Elnök úr, hamarosan bevezetésre kerül az Európai Unió Általános Adatvédelmi Rendelete General Data Protection Regulation (GDRP). A hazai kisvállalkozások képviseletében keresem Önt.
A szektorunk gyakran ismétlődő kérdéseit igyekszem Ön elé helyezni. Azt már nagyjából mindenki tudja, hogy a természetes személyek adatkezelése áll az új szabályozás középpontjában.
Ezek a magánszemélyek a leggyakrabban a KKV szektor vevői. Őket a vállalatunk adatbázisának
legféltettebb elemeként tartjuk számon. Évek alatt gyűlt össze a halmazuk. Névjegykártyákról, portál regisztrációkról, esetleg „vásároltuk”
Milyen mennyiségű adat után érdekli a törvényt a cégünk, hogyan válogassuk szét a céges és a természetes személy partnereinket, (pld. xy@gmail.com lehet céges és privát is)?
Egyetlen személyes adat (pl.: egy név, cím, telefonszám) kezelése vagy feldolgozása elegendő ahhoz, hogy cégünk a GDPR hatálya alá essen, ugyanis a Rendelet az Európai Unió Alapjogi Chartájában alapszik, amely alapvető jogként rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
Ahhoz, hogy a cégen belüli egyéb üzleti adatoktól elkülöníthessük a személyes adatokat, tisztában kell lenni utóbbi fogalmával, miszerint személyes adatnak minősül minden olyan információ, amely azonosított vagy azonosítható természetes személyre vonatkozik. Így például egy azonosításra alkalmas e-mail cím, ami akár „céges” formátumú is lehet (pl. csikos.peter@/cégnév/.hu) személyes adatnak minősül, hasonlóan egy bizonyos emberhez tartozó helymeghatározó adathoz vagy online azonosítóhoz.
Könnyű belátni, hogy a személyes adatok adatbázis szintű elhatárolása a cég adatvagyonának többi elemétől ma már tisztán IT rendszer paraméterezési kérdés, amelyhez az adatvédelmi szaktudáson kívül komoly beruházásra lehet szükség. Elnézve azonban az Ön által is említett súlyos hatósági bírságolási lehetőséget, a tudatos adatvédelmi felkészültséget szolgáló beruházás hosszútávon mindenképp kifizetődő. Rádásul közvetlen értékesítési eredményességgel járhat, mivel felszínre hozza a cég összes adatvédelmi érintettségű B2B és B2C folyamatait, párhuzamosan működő rendszerinek létét, a felesleges, hibás, törlendő adatok körét (ami egy felmérés szerint a cég adatvagyonának 70 %-a!).
Mit tegyünk, ha évekkel ezelőtt regisztrált és nincs meg a regisztrációs e-mailje? Ha olyan adatokra bukkanunk, amelyek nem állják ki a törvény követelményeit mit csináljunk? Dobjuk ki? Levelezzünk, próbáljuk legalizálni?
Általános szabály, hogy a törvényen alapuló kötelező adatkezelésen kívül személyes adat csak az érintett hozzájárulásával kezelhető. Ha nem áll rendelkezésre hozzájárulás vagy hiányosak, tévesek az adatok és ez az állapot nem orvosolható, az adatokat törölni kell.
Megjegyzendő, hogy a reklámtörvényben meghatározott címzett küldemény természetes személy mint a reklám címzettje részére közvetlen üzletszerzés útján a címzett előzetes és kifejezett hozzájárulásának nélkül is küldhető. Ilyenkor azonban a reklámozó és a reklámszolgáltató köteles biztosítani, hogy a reklám címzettje a reklám küldését bármikor ingyenesen és korlátozás nélkül megtilthassa, amely esetben az érintett személy részére reklám közvetlen üzletszerzés útján a továbbiakban nem küldhető.
Persze cégünknek lehetnek más természetes személy tagjai is. Ilyenek a szállítóink, munkatársaink. Velük mi a teendő?
Adatvédelmi szempontból a természetes személyek (fogyasztó, munkavállaló, őstermelő, egyéni vállalkozó) azonos megítélés és védelem alá esnek.
Mi a teendő akkor, ha természetes személy az adatok birtokosa? Például egyéni vállalkozás. A törvény természetes és jogi személyek adatfelhasználására egyaránt vonatkozik?
Amennyiben a természetes személy kizárólag személyes vagy otthoni, azaz semmilyen szakmai vagy üzleti tevékenységgel össze nem függően végez adatkezelést (pl. levelezés, címtárolás, közösségi- vagy online tevékenység), akkor a Rendeletet nem kell alkalmazni. Minden más esetben viszont igen, így egyéni vállalkozónak ilyen minőségében és jogi személynek egyaránt követni kell a GDRP előírásait.
Egy okos telefonban ma rendkívül nagy számú kényes adat található. Ki a felelős ezeknek az adatoknak a felhasználásáért?
Először is meg kell különböztetni egymástól az adatkezelőt és az adatfeldolgozót. Aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza adatkezelőnek minősül, míg az adatfeldolgozó az adatkezelő nevében kezeli a személyes adatokat.
A GDPR értelmében az adatkezelésben érintett összes adatkezelő felelős minden olyan kárért, amelyet a Rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha elmulasztotta betartani a Rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
Még egy praktikus kérdés. Ha valaki most eszmél, hogy májusban a törvény szigora lecsaphat rá, mit tegyen lépésről lépésre?
Egy tipikus KKV számára legalább 3-4 hónap a felkészülési idő és rengeteg feladattal jár a megfelelés biztosítása, így azt javaslom, hogy ne halogassa a lépést.
A Budapesti Kereskedelmi és Iparkamara általános adatvédelmi tanácsadás keretében ad támogatást a vállalkozások részére a felkészüléshez, illetve alapos adatvédelmi tudással rendelkező szakértő megtalálásához.
