Két éves felkészülési idő után 2018. május 25-től kell alkalmazni az EU általános adatvédelmi rendeletét, angol rövidítéssel GDPR-t. A nagy adatvagyonnal, bonyolult adatkezelési folyamatokkal rendelkező adatkezelők a bankok, biztosítók, kórházak, iskolák, önkormányzatok esetében hosszas felkészülési folyamat előzte meg a bevezetést, komoly szakértői munkával. A kisebb vállalkozások, kereskedő cégek, nyelviskolák más állásponton voltak, inkább vettek 20.000 forintért egy egyencsomagot, amelyet tanácsadó cégek állítottak össze erre a célra, hiszen az egyszerű adatkezelési folyamataikat így is le tudták fedni. Vállalták, hogy a sablonokat maguk töltik ki tartalommal.
Azóta a helyzet megváltozott, sok jogszabályváltozás történt. Módosult az Infotörvény, a Munka törvénykönyve, az egészségügyi adatkezelések, a kamerás vagyon és személyvédelemre vonatkozó szabályok, a bűnügyi adatkezelés, felvetette a fejét a pandémia, elterjedtté vált a távmunka.
Sok kiforratlan kérdés van, egyre nehezebb átfogóan tájékozódni, pedig az adatkezelőknek és az adatfeldolgozóknak mindezt követni kellene.
Mi a személyes adat?
Személyes adat lehet bármely információ, amely az azonosított vagy azonosítható természetes személyre vonatkozik. Azonosítható az a természetes személy, aki közvetlen úton, vagy közvetett módon egy vagy több tényező alapján azonosítható. Ilyen például: név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező.
Tehát, ha az adat vagy információ természetes személyre vonatkozik, akkor kell a GDPR-t alkalmazni.
Jó, hát mi csak cégekkel állunk kapcsolatban! - hangzik el gyakran az ügyfelektől. Igen, de a cégeket természetes személyek képviselik, az aláírók, a kapcsolattartók természetes személyek. Az ő nevük, aláírásuk, beosztásuk, címük személyes adat. Egy írásbeli szerződés során, egy ügyféllista, egy telefonos adatbázis esetén máris kezelünk személyes adatokat. A cégnévben szereplő személynév - például Kovács és fiai Bt. vagy Istvánovics Ügyvédi Iroda - személyes adat. Nem személyes adat az info@cégnév.hu e-mail cím kivéve, ha személynevet tartalmaz pl. [email protected].
Mikor tartozik az adatkezelés a GDPR hatálya alá?
A személyes adatok automatizált eszközök útján és manuális kezelésére is vonatkozik a GDPR, ha a személyes adatokat nyilvántartási rendszerben tárolják.
Az úgynevezett háztartási célú adatkezelésre, az egyének kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelésére nem vonatkozik a GDPR.
Például, ha gyerekzsúrt szervezünk és meghívjuk az összes ovistársat a szüleiken keresztül, az nem tartozik a szabályozott körbe, de ha az esküvő megszervezését profi szervező cégre bízzuk és ő küldi ki a mi ismerősi listánk alapján a meghívókat, akkor a cég már a GDPR hatálya alá tartozó adatkezelést végez.
Az elhunyt személyek adataira nem vonatkozik a GDPR, azt az Infotörvény védi.
Ó, hát mi túl kicsik vagyunk csak néhány partnerünk van és két alkalmazottunk, nem kell nekünk szabályzat! - hallom gyakran. Ugyan a kisvállalkozások esetében néha valóban egyszerűek az adatkezelési folyamatok, de aki a gazdasági életben szerződést köt, munkavállalókat alkalmaz, számlát bocsát ki, elektronikus levelezést folytat, partnerlistát tart nyilván, netán weboldallal rendelkezik, mind személyes adatkezelést valósít meg. Ezt pedig a mikrovállalkozások, és az egyéni vállalkozók is megteszik. Sőt! A könyvelő, bérszámfejtő cégek adatfeldolgozást végeznek, adatot továbbítanak a NAV-nak a TB szerveknek, táppénzes adatokat kezelnek.
Jelen cikksorozat arra vállalkozik, hogy a GDPR szabályozásának egy-egy elemét gyakorlati példákon keresztül a helyes jogi megközelítésben mutassa be, közérthető formában. Vannak szakkönyvek, segédanyagok, szoftverek az adatkezelési folyamatok és a személyes adatok nyilvántartására, amelyek segítséget nyújtanak az adatkezelőknek, de azt is meg kell tölteni helyes tartalommal, nem lehet megspórolni, hogy a tulajdonos vagy az egyik családtag vagy alkalmazott ne képezze magát, netán időnként a felülvizsgálathoz külső szakértőt vegyenek igénybe.
