Adatkezelés szabályosan - a legfontosabb tudnivalók

Vállalkozóként könnyű elveszni a jogszabályok erdejében – elhanyagolt terület ezen belül az adatkezelésre vonatkozó szabályok betartása. Pedig ha nem figyelünk, tetemes bírságot is kaphat a cég. Összeszedtük, mi az, amire mindenképpen figyelni kell!

2014. november 27.

Piac&Profit

Ehhez első lépésként azt kell tisztáznunk a magunk számára, hogy folytat-e a cégünk adatkezelést. A törvény szerint adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

Fontos, hogy foglalkozzunk az adatvédelem kérdésével, mert a legtöbb cég egyelőre nem készült fel az Unió új adatvédelmi szabályaira - pedig akár többmilliós bírságok is elképzelhetők.

Kép:sxc

Tehát ahhoz, hogy adatkezelővé váljunk elég annyi, ha van egy hírlevél feliratkozási lehetőség a weboldalunkon. Ha pedig már önvizsgálatot tartottunk és beláttuk, hogy adatkezelők vagyunk, lássuk, mi a teendő:

1. Bejelentkezés

Mivel az adatvédelem biztosításáról hatóság is gondoskodik, ha adatkezelővé válunk, be kell jelentkeznünk a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH). Lehetőség van papíron és elektronikusan is benyújtani, a hatóság azonban az utóbbit ajánlja. A szükséges dokumentumok itt elérhetők.

2. Adatkezelési szabályzat

Ha adatokat kezel a cégünk, rendelkeznünk kell egy adatkezelési tájékoztatóval is. Ennek részletesen tartalmaznia kell, hogy az érintetteknek milyen adatait kezeli a cég, milyen célból használja fel azokat, mennyi ideig tárolják, kiadják-e harmadik félnek. Az adatvédelmi tájékoztatót az ügyfelek számára érthető módon és a saját tevékenységünkre vonatkoztatva kell megfogalmazni. Tehát nem jó megoldás letölteni egy előre megírt, általános formulát az internetről, vagy egyszerűen a törvény szövegét használni. Fontos, hogy körültekintően járjunk el, mert ha a hatóság úgy ítéli meg, hogy a jogszabálynak nem minden vonatkozó rendelkezését építettük be, súlyos bírságra számíthatunk.

Az adatkezelési szabályzat mindenképpen egy önálló dokumentum legyen, aminek címében szerepeljen az adatkezelés vagy adatvédelem szó. A legtisztább megoldás, ha egy külön menüpontot hozunk létre a számára a weboldalunkon – hiszen minél könnyebben elérhető, annál inkább bizalmat keltünk majd a látogatókban. Ha mégsem akarjuk külön megjeleníteni az adatkezelési szabályzatot, azt csatolhatjuk az Általános Szerződési Feltételekhez is, de semmiképpen ne dugjuk el túlságosan!

Spam kisokos

Nagy összegű bírság kiszabására számíthat, aki anélkül küld a felhasználók számára hírlevelet, hogy annak jogi szabályait betartaná. Spam kisokos sorozatunk segítségével elkerülhetjük, hogy szemétként azonosítsák a küldeményünket!

Az adatkezelési tájékoztatóban a felhasználókat megillető jogokat is részletesen ki kell fejteni. Ez azt jelenti, hogy részletesen le kell írnunk, hogy hova fordulhatnak a felhasználók jogaik érvényesítése érdekében vagy panaszukkal.

A netről letöltött verziókkal azért is jobb vigyázni, mert az adatkezelés komplex feladat, nem könnyű minden jogszabálynak megfelelni. Tehát ha azt is hisszük, hogy a "biankó" szabályzattal védve vagyunk, könnyen lehet, hogy nagy lyukak maradnak a saját tevékenységünkkel kapcsolatos, egyedi területeken. Érdemes tehát a szabályzat kialakításakor szakemberrel konzultálni.

3. Jogosság indoklása

Rendben van, kezelünk bizonyos adatokat – ügyfeleinkről, látogatóinkról stb. Ahhoz azonban, hogy ez elfogadható legyen, az adatkezelés kizárólag az érintett személy hozzájárulásán vagy kötelező jogszabályi rendelkezésen alapulhat. Az adatkezelési szabályzatban erről – vagyis a jogalapról – a felhasználót egyértelműen tájékoztatni kell.

Fontos az is, hogy az adatkezelés célját megfelelően indokolni tudjuk. Tilos ugyanis csak úgy „általában” tárolni az adatokat. Az adatvédelmi tájékoztatóban pontosan rögzíteni kell minden egyes célt, ami az adatkezelést indokolja.

Indokolt cél lehet, ha a szerződés teljesítéséhez – például a számlázáshoz – szükség van az adatok kezelésére, de erről is tájékoztatni kell az érintetteket. Ha viszont az adatokat marketing célokra is használni kívánjuk – például hírlevelet küldenénk – ahhoz nem elég az adatvédelmi nyilatkozatban rögzíteni a célt, hanem külön hozzájáruló nyilatkozat aláíratására van szükség!

4. Nem örökre szól!

Hiába járult hozzá egyszer az érintett az adatai kezeléséhez, azokat azonnal törölni kell, ha az adatkezelés célja már nem áll fenn. Vagyis, ha például kiszámláztuk az eladást. A kulcs mindig az adatkezelés eredeti célja (vagyis a szabályzatban lévő felsorolás pontossága). Ha olyan adatkezelésről van szó, amihez külön hozzájárulást kértünk, az adatot a felhasználó kérésére akkor is azonnal törölni kell.