Több magyar és külföldi szervezet foglalta össze az új adatvédelmi rendelet információit és ad segítséget civil szervezeteknek ennek alkalmazásához, a nonprofit.hu -n ezeket gyűjtöttük össze.

A Társaság a Szabadságjogokért írása:

Hogyan kezelje a szervezet a személyes és egyéb bizalmasan kezelendő adatokat?

A legtöbb civil szervezet kezel személyes adatokat. Ezeket érdemes két nagy csoportra elkülöníteni:

• vannak a szervezettel, a munkatársakkal, munkaviszonnyal kapcsolatos adatok (itt nem foglalkozunk vele),
• és azok, amelyek a szervezet működése során keletkeznek, a szervezet másoktól gyűjti be és tárolja őket.

A törvény értelmében minden olyan adat személyes adatnak minősül, amely kapcsolatba hozható az érintettel – különösen ilyen a neve, azonosítója, telefonszáma, emailcíme, lakcíme, és azok is, amelyekből következtetéseket lehet levonni az érintettre nézve.

A személyes adat kategóriáján belül külön kört alkotnak a különleges adatok, amelyek olyan érzékeny információk, amelyek a nemzetiségre, politikai, vallási meggyőződésre, szexuális életre vagy beállítottságra, egészségi állapotra vagy éppen kóros szenvedélyre utalnak.

A személyes adatnak kezelője az, akinél az adat van, vagyis az is adatkezelésnek minősül, hogyha az adatok egy senki által nem használt pendrive-on vagy egy fiók mélyén elsüllyesztett papíron szerepelnek. A három fő tudnivaló ennek kapcsán:

• az adatkezelés csak meghatározott célhoz kötött lehet (és ha a cél megvalósul, az adatokat törölni kell);
• az adatkezelés csak az érintett beleegyezésén alapulhat, az erről szóló dokumentummal az adatkezelőnek kell tudnia bizonyítani, hogy az adatkezelés jogszerű;
• az adatkezelő felelőssége, hogy gondoskodjon az adatok védelméről, vagyis hogy azok ne kerüljenek át máshoz.

Májusban lép hatályba az adatvédelemről szóló egységes EU-s szabályozás, az Általános Adatvédelmi Rendelet (GDPR). A GDPR sok változást hoz, az alábbiakban áttekintjük a legfontosabb szempontokat, amikre érdemes odafigyelni az adatkezelés során.

Önellenőrző kérdések:

• Milyen személyes adatokkal dolgozunk és milyen adatokat kezelünk?
• Hol tároljuk ezeket az adatokat? (online, papíron, fájlokban stb.)
• Milyen módon szivároghatnak ki az adatok? Mit teszünk egy adatszivárgás esetén?
• Ki férhet hozzá az adatokhoz a szervezeten belül és kívül? (zárható szekrényben vannak? jelszóval védett fájlban? link birtokában bárki hozzáférhet az adatokat tartalmazó fájlhoz? stb.)
• Mi(k) az adatkezelés célja(i)? Megvalósultak ezek a célok, vagy még folyamatban vannak?
• Milyen hozzájárulást adtak a természetes személyek az adatkezeléshez?

Fontos, hogy az adatok kezelésének kell, hogy legyen valamilyen jogalapja. Ez civil szervezetek esetében leginkább az lehet, hogy az érintett hozzájárul az adatai kezeléséhez. A hozzájárulás ténye az érintettektől származó, az adatkezelésre vonatkozó, írásbeli hozzájárulási nyilatkozattal bizonyítható, ezt az adat kezelőjének kell megőriznie. Javasoljuk, hogy az adatkezelés csak a feltétlenül szükséges ideig és csak a feltétlenül szükséges adatokra vonatkozzon, azokat az adatokat, amelyek nem ilyenek, javasoljuk törölni.

Az adatkezelésre felhatalmazó hozzájárulásokat meg kell őrizni. A GDPR szerint az adatkezelőnek utólag is tudnia kell igazolni, hogy az érintettek a rendeletnek megfelelően hozzájárultak az adatkezeléshez. Ennek megfelelően a hozzájárulásokat meg kell őrizni, lehetőleg úgy, hogy visszakereshető legyen és kérés esetén törölni is lehessen a kérdéses adatokat.

16. év alattiak adatait csak a szülői hozzájárulással szabad kezelni. Ezt a fentieknek megfelelően dokumentálni kell.

Érdemes felülvizsgálni a meglévő adatvédelmi szabályzato(ka)t, adatvédelmi tájékoztatókat, egységesíteni és a szervezet honlapján is közzétenni azokat. A tájékoztató térjen ki az érintetteknek a kezelt adataival kapcsolatos jogaira is, ilyen például az adatok törléséhez való jog (az ún. elfeledtetéshez való jog).

Jó, ha van a szervezetben egy adatvédelmi felelős, aki tisztában van az adatvédelem szabályaival és odafigyel az adatok jogszerű kezelésére. Természetesen ez a munkaidejének csak kis részét köti majd le (a kezelt adatok mennyiségétől függően), de jobb, ha van valaki, akinek a dedikált feladata, hogy átgondolja a szervezeten belül az adatkezelési folyamatokat, és maximalizálja a személyes adatok védelmét, szükség esetén pedig hatásos lépéseket tudjon tenni.

Ha ún. adatvédelmi incidens történik, vagyis illetéktelen személyhez vagy nyilvánosságra kerülnek a személyes adatok, akkor ezt a lehető leghamarabb jelenteni kell az adatvédelmi hatóságnak (NAIH).

tasz.hu

---------------------

A Net-jog.hu Adatvédelmi és Internetjogi Tanácsadó Iroda írása az alábbi linken érhető el.

Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben
https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html 

Dr. Holló Dóra Ügyvéd: A Nagy GDPR Kérdezz-felelek
https://7blog.hu/gdpr/

Milyen szabályok vonatkoznak a kép- és hangfelvétel készítésére? - interjú Jakabosné dr. Németh Monikával
https://birosag.hu/media/aktualis/milyen-szabalyok-vonatkoznak-kep-es-hangfelvetel-keszitesere-interju-jakabosne-dr

Angol nyelvű összefoglalók:

Useful GDPR Resources:
https://www.eugdpr.org/more-resources-1.html

Önellenőrző lista adatkezelők számára, kapcsolódó magyarázatokkal (www.ico.org.uk):
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/data-controllers/

Egyéb önellenőrző listák:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/

Az összeállítást folyamatosan bővítjük.

Forrás: https://www.nonprofit.hu/tudas...