Amire figyelni kell a személyes adatok kezelésénél

2013. április 30. kedd - 18:30 / piacesprofit.hu
  •    

A legtöbb cég kezel személyes adatokat, ha mást nem is, ügyfeleiről és munkavállalóiról.Ezekre szigorú szabályozás vonatkozik többek között az informatikai eljárások területén is. gorú szabályozás vonatkozik többek között az informatikai eljárások területén is.

Kép: SXC

Személyes adatokat általában a magánszemély ügyfelekről (vagy érdeklődőkről) és a munkavállalókról kezel egy vállalkozás, tipikusan valamilyen IT-rendszerben. Az ezekre vonatkozó biztonsági elvárások eddig is szerepeltek az adatvédelmi törvényben. Ezek korábban csak általános követelményeket tartalmaztak: ne jusson illetéktelenek kezébe, ne lehessen illetéktelenül módosítani, legyen védve mindenféle külső veszélytől (üzemzavar, vírus, hacker stb.).

Ez az általános szabály tavaly óta kiegészült egy tételes felsorolással. A kötelezően előírt biztonsági funkciók: (Infotv. 7. § (5) bekezdés):

„A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

Ki az adatkezelő?
Adatkezelést végeznek mindazok, akik mások adatait valamilyen formában összegyűjtik, tárolják, felhasználják. Jelenleg mindenkinek, aki az új törvény által felsorolt módon megvalósított adatkezeléseket végzi kötelező nyilvántartásba vetetni magát. Az új törvény alapján megállapítható: bármilyen, a törvény által fontosnak minősített adatkezelési tevékenységet csak a nyilvántartásba vétel után lehet majd végezni, ennek hiányában a hatósági ellenőrzés esetén biztosan bírságolásra számíthat a bejelentést elmulasztó, mert a bejelentés hiányában jogosulatlan adatkezelőnek minősül – írja a Dr. Németh jogi iroda honlapja.
Van azért néhány kivétel, amelyek esetében az adatkezelést nem kell bejelenteni. Idetartoznak például a számlázó programban bevitt adatok, betegnyilvántartás az orvosi cégeknél, vevők listája a rendes üzletmenet körében. A törvényi kivételek közé tartozik még például a munkáltató, aki a munkavállalói adatokat tárolja, vagy például a közüzemi szolgáltató cégek ügyfél-nyilvántartásai, vagy éppen az egészségügyi (orvosi) cégek betegekkel összefüggő adatbázisa is.
A munkáltatónak azonban a foglalkoztatás egyik szakaszában sem szabad figyelmen kívül hagynia a törvény előírásait. Az információs önrendelkezési jogról szóló törvény, illetve a munka törvénykönyve szerint a munkáltatónak (mint adatkezelőnek) minden helyzetben szem előtt kell tartania az adatvédelmi elveket, amikor a dolgozók személyes adatainak kezeléséről van szó.Ez a probléma különösen előtérbe kerülhet a toborzás, munkaerő-felvétel során.

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.”

Mire érdemes figyelni a gyakorlatban?

A kkv-k nagy része különböző szolgáltatókkal áll szerződésben (CRM, e-mail marketing, bérszámfejtés stb.), ebben az esetben ezeket a követelményeket a szállítókkal is tisztázni kell. Fontos, hogy a személyes adatok kezelésére is az objektív felelősség vonatkozik, tehát önmagában a külsős cég hibája nem elég kimentési alap egy esetleges kártérítési perben.

Akár a cég saját IT-részlege üzemelteti a személyes adatokat kezelő rendszereket, akár külső üzemeltetésben vannak, mindenképpen lényeges szempont az is, hogy a törvény szerint a szükséges biztonsági intézkedéseknél „tekintettel kell lenni a technika mindenkori fejlettségére”, továbbá „több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek”.

Ez az előírás jelentősen szűkíti a követelmények teljesítésének lehetséges módjait egy adott cég esetében. Nyilvánvalóan nem elvárás egy mikrovállalkozás esetén nagyvállalati IT-biztonsági eszközök és megoldások alkalmazása, de a cégméret önmagában nem kibúvó, ahogyan a nehéz gazdasági környezet sem az.

A személyes adatok biztonsága nem tűr félmegoldásokat.

Róth Dénes
www.onlinejog.hu

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor