A megfelelés időigényes, nem néhány tájékoztató lemásolásából áll

Számos vállalkozás a csodában reménykedett, azaz abban, hogy a GDPR kevéssé áttekinthető követelményrendszere alól valamilyen okból mentesülni fognak. Ilyen reménysugár volt például az, hogy az Infotv. nem került még módosításra, a NAIH, mint felügyeleti szerv nem került kijelölésre, de hasonlóan kártékony az a szemlélet, mely a megfelelést a tájékoztatók egymástól való átmásolásában látja. Ezeknek következtében a megfelelés határidőre vállalkozások tömegei számára kivitelezhetetlen lesz. Az alábbiakban ennek okait, és a megfelelés főbb lépéseit mutatjuk be röviden azzal, hogy a megvalósításhoz megfelelő szaktudásra is szükség lesz.

I. Adatvagyon leltárt kell készítenünk

A vállalkozások első lépésben fel kell, hogy mérjék saját adatkezeléseiket. Meg kell tehát vizsgálni, hogy személyes adatokat, illetve azok különleges kategóriáit a munkaviszonnyal, az ügyfélkapcsolatokkal, illetve a szerződéses partnerekkel összefüggésben miként kezelünk. A kategóriák tehát ezek lesznek. A munkaviszonnyal összefüggésben a munkaerőtoborzás, illetve a munkaszerződés teljesítéséhez kapcsolódó adatkezelések feltérképezése szükséges. Meg kell vizsgálni, hogy a személyes adatok honnan érkeznek, milyen előzetes tájékoztatást kapnak az érintettek, a személyes adatokat meddig tároljuk, illetve másnak továbbítjuk-e. Azt is vizsgálat tárgyává kell tenni, hogy valamennyi adatra szükségünk van-e (pl: fénykép), illetve, hogy van e minden adatkezelésnek megfelelő jogalapja (pl: iratmásolás, életrajzok őrizgetése). Az ügyfélkapcsolatok, valamint a szerződéses partneri adatok vonatkozásában hasonlóképpen azt kell megvizsgálni, hogy ezen jogviszonyokban természetes személyeknek mely adatai kerülnek hozzánk (ügyfél, kapcsolattartó), azoknak a kezeléséhez van-e megfelelő jogalapunk (pl: igazolványszámok rögzítése), kapnak-e megfelelő tájékoztatást az érintettek az adatkezelésekről, valamint azokra meddig van szükségünk.

Készítsük el a munkavállalók, ügyfelek, szerződéses partnerek tájékoztatóit

Az érintettet az adatkezelés megkezdése előtt az Infotv. 20.§ (2) bekezdése alapján egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a 6. § (5) bekezdése alapján kezeli (jogos érdek), illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen a követelményrendszeren a GDPR sem változtat, sőt a tájékoztatási követelmény fokozottabban fog érvényesülni. Amennyiben ugyanis az adatokat az érintettől gyűjtjük, az adatok megszerzésének időpontjában kell tájékoztatást adni az adatkezelő személyéről, elérhetőségéről, az adatvédelmi tisztviselő személyéről, az adatkezelés céljáról, jogalapjáról, jogos érdek, mint jogalap esetén a jogos érdekről, az adattovábbításokról (címzettek), a tárolás időtartamáról vagy annak szempontjairól, az érintetti jogokról, illetve az automatizált döntéshozatal és profilalkotás tényéről. Amennyiben pedig a személyes adatokat nem az érintettől szereztük (pl: vásárolt vagy nyilvános adatbázis), abban az esetben ésszerű határidőn, de legfeljebb egy hónapon belül, kapcsolatfelvétel esetén az első kapcsolatfelvételkor, adattovábbítás esetén már az első adattovábbításkor, adatkezelési cél változása esetén pedig minden egyes cél változásakor meg kell adnunk a személyes adatok kezelésével összefüggő tájékoztatást. Akármilyen tájékoztatót is készítünk, azoknak alapvető szabálya, hogy az a természetes személy, akinek a személyes adatait kezeljük tudja, hogy pontosan mely adatait, milyen jogalapon és meddig kezeljük, valamint, hogy ezzel összefüggésben milyen jogok illetik meg. Figyeljünk arra is, hogy amennyiben a vállalkozásnak honlapja is van, az ezzel összefüggő adatkezelésekről is tájékoztatást kell adnunk (cookie, tárhyelyszolgáltató, állás, bejelentkezés, panasz, regisztráció stb.)

Nyilvántartásokat is készítenünk kell

A GDPR 30. cikke alapján belső nyilvántartást is kell készítenünk. Ez a nyilvántartás, mely a hatósági bejelentések rendszerét fogja felváltani, attól függően különbözik, hogy adatkezelők vagy adatfeldolgozók vagyunk. Első lépésben tehát minősítenünk kell magunkat. A vállalkozások zöme adatkezelő, adatfeldolgozó csupán az, aki más nevében, annak utasításai alapján végzi az adatkezelési tevékenységeit (pl: bérszámfejtő). Adatkezelőknek adatkezelői, adatfeldolgozóknak pedig adatfeldolgozói nyilvántartást kell készíteniük. Előbbiben valamennyi adatkezelési tevékenységünket meg kell jelölnünk, s meg kell adnunk a hozzá kapcsolódó adatkezelési adatokat (jogalap, cél, időtartam stb.). Utóbbi nyilvántartás pedig főként azt tartalmazza, hogy mely adatkezelők nevében milyen adatfeldolgozói feladatokat látunk el. Szükségünk lesz továbbá incidensnyilvántartásra, valamint adattovábbítási nyilvántartásra is. Utóbbi keretei az Infotv. módosításával még változhatnak. Tekintettel arra, hogy minden vállalkozás egyedi, így a szabályzatok másolásával a megfelelést nem fogjuk tudni biztosítani.

Dr. Kéri Ádám

ügyvéd, adatvédelmi szakértő, adatvédelmi tisztviselő

adam.keri.office@icloud.com