GDPR adatvédelem cégeknek. Vállalkozásokat, gazdálkodó szervezeteket is érintő jelentős változásokat hozott az adatvédelmi szabályozás hazánkban. Tekintettel arra, hogy az Európai Parlament és Tanács 2016. április 27-én elfogadta az új adatvédelmi rendeletet (2016/679. rendelet – GRPR – General Data Protection Regulation) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). A 2018. május 25. napjától alkalmazandó szabályozás Magyarországon is jelentős változásokat hozott.
GDPR adatvédelem cégeknek – Miben érinti az új adatvédelmi rendelet a vállalkozásomat?
Amennyiben az Ön cége, vállalkozása személyes adatokat kezel (pl. a természetes személyek nevét, lakcímét, tartózkodási helyét, online azonosító kódjait, egészségügyi adatait, nemzeti, és kulturális hovatartozását, világnézetére/vallási nézeteire vonatkozó adatot), annyiban az Ön cégére is vonatkozik és kötelezően alkalmazandó a rendelet. Kiemelendő szempont, hogy egy vállalkozás a munkavállalói adatait is kezeli, így nem tudja kivonni magát a rendelet hatálya alól, ezért a munkaszerződéseket adatvédelmi szempontból is át kell vizsgálni.
Az adatkezelés további gyakori formája a vállalkozás vásárlóinak személyes adatait érintő adatkezelés, például oly módon, hogy a webáruházat működtető vállalkozás honlapján megjelenített űrlapon keresztül leadott rendelések útján a vállalkozás megszerzi a személyes adatokat, amelyekre tekintettel adatvédelmi szabályzatot kell szerepeltetni a honlapon. Amennyiben a vállalkozás promóciós célból, nyereményjátékok szervezése során kezel adatot, arra az esetre is alkalmazni kell az adatvédelmi rendelkezéseket és az érintett személyeket ez esetben is megfelelően tájékoztatni kell. Magyarországon a rendelkezések betartásának ellenőrzése és felügyelete a Nemzeti Adatvédelmi és Információszabadság (NAIH; a továbbiakban Hatóság) hatáskörébe tartozik, amely a rendelet hatálybalépését követően is megmarad. A Hatódás határozatai ellen tagállami bíróságok előtt lehet majd jogorvoslattal élni.
Milyen szankcióra lehet számítani a rendelkezések be nem tartása esetén?
A jelenleg hatályos adatvédelmi szabályok alapján is fennáll a vállalkozás adatvédelemre és tájékoztatásra vonatkozó kötelezettsége, azonban a jogalkotó 2018. május 25. napjától lehetőveé teszi akár 20.000.000 EUR összegű vagy a vállalkozás éves bevételének 4%-ának megfelelő összegű adatvédelmi bírság kiszabását a jogsértés esetére, attól függően, hogy melyik a magasabb összeg. Látható, hogy a jelenleg kiszabható maximum húszmillió forintos bírsághoz képest ez jóval magasabb összeg is lehet.
Melyek a vállalkozásokkal szemben támasztott követelmények?
A legfontosabb változások közé tartozik, hogy a felhasználóknak (természetes személyeknek) sokkal szélesebb körben kell biztosítani az ellenőrzés és a felhasználás követhetőségének lehetőségét. Minden adatkezelő köteles biztosítani annak lehetőségét a természetes személy érintett számára, hogy betekinthessen a róla olvasható formában tárolt személyes adataiba, annak módosítását, törlését kérhesse.
Természetesen továbbra is alapvető szempont hogy az adatkezelés mindig célhoz kötött: az adatkezelő személyének meghatározásán túl az adatvédelmi tájékoztatóban az adatkezelés célját és jogalapját is világosan, érhetően, tömören és pontosan szükséges megjelölni. A betekintés során azt is biztosítani kell, hogy az érintett személy kizárólag a saját adatait láthassa.
Lehetővé kell tenni, hogy az érintett kérhesse az adatainak javítását, törlését, ezen felül a jövőre tekintettel az érintett az adatkezeléshez korábban megadott hozzájárulását is visszavonhatja. Törlés kérelem esetében különös figyelemmel kell lenni arra, hogy az adatok minden informatikai eszközről törlésre kerüljenek.
Milyen módon tud a vállalkozás eleget tenni a szigorúbb jogszabályi követelményeknek? Mi a teendő?
Ahhoz, hogy az adatvédelmi kritériumoknak megfeleljen a vállalkozás először is ajánlott egy részletes, minden releváns tényre és körülményre kiterjedő listát készíteni, amely a cég szempontjából tartalmazza a szükséges tennivalókat. Ennek során a kiindulási pont, hogy a cég (vállalkozás) milyen tevékenységet folytat; ehhez képest határozható meg pontosan, hogy a személyes adatok mely köre (mely típusai) került/kerültek eddig a cég, mint adatkezelő birtokába, és a jövőben a kezelt adatok köre adott esetben hogyan fog bővülni/ csökkenni.
A cselekvési tervnek az adatvédelem minden szintjét le kell fednie, oly módon, hogy az adatok egyes csoportjai vonatkozásában fel kell mérni az adatkezelés kockázatait. A kockázatokban megfelelő infrastruktúra fejlesztéseket el kell végezni. Belső szabályzatokat kell alkotni, illetve aktualizálni, valamint a jogszabályváltozásokkal összhangba kell hozni az adatvédelmi tájékoztatókat és azokat a cég (vállalkozás) honlapján közzé kell tenni.
A Nemzeti Adatvédelmi és Információszabadság Hatóság weblapján található egy nagyon hasznos összefoglaló, amely segítséget nyújthat a rendelet alkalmazására való felkészülésben a vállalkozások számára. https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Adatvédelmi tanácsadással már működő vagy induló vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára; adatvédelmi szabályzatok elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi tájékoztatók elkészítésével, adatvédelmi nyilvántartásba vétel kezdeményezésével a Nemzeti Adatvédelmi és Információszabadság Hatóság előtt, valamint NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk. Keressen bizalommal elérhetőségeinken.