PDF letöltés

Érkezik a GDPR ! Ezek az általános félreértések

Alig több mint két hónap áll a vállalkozások rendelkezésére az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) kötelező alkalmazásáig, ám a vállalkozások többsége nem érzi szükségét intézkedések meghozatalának, noha a rendelet alapvetően írja át a jogszerű adatkezelések rendjét. Az alkalmazkodás – vállalkozásmérettől függően – akár hónapokat is igénybe vehet. Az alábbiakban azokat a főbb tévedéseket mutatjuk be, melyek a megfelelő felkészülés útjában állnak.

Tévhit 1. Nem kezelünk személyes adatokat 

Üzleti tárgyalások során leggyakrabban azt hallani a vállalkozások vezetőitől, hogy szerencsére nem kezelnek személyes adatokat, így a változás sem nagyon érinti őket. Miután azonban tisztába kerülnek azzal, mi számít személyes adatnak, általános zavar lesz úrrá rajtuk, hiszen világossá válik számukra, hogy valamennyi üzleti folyamat vagy azok jelentős része természetes személyek adatainak a kezelését is magában foglalja.

Személyes adatnak minősül ugyanis az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, akinek kiléte közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján pontosan meghatározható. Személyes adatok kezelése valósulhat így meg a munkavállalók, ügyfelek, illetve a szerződéses partnerek adataival összefüggésben. Hasonlóképpen személyes adatok kezelésére kerülhet sor a honlapok üzemeltetésével összefüggésben is.

Tévhit 2. Az adatkezelés fogalma csupán "aktív" tevékenységeket fed le

Általában egyértelmű, hogy ha a munkavállalók adatait adatbázisban rögzítjük, adataikat bérszámfejtőnek, könyvelőnek megküldjük, ügyfeleinknek hírlevelet küldünk, személyes adataikat kezeljük. Az ugyanakkor már keveseknek jut eszébe, hogy "passzív" jellegű cselekményekkel is adatkezelést valósítunk meg.  Ilyen például a személyes adatok rögzítése vagy tárolása. Ha tehát a személyes adatokat tartalmazó dokumentumok a számítógépünkön, szerverünkön vagy akár az irattárban elérhetőek, nem hivatkozhatunk arra, hogy nem történik adatkezelés, hiszen az adatokat már évek óta nem "használjuk", és azokhoz nem fér hozzá senki.

Hasonlóképpen adatkezelésnek minősül a személyes adatok lekérdezése, illetve az azokba történő betekintés is. A szoftverhez biztosított vagy az ügyfélszolgálat által segítségnyújtási célzattal nyújtott távoli hozzáféréssel így ugyanúgy adatvédelmileg szabályozandó cselekményt végzünk, mintha marketing anyagokat küldenénk az ügyfeleinknek. Adatkezelésnek számít ugyanis a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Tévhit 3. Eddig megfeleltünk, most ugyanakkor teljesen új kötelezettségek jönnek

Azzal együtt, hogy az adatvédelem szabályrendszerében 2018. május 25. napjával jelentős fordulat következik be, tény, hogy a kötelezettségek jó része valamilyen formában jelenleg is él. A legfontosabb kötelezettség, hogy az adatkezeléshez megfelelő jogalap kell.

A leggyakrabban hivatkozott jogalap az érintett hozzájárulása. A hozzájárulásnál azonban nem csak az fontos, hogy önkéntes legyen, hanem megfelelő, előzetes tájékoztatásnak is kapcsolódnia kell hozzá. Az érintettet egyértelműen tájékoztatni kellett egyebek mellett arról, hogy mi az adatkezelés jogalapja, célja, időtartama, kik ismerhetik meg a kezelt személyes adatokat, illetve az érintett milyen jogokat gyakorolhat.

Hasonló tájékoztatási kötelezettség más, egyéb jogcímeknél is ugyanúgy érvényesül. Amennyiben például úgy folytatja a munkáltató a munkahelyi ellenőrzést jogos érdekre, mint jogalapra hivatkozva, hogy nincs mögöttes adatvédelmi tájékoztató, az adatkezelése nem jogszerű. Akkor sem jogszerű az adatkezelés, ha a nélkül küld hírlevelet a cég, hogy az érintett ügyfelet a hozzájárulás időpontjában részletesen tájékoztatta volna az adatkezelés körülményeiről. E nélkül ugyanis nem lehetett azzal sem tisztában, hogy mihez járult hozzá. Nem biztos, hogy szeretné, ha a személyes adatait évekig őrizgetné a cég, vagy azokat más adatkezelőkkel, adatfeldolgozókkal megosztaná.

Elektronikus megfigyelőrendszer alkalmazása esetén hasonlóképpen részletes tájékoztatást kellett eddig is adni egyebek mellett a kamerák elhelyezkedéséről, az adatkezelés konkrét céljáról, jogalapjáról, arról, hogy a felvételt meddig őrzi a cég, kik és mikor tekinthetik meg, valamint az érintett milyen jogokkal rendelkezik.

A cikk eredeti változata az Adózóna oldalán jelent meg a szerzőtől.

Dr. Kéri Ádám ügyvéd
adam.keri.office@icloud.com