Az általános adatvédelmi rendelet (GDPR) 2018. május 25-én lépett hatályba.

Az alábbiakban szeretném összefoglalni, hogy egy kis- vagy középvállalkozás hogyan tud a GDPR rendelkezéseinek megfelelni.
A legtöbb kis- és közepes vállalkozásnak nincs olyan sok dolga, mint ahogyan ezt a szolgáltatásaikat eladni kívánó tanácsadó cégek állítják.
Egyrészt fontos rögzíteni, hogy bár a kiszabható bírságok valóban igen magasak lehetnek, a GDPR ellenőrzése feltételezetően nem a vállalkozások szisztematikus átvilágítását jelenti majd, hanem elsősorban panasz alapján kerülhet majd vizsgálat alá egy-egy vállalkozás.

Érintettek köre

Uniós rendelet lévén a GDPR az EU-hoz valamilyen oknál fogva kapcsolódó adatkezelésekre állapít meg rendelkezéseket. Így alkalmazni kell a GDPR-t, ha Ön, vagy a vállalkozása/cége tevékenységét az Unió területén fejti ki, és az adatkezelés e tevékenységével összefüggésben valósul meg. Ugyanakkor a GDPR továbbmegy ennél: alkalmazandó ugyanis azokra az adatkezelésekre, adatfeldolgozási műveletekre is, amelyeket az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó végez, ám áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, vagy az érintettek Unió területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódnak.

A lényeg az adatkezelés mikéntjén van és nem az üzleti tevékenységen vagy a vállalkozási formán – néhány speciális esetet leszámítva. Mindig számba kell venni a kezelt adatok körét, az adatkezeléssel érintettek körét, és az őket egy esetleges adatvédelmi jogsértés esetén fenyegető kockázatokat. Mindennek meghatározása az adatkezelő feladata és felelőssége, és a jó megoldás esetről esetre változik. Éppen ezért szükséges egy adatvédelmi hatásvizsgálat lefolytatása az adatkezelés megkezdése elején, de még inkább előtte.

Nem mindegy, hogy webáruházat üzemeltet, nyomon követi e terméket, e-commerce vagy cloud alapú rendszerként üzemel, van e direkt marketing és hírlevél kiküldés, megjelenik e hirdetés a weboldalon, statisztika készül-e, van e együttműködés közösségi oldalakkal.

Milyen dokumentumokra van tehát szükség

I. Nyilvántartások

Első, amit mindenképpen el kell végezni, az egy úgynevezett adatleltár. Számot kell tehát vetni arról és össze kell gyűjteni, hogy az adott vállalkozás a tevékenysége során milyen személyes adatokat kezel. Egy vállalkozás, aki munkavállalókat foglalkoztat, az szükségszerűen kezel személyes adatokat (név, születési hely, idő, béradatok stb.). Ha a vállalkozásnak weboldala van, ahol hírlevélre lehet feliratkozni, webáruházat üzemeltet, akkor az így begyűjtött személyes adatokat tételesen számba kell venni.

Amennyiben megtörtént az adatleltár, úgy el kell készíteni az úgynevezett adatvédelmi nyilvántartást. Ügyvédi irodánk segítséget nyújt az adatleltár közös felvételében és a felvett adatleltár alapján az adatvédelmi nyilvántartás elkészítésében.

Amennyiben az adatkezelő személyes adatokat továbbít, akkor arról mindenképpen kell egy nyilvántartást vezetni.

Ugyancsak szükséges vezetnie az adatkezelőnek egy olyan nyilvántartást, amelyben azon eseményeket regisztrálja, amikor egy felhasználó pl. adattörlést kér, vagy éppen nem kér több hírlevelet.

Fontos, hogy vezetni kell adatvédelmi incidens nyilvántartást is.

Az utóbbi három nyilvántartás formai követelményeire vonatkozóan mintát tudunk készíteni Önök számára, amelyeket Önnek csak a szükséges adatokkal kell majd feltöltenie.

II. Szabályzatok

A vállalkozásnak el kell készítenie adatvédelmi és adatkezelési szabályzatát, amely arra szolgál, hogy a munkavállalóit, ügyfeleit, vásárlóit tájékoztassa, hogy milyen adatok kerülnek kezelésre, és azokat milyen módon védik. Amennyiben a vállalkozás weblapot üzemeltet, a hatályos adatkezelési szabályzatot a weblapon célszerű elhelyezni.

“A GDPR kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő az adatkezelők számára. A 24. cikk (2) bekezdése alapján az adatkezelőnek akkor kell belső adatvédelmi szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos. Ennek a rendelkezésnek az értelmezését a (78) preambulumbekezdés segíti. Ez alapján azt kell tehát az adatkezelőnek mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése. Mindezekre figyelemmel, ha az adatkezelő az adatvédelmi szabályzat elkészítése mellett dönt, úgy a rendelet nem tartalmaz speciális előírást arra vonatkozóan, hogy a szabályzatnak milyen kötelező tartalmi elemei legyenek. Az azonban, hogy a szabályzat alapján kialakított adatkezelési gyakorlat a GDPR-ral összhangban van-e, az adatkezelő (adatfeldolgozó) felelőssége.”

A szabályzat elkészítésére pontos árajánlatot konzultációt követően tudunk adni.

Amennyiben egy vállalkozásnál vannak biztonsági kamerák, azokra el kell készíteni a biztonsági kamera szabályzatot is.

A biztonsági kamera szabályzatot szintén egy kérdőíves információgyűjtést követően tudjuk elkészíteni az Ön vállalkozása számára.

III. Adatvédelmi és adatkezelési tájékoztató és hozzájáruló nyilatkozat, munkaszerződések kiegészítése

A vállalkozásnak el kell készítenie egy rövid adatvédelmi és adatkezelési tájékoztatót is, amely arra szolgál, hogy az érdekelteket röviden és tömören tájékoztassa a kezelt adatok köréről, az adatkezelés jogalapjáról, amely alapján az adatkezeléshez kifejezett hozzájárulásukat adják.

Munkavállalók esetében fontos a már meglévő illetve a jövőbeli alkalmazottak munkaszerződését kiegészíteni a GDPR vonatkozásában.

A tájékoztató és hozzájáruló nyilatkozat elkészítésér, munkaszerződések átnézésére árajánlatot konzultációt követően tudunk adni.

IV. Adatfeldolgozói szerződés

A vállalkozások többségének szüksége lesz adatfeldolgozói szerződésre.

A GDPR 4. cikk 7. pontja határozza meg az adatkezelő fogalmát. A rendelkezés értelmében adatkezelőnek minősül ” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Adatfeldolgozónak minősülhet például egy olyan könyvelő, aki nem a vállalkozás alkalmazásában van, csak a vállalkozás megbízása alapján elvégzi a munkavállalók bejelentését a hatóság felé. Ha ezt a példabeli esetnél maradunk, akkor az adatkezelő (a vállalkozás) és az adatfeldolgozó (könyvelő) között adatfeldolgozói szerződés megkötése szükséges. Adatfeldolgozónak minősülhet a webtárhely szolgáltatója, számlázó program tulajdonosa, nyomda, akinek nyomtatásra átadják a nagy mennyiségű számlalevelet, kiszervezett hírlevél küldés esetén, akire rábízták ezt a tevékenységet, a bankkártyás fizetéshez a szolgáltató, a portaszolgálat, biztonsági szolgálat üzemeltetője, bárki, akinek az adatkezelő átadja az adatokat, feldolgozás céljából.

Az ajánlatunk e körben az Ön számára az, hogy elkészítjük az adatfeldolgozói szerződést egy adott adatkezelővel (pl. könyvelő), amelyet aztán akár Ön is egyszerűen átdolgozhat a további adatkezelők vonatkozásában, de természetesen igény esetén akár minden egyes adatkezelőre elkészítjük a szerződését.

V. Bejelentési kötelezettség megszűnése

Többször vetődött már kérdésként, hogy a GDPR hatályba lépését követően hova kell bejelenteni az adatkezelést. A kérdésre a válasz: nem kell bejelenteni sehova sem az adatkezelést a GDPR alapján.

A jelenleg hatályos Infotv. alapján, a 2011-es hatályba lépésétől az adatkezelőknek az adatvédelmi nyilvántartásukat be kellett (volna) jelenteni. Vagyis a NAIH honlapján keresztül kellett a hatóság irányába bejelenteni, hogy az adott adatkezelő (vállalkozás), milyen adatokat kezel, és azokat milyen jogalapon tette. Az is bejelentés köteles volt, hogy ha a vállalkozás biztonsági kamerákat alkalmazott, vagy ha éppen a munkavállalóinak az adatait kezelte. Ha valaki ezt elmulasztotta, az adatvédelmi bírságra számíthatott. A vállalkozások zöme nem foglalkozott ezekkel a rendelkezésekkel, nem volt nyilvántartási számuk.

Most, hogy hatályba lépett az általános adatvédelmi rendelet (GDPR), sokan kérdezik, hogy a kezelt adatok körét hova és hogyan kell bejelenteni majd. Azonban a GDPR rendelkezései alapján.

NEM kell sehova sem bejelenteni az adatkezelést, se a NAIH-hoz, sem más szervhez.

A NAIH vonatkozó állásfoglalása (NAIH/2018/1034/2/K) így szól:

“Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) értelmében az adatkezelők bejelentései alapján a Hatóság jelenleg valóban nyilvántartást vezet az érintettek tájékozódásának elősegítése érdekében, amelyben fel kell tüntetni az adatkezelésre vonatkozó minden lényeges körülményt (így például az adatkezelés célját, jogalapját, időtartamát). Tájékoztatom, hogy ez a bejelentési kötelezettség május 25. napjától megszűnik, a GDPR ugyanis nem tartalmaz a tagállami felügyeleti hatóságok által vezetendő országos adatvédelmi nyilvántartásra vonatkozó szabályozást.”

VI. Adatvédelmi tisztségviselő

Az adatvédelmi tisztviselő megbízásáról a jelenleg is hatályos Infotv. is rendelkezik, vagy az adatvédelmi tisztviselő nem ismeretlen fogalom. Az Infotv. három esetet határoz meg, mikor kell adatvédelmi tisztviselőt alkalmazni: országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél és adatfeldolgozónál, a pénzügyi szervezeteknél, valamint az elektronikus hírközlési és közüzemi szolgáltatóknál.

Az adatvédelmi tisztviselő körében a GDPR nem hoz sok újdonságot. A GDPR rendelet 37. cikke tartalmazza, hogy mely esetekben kötelező az adatvédelmi tisztviselő alkalmazása:

– az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

– az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

– az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak (pl. faji, etnikai, politikai, stb.) és a 10. cikkben (büntetőjogi felelősség megállapítására vonatkozó határozatok, stb.) említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Figyelemmel arra, hogy a GDPR az adatvédelmi tisztviselő kijelöléséről általánosságokban rendelkezik, így az adatfeldolgozó mérlegelni köteles, hogy az adatvédelmi tisztviselő kijelölésének szükségességéről.

A rendelet az adatvédelmi tisztviselő képzettségére nem ír elő semmit, vagyis nincs szakmai előírás. A rendelet csak annyit határoz meg, hogy az adatvédelmi tisztviselő szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismeretével jelölhető e tisztségre.

A képzettségre vonatkozóan a NAIH is kibocsátott egy állásfoglalást egy erre irányuló kérdésben: “a rendeletben nincs előírva, hogy az adatvédelmi tisztviselőnek milyen végzettséggel kell rendelkezni. Az adatvédelmi tisztviselőt körültekintően, a szervezeten belüli adatvédelmi kérdések megfelelő figyelembevételével kell kiválasztani”.

Fontos megjegyezni, hogy az adatvédelmi tisztviselő utasításokat nem fogadhat el, és kizárólag a felső vezetésnek tartozik felelősséggel munkájával kapcsolatosan. Ugyancsak megjegyzendő, hogy az adatvédelmi tisztviselő nem kell külső cég alkalmazásában állnia, lehet az adatfeldolgozó munkavállalója is, valamint más feladatokat is elláthat. Ebben az esetben a más feladatok ellátásával kapcsolatosan nem lehet összeférhetetlenség.

VII. Bírság

A GDPR rendelkezéseinek megsértése esetén a bírság felső határa 20 millió Euro, vagy a cég teljes világpiaci árbevételének 4%-a.

Azért javasolt mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe.

VIII. Vállalkozással kapcsolatban felmerülő kérdések

Kérjük, hogy az alábbi kérdések és a fentiekben leírtak alapján gondolja át jelenleg hogy működik vállalkozása:

1. Mivel foglalkozik a gazdasági társaság? Neve? Címe? Cégjegyzékszáma?
2. Van-e, volt e ASZF illetve adatvédelmi tájékoztató és szabályzat, nyilatkozat és belső szabályzat korábban?
3. Van-e NAIH szám?
4. Milyen adatokat (név, email, személyes vagy különleges adata) kezel, miket gyűjt, mire használja fel őket, mi az adatkezelés célja?
5. Van – weboldal, webshop, hírlevél, sütik? Ha van saját üzemeltetés vagy alvállalkozónak kiadott?
6. Weboldalon keresztül gyűjtik az adatot vagy egyéb más módokon is?
7. Weboldal tárhelyszolgáltatója ki? Szerver hol található?
8. Hogy működik a fizetés – számlázás a webshopban?
9. Van-e olyan rendezvény amiről fotó vagy videofelvétel készül? Kiteszik – e ezt a weboldalra vagy bármilye közösségi oldalra?
10. Van- e megállapodás a fenti vagy más alvállalkozókkal adatfeldolgozásra vagy adatkezelésre?
11. Adaton kívül van-e más információ, dokumentum (diploma, CV, stb), fotó, video van-e, amit kezelnek, gyűjtenek?
12. Facebook/Twitter/Instagam/Goole+ megjelenést, “like”-ot mérnek e?
13. Hogy és hol tárolják az adatokat?
14. Nyilvántartást vezetnek-e?
15. Munkavállalók és hozzátartózóik személyes és különleges adatait ki és hogyan kezelik? Könyvelőnek hogy adják át?
16. Van-e munkavállalói adatvédelmi tájékoztató? Van-e titoktartási nyilatkozat?
17. Történik e munakhelyen vagy más helyen kamerás megfigyelés a munkavállalókról?
18. Van e olyan egyéb eszköz, módszer amivel  a munkavállalóról vagy egyéb vendégről adatot gyűjtenek? (pl. beléptetés)

Töltse ki a kérdéseket és keressen minket bizalommal.

Rövid szóbeli konzultációt valamint a társaság adatkezelését, szerződéseit érintő átvilágítást követően összegezni tudjuk a szükséges és elkerülhetetlen jogi megoldásokat.