Mi is az a GDPR?
A GDPR a General Data Protection Regulation kifejezés rövidítése, amely a 2018. május 25-től alkalmazandó általános adatvédelmi rendeletnek a megnevezése. A rendelet célja, hogy az EU-n belül egységesen szabályozza a személyes adatok kezelésének, védelmének szabályait.
A GDPR alapvetően azokra a vállalkozásokra, szervezetekre vonatkozik, akik az EU területén működnek, de az EU-n kívül működő cégek is a rendelet hatálya alá tartoznak, ha az EU-n belül árut értékesítenek vagy szolgáltatást nyújtanak.
Annak nincs jelentősége, hogy mekkora vállalkozás kezeli a személyes adatokat, a GDPR ugyanúgy vonatkozik az egyéni vállalkozókra, mint a nagyvállalatokra.
Mit nevezünk személyes adatnak?
Személyes adat az érintettre vonatkozó bármely információ. Az nyilvánvaló, hogy személyes adat minden személyazonosító adat (név, anyja neve, lakcím, születési hely és idő stb.), de személyes adat például a telefonszám, az e-mail cím, az IP cím, a földrajzi helymeghatározó adat (GPS koordináta) és a kamerák által rögzített képmás is. Láthatjuk tehát, hogy a személyes adat fogalmát nagyon tágan kell értelmezni.
Különleges adatnak hívjuk azokat a személyes adatokat, amelyek kezelése csak nagyon korlátozott körben megengedett. Különleges adat például a faji származásra, politikai véleményre, vallási meggyőződésre utaló adatok, az egészségügyi adatok, a szexuális irányultságra irányuló adatok stb.
Fentiek alapján tehát, ha a vállalkozásunknak van egy alkalmazottja, akkor már biztosan kezelünk személyes adatot, de ugyanez igaz akkor is, ha cégünknek magánszemély ügyfelei vannak, akik megadták személyes adatukat vállalkozásunk részére (például, mert szerződést kötöttünk velük).
Vonatkozik ránk a GDPR akkor is, ha webáruházat üzemeltetünk, ahol a rendelés teljesítéséhez a vevő adataira van szükségünk, ha weblapunkon kapcsolatfelvételi űrlapot működtetünk vagy hírlevél feliratkozókat gyűjtünk.
Mi az az adatvédelmi incidens?
Adatvédelmi incidens akkor következik be, amikor valamilyen biztonsági incidens éri a személyes adatokat: azok megsemmisülnek, elvesznek, jogosulatlanul nyilvánosságra kerülnek stb.
Lássunk néhány konkrét példát: adatvédelmi incidens a postán/e-mailben téves címre küldött, személyes adatokat tartalmazó küldemény; hackertámadás során illetéktelen hozzáférés a tárolt személyes adatokhoz; e-mail küldése úgy, hogy az összes címzett látja a többiek címét is; személyes adatokat tartalmazó laptop, telefon elvesztése stb.
Fontos tudni, hogy amennyiben az incidens kockázatot jelent az érintett személyek jogaira nézve, legkésőbb 72 órán belül be kell jelenti az esetet a NAIH felé. Ha az eset nagy kockázatot jelent, akkor az érintett személyeket is tájékoztatni kell az ügyről.
Mit kell tenni ahhoz, hogy vállalkozása megfeleljen a GDPR előírásainak?
Készítsen adatkezelési tájékoztatót!
Az adatkezelési tájékoztató célja, hogy felvilágosítást nyújtson az érintettek magánszemélyek részére arról, hogy a vállalkozás a személyes adataikat milyen célból, mennyi ideig kezeli. Az embereket tájékoztatnunk kell az őket megillető jogokról és a jogorvoslati lehetőségekről, arra az esetre, ha úgy érzik, hogy személyes adataikat nem megfelelően kezeltük.
Írjon adatkezelési szabályzatot!
A GDPR értelmében az adatkezelőnek képesnek kell lennie igazolnia azt, hogy adatkezelése megfelel a rendelet előírásainak. A megfelelés egyik fontos eleme az adatvédelmi szabályzat megléte.
Az adatvédelmi szabályzat egy belső szabályzat, amely tartalmazza a személyes adatok kezelésére vonatkozó szabályokat és eljárási rendet (pl. hogyan kezeli az adatvédelmi incidenseket; hogyan jár el, ha ügyfele panasszal fordul Önhöz a személyes adatának kezelésével kapcsolatban stb.).
Vezessen nyilvántartást!
Az adatkezelőnek nyilvántartást kell vezetnie arról, hogy milyen személyes adatokat kezel, mi az adatkezelés célja, meddig őrzi meg az adatokat stb. Nyilvántartás kell vezetni az adatvédelmi incidensekről is.
A 250 főnél kevesebb személyt foglalkoztató vállalkozásokra főszabály szerint a fenti kötelezettség nem vonatkozik. Kivételek természetesen mindig vannak, így nyilvántartást kell vezetni például, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés különleges adatokra is kiterjed.
Az adatkezelés nem tekinthető alkalmi jellegűnek, ezért nyilvántartást kell vezetnie akkor, ha alkalmazottat foglalkoztat. A foglalkoztatáshoz kapcsolódó adatkezelés ugyanis rendszeresnek tekintendő.
Hasonlóképpen nyilvántartást kell vezetnie egy szexuálterapeuta egyéni vállalkozónak, mivel különleges adatokat (szexuális életre vagy szexuális irányultságra vonatkozó adatokat) kezel.
Biztonsági kamera használata esetén tájékoztassa megfelelően az érintetteket!
Biztonsági kamera használata esetén figyelmeztető táblát kell elhelyezni arról, hogy az adott helyszínen kamerás megfigyelés történik és adatkezelési tájékoztatót is el kell helyezni, amelyben tájékoztatja az érintetteket arról, hogy a kamerafelvételeket meddig őrzi meg, ki tekintheti meg stb. A kamerás megfigyelés szabályairól bővebben olvashat a következő linkre kattintva: https://drmarkolevai.hu/a-kameras-megfigyeles-szabalyai
Tájékoztassa megfelelően az álláshirdetésre jelentkezőket!
Az állásra pályázókat tájékoztatni kell arról, hogy a személyes adatokat tartalmazó önéletrajzaikat hogyan kezeli.
Az érintett hozzájárulását kell kérni ahhoz, ha a meghirdetett pozíció betöltését követően is meg szeretné őrizni a szakmailag releváns önéletrajzot egy esetleges későbbi felhasználás céljából.
Nevezzen ki adatvédelmi tisztviselőt!
Adatvédelmi tisztviselő (DPO – Data Protection Officer) alkalmazását 3 esetben teszi kötelezővé a GDPR:
- ha az adatkezelést közhatalmi szervek vagy közfeladatot ellátó szervek végzik (pl. polgármesteri hivatalok, közmű szolgáltatók, oktatási intézmények stb.),
- ha az adatkezelő fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé (pl. helymeghatározás mobilalkalmazások útján, egészségügyi adatok megfigyelése viselhető eszközökön keresztül stb.),
- ha az adatkezelő fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban (pl. kórházak esetében a páciensek adatainak kezelése).
Az adatvédelmi tisztviselő egy olyan független személy, aki figyelemmel kíséri a cég adatkezelési tevékenységét, tanácsot ad és tartja a kapcsolatot az adatvédelmi hatósággal. Az adatvédelmi tisztviselő lehet alkalmazott és megbízott személy is.
Mivel a fentiektől függetlenül minden cég és szervezet számára kötelező a GDPR-nak megfelelő működés kialakítása és fenntartása, ezért minden esetben javasolt kijelölni egy olyan személyt, aki adatvédelmi kérdésekben tanácsot tud adni és képes működtetni az adatvédelemmel kapcsolatos folyamatokat.
Mi történik, ha vállalkozása nem felel meg a GDPR előírásainak?
A GDPR alkalmazását hazánkban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ellenőrzi.
A Hatóság a GDPR megsértése miatt maximum 20 millió euró (azaz több, mint 6 milliárd forint) vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő bírsággal sújthatja az adatkezelőt. A kettő közül azt kell kiszabni, amelyik magasabb.
Természetesen maximális bírságot csak súlyos jogsértések esetén szab ki a felügyeleti hatóság. Az eddigi legmagasabb összegű bírságot Franciaországban szabták ki, a Google-t 50 millió euró bírságra sújtották a transzparens működés és a megfelelő tájékoztatás hiánya miatt.
A British Airwayst szintén rekord nagyságú bírság fenyegeti. Egy kibertámadás részeként ugyanis a légitársaság honlapját felkereső felhasználókat a hackerek egy másik, hamis honlapra irányították át és az utasok ide feltöltött adatait ellopták. Az illetékes felügyeleti hatóság szerint ezt a légitársaság gyengén kidolgozott kiberbiztonsági rendszere tette lehetővé, ezért több, mint 66 milliárd forintnak megfelelő angol font, mint GDPR-bírság kiszabását javasolták.
Milyen jogai vannak magánszemélyként?
A természetes személyeknek széles körű jogokat biztosít a GDPR a személyes adataik kezelésével kapcsolatban, melyek a következők:
- előzetes tájékozódáshoz való jog: joga van tudni még az adatkezelés megkezdése előtt, hogy ki, mikor, milyen célra és meddig kívánja használni személyes adatait;
- hozzáféréshez való jog: tájékoztatást kérhet arról, hogy történik-e Önre vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik;
- helyesbítéshez való jog: jelezheti, ha valamely személyes adata pontatlan és kérheti annak javítását;
- törléshez való jog („elfeledtetéshez való jog”): kérheti adatai törlését;
- az adatkezelés korlátozásához való jog: bizonyos esetekben kérheti személyes adatai kezelésének korlátozását (ez azt jelenti, hogy az adatai tárolását kivéve más adatkezelési műveleteket nem végezhetőek az adataival kapcsolatban);
- adathordozhatósághoz való jog: kérheti, hogy a kezelt adatait géppel olvasható formátumban megkapja;
- tiltakozáshoz való jog: bizonyos esetekben tiltakozhat személyes adatainak kezelése ellen.
Jogorvoslathoz való jogával élve jogosult panaszt tenni a NAIH-nál vagy polgári pert kezdeményezni, ha megítélése szerint az Önre vonatkozó személyes adatok kezelése megsérti a GDPR-t.
A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható jogi tanácsadásnak vagy jogi állásfoglalásnak.