Nyakunkon a határidő, de a GDPR okozta köd sokakban még nem oszlott fel

Az utóbbi időben akárhol járunk-kelünk, szinte mindenhol belebotlunk a varázsszónak tűnő 4 betűbe: GDPR. Pallosként lebeg felettünk a május 25-i határidő, de sokan nem tudják, hogy ez pontosan mit takar, vonatkozik-e rájuk egyáltalán az új adatvédelmi rendelet, hova fordulhatnak segítségért és egyáltalán miért van erre szükség. Ha úgy érzed, Neked is van még mit kitisztázni a témával kapcsolatban, görgess lentebb, hátha tudok segíteni rendbe tenni néhány dolgot!

Először is azt érdemes tisztázni, hogy mi is az a GDPR. Jelenleg Magyarországon az adatvédelmi szabályozást az Információszabadságról szóló törvény, röviden Info tv., testesíti meg. Az Európai Unió az egységes belső piac megteremtése érdekében, minden tagállamra egységesen vonatkozó, keretjellegű, új rendelet bevezetését célozta meg. Kevesen tudják, de az Európai Unió Általános Adatvédelmi Rendelete, röviden GDPR, lassan 2 éve hatályban van, de kötelezően alkalmazni 2018. május 25-től kell. Aki azt gondolja, hogy addig még sok víz lefolyik a Dunán és szkeptikus a határidőt illetőleg, az rosszul teszi. Nyilván a Nap május 26-án is fel fog kelni és bizonyára nem lesz minden zökkenőmentes. Abban is biztosak lehetünk, hogy nem áll rendelkezésre a megfelelő apparátus a hatóságok részéről, hogy a határidő után egy nappal azonnal felkutassák a vállalkozások hiányosságait és bírságoljanak, de a visszaszámlálás megállíthatatlanul elkezdődött. Elsősorban pedig a marketinggel foglalkozó cégek, a DM levélküldők, az adatkezelői profilozók és a kamerás megfigyelő rendszerrel rendelkező cégek tartoznak a kiemelt területek közé.

Nézzük meg kire is vonatkozik az új rendelet. Felvállalom a rossz hír hozójának a szerepét, de sajnos el kell mondanom, szinte mindenkire, aki magánszemélyek adatait bármilyen módon kezeli vagy feldolgozza. Na, most itt lesz pár alapfogalom, amivel érdemes tisztában lenni. Mit értek magánszemélyek adatai alatt? Rosszul hisszük, ha azt gondoljuk, hogy ebbe a gyűjtőfogalomba nem tartozik bele a magánszemélyek neve vagy telefonszáma. Persze itt most nem arra gondolok, hogy ha a családom tagjainak a telefonszáma benne van a telefonomban, akkor én már adatkezelőnek számítok. De, ha Juci telefonszáma, akivel egyébként barátilag együtt szoktuk tölteni a szombat estéket és egyébként a cégem külső könyvvizsgálója, akkor bizony jogosan tesszük fel a kérdést, hogy mi is a teendőnk. A rossz hír, hogy Juci adatait adatkezelőként kell nyilvántartanunk. Személyes adatoknak számít tehát a név, telefonszám, cím, e-mail cím, testi-, fiziológiai-, genetikai-, szellemi-, gazdasági-, kulturális- vagy szociális azonosságára vonatkozó tényezők, fényképek, hangfelvételek és fizikai jellemzők. TILOS azonban bármilyen módon nyilvántartani a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vonatkozó személyes adatokat, továbbá genetikai és biometrikus-, egészségügyi- és szexuális irányultságra vonatkozó adatokat, illetve a személyes okmányok fénymásolatait.

Következő kérdés, hogy ki minősül adatkezelőnek és mit jelent pontosan az adatkezelő tevékenység. Mindenki adatkezelőnek minősül, aki bármilyen magánszemély adatát kezeli. Itt egyaránt beszélhetünk munkavállalói- vagy ügyfél adatokról. Ebből következik, hogy adatkezelő lehet egyéni vállalkozó, Kft., Bt., közhatalmi szerv, ügynökség és bármilyen egyéb szerv. Igen kedves olvasó, jól gondolod. Indokolatlan a felsorolás, hiszen ha másba nem is, az egyéb szervezetbe biztosan beletartozunk, ha bármilyen módon vállalkozunk. Az adatkezelést végezhetjük automatizálva vagy manuálisan. A lényeg, hogy ha a magánszemély fentebb felsorolt bármely adatát összegyűjtjük, rögzítjük, rendszerezzük, tároljuk, lekérdezzük, felhasználjuk, továbbítjuk, töröljük vagy megsemmisítjük, akkor adatot kezelünk!

Na de mielőtt elfelejtenénk, azt is nézzük meg, hogy mikor vagyunk adatfeldolgozók. Megint hozhatnám az előző felsorolást, de megkímélem magunkat és összefoglalva csak annyit írok, hogy minden szerv, aki az adatkezelő munkáját akár csak a rögzítéssel is elősegíti. Sokszor nem lehet éles határt húzni az adatkezelő és adatfeldolgozó között. Pl. egy webshop tulajdonosa mindkettő lehet, ha a kedves vásárló adatait ő kezeli és a megrendelt terméket szintén ő személyesen szállítja is ki. Ha azonban a kiszállítást egy szállítással foglalkozó cégre bízza, akkor az adatfeldolgozó már a megbízott cég lesz.

Ha megbizonyosodtunk arról, hogy ránk is vonatkozik az új rendelet, akkor kezdődhet az igazi munka, hiszen május 25-től olyan szabályzattal kell rendelkezzünk, amivel megfelelünk a rendeletben foglalt kötelezettségeinknek. Szabályzatunk elkészítése minden esetben a saját felelősségünk. Meg kell, hogy védjem könyvelő kollégáimat és ezúton szeretném mindenki figyelmét felhívni, hogy a szabályzat elkészítése NEM a könyvelő vagy könyvvizsgáló feladata. Persze biztosan van az a pénz, de én személy szerint inkább javasolnám egy erre szakosodott ügyvédi iroda felkeresését.

Teljesség igénye nélkül szabályzatuknak a következő kötelező tartalmi elemekkel kell rendelkeznie:

  • milyen jogcímen tartjuk nyilván az érintettek adatait
  • az érintetteket hogyan tájékoztatom az adatkezelésről
  • az adatokat milyen módon tartjuk nyilván
  • az adatokhoz ki és milyen célból férhet hozzá
  • ki az adatvédelmi tisztségviselő
  • hogyan jutottam hozzá a jelenlegi adatokhoz
  • végzünk-e kockázatelemzést az adatvédelemmel kapcsolatban és hogyan
  • a munkavállalók milyen adatait tartom nyilván
  • a munkaviszony megszűnése után meddig tartom nyilván az adatokat és hogyan
  • tartok-e nyilván adatokat kiskorúakról és ha igen, akkor milyen célból
  • a munkavállalók milyen céges eszközöket használnak és a cégvezetőknek milyen ellenőrzési jogai vannak ezek felett
  • létezik-e bármilyen belső szabályzat, melyet a munkavállalókkal megismertettünk
  • van-e bármilyen minőség irányítási rendszerünk
  • milyen külső cégekkel, partnerekkel állunk kapcsolatban, akik hozzáférhetnek a magánszemélyek adataihoz és nekik van-e az új rendeletnek megfelelő szabályzatuk
  • ha bármilyen okból kikerülnek az adatok (pl. egy céges laptop elvesztése), akkor azt hogyan dokumentálom és milyen óvintézkedéseket teszek meg
  • milyen jogorvoslati lehetőségeket alkalmazok

Véleményem szerint a KKV szektor nagyobb részét, illetve az egyéni vállalkozókat nem vagy csak korlátozottan érinti az új adatvédelmi szabályozás. Az a fontos, hogy aki magánszemélyek adatait kezeli, hírlevelet küld, vevők adatait interneten keresztül toborozza, legyen naprakész az adatvédelemmel kapcsolatban. Ez eddig is követelmény volt, tehát azok, akik korábban is betartották a szabályokat, nem sok újdonsággal fognak találkozni a gyakorlatban.

Remélem hasznodra tudtam lenni a felkészülés utolsó perceiben!

Ha tetszett a cikk, kérlek oszd meg másokkal is!

2018. 05. 15.

VGyÉ