kevesebbet továbbít, annál többet vagy más, ott meg nem határozott adatot azonban nem továbbíthat. Amennyiben adattovábbítás valósul meg, a teljes adatkör tételes felsorolása (pl. név, cím, telefonszám, kamera által készített képmás, stb.) szükséges. Nem elegendő tehát annyit megadni pl., hogy „azonosító adatok”.
- A továbbítás címzettjének neve, teljes címe: a rovatba az adattovábbítás címzettjének hivatalos nevét, címét kell beírnod. Amennyiben előre konkrétan nem meghatározható az adattovábbítás címzettjének neve, abban az esetben általános, csoportismérv szerinti megjelölés is elfogadható, mint pl. szerződéses partnerek, rendőrség, stb.
- Az adattovábbítás jogalapja: az adattovábbítás jogalapjára az adatkezelés jogalapjára vonatkozó szabályokat kell megfelelően alkalmazni. Az adattovábbítás jogalapjának megnevezése: Az előző alpontban leírtak irányadóak erre a mezőre is. Kitöltése – amennyiben az előző alpontban az adattovábbítás jogalapját megjelölted – nem szükséges.
8. Az érintettek köre
- Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
- Az érintettek köre: Olyan általános csoportismérv szerinti megjelölés szükséges, mely kifejezi, hogy milyen természetes személyi körre terjed ki az adatkezelés. (pl. hírlevél küldés esetén a hírlevélre feliratkozó természetes személyek köre; elektronikus megfigyelő rendszer üzemeltetése esetén a kamera látókörében lévő természetes személyek, stb.) Nem elegendő tehát pl. az „emberek” kifejezés használata.
A fentiekkel készen vagy magával a kitöltéssel. Érdemes átfutnod most a dolgokat, ellenőrizni a helyességüket (pl. az e-mail-címek helyesek-e, stb.). Később kissé körülményes lesz a módosításuk.
A program az űrlap kitöltését követően lehetővé teszi a kérelem formai szempontú helyességének ellenőrzését. Ez az F2 funkcióbillentyű megnyomásával vagy a képernyő felső sorában az „Ellenőrzés” gombra kattintással érhető el. A nem megfelelően vagy hiányosan kitöltött mezőt a program piros háttérrel jelzi. Ebben az esetben a beírt szöveget módosítani vagy a hiányt pótolni szükséges.
A kitöltést és ellenőrzést követően az F3 funkcióbillentyű segítségével vagy a „Beküldés” gombra vagy az űrlap alján található „Mentés” gombra kattintva lehet elküldeni a kérelmet a Hatóságnak. A „Beküldés” vagy „Mentés” gomb lenyomása után a rendszer ellenőrzést hajt végre, ezután megjelenik a „A kitöltött nyomtatvány hibamentes” figyelmeztető ablak.
Ezt követően a program rákérdez a nyomtatvány mentésének helyére. A mentés során a rendszer XML formátumú állományt készít egy szabadon választott könyvtárba. Az állomány elkészülte után felugró ablakban a következő üzenet látható: „A bejelentkezes@naih.hu e-mail címre legyen szíves beküldeni [XML formátumú állomány megnevezése] nyomtatványt. Rendszerünk válaszüzenetet fog küldeni a beérkezett kérelemről. Kérjük kísérje figyelemmel! Köszönjük!” Itt az „OK”-ra kattintva megjelenik a beküldés panel, ahol lehetőség nyílik a Hatóság rendszerébe közvetlenül beküldeni a nyilvántartásba vételi kérelmet.
Az 1. pontban a program automatikusan kiválasztja az utoljára szerkesztett állományt, majd a 2. pontban a „Küldés” gombra kattintva történik meg ténylegesen a kérelem beküldése a Hatóság részére. A „Küldés” gomb megnyomása után ugyanazon ablakon belül a mentés helyét felváltja a szerver válaszüzenete: „A Beküldés sikeres volt”. (Ez az üzenet jelenti a fentebb olvasható „Rendszerünk válaszüzenetet fog küldeni a beérkezett kérelemről” értesítést)
A Hatóság külön levélben vagy e-mailben nem értesíti az adatkezelőt a kérelem beérkezésének sikerességéről, hanem a kérelem befogadását követő 8 napon belül elektronikus úton az alábbi válaszüzenetek egyikét küldi:
- Helyesen kitöltött kérelem esetén a nyilvántartásba vételről szóló határozatot küldi ki a megadott e-mail címre – mely tartalmazza az adatkezelés nyilvántartási számát – vagy
- Hiánypótlásra hívja fel az adatkezelő figyelmét, ha a kérelem tartalmi szempontból helytelenül lett kitöltve.
Amennyiben az XML fájl mentését követően az adatkezelő nem küldi be a kérelmet a nyilvántartásba, később lehetősége van ezen el nem küldött kérelmet visszatölteni, és a szükséges mezők módosítását követően beküldeni azt az adatvédelmi nyilvántartásba.
A folyamat menete a következő: A „Kérelmek” fül alatt az „El nem küldött kérelem módosítása” vagy a „Kérelem megnyitása” kiválasztása után kell megnyitni a már elmentett XML állományt, módosítani a kívánt cellát, majd az így kapott új kérelmet a fentiek szerint lehet beküldeni.
Továbbá lehetőség van a már elküldött bejelentés helyesbítésére. Erre a Hatóság Határozatának kiállításáig, 8 napon belül van lehetőség, mivel 8 napon túl a rendszer új kérelemként kezelné a beadványt és ugyanazt az adatkezelést egy új adatkezelésként venné nyilvántartásba. Erre a helyesbítésre a „Kérelmek” fül alatt, az „Elküldött kérelem helyesbítése” menüpontban van lehetőség. Menete a fentiek szerint alakul.
Fontos, hogy amennyiben a kérelmező több kérelmet nyújt be az elektronikus felületen keresztül, zárja be a program ablakát minden egyes kérelem beküldését követően, mert előfordulhat, hogy a rendszerben az egyik kérelem felülírja a másikat, így nem érkezik be az összes kérelem a nyilvántartásba. Ez ellenőrizhető az elküldött kérelmek adatait tartalmazó mappában lévő XML állományok megnyitásával.
Végül megmutatjuk a saját kitöltött kérelmünket a linkre kattintva mintának.
0 hozzászólás