Május 25-től kötelezőek lesznek az új adatvédelmi szabályok

Május 25. fordulópont lesz kivétel nélkül minden vállalkozás életében: ezen a napon lép életbe lép az új európai adatvédelmi rendelet. Mostantól annak is meg kell ismerkednie alaposan az adatvédelem, adatbiztonság, adatkezelés szabályaival, akinek eddig nem kellett ezekkel foglalkoznia.

Kire vonatkozik?

Az új adatvédelmi rendelet mindazokra vonatkozik, akik személyes adatokat kezelnek. Személyes adat, minden, ami egy személyhez köthető. Tehát nem személyes adat egy

  • cég címe,
  • egy cég telefonszáma,
  • vagy egy cég e-mail címe.

Ezekkel nincs gond.

Viszont azok a telefonszámok és e-mailcímek amelyekhez már egy konkrét személyhez köthetők, már személyes adatnak számítanak.  Sőt egy egyéni vállalkozó elérhetősége is személyes adat lesz. Akkor is, ha ez nyilvános adat.

Egy cég telefonszáma azonnal személyes adattá válik, ha felírjuk, hogy a számon Kis Józsefet lehet elérni. Minden olyan információ személyes adat, mely egy ember nevéhez hozzáköthető.

Ha ilyen személyes adatokból van bármiféle listánk, akkor gondoskodnunk kell például arról, hogy ez védve legyen, ne férhessenek hozzá olyanok, akik erre nem jogosultak.

GDPR kisvállalkozásoknak

Mit kell csinálni?

  1. Meg kell nézni, hogy a vállalkozásunk milyen módon jut hozzá személyes adatokhoz. (Több esetben, mint gondolná!)
  2. Tüzetesen át kell nézni, hogy mi történik ezekkel az adatokkal:
    1. ki férhet hozzá, olvashatja el őket, vagy nézhet meg egy videofelvételt,
    2. ki módosíthat rajtuk, vagy ki törölheti őket,
    3. mire használjuk őket,
    4. meddig van rájuk szükség.
  3. Szabályzat kell arról, hogy ki fér hozzá az adatokhoz, hogy meddig tároljuk, hogyan védjük, hogy más ne férjen hozzá.
  4. Valószínűleg költeni kell a számítógép védelemre is. (Tűzfalak, vírusirtó program, stb.)
  5. Az érintettek beleegyezését kell kérni, hogy tárolhassuk az adataikat.
  6. Nagyon részletesen tájékoztatni kell arról minden érintettet, hogy mi történik az adataikkal.
  7. Arra is figyelni kell, hogy csak olyan adatokat, tároljunk, amire valóban szükség van, és csak addig, amíg szükséges! Tehát ki kell alakítani annak a rendszerét, hogy az adatokat hogyan fogjuk karban tartani. (Pl. törölni azokat az adatokat, amelyeket már megvalósult célok érdekében gyűjtöttünk).
  8. Figyelni és regisztrálni kell mindent, ami az adatokkal történik. Ha a legkisebb gyanú is felmerül, hogy az adatok rossz kézbe kerültek, azt be kell jelenteni az erre létrejövő hatóságnak.

Hogy mit jelent mindez a gyakorlatban, milyen teendői lesznek a vállalkozóknak, azt a későbbiekben szakértő segítségével mutatjuk be Önöknek. Egyelőre csak azt írjuk le, miről van szó, mit írnak elő az adatvédelmi szabályok általánosságban.

Miért van szükség minderre?

Mindenütt azt halljuk, hogy május 25-től minden vállalkozásnak kötelező teljes egészében megfelelni az új szabályoknak. Aki ezt nem teszi, azt azonnal, figyelmeztetés nélkül milliókra fogják bírságolni.  

Van igazság ebben a riogatásban, de azért nem ennyire szörnyű a helyzet. Itt nem lesznek kamerák, mint az útdíjat ellenőrző pontokon, és nincs automatikusan érkező bírságcsekk sem. Az viszont tény, hogy türelmi idő már nincs, májustól a szabályokat alkalmazni kell. Az ellenőrzéssel foglalkozó hatóság nagyon sok új embert vesz fel. Ők már nem csak a adatokkal való visszaélésekkel kapcsolatos bejelentéseket fogják vizsgálni, hanem a vállalkozások ellenőrizése is a feladatuk lesz.

Minden vállalkozásra vonatkozik

Az adatkezeléssel kapcsolatos szabályokat minden vállalkozásnak be kell tartania, mely emberek személyes adatait kezeli, bármilyen módon teszi azt. Személyes adat minden információ, ami az emberrel kapcsolatba hozható:

–       név, lakcím, értesítési cím, bármilyen azonosítószám (Pl. igazolványszámok, adószám, TAJ szám, vagy bármilyen más azonosító),

–       ujjlenyomatok, fényképek,

–       email cím és egyéb online azonosító, helymeghatározási adatok (GPS vagy IP cím),

–       bármilyen testi, szellemi, genetikai információ,

–       banki, pénzügyi információk,

–       gazdasági, közösségi adatok stb.

Ennek tükrében azt kell mondanunk, hogy ha egy vállalkozás működik, akkor már adatokat kezel. Vannak ügyfelei, alkalmazottai, partnerei, akiknek gyűjti, rendszerezi és használja a személyes adatait. Egy egyéni vállalkozóként dolgozó vízszerelőre is vonatkoznak a szabályok, aki kockás füzetbe írja az ügyfelei nevét és elérhetőségét.

Nem bújhat ki az adatkezeléssel kapcsolatos szabályok alkalmazása alól az a vállalkozás sem, mely kizárólag más vállalkozásokkal áll üzleti kapcsolatban. Ebben az esetben is kerülnek hozzá személyes adatok: üzletkötők, kapcsolattartók adatai. Hiszen nem gépekkel, hanem emberekkel kötünk üzletet.

Sok olyan vállalkozó kezel adatot, aki talán nem is gondolja, hogy a rendelet szabályai rá is vonatkoznak. Például egy társasház közös képviselője tucatnyi ponton érintkezik adatkezelési kérdésekkel: személyes információk tömege jut el hozzá, beleértve pénzügyi adatokat is.

Újdonság: közös uniós adatvédelmi rendelet

Az adatkezeléssel kapcsolatos kérdéseket mindeddig hazai törvények szabályozták. A törvények betartása fölött pedig az adatvédelmi hatóság őrködött. (Ez ma a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság). Volt ugyan egy közös európai irányelv, de minden ország szabadon döntött arról, hogy milyen adatvédelmi szabályokat alkalmaz.

Május 25-én azonban életbe lép egy új, európai uniós adatvédelmi rendelet. Ez a rendelet a GDPR rövidítéssel vált ismertté. A rövidítés a General Data Protection Regulation, azaz az Általános Adatvédelmi Rendelet kifejezést takarja.

A GDPR megalkotói gondoskodtak arról is, hogy kellő súlya legyen az elvárt intézkedéseknek. Eurómilliókra büntethetők azok a cégek, melyek nem tartják be az előírásokat. Súlyos jogsértés esetén a legnagyobb kiróható bírság 20 millió euró, vagy az éves teljes árbevétel 4 százaléka lehet (amelyik a kettő közül magasabb).

Türelmi idő nincs, májustól minden szabályt élesben azonnal alkalmazni kell. Volt felkészülési idő, hiszen a rendeletet még 2016-ban hozták, azóta meg lehetett ismerni az előírásait. Számunkra külön nehézség, hogy a felkészülést nem csak a vállalkozások mulasztották el. A mai napig nem születtek meg azok a hazai rendeletek, melyek a magyar jogrendhez igazítják a GPDR szabályait. Az uniós rendelet például lehetőséget adna arra, hogy a kisvállalkozásoknak egyszerűbb előírásokat kelljen betartaniuk. A magyar kormány nem hozott ilyen könnyítést, nem élt eddig a lehetőséggel.

A GDPR miatt egy sor törvényt is módosítani kell, kezdve a Munka törvénykönyvével. Ezek sem történtek meg eddig, még csak be sem terjesztették a módosításokat a Parlamentnek. Nagyon valószínű, hogy a választások miatt májusig nem is születnek meg a szükséges törvények.

Ezért van szükség az új szabályokra

A cél, hogy megvédjék a magánszemélyek adatait. A hozzájárulásunk nélkül senki ne kezelhesse, tárolhassa, ne használhassa fel az adatainkat.

Az adatok felhasználásával kapcsolatos lehetőségek ma már szinte korlátlanok, s az emberek teljesen védtelenek ezekkel a lehetőségekkel szemben. Képzelje csak el: Ön bead egy pályázatot, és elmegy egy állásinterjúra. Ott azzal szembesül, hogy mindent tudnak az életéről. Meg sem kell szólalnia. Nem csak a képzettségét és az iskoláit ismerik, de a politikai véleményét, a családi viszonyait, az egészségügyi állapotát és azt is, hogy merre járt nyaralni az elmúlt években. Mindezt összegyűjtik a közösségi oldalakról és más adatbázisokból. Valahol egyszer megadta az adatait, a leendő munkáltatója pedig megvásárolta azt az adatbázist.

Miért nehéz megfelelni az új szabályoknak?

A GDPR nem ír le egyértelmű kötelezettségeket. Senkinek nem írja elő, hogy ezt vagy azt kell tennie. A jogszabályt értelmezve ezért mi sem tudunk egyértelmű lépéseket javasolni, hogy ha ezeket az intézkedéseket egymás után megvalósítja, akkor meg fog felelni az elvárásoknak. Nincs egy mindenki által használható ellenőrző lista.

GDPR - A személyes adatok védelme minden más érdekkel szemben előnyt élvez

A személyes adatok kezelésére vonatkozó alapelvek

A GDPR elsősorban nem intézkedéseket tartalmaz, hanem elvárásokat és alapelveket. Leírja, hogy milyennek kell lennie az adatkezelésnek, milyen elveknek kell a helyi gyakorlatnak megfelelnie. Aztán minden vállalkozásnak saját magának kell megvizsgálnia a saját működését, hogy meg tudja határozni a szükséges intézkedéseket.

Melyek az adatkezelési alapelvek?

–       Az adatokat jogszerűen és tisztességesen kell kezelni, az érintettek számára átlátható módon

–       Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A gyűjtött adatokat csak arra a célra használják fel, amire gyűjtötték őket.

–       Adattakarékosság elve. Csak annyi adatot szabad bárkiről is összegyűjteni, amennyire valóban szükség van az adott cél eléréséhez.

–       Pontosság és naprakészség. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a pontatlan adatot töröljék, vagy javítsák.

–       Korlátozott tárolhatóság. A személyes adatokat csak annyi ideig szabad tárolni, amennyi ideig arra valóban szükség van.

–       Az adatok sérthetetlensége és bizalmas jellege. Törekedni kell arra, hogy az adatok biztonságban legyenek, jogosulatlanul senki ne tudjon hozzáférni, ne tudja azokat módosítani, ne veszhessenek el, vagy ne lehessen azokat véletlenül károsítani. Ennek érdekében megfelelő intézkedéseket kell hozni.

–       Elszámoltathatóság. Az adatkezelő felelős azért, hogy a vállalkozás betartsa ezeket az alapelveket.

Az elszámoltathatóság konkrétan azt jelenti, hogy az adatkezelés minden egyes lépését dokumentálni kell, be kell szerezni az érintettek hozzájárulásait. Méghozzá úgy kell hozzájárulniuk az adatkezeléshez, hogy azt a vállalkozó később a hatóság előtt is igazolni tudja. Bárkinek bármilyen adata kerül be egy vállalkozás nyilvántartásába, arról világosan ki kell derülnie, hogy ki, mikor, milyen felhatalmazást adott annak a kezelésére. A lényeg, hogy nem elég megfelelni egy előírásnak, hanem írásban is dokumentálni kell ezt a megfelelést. Arról is kellenek dokumentumok, ha valami nem vonatozik a vállalkozásunkra.

Egy ellenőrzés során ugyanis nem a hatóságnak kell majd azt bizonyítania, hogy jogsértés történt. A vállalkozónak kell bemutatnia azokat a leírásokat, szabályzatokat, tájékoztatókat, melyekkel igazolható, hogy adatkezelése megfelel a fenti alapelveknek.

Egy ártatlannak tűnő példa jól megvilágítja ezt a helyzetet. Bármelyik vállalkozásnál előfordulhat, hogy meghirdetnek egy álláshelyet, melyre sokan jelentkeznek. Az állást betöltik, a cégvezető pedig elteszi a többi jelentkező önéletrajzát, hogy később elérje őket, ha szükség lenne még új emberekre.

Ezzel máris megsértett több alapelvet is, s megvalósította a jogellenes adatkezelést:

–     megsértette az átláthatóság elvét, mert az érintettek nem értesültek arról, hogy személyes adataikat a lezárt pályázat után is tárolni és használni fogják

–     és megsértette a korlátozott tárolhatóság elvét is, mert a szükségesnél lényegesen hosszabb ideig tárolta a jelentkezők személyes adatait.

Adatvédelmi tisztviselő

A vállalkozások egy részének úgynevezett  adatvédelmi tisztviselőt kell kijelölnie. Mindenbe belenézhet, véleményezhet, az lesz a dolga, hogy feltárja az adatkezeléssel kapcsolatos hibákat. Szerencsére nem lesz mindenhol kötelező ilyen szakember alkalmazása, csak meghatározott esetekben.

Adatvédelmi tisztviselőt a következő esetekben kötelező kijelölni:

–     ha az adatkezelést valamilyen hatóság, vagy közfeladatot ellátó szervezet végzi. Ilyen közfeladatot ellátó szervezet például a helyi vízmű, az elektromos szolgáltató, vagy a helyi tömegközlekedési szolgáltató.

–    Ha a cég fő tevékenysége szükségessé teszi az érintettek rendszeres, nagy mértékű megfigyelését. Például ide tartozik egy biztonsági cég, mely kamerarendszereket üzemeltet áruházakban vagy vállalkozásoknál.

–    Ha a szervezet fő tevékenysége különleges személyes adatok nagy számban történő kezelését teszi szükségessé (különleges adat például az egészségügyi adat is). Ilyenek például a kórházak. Egy önállóan dolgozó foglakozás-egészségügyi orvosra viszont még nem vonatkozik ez a szabály, hiszen ő csak a saját praxisához tartozó dolgozók adatait kezeli és ez nem tekinthető nagy mennyiségűnek.

Kisebb vállalkozásoknak nem kell adatvédelmi tisztviselőt foglalkoztatniuk. Viszont ezt saját maguknak kell bizonyítaniuk. Azaz az adatvédelmi szabályzatukban le kell írniuk, hogy milyen érvek alapján jutottak arra a következtetésre, hogy nem lesz szükségük ilyen szakember közreműködésére.

Előzetes felmérés, szabályzatok és az adatkezelések nyilvántartása

Az adatkezeléssel kapcsolatos feladatok legnagyobb része egy vállalkozásnál e három tennivaló körül sűrűsödik:

–       átvilágítás, az adatkezelési feladatok felmérése

–       megfelelő szabályzatok, tájékoztatók létrehozása

–       az adatkezelési folyamatok és események pontos nyilvántartása.

Az előzetes vizsgálat során fel kell mérni, át kell gondolni minden adatkezeléssel kapcsolatos tevékenységet a vállalkozásnál. Kinél, milyen adat keletkezik, hol kérik el, hol gyűjtik magánszemélyek adatait? Ezek hova kerülnek, ki férhet hozzájuk, ki dolgozik velük?

Itt minden apróságnak jelentősége lehet. Visszatérve a már említett példához: hogyan történik a cégnél a munkaerő felvételének a folyamata? Meddig tárolják a beküldött önéletrajzokat? Elteszik-e a nem nyertes jelentkezéseket, hogy később azok az emberek esetleg behívhatók legyenek újra?

Egyre több vállalkozás alkalmaz valamilyen külső segítőt a munkaerő-felvételhez. Például egy olyan szakértő céget, mely teszteket végeztet a jelentkezőkkel. Tisztázásra szorul az ő szerepük is, hogy milyen felhatalmazás alapján, kihez, milyen adat kerülhet? És így tovább, egyesével megvizsgálva minden olyan esetet, amikor a munkavégzés bármely pontján egy magánszemély személyes információi adatbázisba kerülhetnek (a személyes adatokról készül valamilyen lista, vagy csoportosítás).  

Szabályzatok, tájékoztatók

A fő elvárás az, hogy a magánszemélyek minden tájékoztatást megkapjanak arról, hogy mi történik az adataikkal:

–       mit gyűjtenek róluk

–       milyen célból gyűjtik az adatokat

–       ki fér hozzá az adatokhoz

–       mi az eljárás, ha valamit helyesbíttetni vagy töröltetni akarunk

–       ki kap értesítést és hogyan az adatok módosításáról, törléséről

–       hogyan kaphatok teljes képet a kezelt adataimról (köteles a vállalkozás a tárolt adatok exportjának lehetőségét biztosítani)

–       milyen módon tudok tiltakozni az adatkezelés ellen, mik a jogorvoslati lehetőségeim?

A vállalkozás adatkezelési szabályzatának a fentieken túl ki kell térnie arra is, hogy milyen intézkedéseket hoznak az adatok védelme érdekében. Mi biztosítja, hogy ne férjenek hozzá illetéktelenek és ne sérülhessenek meg a tárolt adatok?

Adatkezelések nyilvántartása

Korábban az adatkezelést be kellett jelenteni a hatósághoz és nyilvántartási számot kellett kérni mindenkinek, aki adatkezeléssel foglalkozott. Ez májustól nem szükséges. Viszont minden vállalkozásnak nyilvántartást kell vezetnie a kezelt adatokról.

Részletes nyilvántartást elvileg csak a 250 főnél többet foglalkoztató cégeknél kell vezetni, de ennyire azért nem könnyű mentesülni a szabály alól. Az ennél kevesebb embert foglalkoztató cégeknél is kell ilyen nyilvántartás, ha az adatkezelésük

  • rendszeres, nem alkalmi jellegű
  • különleges adatot érint (pl. egészségügyi adatok, vallásra, politikai nézetre, szexuális beállítottságra, büntetett előéletre vonatkozó adatok, kiskorúakat érintő adatkezelés stb.)
  • az érintettek jogaira valószínűsíthető kockázattal jár (Magas a kockázatot jelenthet pl. az, ha az adatkezelés

– sok ember adatait érinti

– a gyűjtött adatok befolyásolják az illető későbbi sorsát

– sokan hozzáférhetnek az adathoz stb.

Egy autóbuszos vállalkozásnak például ettől az évtől figyelnie kell arra, hogy melyik sofőr szenved alvászavarban. Iskolai csoportot csak az vihet külföldre, aki igazolni tudja, hogy nincs ilyen problémája. Ez egy egészségügyi információ, ami érzékeny, különleges adatnak számít. Tehát a vállalkozás máris köteles az adatkezelési nyilvántartás vezetésére.

Egy ilyen nyilvántartásnak minden folyamat leírását tartalmaznia kell, ami csak az adat felhasználását érinti. Részletesen le kell írni mindent:

–       mit gyűjtenek, milyen céllal, meddig fogják tárolni az adatokat,

–       milyen programokkal dolgozzák fel az adatokat,

–       kinek továbbítják feldolgozásra, ki fogja tárolni,

–       ki férhet hozzá stb.

Egy költöztetést végző cég például gyűjti azoknak az elérhetőségét, akiket költöztettek. Ajánlást kérnek tőlük, meg néha kapnak egy reklámlevelet, hogy szükség esetén eszükbe jusson ez a vállalkozó. Ez is adatkezelés, melynek le kell írni minden egyes mozzanatát:

–     hogyan adják meg az ügyfelek az adataikat, hogyan járulnak hozzá az adatkezeléshez? Kitöltenek egy űrlapot, vagy csak szóban adnak engedélyt a megkeresésre?

–    Milyen adatbázisba kerülnek az így gyűjtött címek? Milyen programot használnak ehhez?

–    Ki jogosult hozzáférni az ügyfelek adatbázisához? Ki jogosult csak megnézni az adatokat, és ki az, aki változtathat is rajtuk?

–    Milyen tájékoztatást kapnak minderről az ügyfelek?

–    A reklámleveleket például egy külsős marketinges vállalkozó írja meg és postázza. Akkor ez már egy újabb cég, mely adatfeldolgozóként részt vesz a folyamatban. Külön meg kell nevezni, szerepeltetni kell a tájékoztatókban is. Hiszen az ügyfélnek joga van tudni, hogy az X Költöztető Kft. mellett az ABC Reklámiroda Bt. is hozzájut a lakcíméhez és a beköltözése időpontjához.

Miért van erre a sok bonyolult papírmunkára szükség? Azért, mert ha nincs ellenőrzés, akkor a költöztető cég például el is adhatná az adatokat. Remek lista van a kezében olyan emberekről, akik most költöztek új otthonba. Aranyat érhet számos vállalkozó számára. De a költöztetést megrendelő ügyfél biztosan nem arra ad felhatalmazást, hogy festők, lakberendezők, biztosítási ügynökök és telefonos szolgáltatók árasszák el ajánlataikkal. Tehát joga van tudni és ellenőrizni, hogy a költöztető cég hogyan bánik az adataival.

Biztosak vagyunk abban, hogy az adatvédelmi rendelet hosszú időre szóló feladatot ad minden vállalkozás számára a legnagyobbaktól a legkisebb egyéni vállalkozásig. Rákényszerít minket, hogy minden lépésünket alaposan gondoljuk át, és ha szükséges, hozzunk egyértelmű szabályokat az adatok védelme érdekében.

Hozzászólások

comments