GDPR adatvédelem cégeknek. Vállalkozásokat, gazdálkodó szervezeteket is érintő jelentős változásokat hozott az adatvédelmi szabályozás hazánkban. Tekintettel arra, hogy az Európai Parlament és Tanács 2016. április 27-én elfogadta az új adatvédelmi rendeletet (2016/679. rendelet – GRPR – General Data Protection Regulation) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). A 2018. május 25. napjától alkalmazandó szabályozás Magyarországon is jelentős változásokat hozott.
GDPR adatvédelem cégeknek – Miben érinti az új adatvédelmi rendelet a vállalkozásomat?
Amennyiben az Ön cége, vállalkozása személyes adatokat kezel (pl. a természetes személyek nevét, lakcímét, tartózkodási helyét, online azonosító kódjait), úgy az Ön cégére is vonatkoznak a kötelező adatvédelmi szabályok. Ez még fokozottabban igaz, ha cége különleges személyes adatot (is) kezel. Ez utóbbi körbe tartoznak az érintett egészségügyi adatai, a nemzeti, és kulturális hovatartozása, a világnézetére/vallási nézeteire vonatkozó adatai is. Kiemelendő szempont, hogy egy vállalkozás a munkavállalói adatait is kezeli, így nem tudja kivonni magát a rendelet hatálya alól. Ennél fogva a munkaszerződéseket, egyes munkaügyi szabályzatokat adatvédelmi szempontból is át kell vizsgálni.
Az adatkezelés további gyakori formája a vállalkozás vásárlóinak személyes adatait érintő adatkezelés. Például oly módon történik, hogy a webáruházat működtető vállalkozás honlapján megjelenített űrlapon keresztül leadott rendelések útján megszerzi a személyes adatokat. Erre tekintettel adatvédelmi szabályzatot kell szerepeltetnie a honlapon. Amennyiben a vállalkozás promóciós célból, nyereményjátékok szervezése során kezel adatot, arra az esetre is alkalmazni kell az adatvédelmi rendelkezéseket. Az adatkezeléssel érintett személyeket ez esetben is megfelelően tájékoztatni kell. Magyarországon az adatvédelmi rendelkezések betartásának ellenőrzése és felügyelete a Nemzeti Adatvédelmi és Információszabadság (NAIH; a továbbiakban Hatóság) hatáskörébe tartozik. A Hatóság határozatai ellen a magyar bíróságok előtt lehet jogorvoslattal élni.
GDPR adatvédelem cégeknek – Milyen szankcióra lehet számítani a rendelkezések be nem tartása esetén?
A Rendelet 2018. május 25. napjától lehetővé teszi akár 20.000.000 EUR összegű vagy a vállalkozás éves bevételének 4%-ának megfelelő összegű adatvédelmi bírság kiszabását a jogsértés esetére. A bírság maximum attól függően, hogy e kettő közül melyik a magasabb összeg. Látható, hogy a korábban kiszabható maximum húszmillió forintos bírsághoz képest ez jóval magasabb összeg is lehet.
GDPR adatvédelem cégeknek – Melyek a vállalkozásokkal szemben támasztott követelmények?
A legfontosabb változások közé tartozik, hogy a felhasználóknak (természetes személyeknek) sokkal szélesebb körben kell biztosítani az ellenőrzés és a felhasználás követhetőségének lehetőségét. Minden adatkezelő köteles biztosítani annak lehetőségét a természetes személy érintett számára, hogy betekinthessen a róla olvasható formában tárolt személyes adataiba. Köteles biztosítani azt is, hogy az érintett a tárolt személyes adatainak módosítását, törlését kérhesse.
Továbbra is alapvető szempont hogy az adatkezelés mindig célhoz kötött legyen. Az adatkezelő személyének meghatározásán túl az adatvédelmi tájékoztatóban az adatkezelés célját és jogalapját is világosan, érhetően, tömören és pontosan szükséges megjelölni. A betekintés során azt is biztosítani kell, hogy az érintett személy kizárólag a saját adatait láthassa.
Lehetővé kell tenni, hogy az érintett kérhesse az adatainak javítását, törlését. Ezen felül a jövőre tekintettel az érintett az adatkezeléshez korábban megadott hozzájárulását is visszavonhatja. Törlési kérelem esetében különös figyelemmel kell lenni arra, hogy az adatok minden informatikai eszközről visszaállíthatatlanul törlésre kerüljenek.
Milyen módon tud a vállalkozás eleget tenni a szigorúbb jogszabályi követelményeknek? Mi a teendő?
Ahhoz, hogy az adatvédelmi kritériumoknak megfeleljen a vállalkozás először is ajánlott egy részletes, minden releváns tényre és körülményre kiterjedő listát készíteni, amely a cég szempontjából tartalmazza a szükséges tennivalókat. Ennek során a kiindulási pont, hogy a cég (vállalkozás) milyen adatkezelési tevékenységeket folytat. Ehhez képest határozható meg pontosan, hogy a személyes adatok mely köre (mely típusai) került/kerültek eddig a cég, mint adatkezelő birtokába. Fel kell mérni azt is, hogy a jövőben a kezelt adatok köre adott esetben hogyan fog változni előre láthatólag.
A cselekvési tervnek az adatvédelem minden szintjét le kell fednie, oly módon, hogy az adatok egyes csoportjai vonatkozásában fel kell mérni az adatkezelés kockázatait. A kockázatokban megfelelő infrastruktúra fejlesztéseket el kell végezni. Belső szabályzatokat kell alkotni, illetve aktualizálni, valamint a jogszabály-változásokkal összhangba kell hozni az adatvédelmi tájékoztatókat és azokat a cég (vállalkozás) honlapján közzé kell tenni.
A Nemzeti Adatvédelmi és Információszabadság Hatóság weblapján található egy jól használható összefoglaló. Ez segítséget nyújthat a rendelet alkalmazására való felkészülésben a vállalkozások számára. Az összefoglalót a következő linken érheti el: A-GDPR-egyszeruen-kis-es-kozepvallalkozasok-szamara.pdf (naih.hu)
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Adatkezelésre vonatkozó jogi tanácsadással vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára. Adatvédelmi szabályzatok és tájékoztatók elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. A Nemzeti Adatvédelmi és Információszabadság Hatósághoz állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk. Keressen bizalommal elérhetőségeinken.
Frissítve: 2023.11.06.