Hatályos adatvédelmi szabályzat készítése cégek, vállalkozások számára
Milliós bírságot kockáztat az a cég, vagy vállalkozó, akinek nincsen rendben az adatvédelmi szabályzata és a többi dokumentációja.
Az adatvédelmi bírság maximuma 20 millió euró, de kisebb jogsértések miatt is egymillió forintos adatvédelmi bírságot szabhat ki a hatóság. Egymillió forintos bírságot szabtak ki egy telefonszám indokolatlan megőrzése miatt , egy másik ügyben kamerafelvételek jogellenes törlése miatt szabtak ki szintén egymillió forintos bírságot.
A nem a tényleges adatkezelési folyamatot dokumentáló, másolt adatvédelmi szabályzat alkalmazása jogellenes adatkezelést eredményez, ami adatvédelmi bírság kiszabását vonja maga után. Az internetről letöltött adatvédelmi tájékoztatók engedély nélküli felhasználása szerzői jogot sért, másfelől nincsen garancia a hatályosságra.
A GDPR bevezetése utáni évben 87 adatvédelemmel kapcsolatos jogszabály változott, ami gyakorlatilag követhetetlen a vállalkozások számára. Jogszabályváltozás esetén az adatvédelmi szabályzatot és adatvédelmi tájékoztatót módosítani kell az adatvédelmi bírság elkerülése érdekében. A szabályzatok és módosítások elkészítése komoly szakértelmet igényel, emellett nagyon költséges lehet.
Az adatvédelmi tájékoztató nem egyenlő a szabályzattal
Egy weboldalon elhelyezett adatvédelmi tájékoztató nem adatvédelmi szabályzat, mindössze az érintettek tájékoztatására szolgál, a cégek és vállalkozások egy része a mai napig nem rendelkezik olyan adatvédelmi szabályzattal, amelynek a rendelkezéseit napi szinten alkalmazza. Az adatvédelmi szabályzatot ugyanis ALKALMAZNI kell, az ott leírtak szerint kell folytatni az adatkezelést és az iratminta mellékleteket szakszerűen fel kell használni.
A GDPR megfelelés költséges. Igen gyakori az, hogy az adatvédelmi tisztviselő alkalmazásának költségeit a kisebb cégek, vállalkozások nem tudják, vagy nem kívánják finanszírozni.
Megoldás az adatvédelmi bírság elkerülésére: a mindig hatályos ügyvédi adatvédelmi szabályzatcsomag.
Előnyei:
- Egyszerűen megrendelhető.
A megrendelés leadását követően írásbeli adatfelvételre kerül sor, majd 8 napon belül elkészül a GDPR kompatibilis adatvédelmi szabályzat és mellékletek. (A vállalkozás tevékenységétől függően több mint 20 db melléklet tartozik a szabályzathoz, amit a cégnek használnia kell)
- Egyszerűen használható
A legfontosabb feladatokat közérthetően tartalmazó ellenőrző listát adunk ügyfeleinknek, akik így pontosan tudják, hogy mit és hogyan kell csinálniuk. Az ellenőrző lista egyszeri, éves és rendszeres teendőket rögzít.
- Folyamatosan frissül
A megrendelést követően a megbízás ideje alatt folyamatosan frissítjük a cég adatvédelmi szabályzatát és az adatvédelmi mellékleteket, ha jogszabályváltozás miatt erre szükség van.
- Szakmai tanácsadás
A megrendelők számára adatvédelmi, illetve egyéb jogterületeken is segítséget nyújtunk.
Az adatvédelmi szabályzatcsomag tartalma
- Hatályos adatvédelmi szabályzat (20 db hatályos melléklet)
- Használati útmutató
- Ellenőrző lista adatvédelmi feladatok teljesítéséhez
- Érdekmérlegelési teszt
Az adatvédelmi szabályzatcsomag díja
Mikrovállalkozások részére 68.000.- Ft-tól.
Frissítési díj: 19.900.- Ft/év.
Kis-és közepes vállalkozások részére 180.000.- Ft-tól.
Jelen tájékoztatás nem minősül szerződéses ajánlatnak.
Az adatvédelmi bírság elkerüléséhez szükséges rövid tájékoztató
Mi a GDPR, vonatkozik a vállalkozására?
Az Európai Unió Általános Adatvédelmi rendelete – GDPR – 2018. május 25-től közvetlenül alkalmazandó és kötelező erejű minden EU tagállamban, így Magyarországon is. Vonatkozik önre a GDPR, ha az ön vállalkozása legalább egy személy adatait tárolja, pl. egy vevője nevét, vagy telefonszámát. A GDPR vonatkozik a vállalkozására, ha bárki információt, ajánlatot kér az ön vállalkozásától és megadja önöknek az adatait, akkor is, ha van legalább egy dolgozója, vagy legalább egy biztonsági kamerát működtet a vállalkozásában. A GDPR nem vonatkozik az otthoni, nem üzleti jellegű adatok kezelésére és a cégek adatainak kezelésére.
Mi történik, ha a vállalkozás nem felel meg a GDPR rendelkezéseinek?
Ha nem jogszerű az adatkezelés és valaki panasszal él a vállalkozás ellen, bírságot szabhatnak ki, ami akár 20 millió euró vagy az éves világpiaci árbevétel 4%-a is lehet. A 20 millió euró öt-tíz százalékát kitevő bírság (300-600 millió forint) alkalmas lehet egy átlagos magyar mikro-, vagy kisvállalkozás ellehetetlenítésére.
Milyen adatvédelmi kötelezettségei vannak a vállalkozásának?
Meg kell védeni az érdeklődők, ügyfelek, vevők személyes adatait attól, hogy mások jogosulatlanul hozzáférjenek, vagy véletlenül megsemmisüljenek. Személyes adat nemcsak a név és a lakcím, hanem bármilyen adat, amivel be lehet valakit azonosítani. Pl. egy egészségügyi adat is személyes adat is személyes adat. Az adatok tárolása, gyűjtése, felhasználása, terjesztése adatkezelésnek minősül. Az adatkezelés sok tevékenység során előfordulhat, pl. ajánlatkérésre adott válasz, honlapon való regisztrációs lehetőség, dolgozók bérszámfejtése, bérfizetése, kamerarendszer használata, stb.
Mire kell odafigyelni akkor, ha személyes adatokat kezel a vállalkozás?
A GDPR kimondja, hogy a személyes adatokat csak úgy lehet kezelni, ha annak van valamilyen célja. Pl. egy e-mail címet abból a célból lehet tárolni, hogy a kapcsolatot a vállalkozás fel tudja venni az érdeklődővel. Az adatot (pl. az e-mail címet) addig lehet tárolni, amíg arra szükség van, vagyis a válasz elküldéséig, ha csupán érdeklődésről volt szó. Ha az érdeklődő nem jelentkezik többé, az adatait törölni kell. Ha később regisztrál az illető a weboldalon, akkor a hozzájárulásával kezelhetők az adatai abból a célból, hogy hírlevelet kapjon.
A GDPR szerint csak a szükséges adatokat lehet gyűjteni. Egy hírlevélre feliratkozásnál például nincs szükség telefonszámra, vagy az illető nemének megadására. A minimum adatokat kell kezelnünk.
Figyelni kell arra, hogy ha adatokat kezel, akkor az adatoknak pontosnak kell lenniük és átláthatóan, tisztességesen kell kezelni az adatokat. Nem lehet eladni az adatokat az ügyfél hozzájárulása nélkül.
Emellett ügyelni kell arra is, hogy a személyes adatokhoz ne férhessenek hozzá olyanok, akik arra nem jogosultak, pl. olyan dolgozók, akiknek nem feladata foglalkozni az adatokkal. Óvni kell az adatokat a véletlen megsemmisüléstől, károsodástól. Gondoskodni kell a többszöri mentésről, másolásról és a fizikai védelemről is.
Milyen kérések érkezhetnek azoktól, akiknek az adatait kezeljük?
Ha üzleti tevékenység során kezeljük valakinek a személyes adatait és az illető tájékoztatást kér az adatai kezeléséről, a tájékoztatást meg kell adni, emellett azt is biztosítani kell neki, hogy hozzáférjen azokhoz az adataihoz, amiket kezelünk.
Ha az illető azt kéri, hogy helyesbítsük, egészítsük ki a személyes adatait, akkor teljesíteni kell a kérését. Az, akinek a személyes adatait kezeljük, kérheti azt is, hogy töröljük az adatait. Ezt akkor kell teljesítenünk, ha visszavonja az adatainak kezelésére adott hozzájárulást, ha az adatainak kezelésére jogellenesen került sor, vagy már nincs szükség az adat nyilvántartására, mert megvalósult az a cél, amiért megkaptuk. Pl. ajánlatot kért az illető, de később nem jelentkezik a megküldött ajánlattal kapcsolatban, így a kapcsolattartás céljából kezelt elérhetőségi adataira a továbbiakban nincs szükségünk.
A személyes adatok törlését kérhetik tőlünk szóban, vagy írásban, e-mailben, de postai levél útján is az adatkezelési tájékoztatónkban feltüntetett elérhetőségeinken.
Az, akinek az adatait kezeljük, kérheti azt, hogy a róla kezelt adatokat megkaphassa azért, hogy egy másik adatkezelőnek továbbíthassa.
Ha tájékoztatást kérnek tőlünk az adatkezelésről, hány napon belül kell válaszolni?
Minél előbb válaszolni kell, de legkésőbb huszonöt napon belül. Tájékoztatni kell az illetőt minden fontos dologról, főleg arról, hogy mi kik vagyunk, mik az ő jogai, tájékoztatnunk kell arról, miért kezeljük az adatait, hogyan jutottunk az adataihoz.
A tájékoztatást ingyenesen kell megadni. Ha az illető teljesen megalapozatlanul, vagy ismétlődően kér tájékoztatást, egy ésszerű díjat lehet felszámolni a felmerülő adminisztratív költségekre.
Ha a kérelmező személyazonosságával kapcsolatban kételyek merülnek fel, további információkat lehet tőle kérni.
Mi lehet az adatkezelés alapja?
Személyes adatokat akkor lehet kezelni, ha van valamilyen jogalap a kezelésükre. Vagyis jogalap nélkül nem lehet személyes adatokat kezelni. Ilyen jogalap az illető hozzájárulása, ami akkor fogadható el, ha önkéntes és egyértelmű. Az adatkezelés jogalapját az adatvédelmi szabályzat rögzíti.
Mi a különbség az adatfeldolgozók és az adatkezelők között?
Adatkezelők vagyunk, ha mi gyűjtjük be az adatokat, tároljuk, felhasználjuk, továbbítjuk, vagy módosítjuk az adatot. Az adatfeldolgozó az adatkezelőtől kapja meg az adatokat és az adatkezelő által rábízott feladatokat végzi az adatokkal. Mondhatjuk, hogy az adatfeldolgozó az adatkezelő nevében jár el, nem hozhat érdemi döntéseket, pl. azt hogy kik ismerhetik meg az adatokat.
A GDPR értelmében adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Az adatkezelést be kell jelenteni a hatóság részére?
A GDPR szerint nem kell bejelenteni az adatkezelést az adatvédelmi hatóságnak, de adatvédelmi nyilvántartást kell vezetni. A 250 főnél kevesebb munkavállalót foglalkoztató kis- és középvállalkozások nem kötelesek adatvédelmi nyilvántartást vezetni, kivéve ha az adatkezelés rendszeres, kockázatokkal jár, illetve ha különleges, bűnügyi adatokat kezelnek.
Az adatvédelmi nyilvántartásnak tartalmaznia kell az adatkezelő nevét, elérhetőségeit, azt, hogy mi az adatkezelés célja, továbbá azt hogy milyen kategóriájú adatokat kezelnek (név, lakcím) és azt is, hogy kik ismerhetik meg ezeket az adatokat. Az adatvédelmi nyilvántartás alapján a vállalkozás ellenőrizhető és elszámoltatható lesz.
Mit kell bejelenteni az adatvédelmi hatóságnak?
Az egyes adatkezeléseket tehát nem kell bejelenteni a hatóságnak, az vállalkozásunk által kezelt adatokkal kapcsolatos jogsértéseket azonban be kell jelenteni. Ennek a neve a GDPR szerint adatvédelmi incidens. Ilyen pl. az, ha valaki jogosulatlanul hozzáfér a vállalkozás által kezelt adatokhoz, akár úgy, hogy egy dolgozó elveszti a céges telefonját, amin a cég ügyfeleinek személyes adatai is tárolva vannak. Ilyen az is, ha hacker támadás miatt a kórház nem fér hozzá a betegei egészségügyi adataihoz. Az ilyen jogsértést, (adatvédelmi incidenst) 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság részére. Abban az esetben nem kell bejelentést tenni, ha valószínűleg alacsony kockázattal jár az incidens. Azt, akinek az adatait érinti a jogsértés, csak akkor kell értesíteni, ha nagy kockázattal jár a jogsértés, pl. e-bank belépési jelszavak kerültek idegenekhez.
Az adatvédelmi incidenst az adatkezelőnek kell bejelentenie a hatóságnak, az adatfeldolgozónak annyi a kötelezettsége, hogy ha nála következik be az incidens, akkor közölni kell az adatkezelővel.
Az adatvédelmi incidens GDPR szerinti fogalma: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Utóbbi fogalmat az adatvédelmi szabályzat tartalmazza.
Az adatvédelmi bírság összege miért ilyen magas?
Azért, hogy megfelelő visszatartó ereje legyen és rákényszeríthessék a cégeket arra, hogy betartsák az adatvédelmi szabályokat. Az adatvédelmi hatóság olyan bírságot szab ki, ami arányos a jogsértéssel, vagyis kisebb jogsértés esetén alacsonyabb a bírság. A bírság kiszabása során a hatóság figyelembe veszi, hogy hány személyt érint a jogsértés és azt is, hogy az adatkezelő vállalkozás tett-e valamit a következmények enyhítéséért.
A GDPR megsértésének következményei a bírságon túlmenően
Akár adatfeldolgozóként, akár adatkezelőként jár el a vállalkozás, a GDPR rendelkezéseinek megsértése esetén kártérítési kötelezettsége is keletkezhet. Az a személy, akinek jogsértően kezelték az adatait, vagyoni és nem vagyoni kártérítést követelhet a vállalkozástól. Pl. ha az adatkezelő nem tartja be az adatbiztonsági előírásokat és emiatt hackerek feltörik az adatbázisát, jogosulatlanul hozzáférve a vevők bankkártyaadataihoz és a számláihoz.
Az adatfeldolgozó akkor felel a károkért, ha nem tartotta be a GDPR szerinti kötelezettségeit (adatbiztonsági követelmények). Akkor is felel az adatfeldolgozó, ha nem az adatkezelő jogszerű utasításainak megfelelően járt el, figyelmen kívül hagyta azokat, vagy az utasításokkal ellentétesen járt el.
Hogyan csökkenthetjük az adatkezelési kockázatokat, egy igen egyszerű módszerrel?
A kockázatok a személyes adatok álnevesítésével csökkenthetőek, ilyenkor már nem állapítható meg az, hogy kinek a személyes adatáról van szó. Tehát álneveket kell alkalmazni, oly módon, hogy külön kerüljenek tárolásra az információk. Az álnévhez vannak rendelve a személyes adatok, a valódi nevet pedig elkülönített adatbázisban kell rögzíteni. Nem szabad figyelmen kívül hagyni, hogy az álnevesített adat változatlanul személyes adatnak minősül.
Az álnevesítés fogalma a GDPR-ban: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
Sokat hallani adatvédelmi felelősökről, ki kell-e nevezni ilyet?
A GDPR adatvédelmi tisztviselőről rendelkezik, ilyen tisztviselőt a hatóságoknak kell kijelölni, kivéve a bíróságokat. Azok a vállalkozások is kötelesek adatvédelmi tisztviselőt kijelölni, akik fő tevékenységük során rendszeresen, szisztematikusan megfigyelik az embereket, pl. biztonsági cégek, egészségügyi intézmények. Van még egy eset, amikor kötelező az adatvédelmi tisztviselő kijelölése, akkor, ha különleges adatokat, vagy büntetőjogi felelősséggel kapcsolatos adatokat kezelnek nagy mennyiségben fő tevékenységként. Különleges kategóriába tartozó személyes adatok a faji, etnikai származásra vonatkozó adatok, az egészségügyi adatok, a szexuális beállítottságra vonatkozó adatok, stb. Büntetőjogi felelősséggel kapcsolatos adatok a büntetőjogi felelősséget megállapító határozatok és a bűncselekményekre vonatkozó adatok.
Az adatvédelmi tisztviselő lehet a vállalkozás egyik alkalmazottja, vagy szolgáltatási szerződés alapján is elláthatja a feladatát. Az adatvédelmi tisztviselő nevét és elérhetőségét közzé kell tenni, valamint be kel jelenteni az adatvédelmi hatóságnak is.
Az adatvédelmi tisztviselő feladatai
Az adatvédelmi tisztviselő tájékoztatást és szakmai tanácsokat ad az adatvédelemmel kapcsolatban az adatkezelő és az alkalmazottak részére, emellett azt is ellenőrzi, hogy az adatkezelés során betartják-e az adatvédelmi előírásokat.
Adatvédelmi tisztviselőt akkor is ki lehet nevezni, ha nem kötelező.
Az adatvédelmi tisztviselő nemcsak tájékoztatást és szakmai tanácsokat ad, hanem tartja a kapcsolatot az adatvédelmi hatósággal. Az adatvédelmi tisztviselő csak a vállalkozás vezetőjének tartozik felelősséggel, mástól utasításokat nem fogadhat el.
Tudni kell, hogy az adatvédelmi feladatokon túl az adatvédelmi tisztviselő más feladatokat is elláthat, utóbbi esetben biztosítani kell azt, hogy az egyéb feladataival ne legyen összeférhetetlen.
A direkt marketing üzenetek küldésére vonatkozó szabályok
Direkt marketing üzeneteket, csak akkor lehet küldeni ha ahhoz a fogadó előzetesen hozzájárult és az adatkezelés jogalapjaként az érintett hozzájárulását nevezi meg az adatvédelmi szabályzat.
Így ha hírlevél szolgáltatást nyújtunk, a feliratkozónak külön hozzá kell járulnia ahhoz, hogy direkt marketing hirdetéseket küldjenek neki. A hozzájárulásnak aktívnak kell lenni, nem lehet feliratkoztatni embereket úgy, hogy előre ki van pipálva a direkt marketing hirdetésekkel kapcsolatos jelölőnégyzet. Jogsértő az a módszer, hogy a hírlevélre feliratkozottaknak direkt marketing hirdetéseket küldenek a feliratkozottak külön hozzájárulása nélkül. Jogsértő az is, ha a feliratkozottak adataival kereskednek a hozzájárulásuk nélkül.