Banánhéjak az aknamezőn - családi vállalkozások is nagy összegre büntethetők

Bizonyára sokan hallottak már az Európai Unió adatvédelmi rendeletéről és arról, hogy 2018. május 25-étől alkalmazandóak az új szabályok, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal számolhatnak az adatkezelést végzők. Az azonban a közvélemény számára egyáltalán nem ismert, hogy a szabályozás a családi vállalkozásoktól és egyéni vállalkozóktól kezdve a nemzetközi nagyvállalatokig mindenkire kiterjed.

Ront vagy javít Magyarország megítélésén a soros EU-elnökség?
Milyen újabb öt év elé néz Karácsony Gergely?
Mi lesz a liberalizmussal Magyarországon?
Online Klasszis Klubtalálkozó élőben Horn Gáborral!

Vegyen részt és kérdezzen Ön is a Republikon Alapítvány kuratóriumának elnökétől!

2024. július 24. 15:30

A részvétel ingyenes, regisztráljon itt!

A felmérések jellemzően azt mutatják, hogy a vállalkozások egy jelentős hányada nem hallott a rendeletről, illetőleg nem kezdte meg az új szabályozásra való felkészülést. Ennek komoly, adott esetben sok százmillió vagy akár milliárd forintban mérhető következményei lehetnek.

Mindez igaz egy olyan szabályozási környezetet jelentő EU rendeletre, amely rendelkezéseinek értelmezése sok esetben jogászok számára sem egyértelmű, illetőleg amely az EU adatvédelmi munkacsoportja által kiadott iránymutatások szerint is számos szürke zónát tartalmaz.

A rendelet előírásaiban rejlő bizonytalanság és a jogszabály körüli értelmezési nehézségek okkal jelentenek jogi aknamezőt, hiszen a felkészülést komolyan vevők számos nehézséggel szembesülnek munkájuk során.

Kép:Pixabay

Az alábbiakban vegyünk sorra néhány banánhéjat.

 „Kis- és középvállalkozásokat első alkalommal nem bírságolhatja a hatóság, így ráérek egy esetleges hatósági eljárás során foglalkozni a felkészüléssel.”

Ez a kis- és középvállalkozásokat megillető kedvezmény a rendelet szabályaira tekintettel az adatvédelmi hatósági eljárások esetében május 25-étől meg fog szűnni, így kis- és középvállalkozások az első alkalommal is bírságolhatók lesznek.

 „Családi vállalkozásomra nem terjed ki a rendelet hatálya, így nem kell megfelelnem a rendelkezéseinek.”

A rendelet hatálya az egyéni vállalkozóktól és kisvállalkozásoktól kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed, hiszen valamilyen mértékben minden vállalkozás kezel személyes adatokat (pl. lehetnek munkavállalói, ügyfelei, szerződéses partnerei, kezelhetnek álláskeresőkre vonatkozó adatokat, működtethetnek webshop-ot, direkt marketing tevékenységet végezhetnek, követeléskezelést végezhetnek, stb.).

GDPR: nehéz az átállás, de megéri
A vállalkozások mindössze 15 százaléka véli úgy, hogy a májusi határidőre teljes mértékben képes lesz megfelelni az új európai uniós adatvédelmi rendelet, a GDPR követelményeinek – derül ki a Deloitte felméréséből. A cégek számára komoly kihívást jelent a felkészülés, azonban jelentős üzleti előnyöket is hozhat az átállás az új adatkezelési gyakorlatra.
Amennyiben valaki azt gondolja, hogy nem terjed ki rá a rendelet hatálya és ezért nem kell megfelelnie a rendelkezéseinek, ellenőrzés esetén számíthat bírságra, hiszen egy ilyen hozzáállás gyakorlatilag azt jelenti, hogy semmilyen, a megfelelést szolgáló intézkedést nem tett.

„Ha a jelenlegi szabályoknak megfelelek, akkor jó eséllyel megfelelek a rendeletnek is.”

Sajnos ez is egy közkeletű tévedés. A rendelet egyrészt számos, a jelenleg hatályos szabályokhoz képesti többlet kötelezettséget tartalmaz, másrészt az ún. „elszámoltathatóság” elve alapján nemcsak meg kell felelni az előírásoknak, hanem dokumentált módon kell tudni igazolni a megfelelést. Így amennyiben egy kötelezettség nem is vonatkozik az adatkezelést végzőre, dokumentálni kell annak elemzését, hogy miért nem áll fenn az adott kötelezettség (pl. miért nem kell adatvédelmi tisztviselőt választani vagy adatvédelmi hatásvizsgálatot készíteni, stb.).

„Ha van hozzájárulás az adatkezeléshez, akkor minden rendben van.”

A rendelet felsorolja az adatkezelés lehetséges jogalapjait, amelyek közül az egyik az érintett hozzájárulása. Azonban egy adatkezelés jogszerűségéhez szükséges többek között az, hogy a megfelelő jogalapot alkalmazza az adatkezelést végző. Hiába szerez be hozzájárulást az adatkezelést végző abban az esetben, ha az adatkezeléshez más jogalapot kell alkalmazni. Ilyen esetben hozzájárulás megléte esetében is jogellenes lesz az adatkezelés, amelynek bírság lehet a következménye.

„Ha beszereztem az adatkezeléshez hozzájárulást, akkor jogszerűen kezelhetem azokat az adatokat, amelyek kezeléséhez hozzájárult az érintett személy.”

Az adatkezelés mindenképpen jogellenes abban az esetben, ha olyan személyes adatok kezelése is folyik, amelyek kezelése nem szükséges az adatkezelés céljának eléréséhez. Ez hozzájárulás megléte esetén is így van.

„A munkavállalóim hozzájárultak az adatkezeléshez, így jogszerűen kezelem a személyes adataikat.”

Az adatvédelmi hatóság és az EU adatvédelmi munkacsoportja következetes gyakorlata alapján a hozzájárulás a munkaviszony függelmi jellege miatt az esetek döntő többségében nem lehet az adatkezelés jogalapja, mivel a hozzájárulás munkaviszonyban fogalmilag nem lehet önkéntes. Hozzájárulásra, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány a hozzájárulás megtagadása esetén. A hatóság azt a példát hozza, amikor a munkáltató futóversenyt szervez a munkavállalóknak és ennek érdekében kezeli a munkavállalók pólóméretét, mint személyes adatot. Ebben az esetben a hozzájárulás lehet megfelelő jogalap.

„Ha nem nyújtok szolgáltatást természetes személyek részére, akkor nem kell foglalkoznom a rendelettel.”

Attól, hogy egy vállalkozás nem nyújt szolgáltatást természetes személyek részére, még lehetnek például munkavállalói, ügyfelei és szerződéses partnerei, amely viszonyok tekintetében sor kerül személyes adatok kezelésére, így a rendelet alkalmazandó.

A fentiekben ismertetett példákon felül jónéhány további banánhéj is található még a rendelet jelentette aknamezőn. A GDPR-ral kapcsolatos kérdéseket a blog bejegyzések (eugdpr.blog.hu) kérdések és válaszok formájában dolgozzák fel. A bírsággal kapcsolatos bejegyzésért kattintson ide.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner,

Szecskay Ügyvédi Iroda

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Hírlevél-feliratkozás – kötelező-e a kétlépéses hozzájárulás a GDPR alapján?
A kétlépéses hírlevél-feliratkozás indokául és előnyeként általában azt emelik ki az e-mail-marketing-szakemberek, hogy egyértelmű azonosítással segít elkerülni a spam-feliratkozókat, minimalizálja az adattisztítási munkát, növeli a feliratkozók elhivatottságát, és maximalizálja a konverziót. Hátránya viszont az, hogy kevesebb feliratkozót hoz. Tényleg szükséges-e azonban a GDPR alapján a dupla megerősítéses hírlevél-feliratkozás? Erről kérdeztük dr. Horváth Katalint, a Sár és Társai Ügyvédi Iroda e-kereskedelemmel foglalkozó partner ügyvédjét.

Véleményvezér

Már csak az aluliskolázottaknál dübörög a Fidesz

Már csak az aluliskolázottaknál dübörög a Fidesz 

Már gyurcsányozni sem érdemes.
Hatalmas metrót épít a mindössze 300 ezer lakosú Kolozsvár

Hatalmas metrót épít a mindössze 300 ezer lakosú Kolozsvár 

Világváros lesz Kolozsvárból.
A Facebookon Orbán Viktoron mulatnak

A Facebookon Orbán Viktoron mulatnak 

Nem is volt, de azért megszüntetnék.
Példátlan helyzet, közadakozást kezdeményezett a Bethesda Gyermekkórház, hogy egy műtőjét működtetni tudja

Példátlan helyzet, közadakozást kezdeményezett a Bethesda Gyermekkórház, hogy egy műtőjét működtetni tudja 

Miközben az elit gátlástalanul urizál, már az alapszolgáltatások sem működnek.
Lázár Jánosnak nem megy a Fanta-matek

Lázár Jánosnak nem megy a Fanta-matek 

A Fanta-botrány és a műbalhé.
Magyar Péter szerint egy fideszes képviselő titokban megszavazta az Európai Parlament elnökének a néppárti jelöltet

Magyar Péter szerint egy fideszes képviselő titokban megszavazta az Európai Parlament elnökének a néppárti jelöltet 

Újraválasztották Roberta Metsolát az Európai Parlament elnöki tisztségébe.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo