Számos fórumon folyamatosan felmerülő téma az új uniós rendelet az adatvédelemről, melynek megfelelően 2018. május 25-től gyökeresen új szabályokat kell alkalmazni az adatkezelésekre. Az Európai Unió Általános Adatvédelmi rendelete közvetlenül határoz meg ettől az időponttól  új egységes uniós szabályokat, és kiegészítésképpen, – abban a körben amelyben az Általános Adatvédelmi Rendelet („GDPR”) nem tartalmaz szabályozást, módosított tartalommal kell majd a jelenlegi magyar törvényt alkalmazni (ez a törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, az „Info törvény”).

Ennek megfelelően az érintett vállalkozásoknak rendelkezniük kell saját adatvédelmi szabályzattal!

Amennyiben még nem állnak készen ennek teljesítésére, kérem olvassák el tájékoztatónkat, és mihamarabb vegyék fel a kapcsolatot jogi ill. informatikai szakértőikkel.

Ajánlanánk még az interneten elérhető szabályzat-mintákat, melyek kedvező áron elég jól adaptálható megoldást jelentenek a szabályzat gyors elkészítéséhez.

 

Kire vonatkozik a rendelet? 

A rendelet mindenkire vonatkozik, aki az EU-n belül személyes adatokat kezel – azaz rögzít, tárol, használ, vagy továbbít – magánszemélyként, vállalkozásként, vagy civil szervezetként. Továbbá vonatkozik azokra is, akik az EU-n belül tartózkodó személyeknek nyújt szolgáltatást, még akkor is, ha EU-n kívül folyik a tevékenység. Fontos megjegyeznünk, hogy a rendelet nem vonatkozik azokra, akik kizárólag vállalkozások adatait kezelik.

A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így ha egy vállalkozás vagy szervezet életében ezek védelme nem kap kiemelt szerepet, komoly veszélyek fenyegethetik nemcsak az ügyfeleket, de magát a céget is. Éppen ezért vezetik be május 25-től a GDPR-t, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait.

Az első és legfontosabb, amit tudnunk kell, az, hogy mit akarunk megvédeni. Fel kell mérni, hogy milyen személyes adatokat kezel a cég, milyen folyamatokban játszanak szerepet, ki fér hozzájuk, hol és milyen formában tárolódnak – a GDPR a papír alapú adatkezelésre is vonatkozik. Végül pedig tisztában kell lenni azzal, mennyi ideig kell ezeket megőrizni.

 

Az adat és az adatkezelés fogalma

Működése során minden vállalat rengeteg személyes adatot kezel, akkor is, ha ügyfelekkel (természetes személyekkel) nem kerül közvetlen kapcsolatban. Tipikus adatkezelési tevékenységek: a társaság honlapjának az üzemeltetése, a munkavállalók adatainak kezelése vagy a gazdasági társaság üzletfelei munkatársainak a személyes adatai (kapcsolattartási adatok például).

A személyes adat fogalma nagyon tág, bármely információ személyes adatnak minősül, amelyből következtetést lehet levonni az érintett személyére szokásaira. Személyes adat tehát a név, a lakcím, a telefonszám, az e-mail cím, de akár az arckép is.

A tevékenysége során a vállalkozások tehát rengeteg adatot kezelnek. Adatkezelésnek tekinthető a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett „bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”.  Minden olyan cselekmény adatkezelés tehát, amelynek nyomán személyes adat keletkezik, megváltozik vagy megsemmisül, adatkezelés továbbá az adatok tárolása illetőleg a továbbítása. Tipikusan adatkezelés lehet valamely adatnak számítógépes programból történő lehívása vagy lemásolása. Az adatkezelés ún. veszélyes üzemi tevékenység, azaz csak nagyon kivételes körben mentesülhet az adatkezelést végző vállalkozás a jogellenesen okozott károk megtérítése alól.

Azok a részfeladatok, amelyekkel további vállalatok az adatkezelő munkáját segítik (például a tárhelyszolgáltatók, hírlevél küldők, vagy akár a futárok) az ún. adatfeldolgozók. Az új szabályok azt vezetik be, hogy az adatfeldolgozó hibájáért (például a futár rossz címre kézbesíti a küldeményt, vagy a promóciós játékot szervező ügynökség weboldalát hacker támadás éri) is az adatkezelő vonható felelősségre.

A tisztességes és jogszerű adatkezelés feltételei

Minden adatkezelési tevékenység esetében a legfontosabb elvárás az, hogy az adatkezelő tudatában legyen az adatkezelés alapinformációiról (milyen adatot, milyen célból és mennyi ideig kezel / tárol). Ezeket az alapinformációkat belső nyilvántartásban kell rögzíteni (a hatósági nyilvántartás 2018 májusától megszűnik). A belső nyilvánosságot bármikor számon kérheti a hatóság (ezt hívják elszámoltathatóságnak), illetőleg bármely természetes személy, akinek az adatát kezelik. A tájékoztatás legtöbbször az ún. adatvédelmi szabályzattal valósul meg, de bármilyen más formája is lehet.

Minden egyes adat (adatkategória) esetében meg kell tudni jelölni az adatkezelés célját (ennek tisztességesnek és az adatkezeléssel arányos mértékűnek kell lennie). A cél mellett meg kell tudni határozni az adatkezelés jogalapját is, vagyis azt a viszonyrendszert, ami meghatározza, hogy miért kezeli az adatkezelő az adatot. A jogalap kizárólag hatféle lehet, amelyek közül a piaci adatkezelők számára mindössze négy releváns. Jogalap lehet (és legtöbb esetben ez szolgál az adatkezelés alapjául): szerződés, vagy azt megelőző tevékenység (például ajánlattétel, álláspályázat), az érintett hozzájárulása, jogi kötelezettség teljesítése (tipikusan például a munkáltatói adattárolások és adatszolgáltatások) illetőleg az érdekmérlegelés. Az érdekmérlegelés azt jelenti, hogy hozzájárulás vagy szerződés nélkül is lehet jogszerűen személyes adatot kezelni, ha az adatkezelő bizonyítja, hogy valamely jogos érdekének gyakorlásához az adatkezelés feltétlenül szükséges volt (tipikusan ilyen lehet valamely követelés érdekében tett lépés a követelés behajtására, vagy a biztonsági érdekből végzett megfigyelések).

Amennyiben megfelelő jogalapja és célja van az adatkezelésnek, további fontos alapelveket kell betartani, ezek közül három nagyon fontos van: adatbiztonsági követelményeket kell teljesíteni, az adatok pontosságát és jó minőségét kell fenntartani (például, ha az ügyfél címe megváltozik, a módosított címet kell tárolni és a régit törölni kell), illetve az érintettek számára biztosítani kell, hogy a jogaikat megfelelően és könnyen tudják gyakorolni.

Az érintettek jogai

A legkiemeltebben az érintettek jogait szabályozza az új jogszabály, bármilyen ezzel kapcsolatos jogsértés a legsúlyosabb kategóriába tartozik (legmagasabb bírságokat ebben a körben lehet kiszabni).

Az érintettek jogai: a folyamatos tájékoztatáskérés, az adat megváltoztatásának joga. Az érintett kérheti továbbá az adatainak törlését (elfeledtetéshez való jogként lett híres ez a jogosultság). A törlési kérelem azonban csak azokra az adatokra vonatkozhat, amelynek az érintett hozzájárulása a jogalapja, a jogi kötelezettség tejesítése érdekében (például számlaadatok), vagy az érdekmérlegelés alapján kezelt adatok (ügyfélszolgálati hangfelvétel vagy kamerafelvétel) esetében törlés nem kérhető.

További érintetti jog a megismerés és a hozzáférés, sőt, egyes esetekben az érintett kérheti az adatainak a hordozhatóságát is biztosítani (például, ha igénybe vett egy szolgáltatást, kérheti, hogy az ezzel kapcsolatosan keletkezett összes adatot egy versenytárs részére adjon át a vállalkozás). Az adathordozhatóság joga, akárcsak a törlés joga nem korlátlan, bonyolult és körültekintő vizsgálat szükséges mielőtt ezeket a kéréseket az adatkezelő teljesítené, hiszen az adatvesztés vagy az adat versenytárs számára történő előadása önmagában is okoz üzleti károkat.