Érintett vagyok? - GDPR
Kivételesen helyénvalónak tűnik visszakérdezni: Ki kérdezi? No, nem azért, mert vannak kivételek, akikre nem vonatkozik, hanem, hogy a második, „hogyan” kérdésre válaszolni tudjunk…
Ugyanis mindenki, legyen az természetes vagy jogi személy (vállalkozás), akár állami szervezet, egyaránt érintett, de nem mindegy milyen pozícióból.
Ugyan a fenti kérdések alapján feltételezhető, hogy a kérdező tudja már, de azért nem árt tisztázni, mi is az a GDPR. A GDPR (General Data Protection Regulation) az EU jogalkotói által 2016-ban alkotott Általános adatvédelmi rendelet, mely két év türelmi idő után idén május 25-én lép hatályba és rendelkezéseit kötelező érvénnyel alkalmazni kell.
A hazai jogrendben létezik hasonló szabályozás, az Infotv., de harmonizációja elengedhetetlen, bár jelenleg megakadt a jogalkotás folyamatában. Így a két, az EU-s és a magyar szabályozás harmonizációja leghamarabb az év vége felé várható csak. Ez a közöttük fennálló esetleges „ellentmondások” következtében akár problémás is lehet.
Minden esetre, aki korábban megfelelt az Infotv. szabályainak, annak egyszerűbb a dolga, könnyebben áttekinti a két szabályozás közötti különbséget és könnyebben felkészülhet a GDPR szabályaira.
Visszatérve az érintettségre, nagyon fontos, hogy tényleg mindenkit érint az új szabályozás, melynek célja elsősorban az EU-s polgárok személyes adatainak védelme, de ezt kiterjeszti minden személy, mint ügyfél személyes adatainak az EU-ban történő kezelésére, sőt azok harmadik országba továbbítását feltételekhez köti.
Ennek érdekében az EU-ban működő valamennyi vállalkozásra, állami szervre, stb., mint a polgárok személyes adatait gyűjtő, feldolgozó adatkezelőre, adatfeldolgozóra vonatkozóan tartalmaz rendelkezéseket. Szükség van bizonyos szemléletváltásra, mert a rendelet a megelőzésre fekteti a hangsúlyt, sőt az adatkezelő kötelezettsége bizonyítani, hogy mindent megtett a szabályok betartása érdekében.
De mi okoz problémát? Sajnos az esetek többségében még sokan azzal sincsenek tisztában, kezelnek-e és milyen személyes adatokat. Éppen ezért célszerű minden vállalkozás részéről ezt felmérni, hiszen ezen múlik milyen szabályokat kell alkalmazni a továbbiakban az adatvédelmi célok elérése érdekében. Ne feledkezzünk meg az alkalmazottak személyes adatairól, amit minden munkáltató jogszabályi felhatalmazások következtében nyilvántart. De itt gondoljunk arra is, ha nem saját alkalmazott végzi a bérszámfejtést, hanem külső vállalkozó, akkor rá is vonatkoznak a szabályok.
Azonban hasonló szabályok vonatkoznak az elektronikus adathordozón, informatikai rendszerben tárolt személyes adatokra is, ezek mentésére, tárolására, úgy mint adatbázisokra, elektronikus levelekre, log fájlokra, be- és kilépési adatokra, kamera felvételekre és még sorolhatnám… Viszont fontos kiemelni néhány különlegeset is, mint a hírlevelek címzettjeinek adatbázisát, weboldal látogatók adatait vagy a webáruházak esetében külön megjelenő fizetési információkat.
A hírlevelek ügyfél adatbázisa ma is sok problémát okoz még az Infotv. hatálya alatt is, ez ismert probléma. De sokakban fel sem merül, hogy a weboldala olyan személyes adatokat gyűjthet, melyek már a rendelet hatálya alá tartozik, pedig adott esetben nem is lehetséges bejelentkezni és adatot gyűjteni a látogatóktól. Ez a széleskörűen alkalmazott Google Analytics-nek köszönhetően valósul meg, a weboldal látogató számítógépére telepített cookie-k alkalmazásával.
Hasonló a helyzet az online vásárlási és fizetési információkkal, hiszen ezek is személyes adatok, melyeket sokszor továbbítanak könyvelőnek, futárnak, sőt a bankok is szolgáltatnak információt a vevők fizetéseire vonatkozóan.
Személyes adatokat kizárólag felhatalmazás alapján lehet gyűjteni, feldolgozni, legyen az az ügyfél személyes vagy jogszabály által előírt felhatalmazás, de kizárólag a felhatalmazásban meghatározott ideig vagy annak visszavonásáig, azt követően bizonyítható módon meg kell semmisíteni. Fontos, hogy elektronikus adathordozón sem maradhat meg korábbi adatmentés részeként.
Különös figyelemmel kell lenni az adatvédelmi incidensekre, adatszivárgásra vagy jogosulatlan hozzáférésre, amelyet a felügyeleti hatóságnak jelenteni kell.
Sajnos a téma terjedelme messze meghaladja ezen bejegyzés kereteit, így jelenleg csak figyelemfelkeltésre törekedhetünk. Egy jó tanács, aki kicsit is bizonytalan, az inkább keressen hozzáértő tanácsadót, aki eligazítja, felkészíti a feladatra, mert a szabályok alapján „cégre” kell szabni az adatvédelmi intézkedéseket és nincs két egyforma vállalkozás (szervezet).
Esetleg mi is tudunk az ügyben tanácsot adni...