Dr. Zatik Levente ügyvéd Budapest


A tartalomhoz

Adatvédelmi kisokos

Cikkek

A kiszabható rendkívül magas, maximum 20 millió eurós bírság miatt az utóbbi időben a figyelem középpontjába került az adatvédelem és a hatályos jogszabályoknak megfelelő adatvédelmi szabályozás szükségessége.
A vállalkozások vezetői általában kétféle módon viszonyulnak az adatvédelmi szabályozáshoz: egy részük nem kíván az adatvédelemmel foglalkozni, ők minden bizonnyal a tetemes adatvédelmi bírság kiszabása után fognak az adatvédelmi szabályok betartásáról gondoskodni, míg a többiek jogkövetőek és a lehető leghatékonyabb módon szeretnék megoldani az adatvédelmi szabályozás kialakítását, a hatályos jogszabályoknak való megfelelést. Nekik szól az adatvédelmi kisokos, amelynek végén két hatékony és korrekt megoldás közül választhatnak azok akik szeretnék elkerülni az adatvédelmi bírság kiszabását.Mi a GDPR, vonatkozik a vállalkozására?

Az Európai Unió Általános Adatvédelmi rendelete - GDPR - 2018. május 25-től közvetlenül alkalmazandó és kötelező erejű minden EU tagállamban, így Magyarországon is. Vonatkozik önre a GDPR, ha az ön vállalkozása legalább egy személy adatait tárolja, pl. egy vevője nevét, vagy telefonszámát. A GDPR vonatkozik a vállalkozására, ha bárki információt, ajánlatot kér az ön vállalkozásától és megadja önöknek az adatait, akkor is, ha van legalább egy dolgozója, vagy legalább egy biztonsági kamerát működtet a vállalkozásában.

Mi a helyzet a cégek vagy a barátok ismerősök adataival, vonatkozik-e azokra GDPR?

Nem, a GDPR nem vonatkozik az otthoni, nem üzleti jellegű adatok kezelésére és a cégek adatainak kezelésére.

Mi történik, ha nem felelünk meg a GDPR-nak?

Ha nem jogszerű az adatkezelés és valaki panasszal él a vállalkozás ellen, bírságot szabhatnak ki, ami akár 20 millió euró vagy az éves világpiaci árbevétel 4%-a is lehet. A 20 millió euró öt-tíz százalékát kitevő bírság (300-600 millió forint) alkalmas lehet egy átlagos magyar mikro-, vagy kisvállalkozás ellehetetlenítésére.

Milyen adatvédelmi kötelezettségei vannak a vállalkozásának?

Meg kell védeni az érdeklődők, ügyfelek, vevők személyes adatait attól, hogy mások jogosulatlanul hozzáférjenek, vagy véletlenül megsemmisüljenek. Személyes adat nemcsak a név és a lakcím, hanem bármilyen adat, amivel be lehet valakit azonosítani. Pl. egy egészségügyi adat is személyes adat is személyes adat. Az adatok tárolása, gyűjtése, felhasználása, terjesztése adatkezelésnek minősül. Az adatkezelés sok tevékenység során előfordulhat, pl. ajánlatkérésre adott válasz, honlapon való regisztrációs lehetőség, dolgozók bérszámfejtése, bérfizetése, kamerarendszer használata, stb.

Mire kell odafigyelni akkor, ha személyes adatokat kezel a vállalkozás?

A GDPR kimondja, hogy a személyes adatokat csak úgy lehet kezelni, ha annak van valamilyen célja. Pl. egy e-mail címet abból a célból lehet tárolni, hogy a kapcsolatot a vállalkozás fel tudja venni az érdeklődővel. Az adatot (pl. az e-mail címet) addig lehet tárolni, amíg arra szükség van, vagyis a válasz elküldéséig, ha csupán érdeklődésről volt szó. Ha az érdeklődő nem jelentkezik többé, az adatait törölni kell. Ha később regisztrál az illető a weboldalon, akkor a hozzájárulásával kezelhetők az adatai abból a célból, hogy hírlevelet kapjon.

A GDPR szerint csak a szükséges adatokat lehet gyűjteni. Egy hírlevélre feliratkozásnál például nincs szükség telefonszámra, vagy az illető nemének megadására. A minimum adatokat kell kezelnünk.

Figyelni kell arra, hogy ha adatokat kezel, akkor az adatoknak pontosnak kell lenniük és átláthatóan, tisztességesen kell kezelni az adatokat. Nem lehet eladni az adatokat az ügyfél hozzájárulása nélkül.
Figyelni kell arra is, hogy a személyes adatokhoz ne férhessenek hozzá olyanok, akik arra nem jogosultak, pl. olyan dolgozók, akiknek nem feladata foglalkozni az adatokkal. Óvni kell az adatokat a véletlen megsemmisüléstől, károsodástól. Gondoskodni kell a többszöri mentésről, másolásról és a fizikai védelemről is.

Milyen kérések érkezhetnek azoktól, akiknek az adatait kezeljük?

Ha üzleti tevékenység során kezeljük valakinek a személyes adatait és az illető tájékoztatást kér az adatai kezeléséről, a tájékoztatást meg kell adni, emellett azt is biztosítani kell neki, hogy hozzáférjen azokhoz az adataihoz, amiket kezelünk.

Ha az illető azt kéri, hogy helyesbítsük, egészítsük ki a személyes adatait, akkor teljesíteni kell a kérését. Az, akinek a személyes adatait kezeljük, kérheti azt is, hogy töröljük az adatait. Ezt akkor kell teljesítenünk, ha visszavonja az adatainak kezelésére adott hozzájárulást, ha az adatainak kezelésére jogellenesen került sor, vagy már nincs szükség az adat nyilvántartására, mert megvalósult az a cél, amiért megkaptuk. Pl. ajánlatot kért az illető, de később nem jelentkezik a megküldött ajánlattal kapcsolatban, így a kapcsolattartás céljából kezelt elérhetőségi adataira a továbbiakban nincs szükségünk.
A személyes adatok törlését kérhetik tőlünk szóban, vagy írásban, e-mailben, de postai levél útján is az adatkezelési tájékoztatónkban feltüntetett elérhetőségeinken.

Az, akinek az adatait kezeljük, kérheti azt, hogy a róla kezelt adatokat megkaphassa azért, hogy egy másik adatkezelőnek továbbíthassa.

Ha tájékoztatást kérnek tőlünk az adatkezelésről, hány napon belül kell válaszolni?

Minél előbb válaszolni kell, de legkésőbb harminc napon belül. Tájékoztatni kell az illetőt minden fontos dologról, főleg arról hogy mi kik vagyunk, mik az ő jogai, tájékoztatnunk kell arról, miért kezeljük az adatait, hogyan jutottunk az adataihoz.
A tájékoztatást ingyenesen kell megadni. Ha az illető teljesen megalapozatlanul, vagy ismétlődően kér tájékoztatást, egy ésszerű díjat lehet felszámolni a felmerülő adminisztratív költségekre.
Ha a kérelmező személyazonosságával kapcsolatban kételyek merülnek fel, további információkat lehet tőle kérni.

Mi lehet az adatkezelés alapja?

Személyes adatokat akkor lehet kezelni, ha van valamilyen jogalap a kezelésükre. Vagyis jogalap nélkül nem lehet személyes adatokat kezelni. Ilyen jogalap az illető hozzájárulása, ami akkor fogadható el, ha önkéntes és egyértelmű.

Mi a különbség az adatfeldolgozók és az adatkezelők között?

Adatkezelők vagyunk, ha mi gyűjtjük be az adatokat, tároljuk, felhasználjuk, továbbítjuk, vagy módosítjuk az adatot. Az adatfeldolgozó az adatkezelőtől kapja meg az adatokat és az adatkezelő által rábízott feladatokat végzi az adatokkal. Mondhatjuk, hogy az adatfeldolgozó az adatkezelő nevében jár el, nem hozhat érdemi döntéseket, pl. azt hogy kik ismerhetik meg az adatokat.
A GDPR értelmében adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;Az adatkezelést be kell jelenteni a hatóság részére?

A GDPR szerint nem kell bejelenteni az adatkezelést az adatvédelmi hatóságnak, de adatvédelmi nyilvántartást kell vezetni. A 250 főnél kevesebb munkavállalót foglalkoztató kis- és középvállalkozások nem kötelesek adatvédelmi nyilvántartást vezetni, kivéve ha az adatkezelés rendszeres, kockázatokkal jár, illetve ha különleges, bűnügyi adatokat kezelnek.
Az adatvédelmi nyilvántartásnak tartalmaznia kell az adatkezelő nevét, elérhetőségeit, azt, hogy mi az adatkezelés célja, továbbá azt hogy milyen kategóriájú adatokat kezelnek (név, lakcím) és azt is, hogy kik ismerhetik meg ezeket az adatokat. Az adatvédelmi nyilvántartás alapján a vállalkozás ellenőrizhető és elszámoltatható lesz.

Mit kell bejelenteni az adatvédelmi hatóságnak?

Az egyes adatkezeléseket tehát nem kell bejelenteni a hatóságnak, az vállalkozásunk által kezelt adatokkal kapcsolatos jogsértéseket azonban be kell jelenteni. Ennek a neve a GDPR szerint adatvédelmi incidens. Ilyen pl. az, ha valaki jogosulatlanul hozzáfér a vállalkozás által kezelt adatokhoz, akár úgy, hogy egy dolgozó elveszti a céges telefonját, amin a cég ügyfeleinek személyes adatai is tárolva vannak. Ilyen az is, ha hacker támadás miatt a kórház nem fér hozzá a betegei egészségügyi adataihoz. Az ilyen jogsértést, (adatvédelmi incidenst) 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság részére. Abban az esetben nem kell bejelentést tenni, ha valószínűleg alacsony kockázattal jár az incidens. Azt, akinek az adatait érinti a jogsértés, csak akkor kell értesíteni, ha nagy kockázattal jár a jogsértés, pl. e-bank belépési jelszavak kerültek idegenekhez.

Az adatvédelmi incidenst az adatkezelőnek kell bejelentenie a hatóságnak, az adatfeldolgozónak annyi a kötelezettsége, hogy ha nála következik be az incidens, akkor közölni kell az adatkezelővel.
Az adatvédelmi incidens GDPR szerinti fogalma: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

Az adatvédelmi bírság miért ilyen magas?

Azért, hogy megfelelő visszatartó ereje legyen és rákényszeríthessék a cégeket arra, hogy betartsák az adatvédelmi szabályokat. Az adatvédelmi hatóság olyan bírságot szab ki, ami arányos a jogsértéssel, vagyis kisebb jogsértés esetén alacsonyabb a bírság. A bírság kiszabása során a hatóság figyelembe veszi, hogy hány személyt érint a jogsértés és azt is, hogy az adatkezelő vállalkozás tett-e valamit a következmények enyhítéséért.

A GDPR megsértésének következményei a bírságon túlmenően

Akár adatfeldolgozóként, akár adatkezelőként jár el a vállalkozás, a GDPR rendelkezéseinek megsértése esetén kártérítési kötelezettsége is keletkezhet. Az a személy, akinek jogsértően kezelték az adatait, vagyoni és nem vagyoni kártérítést követelhet a vállalkozástól. Pl. ha az adatkezelő nem tartja be az adatbiztonsági előírásokat és emiatt hackerek feltörik az adatbázisát, jogosulatlanul hozzáférve a vevők bankkártyaadataihoz és a számláihoz.
Az adatfeldolgozó akkor felel a károkért, ha nem tartotta be a GDPR szerinti kötelezettségeit (adatbiztonsági követelmények). Akkor is felel az adatfeldolgozó, ha nem az adatkezelő jogszerű utasításainak megfelelően járt el, figyelmen kívül hagyta azokat, vagy az utasításokkal ellentétesen járt el.

Hogyan csökkenthetjük az adatkezelési kockázatokat, egy igen egyszerű módszerrel?

A kockázatok a személyes adatok álnevesítésével csökkenthetőek, ilyenkor már nem állapítható meg az, hogy kinek a személyes adatáról van szó. Tehát álneveket kell alkalmazni, oly módon, hogy külön kerüljenek tárolásra az információk. Az álnévhez vannak rendelve a személyes adatok, a valódi nevet pedig elkülönített adatbázisban kell rögzíteni. Nem szabad figyelmen kívül hagyni, hogy az álnevesített adat változatlanul személyes adatnak minősül.
Az álnevesítés fogalma a GDPR-ban: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

Sokat hallani adatvédelmi felelősökről, ki kell-e nevezni ilyet?

A GDPR adatvédelmi tisztviselőről rendelkezik, ilyen tisztviselőt a hatóságoknak kell kijelölni, kivéve a bíróságokat. Azok a vállalkozások is kötelesek adatvédelmi tisztviselőt kijelölni, akik fő tevékenységük során rendszeresen, szisztematikusan megfigyelik az embereket, pl. biztonsági cégek, egészségügyi intézmények. Van még egy eset, amikor kötelező az adatvédelmi tisztviselő kijelölése, akkor, ha különleges adatokat, vagy büntetőjogi felelősséggel kapcsolatos adatokat kezelnek nagy mennyiségben fő tevékenységként. Különleges kategóriába tartozó személyes adatok a faji, etnikai származásra vonatkozó adatok, az egészségügyi adatok, a szexuális beállítottságra vonatkozó adatok, stb. Büntetőjogi felelősséggel kapcsolatos adatok a büntetőjogi felelősséget megállapító határozatok és a bűncselekményekre vonatkozó adatok.
Az adatvédelmi tisztviselő lehet a vállalkozás egyik alkalmazottja, vagy szolgáltatási szerződés alapján is elláthatja a feladatát. Az adatvédelmi tisztviselő nevét és elérhetőségét közzé kell tenni, valamint be kel jelenteni az adatvédelmi hatóságnak is.

Az adatvédelmi tisztviselő feladatai

Az adatvédelmi tisztviselő tájékoztatást és szakmai tanácsokat ad az adatvédelemmel kapcsolatban az adatkezelő és az alkalmazottak részére, emellett azt is ellenőrzi, hogy az adatkezelés során betartják-e az adatvédelmi előírásokat.
Adatvédelmi tisztviselőt akkor is ki lehet nevezni, ha nem kötelező.
Az adatvédelmi tisztviselő nemcsak tájékoztatást és szakmai tanácsokat ad, hanem tartja a kapcsolatot az adatvédelmi hatósággal. Az adatvédelmi tisztviselő csak a vállalkozás vezetőjének tartozik felelősséggel, mástól utasításokat nem fogadhat el.
Tudni kell, hogy az adatvédelmi feladatokon túl az adatvédelmi tisztviselő más feladatokat is elláthat, utóbbi esetben biztosítani kell azt, hogy az egyéb feladataival ne legyen összeférhetetlen.

A direkt marketing üzenetek küldésére vonatkozó szabályok

Direkt marketing üzeneteket, csak akkor küldhetünk, ha ahhoz a fogadó előzetesen hozzájárult.
Így ha hírlevél szolgáltatást nyújtunk, a feliratkozónak külön hozzá kell járulnia ahhoz, hogy direkt marketing hirdetéseket küldjenek neki. A hozzájárulásnak aktívnak kell lenni, nem lehet „feliratkoztatni” embereket úgy, hogy előre ki van pipálva a direkt marketing hirdetésekkel kapcsolatos jelölőnégyzet. Jogsértő az a „módszer” hogy a hírlevélre feliratkozottaknak direkt marketing hirdetéseket küldenek a feliratkozottak külön hozzájárulása nélkül. Jogsértő az is, ha a feliratkozottak adataival kereskednek a hozzájárulásuk nélkül.
1. megoldás az adatvédelmi bírság elkerülésére:
A GDPR kompatibilis adatvédelmi szabályozás kialakításához a mikrovállalkozások megvásárolhatnak egy adatvédelmi szabályzatminta csomagot, amely 17 mellékletet (szerződési kikötések, titoktartási nyilatkozatok stb.), ellenőrző listát és használati útmutatót tartalmaz. A mikrovállalkozás vezetője a használati útmutató révén akár 1-2 nap alatt kialakíthatja a vállalkozás adatvédelmi szabályozását. Ár: 9.990.- Ft +Áfa. (A szabályzatmintát a Könyvelői Webáruházban rendelheti meg.)

2. megoldás az adatvédelmi bírság elkerülésére:
Elfoglalt vezetők, illetve nagyobb cégek számára az a cégre adaptált adatvédelmi szabályzatcsomag jelent megoldást. A megrendelés leadását követően sor kerül az adatfelvételre (írásban, vagy telefonon) majd elkészül a GDPR kompatibilis adatvédelmi szabályozás. Ár: 29.990.- Ft-tól.
(KAPCSOLATFELVÉTEL: 06 30 3098295)


Árjegyzék
Konzultáció
Feliratkozás hírlevélre

Kezdőlap | Bemutatkozás | Bűnügyek | Munkajog | Ingatlan | Követelések | Cégügyek | Öröklés | Családjog | Elérhetőség | Oldaltérkép

Azonnali keresés a Könyvelői Praktikumban:

Vissza a tartalomhoz | Vissza a főmenübe