Gyúrd ki magad a GDPR-ra – tudnivalók és “edzésterv” sportkluboknak (II. rész)

Gyúrd ki magad a GDPR-ra – tudnivalók és “edzésterv” sportkluboknak (II. rész)

1430 659 Róth Dénes

Milyen feladatai vannak a gyakorlatban egy sportvezetőnek, hogy megfeleljen a 2018. május 25-től kezdve kötelezően alkalmazandó általános adatvédelmi rendeletnek (a’la GDPR)? Ebben a cikkben lépésről lépésre láthatja egy kis- vagy közepes sportegyesület vagy akár egy edzőterem vezetője is, hogy hogyan és miként tud eleget tenni az elvárásoknak, vagyis konkrétan mit kell tennie.

Kétrészes cikksorozatunk első részében a GDPR jogszabály vonatkozó rendelkezéseit értelmeztük érthető, emberi nyelven. Alapozásként „erősen javallott” az újraolvasás (az első rész itt érhető el);-).

A GDPR megfelelést 7 lépésben fogjuk bemutatni:

1. Adatkezelések felmérése és nyilvántartása
2. Adatvédelmi tisztviselő és hatásvizsgálat
3. A személyes adatokhoz hozzáférő külső partnerek menedzselése
4. Adatkezelési tájékoztató(k) elkészítése
5. Informatikai biztonság
6. Adatvédelmi incidensek kezelése
7. Rendszeres felülvizsgálat és aktualizálás

Elöljáróban készülj fel arra, hogy most nem egy 5 perces olvasmánnyal örvendeztettünk meg. Érdemes lehet akár több részletben átolvasnod. A cikk végén elrejtettünk három kis meglepetést is, amivel még többet ki tudsz hozni a GDPR megfelelés témaköréből! 😉

Na de addig is, kezdjünk hozzá!

1. Adatkezelési nyilvántartás

…nem kötelező, de muszáj

A GDPR rendelkezéseinek való megfelelés alfája és omegája az, hogy minden adatkezelő tisztában legyen az általa kezelt személyes adatok legfontosabb paramétereiről. Melyek ezek? Az adatkezelés célja, jogalapja, a kezelt adatok köre, valamint az, hogy mennyi ideig tárolhatja és mire használhatja ezeket az adatokat.

Bár a GDPR szövege tartalmaz egy könnyítést a 250 főnél kevesebb dolgozóval működő szervezetekre pont az adatkezelési nyilvántartással kapcsolatban, de valójában ez az eltérő szabály csak kisebb könnyítést jelent. Az elszámoltathatósági “szuperelv” miatt (lásd a cikksorozat előző részét) az adatkezelőnek igazolnia kell tudni, hogy megfelel a rendelet előírásainak ,,, ezt meg nem fogja tudni megtenni, ha nincs egy többé-kevésbé (és inkább többé mint kevésbé) részletes képe arról, hogy a működése során kiről milyen adatot kezel, milyen célból, meddig … stb.

Első lépésként tehát számba kell venni, hogy egy sportklub (edzőterem, stúdió …) mely tevékenységei során használ személyes adatokat. Ezek tipikusan a következők lehetnek:

marketing (hírlevél vagy valamilyen címlista, amire fel lehet iratkozni az érdeklődőknek)

tagsági/bérletesi jogviszony – ami alapján a tanítvány/vendég  részt vesz az edzéseken/foglalkozásokon. Ebbe beletartozik a tagsági/bérleti díj, a befizetések nyilvántartása, a tényleges edzéslátogatások és az ezekhez kapcsolódó nyilvántartások (beleértve a versenyengedélyt és a sportorvosit is).

• az előző tevékenységekhez kapcsolódó pénzügyi-számviteli adatkezelés – kiállított számlák (magánszemélyek adataival) és az egyéb pénzügyi bizonylatokon szereplő személyes adatok. Pl. ha magánszemély átutalással tud fizetni, akkor a bankszámlaszáma megjelenik a sportegyesület bankszámla kivonatán.

edzőkkel kapcsolatos adatok – ha a sportklub/edzőterem valamilyen jogviszonyban áll az ott edzéseket, foglalkozásokat tartó személyekkel, akkor az erre vonatkozó szerződések (munkaszerződés, megbízási szerződés) és kapcsolódó elszámolások szintén személyes adatok. Emiatt azoknak is szerepelniük kell az adatkezelési nyilvántartásban.

• ha van kamerarendszer, vagy olyan, pl. kártyás beléptető rendszer, ami rögzíti is, hogy a birtokosa mikor, milyen pontokon használta azt (tehát a személy mozgása nyomon követhető), akkor ezeknek is az adatkezelési nyilvántartásban a helye.

A fenti adatkezelési tevékenységek nem jelentenek feltétlenül teljes és mindenre kiterjedő listát, hiszen nincs két egyforma klub, nincs két egyforma működés. De ennek alapján, fejben a tényleges működési folyamatok mentén haladva végig lehet gondolni, hogy hol milyen személyes adatok kezelése merülhet még fel.

Néhány tipp: biztonsági kamera a bejáratnál/recepciónál, bármilyen “okos” eszköz, ami a sportolóról edzés/verseny közben adatokat gyűjt … stb. (Ez utóbbiak, pontos tartalmuktól függően akár különleges – egészségügyi – adatoknak is minősülhetnek, amelyekre további szabályok vonatkoznak.)

 

Mit tartalmazzon az adatkezelési nyilvántartás?

Az előzőek szerint összegyűjtött különböző adatkezelésekre vonatkozóan – egyenként – az alábbi információkat kell nyilvántartani:

kezelt adatok köre – tehát, hogy pl mit tartunk nyilván az egyesület tagjairól. Ha van marketing adatbázis, akkor abban milyen adatokat kértünk a hírlevélre feliratkozóktól,

az adatkezelés célja – konkrétan mire használjuk ezeket az adatokat. Ezen a ponton kell összevetni a kezelt adatok körét és az adatkezelési célt: az adattakarékosság elve miatt (lásd az előző cikket) csak az adott célhoz szükséges adatokat lehet jogszerűen kezelni. Ha itt eltérést tapasztalunk, azt fel kell oldani. Ennek tipikus módja az lesz, hogy az adott célhoz nem szükséges adatot a továbbiakban ne kérjük be, a meglévőt pedig töröljük. (Pl. egy 10 alkalmas, előre kifizetett bérlethez nem szükséges a bérletestől az anyja nevét is bekérni.)

az adatkezelés jogalapja – az előző cikkben összefoglalt 4 lehetséges jogalap (jogi kötelezettség teljesítése, adatkezelő jogos érdeke, szerződés teljesítése, önkéntes hozzájárulás) valamelyikét kell megfelelően hozzárendelni az adott adatkezeléshez. Főszabályként nyugodtan hagyatkozhatunk a józan észre:

egy bérletes sportolóról az e jogviszony keretében kezelt adatok esetében (kezdet, lejárat, mikor volt edzésen stb.) a vele létrejött szerződés teljesítése lesz a jogalap.

A kiállított számlán feltüntetett adatok (név, cím) esetén, mivel a számla kötelező adattartalmát törvények határozzák meg, arra az adatkezelésre pedig a jogi kötelezettség teljesítése.

A marketing adatbázis tipikusan hozzájárulás alapú, míg az esetleges biztonsági kamera az egyesület jogos (vagyon és/vagy személybiztonsági) érdeke alapján működik.

Figyelni kell arra, hogy ha bármilyen adatkezelésnél jogos érdekre mint jogalapra hivatkozik a sportklub, akkor egy ún. érdekmérlegelési dokumentumot kell készíteni. Ebben kell rögzíteni, hogy az adatkezelő jogos érdeke és az érintett jogai közül a konkrét helyzetben miért az előbbi erősebb. (Ez lehet akár néhány mondat; a bejáratnál/recepciónál vagyonvédelmi célból elhelyezett biztonsági kamerát mint jogos érdeket elismeri az adatvédelmi hatóság is.)

• az adatkezelés időtartama – minden személyes adat addig kezelhető, amíg az adatkezelési cél eléréséhez szükséges. Az adatkezelési nyilvántartásban ezt úgy kell – amennyire lehet – konkretizálni, hogy annak alapján a már teljesült célok (vagy megszűnt jogalapok) esetén a kérdéses adatokat törölni lehessen.

adatfeldolgozók, címzettek – azok a külső és belső felek, személyek, akik az adott adatokhoz hozzáférnek. A MotiBro rendszerét használó sportklubok, mozgásstúdiók számára a MotiBro adatfeldolgozó lesz, de itt kell számba venni a könyvelőt, vagy azokat az edzőket (vagy egyéb közreműködőket, például sportegyesületnél az igazolásokat intéző technikai vezetőt).

Az adatkezelési nyilvántartás vezetésére megfelelő egy sima Excel-táblázat.

A fenti tartalmi elemeken túl fontos, hogy egyértelműen kiderüljön, hogy pontosan ki (mely cég, egyesület) az adatkezelő (név, képviselő, elérhetőség, adatvédelmi tisztviselő, ha van), illetve célszerű még adatkezelésenként röviden összefoglalni a vonatkozó védelmi intézkedéseket (pl. titkosított küldés vagy tárolás, hozzáférési jogosultságok szűkítése a szükséges körre stb.)

Szintén lényeges, hogy az adatkezelési nyilvántartás mely időszakban volt érvényes. Tehát nem elég mindig csak az aktuális verzióval rendelkezni, mert a megfelelést visszamenőleg is igazolni kell tudni.

Ezzel a lépéssel akkor vagy kész,
ha a kezünkben van az ezen a módon összeállított adatkezelési nyilvántartás. Ennek teljes körűségét is tudjuk ellenőrizni: ha az egyesületben bármely “szembejövő” személyes adatról meg tudjuk mondani, hogy az a nyilvántatásban melyik sorban szerepel, akkor egészen biztosan jók vagyunk.

 

2. Adatvédelmi tisztviselő és adatvédelmi hatásvizsgálat

A sport és a rekreáció világában tevékenykedő kisebb vagy akár közepes méretű szervezeteknek általában ezek egyikére sem lesz szüksége. De az elszámoltathatósági szuperelvből következően azt is igazolni kell tudni, hogy az egyesület ezt mérlegelte és megalapozottan döntött úgy, hogy esetében nem állnak fenn azok a feltételek, amelyek az adatvédelmi tisztviselő kinevezését vagy adatvédelmi hatásvizsgálat elvégzését kötelezővé teszik.

Adatvédelmi tisztviselő kinevezése akkor kötelező, ha:

• az adatkezelő fő tevékénységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé,

• különleges (egészségügyi) adatok nagy számban történő kezelése történik,

Adatvédelmi hatásvizsgálatot arra az adatkezelésre nézve kell elvégezni, amelyre igaz, hogy magas kockázattal jár az érintettekre nézve. Ez a feltétel akkor lesz igaz, ha az alábbiak valamelyike fennáll:

• olyan módszeres és kiterjedt megfigyelést (adatgyűjtést) valósít meg, amelyekre építve profilozás vagy automatizált egyedi döntés segítségével az érintettre nézve joghatással bíró vagy őt egyéb módon jelentős mértékben érintő döntés születik,

• különleges (egészségügyi) adatok nagy számban történő kezelése,

• nyilvános helyek nagymértékű, módszeres megfigyelése.

A legtöbb sportklub, mozgásstúdió esetén ezek a feltételek nem állnak fenn, de az adatkezelési nyilvántartáshoz kapcsolódóan célszerű ezt is egy-két mondatban leírni – feltéve, hogy valóban így van – és ezzel igazolni azt a döntést, hogy adatvédelmi tisztviselőt nem neveznek ki és adatvédelmi hatásvizsgálatot nem végeznek.

Ezzel a lépéssel akkor vagyunk kész,
ha megválaszoltuk ezeket a kérdéseket, továbbá a válaszokat (akár a nemleges válaszokat is) egy nagyon egyszerű Excel-táblába dokumentáltuk.

 

3. Adatfeldolgozói szerződések

Adatfeldolgozó az a külső fél, aki a sportegyesület (mint adatkezelő) megbízásából valami olyan feladatot hajt végre, amely személyes adatokkal végzett tevékenységet is tartalmaz. Adatfeldolgozó lesz tipikusan:

CRM-rendszert, marketing adatbázist vagy hírlevél küldő szoftvert szolgáltató/üzemeltető cég;

• a sportklub online ügyfélmenedzsmentjét (tagnyilvántartás), edzések adminisztrációját (bejelentkezések, jelenlétek lekövetése, bérletek/tagdíjak értékesítése) vagy ügyfelek online kommunikációját támogató  rendszert szolgáltató/üzemeltető cég (ilyen a MotiBro is)

online számlázást, online fizetést megvalósító szolgáltatók,

• a sportklub könyvelője,

• az edzők, ha vállalkozóként töltik be ezt a pozíciót és közben hozzáférnek a sportolók adataihoz.

Ha külsős edzők nem a “saját” ügyfélkörüknek, hanem a klub sportolói, vendégei számára tartanak edzéseket, és ezzel kapcsolatban hozzáférnek a klub sportolói adatbázisához, akkor ők is adatfeldolgozók lesznek. Ennek eldöntéséhez mindig az alap jogviszonyt kell értékelni: melyik fél mit szolgáltat, “kié” a sportoló.

Adatfeldolgozókkal minden esetben szerződést kell kötni, amelyben legalább az alábbiaknak szerepelnie kell:

• az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó rendelkezések;

• arra vonatkozó előírás, hogy az adatok feldolgozása kifejezetten az adatkezelő rendelkezései vagy jogszabály kifejezett rendelkezése alapján történhet;

• garancia a titoktartásra és nyilatkozat arra nézve, hogy az adatfeldolgozó meghozza és betartja az adatok biztonságát szolgáló szükséges intézkedéseket;

• arra vállalt kötelezettség, hogy az adatfeldolgozó rendelkezésre bocsátja a jogszabályi megfelelőség igazolásához szükséges információkat, illetve rendelkezésre áll az adatkezelő (vagy megbízottja) által végrehajtott adatvédelmi ellenőrzések esetén

Lényeges, hogy az adatfeldolgozó további adatfeldolgozót csak az adatkezelő (vagyis a sportklub) engedélyével vonhat be.

Ezzel a lépéssel akkor vagyunk kész,
ha megvan a listánk az összes olyan külső partnerről, aki adatfeldolgozónak minősül és átnéztük a szerződéseiket, hogy a szükséges elemek szerepelnek benne.

 

4. Tájékoztatás és az érintettek jogainak biztosítása

A GDPR talán leglényegesebb eleme, hogy az érintettek részére akkor is részletes és érthető tájékoztatást kell nyújtani az adatkezelésről, ha a legtöbb esetben a hozzájárulásuk nem szükséges az adataik kezeléséhez.

Az adatkezelési tájékoztatót célszerű nem egyben, hanem az érintettek kategóriái szerint elkészíteni. Tehát külön a munkavállalói adatkezelésekre (ha vannak alkalmazottak), külön a sportolói (bérletesekre, vendégekre vonatkozó) adatkezelésekre és mondjuk külön a marketing célú adatkezelésre (a bemutatókon, workshopokon vagy honlapon gyűjtött feliratkozókra).

A tájékoztatásnak – feltételezve, hogy az adatokat magától az érintettől szereztük meg – az alábbiakat kell tartalmaznia:

• az adatkezelő és képviselője kiléte, elérhetőségei (ha adatvédelmi tisztviselő is ki lett nevezve, akkor az övé is),

• a kezelt (gyűjtött, tárolt) adatok köre,

• az adatkezelés célja és jogalapja – ezekről az adatkezelési nyilvántartásról szóló fejezetben már beszéltünk; ha van jogos érdeken alapuló adatkezelés, akkor a jogalapnál ezt a jogos érdeket is meg kell nevezni;

• azok a további szereplők (harmadik felek, adatfeldolgozók) akik a kezelt adatokhoz még hozzáférnek vagy akik részére azokat továbbítják;

• az adatok tárolásának, kezelésének az időtartama – mivel ez sok esetben előre nem mondható meg fixen, ezért legalább az erre vonatkozó szempontot közölni kell. Tehát pl. a tagság (vagy bérlet) lejárata utáni meghatározott időtartam. Lejárt tagság esetén sem kell automatikusan mindent törölni. A számlák, számviteli bizonylatok esetében a számviteli és adótörvények határozzák meg az adatok megtartási idejét. (Erről pontos információt a könyvelő tud szolgáltatni.)

• hozzájárulás alapján kezelt adatok esetén az annak visszavonásához való jog (és hogy hogyan élhet vele);

• a hozzáféréshez, az adathordozhatósághoz, a helyesbítéshez, valamint a törlés kezdeményezéséhez és a tiltakozáshoz való jog;

• arról való tájékoztatás, ha az adatkezelés jogszabályon vagy szerződéses kötelezettségen alapul, beleértve az adatok meg nem adásának lehetséges következményeit (pl. ebben az esetben nem jön létre a bérleti szerződés vagy a tagsági jogviszony);

• a felügyeleti hatósághoz (NAIH) benyújtható panasz jogáról;

• ha valamely adatkezelés profilozást is tartalmaz (ez megfigyelt vagy rögzített viselkedés alapján történő csoportba sorolást jelent: pl. edzéslátogatási szokások: délelőtt-délután-este vagy hétköznap-hétvége), akkor annak ténye, az erre alkalmazott logika és hogy ez a profilozás milyen kihatással jár az érintettre.

Egy sportklubnak azt is biztosítania kell, hogy az érintettek (sportolók, alkalmazottak stb.) élni is tudjanak jogaikkal (helyesbítés, törlés kezdeményezése stb.)

 

Fontos: a törléshez való jog nem abszolút; nem jelenti azt, hogy az érintett összes adatát mindenképpen törölni kell. A törléshez való jog elsősorban az önkéntes hozzájárulás alapján kezelt adatokra vonatkozik, de pl, a jogi kötelezettség teljesítéséhez szükséges adatok (számviteli bizonylatok, jelenléti adatok amivel a teljesítést igazolni lehet stb.) a törlési kérelemtől függetlenül a számviteli és adó jogszabályokban meghatározott ideig megtarthatók.

Ezzel a lépéssel akkor vagyunk kész,
ha elkészült(ek) az adatvédelmi tájékoztató(k), lehetőleg fő célcsoportonként, továbbá legalábbis végiggondultuk (nagyobb szervezet esetén valamilyen egyszerű formában dokumentáltuk is), hogy az érintettek jogait hogyan fogjuk biztosítani. (Tehát pl. mit fogunk tenni, ha valaki az adatainak a törlését kéri.)

 

5. Adatbiztonság

Kiemelt hangsúlyt kap a személyes adatok biztonsága. A NAIH elnöke több interjúban is kiemelte, hogy ezen a téren nagy lemaradást kell behozniuk a magyar adatkezelőknek és ezért az ellenőrzéseknek is ez lesz az egyik fókusza.

A GDPR azt írja elő, hogy az adatok biztonságát garantálni kell, mégpedig az alábbi szempontok alapján megválasztott intézkedésekkel:

• az informatika (technológia) állása, lehetőségei

• a megvalósítás költségei

• az adatok jellege

• a valószínűsíthető biztonsági kockázatok

Az adatok biztonságának garantálása tehát nem abszolút kötelezettség, hanem figyelembe lehet venni egy kisebb szervezet esetén a megvalósítás költségeit is. Egy incidens esetén (lásd a következő fejezetben) azonban a felelősséget nem zárja ki (csak csökkenti) az, hogy kevés forrásból kellett megoldani az adatbiztonság garantálását.

A GDPR azért tételesen is megnevez néhány olyan területet, amelyre nézve valamilyen biztonsági intézkedést mindenképpen foganatosítani kell. Ezek a következők:

• jogosulatlan hozzáférés, megváltoztatás vagy nyilvánosságra hozatal

• véletlen vagy jogellenes megsemmisülés, elvesztés.

Ezek miatt nem megkerülhető, hogy legalább az alábbi védelmi intézkedéseket használja minden klub, edzőterem, stúdió:

jelszóval hitelesített hozzáférés,

jogosultságok (ki mihez férhet hozzá; alapelv: csak a szükséges mértékben),

biztonsági mentések az adatokról (és a hozzáférés védelméről a mentéseknél is gondoskodni kell),

vírusvédelem,

tűzfal (a külső behatolás, hackertámadás ellen),

titkosítás (ha nyílt interneten, különösen emailen keresztül mozognak személyes adatok).

Annak érdekében, hogy a kockázatokkal való arányosságot igazolni lehessen, célszerű (bár maga a GDPR ezt tételesen nem írja elő), az előbbi kockázati tényezőket és az utóbbi biztonsági intézkedéseket egy egyszerű táblázatban feltüntetve dokumentálni (informatikai kockázatfelmérés).

Egy hatósági ellenőrzéskor így sokkal egyszerűbben igazolható, hogy az egyes potenciális problémák az adott klub esetében milyen következménnyel járhatnak. És ezek alapján indokolható, hogy miért pont azt a biztonsági intézkedést és miért pont úgy valósította meg a klub. Egy ilyen egyszerű, néhány soros táblázatból levezethető, hogy elég hetente 1x mentést készíteni az adatokról, vagy szükséges lehet akár naponta többször is.

Nagyobb egyesületek, edzőtermek, esetleg sportági szakszövetségek számára – akik akár ezres nagyságrendben vagy még annál is több személyre kiterjedően kezelnek személyes adatokat – nem megkerülhető, hogy az informatikai biztonsági intézkedéseket, előírásokat is dokumentálják és a betartásukat rendszeresen ellenőrizzék.

Ezzel a lépéssel akkor vagyunk kész,
ha végiggondoltuk (és a klub méretétől függően, akár nagyon egyszerű táblázatban dokumentáltuk), hogy milyen informatika jellegű kockázatok leselkedhetnek a nálunk lévő adatokra, ezek ellen milyen intézkedésekkel védekezünk, valamint ha ezeket az intézkedéseket meg is valósítottuk.

 

6. Incidensek nyilvántartása és bejelentése

A GDPR előírja azt is, hogy a személyes adatokkal kapcsolatos incidensekről belső nyilvántartást kell vezetni, az esetleges incidenseket – bizonyos feltételek esetén – a hatóságnak be kell jelenteni, súlyosabb esetben az érintetteket is értesíteni kell.

Általános meghatározás szerint az incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A gyakorlatban ilyen incidens lehet például:

• ha a sportolók adatait tartalmazó laptopot ellopják (vagy elvész),

• ha az adatok egy technikai hiba vagy egy zsarolóvírus miatt elvesznek,

• ha az egyesület rendszerét feltörik, de akár az is,

• ha véletlenül rossz email címre (tehát nem a szándékolt címzettnek) küldünk egy személyes adatokat is tartalmazó emailt. (Ennek egy enyhébb, de mindenképpen kerülendő esete olyan köremailek küldése, ahol minden címzett látja az összes többi emailcímet is.)

A felsorolt, leggyakoribb eseteket bemutató példákon kívül is számtalan incidens fordulhat még elő. A lényeg, hogy ami a biztonság sérülésével jár (vagy annak lehetőségét magában hordozza), az incidens lesz.

 

Mikor kell egy incidenst a hatóságnak (NAIH) bejelenteni?

A GDPR negatív definíciót használ: akkor NEM kell bejelenteni, ha az incidens valószínűleg NEM jelent kockázatot az érintettekre nézve. Ezt minden esetben egyedileg kell mérlegelni, mégpedig a józan ész alapján.

Nézzünk egy konkrét példát:
ha a sportolók adatai egy külön titkosítással nem védett laptopon vannak, és ez a laptop “elvész”, akkor azt kell mérlegelni, hogy hozzáférhet-e illetektelen személy az adatokhoz. Ha ezt a bizonyos laptopot egy gyorsétteremben feltehetően ellopták, akkor abból kell kiindulnunk, hogy igen. Ha viszont a tihanyi kompról véletlenül beleesett a tíz méter mély Balatonba, akkor nyilván nem. (Utóbbi eset akkor lehet bejelentésköteles esemény, ha mentések hiányában ezek a személyes adatok végleg el is vesztek.)

A hatósági bejelentést “indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután” kell megtenni, hogy az incidens az adatkezelő, vagyis jelen esetben a klub tudomására jutott. Az incidensek bejelentésére a hatóság a honlapján egy online felületet fog biztosítani.

 

Milyen esetben kell az érintettet is tájékoztatni az incidensről?

Ha az “valószínűleg magas kockázatot” jelent azokra nézve, akinek az adataival az incidens történt. Itt az lesz a döntő szempont, hogy milyen jellegű adatokat érint az adott esemény. Hogy valakinek a 10 alkalmas bérletéből van még 3 alkalom, és ez az információ illetéktelenek tudomására juthat, az nyilván nem magas kockázat. Viszont egy egészségügyi okokból speciális, személyre szabott edzésterv dokumentáció, amihez esetleg még orvosi adatok is tartoznak (zárójelentés, diagnózisok, kezelési lap), már minden bizonnyal ebbe a magas kockázatú kategóriába tartozik.

 

Mit kell tartalmaznia a nyilvántartásnak?

Alapvetően három lényeges dolgot:

• a tények – mi történt (elveszett, feltörték, elfüstölt stb.)

• a következmények – milyen jellegű adatok érintettek, milyen körben (hány fő), milyen lehetséges következményekkel kell számolni

• intézkedések – mit tett az adatkezelő az incidens orvoslása, a lehetséges káros következmények csökkentése érdekében.

A bizonyíthatóság érdekében javasolt még néhány információval kiegészíteni a nyilvántartást: szükséges volt azt bejelenteni vagy az érintetteket értesíteni; ha nem miért nem, illetve ha igen, akkor ezek mikor és hogyan történtek meg.

Ezzel a lépéssel akkor vagyunk kész,
ha van egy (üres) incidenskezelési nyilvántartásunk, valamint legalábbis végig gondoltuk (nagyobb klubok, szövetségek esetén dokumentáltuk is), hogy egy adatvédelmi incidens esetén milyen eljárást kell követni; ki fogja azt észrevenni, ki dönti el, hogy be kell-e jelenteni stb.

 

7. Rendszeres felülvizsgálat

A GDPR előírásainak való megfelelést – mint minden jogszabályi megfelelést –

nem elég egyszer teljesíteni; annak folyamatosan meg kell felelni.

Abból a célból, hogy a nyilvántartások és egyéb dokumentumok aktuálisak legyenek és a tényleges működési gyakorlattal való összhangjuk biztosított legyen, legalább évente egyszer (vagy adatkezelési szempontból lényeges változás esetén, például ha bevezetnek egy ügyviteli rendszert vagy biztonsági kamerákat szerelnek fel) célszerű azokat felülvizsgálni és a szükséges módosításokat átvezetni.

Ezzel a lépéssel akkor vagyunk kész,
ha az 1-6. lépések során elvégzett feladatokról, előállított dokumentumokról van egy listánk, amin évente egyszer végig tudunk menni és az egyes tételeket felül tudjuk vizsgálni és szükség esetén aktualizálni tudjuk azokat.

 

Fel a fejjel! – jótanácsok

A GDPR arra kényszeríti a sport világában működő szervezeteket is, hogy gondolják végig a személyes adatok kezelésével kapcsolatos tevékenységeiket és azokat dokumentáltan és bizonyíthatóan tartsák kézben.

A szükséges adminisztráció – egy minimális, mindenki számára kötelező szinten felül – nagyban függ a szervezet méretétől és az adatkezelés összetettségétől. Egyszerű adatkezelési műveletek esetén a dokumentáció is egyszerű lesz.

A megfelelés két legfontosabb pillére, hogy az adatkezelésekkel tisztában legyünk (milyen adatokat, milyen célból és milyen jogalappal – adatkezelési nyilvántartás), valamint hogy az érintettek tájékoztatása megfelelő legyen. (Utóbbi teljesítéséhez az előbbi mindenképpen szükséges.)

 

Segítsd ismerős sportvezetőidet!

Ez a “kis rövid” 😉 ismertetőnk speciálisan a szabadidős sportklubok és stúdiók szemszögéből tekintette át a személyes adatok kezelésének témakörét. Ha ismerőseid között vannak edzők, sportvezetők, akkor kérjük támogasd őket azzal, hogy a cikk végén lévő megosztás/FB share gombbal számukra is elérhetővé teszed ismertetőnket.

 

Nekem egy professzionális mintagyűjtemény is kellene. Tudtok segíteni?

Ha szeretnél időt spórolni a GDPR-ra felkészülés teljesítésében, vagy jobb lenne egy kifejezetten a sport világára szabott szakértői megoldással biztosra menni, akkor is jó helyen jársz!
Róth Dénes, jelen cikk szerzője és csapata összeállított egy komplett GDPR megoldást a sportklubok számára. Ráadásul most június 15-ig 30% kedvezményre is jogosult a MotiBro blog minden olvasója. Ennek érvényesítéséhez megrendeléskor használd a MOTIBROBLOG2018 kuponkódot. További részletekért kattints »»ide««!

 

Kérdésed van?

Terjedelmi okokból nem minden részletre tértünk ki, de Dénes megígérte, hogy amennyiben lesznek további közérdeklődést kiváltó kérdések 2018 június végéig, akkor egy következő cikkben azokat is igyekszik megválaszolni. Miért ne élnél a lehetőséggel? Ehhez csak azt kérjük, hogy a cikk alatti komment részben fogalmazd meg a kérdésedet!

 

A SZERZŐRŐL:
Róth Dénes jogi szakokleveles mérnök, igazságügyi informatikai szakértő. Utóbbi minőségében számos adatvédelmi ügyben működött közre mind a NAIH hatósági eljárásaiban, a hatóság kirendelésére; mind pedig adatkezelők megbízásából.

 

 

Hozzászólások

    Send this to a friend