Gyakran ismételt kérdések
Adatkezelőként jár el, amennyiben nevelési-oktatási intézményt vezet, vagy kapcsolódó szolgáltatást nyújt (például magánórákat tart, iskolaorvosként, pszichológusként tevékenykedik, vagy táborokat, szakköröket, sportköröket szervez). Ez azt jelenti, hogy önállóan vagy másokkal együtt dönt arról, hogy kinek az adatait, és milyen módon kezelik.
Adatfeldolgozóként azonosíthatók a különböző oktatási platformok üzemeltetői, informatikai szolgáltatók, weboldal tárhelyszolgáltatók, fényképek megosztására szolgáló alkalmazások működtetői, levelezőrendszerek, külsős fotósok, és egyes esetekben az egészségügyi szolgáltatást nyújtó, szervezeten kívüli személyek, mint például az iskolaorvos vagy a védőnő. Az adatfeldolgozók az adatkezelőkkel kötött szerződés alapján kezelik az érintettek személyes adatait.
Minden olyan adat személyes adatnak minősül, amely alapján a személy beazonosítható (például a gyermek neve, címe, elérhetősége, hozzátartozói, arcképes fotói). Vannak azonban érzékeny, ebből adódóan különleges kategóriába sorolható adatok, mint a faji vagy etnikai származás, a politikai vagy vallási meggyőződés, egészségügyi adatok (betegségek, allergiák, érzékenységek, szedett gyógyszerek). A felsorolt adatok kezelése kiemelt eljárást igényel, így az adatkezelési gyakorlatot is ennek megfelelően kell kialakítani.
Az intézményi adatkezelés keretein belül ugyanazokat a jogokat kell biztosítani az érintettek – gyermekek, hozzátartozók, munkatársak – számára, mint bármely üzleti tevékenységet végző vállalkozásnak. Ezek a teljesség igénye nélkül a következők:
- tájékoztatást kell adni az adatok gyűjtésének, tárolásának módjáról, minden adatkezelési folyamatot érintően;
- a tájékoztatást követően, hozzájárulás jogalap esetén, az írásos beleegyezésüket kell kérni az adatkezeléshez (18. életévét be nem töltött gyermek esetében a képviselő hozzátartozója nyilatkozhat);
- kérésre be kell tudni mutatni az érintett kezelt adatait;
- lehetőséget kell biztosítani az adatok módosítására, ha azok elavultak vagy pontatlanok;
- kérésre az adatokat törölni kell – ha csak az adatkezelés jogalapja felül nem írja.
Fontos kiemelni, hogy a hozzájárulás csak akkor érvényes, ha az önkéntes, tehát, ha a szülő az ehhez fűződő bármely hátrány vagy kár nélkül dönthet akár az adatkezelés elutasítása mellett is.
A hazai adatvédelmi hatóság (NAIH) rendszeresen vizsgálja az adatkezelők GDPR-megfelelőségét. Nemcsak bejelentés alapján, hanem hivatalból is indítanak vizsgálatokat. Az eljárás vége, súlyos pénzbírság is lehet, ha jogsértést találnak az adatkezelésben.
A GDPR egy összetett szakterület. Merjen segítséget kérni, ha nem biztos az adatkezelési folyamatait illetően.
Adatvédelmi incidensnek számít a tárolt vagy kezelt adatok
- véletlen vagy jogellenes megsemmisítése, elvesztése (például rendszerhiba, hardvermeghibásodás vagy rosszindulatú támadás következtében);
- módosítása, meghamisítása, ami miatt már nem a valós helyzetet tükrözik – ez lehet szándékos vagy véletlen is;
- jogosulatlan hozzáférése, vagy jogosulatlan közlése ami miatt a bizalmas jellegüket vesztik.
Első lépésként meg kell állapítani, hogy milyen típusú adatvédelmi incidensről van szó, hány érintett személy van és milyen típusú adatok biztonsága sérült.
A további károk megelőzése érdekében az adatokat és hozzáféréseket zárolni vagy korlátozni kell.
Ezt követően dokumentálni kell a történéseket (mikor és hol történt, milyen adatokat érintett, hogyan került felfedezésre, milyen intézkedések követték és vannak tervben, milyen következményekkel járhat).
A felsorolt tényezők ismeretében, egyes esetekben az incidenst indokolatlan késedelem nélkül, de mindenképp 72 órán belül jelenteni kell az illetékes hatóságnak. Magyarországon ezt a feladatot a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) látja el.
Egy adatvédelmi incidens után, a feltárt hiányosságok kiértékelését követően, az adatkezelő számára indokolt lehet a belső folyamatok felülvizsgálata.
A GDPR követelményeiről a NAIH és az Európai Adatvédelmi Testület (EDPB) weboldalán részletes tájékoztatást, iránymutatást és útmutatót talál. Fontos kiemelni, hogy minden adatkezelési folyamatnak lehetnek egyedi tényezői, érdemes egy adatvédelmi tanácsadóval konzultálni a GDPR-nak megfelelő működés biztosításához.