A KKV-k sem mentesülnek a GDPR szabályai alól !

Kormányzati oldalról ígéret hagzott el arra nézve, hogy az Európai Unió Általános Adatvédelmi Rendeletének a szabályait a KKV-k vonatkozásában átmeneti ideig nem fogják szigorúan ellenőrizni. Ezzel összefüggésben azonban fontos arra rámutatni, hogy a NAIH az ellenőrzésektől nyáron sem tekint el. Amennyiben pedig a KKV-k a felkészülést halogatják, ősszel ugyanezen problémával fognak találkozni, hiszen teljes, tartós mentesülést a jogkövetés alól semmiképpen nem kaphatnak. Erre tekintettel mutatjuk be a legfontosabb félreértéseket az alábbiakban:

Írásomban olyan lényeges tévhiteket mutatok be, melyek széles körben elterjedtek, és ezzel kifejezetten rontják az adatvédelmi követelmények betartásával összefüggő tisztánlátást. Ilyen tévhit az, hogy nem is áll rendelkezésre a megfeleléshez szükséges joganyag, a vállalkozás nem esik a rendelet hatálya alá, vagy hogy másra hárítható a megfelelés feladatköre. 

Nézzük, mely esetekben kell a tudásunkat felfrissítenünk!

1. Nem lesz elfogadott új Infotv.

Elsőként azt a tévhitet kell eloszlatnunk, hogy az Infotv. módosítása belátható időn belül nem fog bekövetkezni. Mind a Nemzetgazdasági Minisztériumban, mind pedig az igazságügyi tárcánál folyamatban vannak kodifikációs lépések, melyek előbb-utóbb be is fognak fejeződni. 

Az elhúzódás egyik oka éppen az, hogy nem csupán az Infotv., hanem az Mt., illetve számtalan egyéb ágazati jogszabály módosítása szükséges. Tekintettel azonban arra, hogy a GDPR közvetlenül alkalmazandó, így a konkrét kötelezettségeket a rendeletben és nem az Infotv.-ben kell keresnünk. Ez okból nem megalapozott arra hivatkozni, hogy az Infotv. elfogadásáig a kötelezettségeink nem teljesíthetőek. 

2. Egyéni vállalkozókra, kkv-kre nem vonatkozik a GDPR
 

Habár lenne benne logika, hogy a mikro-, kis- és közepes vállalkozásokat mentesítsék a szigorú adatvédelmi követelményeknek való megfelelés alól, ilyen könnyítés sem az Infotv., sem pedig a GDPR alapján nincsen. 

A rendelet kifejezetten kimondja, hogy annak hatálya a természetes személyek kizárólag személyes vagy otthoni tevékenységei keretében történő adatkezeléseire nem vonatkozik, így nem csupán az egyéni vállalkozókat, hanem az egyesületeket, alapítványokat  is lefedi. 

A szabályok alól bizonyos körben azonban kaphatunk könnyítéseket. A GDPR 30. cikke szerint nem kell belső nyilvántartást készítenünk, amennyiben az adatkezelés alkalmi jellegű, nem kezelünk különleges és bűnügyi adatokat és az adatkezelés kockázattal nem jár. Ilyen adatkezelésre azonban ezidáig példát nem tudtam felhozni. 

Valós könnyítést jelenthet azonban a bevezető rendelkezések 91. pontja., mely szerint a "nagymértékű" adatkezelést a hatásvizsgálattal (adatvédelmi tisztviselővel) összefüggésben úgy kell értelmezni, hogy a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik. 

Ilyen esetekben az adatvédelmi hatásvizsgálatot (vagy az adatvédelmi tisztviselő választását) nem kell kötelezővé tenni. Ezen meghatározásból esetlegesen az is levezethető, hogy a hatásvizsgálat és az adatvédelmi tisztviselő egyedül praktizáló adatkezelő vonatkozásában nem kötelező. 

Megjegyzendő, hogy ezen könnyítés konkrét keretei nem egyértelműek.

3. A könyvelő kötelessége az ügyfél szabályrendszerének elkészítése

Egyre több esetben hallani, hogy az ügyfelek a saját megfelelésüket a bérszámfejtők, könyvelők "nyakába szeretnék varrni", azaz őket köteleznék a saját belső szabályozásuk elkészítésére. Ennek a gyakorlatnak azonban nincsen jogi alapja. 

A vállalkozás adatkezelői, a bérszámfejtő, könyvelő pedig általában adatfeldolgozói minőségben működik. Fontos ezzel összefüggésben tudni, hogy a kötelezettségek zöme kizárólag az adatkezelőkre vonatkozik. 

Az adatkezelő kötelezettsége a belső adatkezelői nyilvántartásának az elkészítése, melynek elemeit az adatfeldolgozó nem is ismerheti, hiszen azoknak csak egy elemével dolgozik. Tájékoztatási, incidens vizsgálati, hatásvizsgálati kötelezettségei is csupán az adatkezelőknek vannak. 

Az adatfeldolgozó kötelezettsége az adatfeldolgozói nyilvántartás elkészítése, mely az adatkezelői nyilvántartásnál lényegesen szűkebb körű. 

Ezen túlmenően a feleknek egymással adatfeldolgozói szerződést is kell kötni. 

Mindkét félnek tehát külön-külön kell megfelelnie, azzal, hogy míg az adatfeldolgozó kizárólag a saját adatkezeléseiért, addig az adatkezelő az adatfeldolgozó adatkezeléseiért is felelősséggel tartozik.

(Ez a cikk eredetileg az Adózóna oldalán jelent meg tőlem 2018. 05.22. napján)

Dr. Kéri Ádám
ügyvéd
adam.keri.office@icloud.com

Szechenyi_Logo    vosz-logo-szines-feher-hatter-1 1.[1]