Az adatvédelem a természetes személyek védelmét, az adatok által beazonosítható, vagy azokkal kapcsolatba hozható természetes személyek (az úgynevezett érintettek) védelmét hivatott szolgálni.
Létezik több hatályos törvény és vonatkozó rendelkezés, amely az adatvédelemről szól. Az alap, amely minden adatkezelésre vonatkozik, a 2011. évi CXII. törvény, röviden az Info törvény.
Fontos és jó tudni, hogy mindenki, legyen gazdasági társaság, szövetkezet, egyesület vagy más szervezet, aki vagy amely természetes személyek adatait gyűjti, felveszi, rögzíti, tárolja, vagy más műveletet végez velük, az adatkezelésről dönt, adatkezelőnek minősül.
Hogy segítségére legyünk annak eldöntésében, hogy adatkezelőnek minősül-e, alábbiakban felsorolunk néhány tipikus, adatkezelési tevékenységet:
• információkérés
• ajánlatkérés
• megrendelés
• időpontfoglalás
• hírlevél küldés
• weboldalra (webshopba) történő regisztráció
• weboldalra (webshopba) történő belépés
• törzsvásárlói/törzsvendég nyilvántartás
• közösségi oldalakon történő jelenlét
• nyereményjáték szervezése
• önéletrajzok kezelése
• munkavállalói adatok kezelése
• kamerarendszer üzemeltetés
• ajándékutalványozás
• természetes személyek adataiból álló bármilyen adatbázis létrehozása, kezelése
• aláírásgyűjtés
• független ügynöki tevékenység
• egészségügyi adatok kezelése
• szálláshely-szolgáltatással kapcsolatban szobafoglalás, bejelentkezés, stb.
A fenti felsorolásból is látható, az adatvédelem nem kizárólag az elektronikus úton történő adatrögzítésre, -kezelésre terjed ki, hanem a papír alapon történőre is.
Nehéz elképzelni egy tényleges működést anélkül, hogy az adott szervezet természetes személyek személyes adatait ne kezelné.
Tipikusan adatkezelőnek minősülnek a következők: webshopok, hotelek és kisebb szálláshely-szolgáltatók, magánklinikák, fogorvosok és egyéb egészségügyi szolgáltatók, könyvelőirodák, éttermek, klubok, társasházak, ingatlanirodák, fejvadászok, nyelviskolák, alapítványok, szociális szövetkezetek, boltok, szépségszalonok, műkörmösök, névjegykártya készítők és nyomdák, sofőrszolgálatok, autószerelők, autókölcsönzők, fitnesz termek, tetováló szalonok, minden olyan szervezet, amely munkavállalói adatokat kezel, vagy épp kamerarendszert üzemeltet, stb
Ha valaki adatkezelőnek minősül, akkor a törvény szerint különböző kötelezettségei vannak, amelyek közül a legfontosabbak az alábbiak:
• előzetes tájékoztatás kötelezettsége, amely megvalósulhat a weboldalra, valamint az érintettek által is látogatható területen elhelyezett, papír alapú, a működésnek, a vonatkozó jogszabályoknak és hatósági állásfoglalásoknak megfelelő adatvédelmi tájékoztatóval, vagy adatvédelmi szabályzattal;
• szintén az előzetes tájékoztatás kötelezettségéből következően kell, hogy rendelkezzen
o kameraszabályzattal, ha kamerarendszert üzemeltet
o munkavállalói/megbízotti tájékoztatóval, vagy az adatok kezeléséről szóló szerződésbeli tájékoztató szabályokkal, ha munkavállalót/megbízottat foglalkoztat
o nyilvánossá tett NAIH határozatok számaival;
• a szervezet tényleges belső működése összhangban kell, hogy legyen a jogszabályokkal, a tájékoztató/szabályzat rendelkezéseivel;
• az adattovábbítások nyilván kell tartania;
• az adatvédelmi incidenseket (nem jogszerű adatkezeléseket) nyilván kell tartania, szükség esetén be kell majd jelentenie a NAIH felé;
• kötelező szervezeti szabályozást kell bevezetnie, ha multinacionális vállalat és EGT-n kívülre adatokat továbbít;
• minden egyes bejelentés-köteles adatkezelési tevékenységet be kell jelentenie a NAIH-hoz és ezzel regisztrációs számot kell igényelnie;
• működését folyamatosan monitoroznia kell.
2012. január hó 1. napján jött létre a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), amely az adatvédelem felett őrködik. Mint hatóság, jogköre van hivatalból vizsgálódni, megállapításokat tenni és bírságot kiróni. A legmagasabb büntetési tétel már 20 millió forint. E büntetésen túl, más szankciók is elképzelhetők, a jogellenes adatkezelésnek lehetnek polgári jogi (sérelemdíj, kártérítés), fogyasztóvédelmi és büntetőjogi vonatkozásai is.
Jövő májusban hatályba lép a GDPR, az EU általános adatvédelmi rendelete, amely számos ponton szigorít a jelenlegi szabályozáson, és a bírság maximálisan 20 millió euró, vagy az adatkezelő teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.
Fentiekre tekintettel, együttműködő partnerünk a fenti törvényi kötelezettségek teljesítésében tud segítségére lenni, például a következőkben:
• működés felülvizsgálata adatvédelmi/információbiztonsági szempontokból;
• adatvédelmi és adatbiztonsági szabályzat, tájékoztató megszövegezése a működésnek, jogszabályoknak, hatósági állásfoglalásoknak megfelelően;
• adatvédelmi incidens szabályzat megszövegezése;
• segítségnyújtás az adatvédelmi incidensek nyilvántartásában, később, szükség esetén, a bejelentések megtételében;
• adatátadásra és adattovábbításra vonatkozó szabályzat létrehozása;
• adattovábbítás nyilvántartásban segítségnyújtás;
• iratkezelési szabályzat kidolgozása a papír alapon történő adatkezelés okán;
• hozzájáruló nyilatkozatok elkészítése;
• kameraszabályzat létrehozása a működtetett kamerarendszer esetén
• munkavállalói/megbízotti tájékoztató az adatok kezeléséről;
• munkavállalói/megbízotti nyilatkozat-minta elkészítése a szabályozás megértéséről, elfogadásáról;
• a bejelentés-köteles adatkezelések bejelentése a NAIH felé;
• kötelező szervezeti szabályozás elkészítése szükség esetén;
• belső adatvédelmi felelősi pozíció/adatvédelmi tisztviselő ellátása megbízás alapján, stb.
