GDPR – gyakori kérdések

A GDPR-megfelelőség elérésének támogatásához összeállítottuk Önnek és szervezetének a gyakori kérdések, valamint a válaszok listáját.


|

Igen. A GDPR megköveteli, hogy az adatkezelők (például a Microsoft nagyvállalati online megoldásait használó szervezetek) csak olyan adatfeldolgozókat (például a Microsoft) vehetnek igénybe, amelyek megfelelő garanciákat nyújtanak arra, hogy teljesítik a GDPR legfontosabb követelményeit. A Microsoft előzetes lépésként a mennyiségi licencelési ügyfelekkel kötött megállapodások részeként már vállalta ezeket a kötelezettségeket.

 

A Microsoft GDPR szerinti szerződéses kötelezettségvállalásai A GDPR áttekintése lapon az Ügyfelekkel kötött megállapodások részen találhatók.

 

A Microsoft eszközöket és dokumentációt biztosítva támogatja a GDPR szerinti elszámoltathatóságot. Ez magában foglalja az érintettek jogait, saját adatvédelmi hatásvizsgálatok elvégzését, és a személyes adatokkal való visszaélés következményeinek elhárítását. Keresse fel A GDPR áttekintése lapot.

 

A Microsoft GDPR-feltételei a 28. cikkelyben részletezik az adatfeldolgozók kötelezettségeit. A 28. cikkely előírja, hogy az adatfeldolgozó:

  • csak az adatkezelők hozzájárulásával vesz igénybe további adatfeldolgozókat, és felelősséget vállal a további adatfeldolgozókért;
  • a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli – beleértve a személyes adatok továbbítását is;
  • biztosítja, hogy a személyes adatokat kezelő személyek titoktartási kötelezettség alatt állnak;
  • megfelelő technikai és szervezési intézkedésekkel biztosítja, hogy a személyes adatok biztonságának szintje megfelel a kockázatnak;
  • segíti az adatkezelőket a GDPR-ban foglalt jogok gyakorlásához kapcsolódó érintetti kérelmek megválaszolása tekintetében;
  • teljesíti az adatvédelmi incidensről szóló értesítési és támogatási követelményeket;
  • segít az adatkezelőknek az adatvédelmi hatásvizsgálatok elvégzésében és a felügyeleti hatóságokkal való konzultációval kapcsolatban;
  • a szolgáltatások nyújtásának befejezését követően minden személyes adatot töröl vagy visszajuttat az adatkezelőnek;
  • az adatkezelő rendelkezésére bocsátja a GDPR-nak való megfelelőség igazolásához szükséges bizonyítékot;

 

 

A Microsoft régóta alkalmazza a szabványos szerződési záradékokat (más néven mintazáradékokat) az adatok nagyvállalati online szolgáltatásokhoz való továbbításának alapelveként. A szabványos szerződési záradékok az Európai Bizottság által meghatározott szabványos feltételek, amelyek az Európai Gazdasági Térségbe nem tartozó országokba való megfelelő adattovábbításhoz használhatók. A Microsoft az Online szolgáltatások feltételei között belefoglalta a szabványos szerződési záradékokat a mennyiségi licencszerződésekbe. A 29-es Munkacsoport megfelelőnek találta a szabványos szerződési záradékok Microsoft általi implementálását.

 

Az EU-USA adatvédelmi pajzs létrehozását követően a Microsoft volt a pajzs keretében minősített első cég. Lásd: A Microsoft tanúsítványa az adatvédelmi pajzshoz és az Online szolgáltatások feltételei. Az EU-USA adatvédelmi pajzs az adataikat az Egyesült Államokba továbbítani kívánó ügyfeleknek segít abban, hogy ezt az adatvédelmi kötelezettségeikkel összhangban hajtsák végre.

 

Olyan globális cégként, amelynek szinte minden országban vannak ügyfelei, a Microsoft jelentős megfelelőségi portfólióval segíti az ügyfeleket. Ha meg szeretné tekinteni a megfelelőségi ajánlataink, többek között a FedRamp, a HIPAA/HITECH, az ISO 27001, az ISO 27002, az ISO 27018, az NIST 800-171, a UK G-Cloud és sok más listáját, nyissa meg a megfelelőségi ajánlatok listáját.

|

 

Ha információkra van szüksége a Microsoft-szolgáltatások funkcióiról, amelyek a GDPR követelményeinek teljesítéséhez használhatók, keresse fel a www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation weblapot.

 

A GDPR széles körű kötelezettségeket ró a személyes adatokat gyűjtő vagy feldolgozó szervezetekre, beleértve az alábbi hat fő alapelv betartásának követelményét:

  • jogszerűség, tisztességes eljárás és átláthatóság a személyes adatok kezelésében és használatában; az érintett számára átláthatóvá kell tennie, hogy miként használja a személyes adatokat, valamint „jogszerű” alapra van szüksége az adatok feldolgozásához;
  • a személyes adatok feldolgozásának korlátozása meghatározott, egyértelmű és jogszerű célokra. A személyes adatokat nem használhatja újra és nem adhatja tovább az adatok eredeti gyűjtési céljától eltérő célokból;
  • a személyes adatok gyűjtése és tárolása megfelelő és releváns legyen, és a szükségesre kell korlátozódnia;
  • A személyes adatok pontosságának biztosítása, és szükség esetén törlése vagy helyesbítése. Minden észszerű intézkedést meg kell tenni annak érdekében, hogy a személyes adatok pontosak, és hiba esetén helyesbíthetők legyenek.
  • a személyes adatok tárolásának korlátozása. Biztosítania kell, hogy a személyes adatokat csak az adatok gyűjtésének célja eléréséhez szükséges ideig tartja meg;
  • a személyes adatok biztonságának, integritásának és bizalmas jellegének megőrzése. Szervezetének lépéseket kell tennie annak érdekében, hogy technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok biztonsága.

Tudnia kell, hogy szervezetére milyen speciális kötelezettségeket ró a GDPR, és hogyan felel meg ezeknek. A Microsoft segítségére mindig számíthat a GDPR alkalmazás során.

Ha jobban meg szeretné ismerni az Általános adatvédelmi rendeletet (GDPR), keresse fel www.microsoft.com/gdpr lapot, ahol megtudhatja azt is, hogy egyes Microsoft-termékek miként segítenek felkészülni a GDPR-nak való megfelelőségre. Kérjük, keresse fel az Azure, a Dynamics 365, az Enterprise Mobility + Security, az Office 365 és a Windows 10 weblapját.

A GDPR az EU-beli állandó lakhellyel rendelkezőknek ún. „érintetti jogok” keretében felügyeletet biztosít a személyes adataik fölött. E jogok közé tartoznak az alábbiak:

  • a személyes adatok felhasználására vonatkozó információkhoz való hozzáférés;
  • szervezeteknél lévő személyes adatokhoz való hozzáférés;
  • helytelen személyes adatok törlése vagy javítása;
  • személyes adatok helyesbítése és törlése bizonyos esetekben („az elfeledtetéshez való jog” néven is ismert);
  • a személyes adatok automatizált kezelésének korlátozása vagy a kezelés elleni tiltakozás;
  • a személyes adatok másolatának biztosítása.

Az adatkezelő olyan természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját. Az adatfeldolgozó olyan természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében.

Igen, a GDPR vonatkozik úgy az adatfeldolgozókra, mint az adatkezelőkre. Az adatkezelők kizárólag olyan adatfeldolgozókat vehetnek igénybe, akik vagy amelyek megfelelnek a GDPR követelményeinek.

 

Az adatvédelmi irányelvtől eltérően a GDPR értelmében az adatfeldolgozók további kötelességekkel és felelősséggel szembesülnek, ha nem felelnek meg, vagy nem tartják be az adatkezelő által megadott utasításokat. Az adatfeldolgozó feladatai közé tartoznak, a teljesség igénye nélkül, az alábbiak:

  • adatok feldolgozása kizárólag az adatkezelő utasításai alapján;
  • a személyes adatok védelme megfelelő technikai és szervezési intézkedésekkel;
  • az adatkezelő segítése az érintetti kérelmek kezelésében;
  • annak biztosítása, hogy az igénybe vett további feldolgozók megfelelnek ezeknek a követelményeknek.

Azok a cégek, amelyek nem felelnek meg a GDPR követelményeinek, az éves globális forgalmuk 4%-át kitevő összeggel vagy 20 millió EUR bírsággal sújthatók (amelyik magasabb). További egyedi jogorvoslatok növelhetik a kockázatot, ha nem sikerül betartania a GDPR követelményeit.

Ez a rendeletben meghatározott több tényezőtől függ. A GDPR 37. cikke kimondja, hogy az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: (a) az adatkezelést hatóságok vagy egyéb közhatalmi szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat; (b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy (c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A GDPR-nak való megfelelőség időt és pénzt követel meg a legtöbb szervezettől, bár az átmenet gördülékenyebb lehet azok számára, akik jól felépített felhőszolgáltatás-modellt üzemeltetnek és hatékony adatgazdálkodási programmal rendelkeznek.

|

A GDPR szabályozza a „személyes adatok” gyűjtését, tárolását, használatát és megosztását. A GDPR nagy vonalakban az azonosított vagy azonosítható természetes személyre vonatkozó bármely információként határozza meg a személyes adatokat.

 

A személyes adatok közé tartoznak, de nem kizárólagosan, az online azonosítók (pl. IP-címek), alkalmazotti adatok, értékesítési adatbázisok, ügyfélszolgáltatási adatok, ügyfélvisszajelzési űrlapok, helymeghatározó adatok, biometrikus adatok, zárt láncú biztonsági kamerarendszer felvételei, törzsvásárlói program rekordjai, egészségügyi és pénzügyi adatok és sok más. Tartalmazhat olyan információkat is, amelyek nem tűnnek személyesnek – például olyan tájkép, amelyen nem láthatók emberek –, ahol az információk egy fiókszám vagy egyedi kód alapján tartoznak egy azonosítható egyénhez. Az álnevesített személyes adatok is személyes adatnak tekintendők, ha az álnév egy adott egyénhez társítható.

 

Tudnia kell arról, hogy bizonyos „speciális” kategóriába tartozó személyes adatok kezelése – például a faji vagy etnikai származásra utaló személyes adatok, illetve egészségi állapotra vagy szexuális irányultságra utaló adatok – szigorúbb szabályozás alá esnek, mint a szokásos személyes adatok.

 

A személyes adatok értékelése nagyrészt tényeken alapul, ezért javasoljuk, hogy szakértőt bízzon meg az adott körülmények értékelésével.

Igen. Bár a szabályok kis mértékben eltérnek, a GDPR vonatkozik azokra a szervezetekre is, amelyek saját céljaikra gyűjtenek és kezelnek adatokat („adatkezelők”), valamint az adatokat mások nevében kezelő szervezetekre („adatfeldolgozó”). Ez eltér a meglévő adatvédelmi irányelvtől, amely adatkezelőkre vonatkozik.

A személyes adatok az azonosított vagy azonosítható személyekre vonatkozó bármely információt jelentik. Nincs különbség a személyek privát, nyilvános vagy munkahelyi szerepköre szerint. Személyes adatok az alábbiak:

 

A személyes adatok példái közé tartoznak az alábbiak:

 

Identitás

  • Név
  • Otthoni cím
  • Munkahelyi cím
  • Telefonszám
  • Mobiltelefonszám
  • E-mail-cím
  • Útlevélszám
  • Nemzeti személyazonosító igazolvány
  • Társadalombiztosítási szám (vagy ennek megfelelő)
  • Vezetői engedély
  • Testi, pszichikai vagy genetikai információk
  • Egészségügyi információk
  • Kulturális identitás

Pénzügyek

  • Banki adatok/számlaszámok
  • Adószám
  • Munkahelyi cím
  • Bankkártya-/hitelkártyaszámok
  • Közösségi médiában szereplő bejegyzések

Online termékek

  • Közösségi médiában szereplő bejegyzések
  • IP-cím (EU-beli régió)
  • Helymeghatározás/GPS-adatok
  • Cookie-k

Igen, a GDPR azonban szigorúan szabályozza az európai lakosok személyes adatainak továbbítását az Európai Gazdasági Térségbe nem tartozó országokba. Lehetséges, hogy az ilyen adattovábbítások engedélyezéséhez létre kell hoznia egy adott jogi mechanizmust, például egy szerződést, vagy be kell tartania egy tanúsító mechanizmust. A Microsoft az Online szolgáltatások feltételei között részletezi az általa használt mechanizmusokat.

Ahol jogszerű alap áll fenn a folyamatos adatkezelésre és -megőrzésre, például „az adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése keretében végzett feladat végrehajtása céljából” (17. cikk (3)(b) pontja), a GDPR elismeri, hogy a szervezeteknek szükséges lehet megőrizni az adatokat. Meg kell bíznia azonban a jogi tanácsadóját annak biztosításához, hogy a megőrzés alapelveit összevesse az érintettek jogaival, szabadságával és az adatok gyűjtésének időpontjában fennálló elvárásaikkal stb.

A titkosítás olyan védelmi intézkedésként szerepel a GDPR-ban, amely adatvédelmi incidens esetén értelmezhetetlenül jeleníti meg a személyes adatokat. Akár alkalmaznak titkosítást, akár nem, ez hatással lehet az adatvédelmi incidens esetén felmerülő értesítési kötelezettségekre. A GDPR egyes esetekben, a kockázattól függően megfelelő technikai vagy szervezési intézkedésként tekint a titkosításra. A titkosítás a Fizetési kártya iparági adatbiztonsági szabvány (PCI-DSS) által előírt követelmény, valamint a pénzügyi szolgáltatóiparra jellemző szigorú megfelelőségi útmutatás része. A Microsoft-termékek és szolgáltatások, többek között az Azure, a Dynamics 365, az Enterprise Mobility + Security, az Office 365, az SQL Server/Azure SQL Database és a Windows 10 hatékony titkosítást biztosít a továbbításban részt vevő, valamint a többi adat számára is.

 

Ha további információra van szüksége arról, hogy a Microsoft-termékek és -szolgáltatások miként segítenek Önnek a felkészülésben a GDPR-nak való megfeleléshez, kérjük, olvassa el hogy termékeink miként segítik a GDPR követelményeinek való megfelelést.

A GDPR megváltoztatja az adatvédelmi követelményeket, és szigorúbb kötelezettségeket ír elő az adatfeldolgozók és adatkezelők számára a személyes adatokkal való visszaélésről szóló értesítésekkel kapcsolatban. Az új szabályozás értelmében az adatfeldolgozónak indokolatlan késedelem nélkül értesítenie kell az adatkezelőt az adatvédelmi incidensről azt követően, hogy tudomást szerzett róla. Miután tudomására jutott a személyes adatokkal való visszaélés, az adatkezelőnek 72 órán belül be kell jelentenie a megfelelő adatvédelmi hatóságnál. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a személyek jogaira és szabadságára nézve, az adatkezelőknek indokolatlan késedelem nélkül értesítenie kell az érintett személyeket. Erre vonatkozóan az EU 29-es Munkacsoportja hozott létre további útmutatást.

 

A Microsoft-termékek és -szolgáltatások – többek között az Azure, a Dynamics 365, az Enterprise Mobility + Security, az Office 365 és a Windows 10 – ma már különféle megoldásokkal segítik a biztonsági fenyegetések észlelését és értékelését, valamint az adatvédelmi incidensek esetén a GDPR által támasztott értesítési kötelezettségek teljesítését.

|

A Microsoft FastTrack egy szolgáltatási előny*, az ügyfélsikerességi szolgáltatásunk, amely segíti a vállalkozásokat, hogy a Microsoft Cloud használatával gyorsabban megtérüljenek a befektetéseik. A FastTrack segítségével:

  • e-maileket, tartalmakat helyezhet át, és Microsoft 365-szolgáltatásokat kapcsolhat be;
  • eszközöket helyezhet üzembe és kezelhet biztonságosan;
  • engedélyezze a vállalkozását és szerezzen végfelhasználói bevezetést.

A Microsoft FastTrack az ügyfelek számára elérhető folyamatos és ismételhető szolgáltatási előny, amelyet a Microsoft mérnökei és szakértői biztosítanak az ügyfeleknek és partnereknek a bevezetés/használat tervezéséhez, bevezetéséhez és ösztönzéséhez, valamint a biztonságos felhőbe költözéshez az ügyfelek és a partnerek saját tempójában.

 

Miközben segítséget nyújtunk az ügyfeleknek az egyes üzembe helyezésekhez és áttelepítésekhez, a Microsoft FastTrack megköveteli a GDPR-nak való megfelelőség elérését a rendelet hatályba lépésének idejére, vagyis 2018. május 25-ére. A FastTrack profi szolgáltatási előnyünk részeként együttműködünk ügyfeleink meglévő partnerével/partnereivel, illetve a partnerekhez fordulunk üzembe helyezési és bevezetési segítségért.

 

További információt a https://FastTrack.Microsoft.com weblapon talál.

 

*A „szolgáltatási előny” az OST és az MBSA meghatározása szerint „profi szolgáltatásnak” tekintendő.

A FastTrack mérnökei és specialistái az iparág szakértői, akik megtervezik az ügyfelek és partnerek számára a forgatókönyveket, valamint hogy miként érjék el a kívánt megtérülést, és a termékek és szolgáltatások tervezésére, üzembe helyezésére és bevezetésének ösztönzésére összpontosítva segíti az ügyfeleket és partnerek e célok elérésében. További információ arról, hogy a Microsoft termékei és szolgáltatásai hogyan támogatják a GDPR-nak való megfelelőséget az Adatvédelmi központ webhelyünkön. Arra ösztönözzük ügyfeleinket és partnereinket, hogy egy jogi képesítéssel rendelkező szakemberrel együttműködve vitassák meg a GDPR-t, hogy hogyan vonatkozik kifejezetten a szervezetükre, és hogyan biztosítja a legjobban a megfelelőséget.

Azt tanácsoljuk, hogy ügyfeleink működjenek együtt a saját jogi és megfelelőségi csapatukkal a titkosítási GDPR-követelmények, valamint az általános GDPR-követelmények meghatározásában. A GDPR-megfelelőség az ügyfelek összegyűjtött adataira, a forgatókönyvek használatára és az iparági szektorokra és vektorokra jellemző.

A Microsoft FastTrack egy ügyfélsikerességi szolgáltatás, amely gyorsabb üzembe helyezést, megtérülést és magasabb szintű bevezetést támogat az alkalmazottai és a Microsoft-termékek és -szolgáltatások végfelhasználói számára. Mindezt figyelembe véve, amint ügyfeleink vagy partnereink támogatási kérést küldenek el a Microsoft FastTrack szolgáltatáson keresztül, elkezdjük a Microsoft-termékek és -szolgáltatások megfelelő üzembe helyezésének folyamatát ügyfeleink és partnereink számára.

 

A FastTrack profi szolgáltatási előnyünk részeként együttműködünk ügyfeleink meglévő parterével/partnereivel, illetve a partnerekhez fordulunk üzembe helyezési és bevezetési segítségért. Az Adatvédelmi központ GDPR lapján részletezett megfelelőség elérésében a Microsoft-partnereknek segítséget nyújtó, GDPR-ban jártas partnereinkről itt talál további információt. A Megbízható felhő/GDPR weblapot használva értékelheti a GDPR-ra való felkészültségét és hogy miként teljesíti a GDPR-megfelelőséget a Microsoft Cloud felhő segítségével, valamint hogy miként használja a Microsoft FastTracket üzembe helyezési segítségként.


További források

Partner keresése

Határozza meg az általános adatvédelmi rendelettel kapcsolatos igényeit a Microsoft-alapú megoldásokat nyújtó egyik globális partnerünkkel.

A Microsoft adatvédelmi gyakorlata

Ismerje meg, hogy a Microsoft hogyan kezeli az adatait, hol tárolja, ki férhet hozzá, milyen feltételekkel és így tovább.

Az EU-USA adatvédelmi pajzs

Ismerje meg, hogy a Microsoft hogyan tartja tiszteletben az EU-USA adatvédelmi pajzs keretrendszer elveit.

Értesítés az adatvédelmi incidensről

Hogyan észleli a Microsoft a személyes adatokkal való visszaélést, miként reagál rá, és hogyan értesíti Önt a GDPR-nak megfelelően?