Ahogy közeledik a május 25-i határidő, lépten-nyomon beleütközünk ebbe a mozaikszóba. Sokat lehet olvasni arról, hogy a GDPR mindenkire kötelező lesz, főként a vállalkozásoknak kell fontos kötelezettségeket teljesíteni, és súlyos bírságra számíthat az, aki nem felel meg a GDPR-nak. Ennek megfelelően a GDPR-tól mindenki fél, de sokan még most sem tudják, pontosan miről is van szó, és tényleg kell-e félni. Ebben a cikkben ezért igyekszünk rövid felvilágosítást adni a szabályokról és a teendőkről.
A GDPR
A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet (General Data Protection Regulation). Az Európai Unióban az adatvédelem alapjait korábban csupán egy irányelv szabályozta, amelyet minden tagállam a saját belátása szerint ültetett át a hazai jogba – nálunk is létezik az úgynevezett Infotörvény (2011. évi CXII. törvény), amely mindeddig szabályozta a személyes adatok kezelését. Idén május 25-től azonban a személyes adatok kezelése az Unióban egységessé válik, ugyanis az Európai Parlament és Tanács 2016/679 számú rendeletét, azaz a GDPR-t mindenkinek alkalmaznia kell.
A személyes adatok
A személyes adatok védelmét tehát korábban is törvény szabályozta Magyarországon, így bizonyos alapvető szabályok és fogalmak változatlanok maradnak a jövőben is. A lényeg röviden a következő: aki mások személyes adataihoz jut hozzá, azokat kezeli, felhasználja, nyilvántartja, annak ezt a tevékenységét szigorú szabályok között kell folytatnia, erről tájékoztatnia kell azokat, akiknek a személyes adatát kezeli, és biztosítani kell számukra azt, hogy az adatkezelés céljáról, terjedelméről tájékoztatást kaphassanak, adataikat megváltoztathassák vagy törölhessék. Személyes adathoz csak úgy lehet hozzájutni, ha ahhoz az érintett hozzájárult, vagy egyébként jogszabály az adatkezelésre engedélyt ad.
A személyes adat fogalmát a jelenleg is hatályos Info törvény határozza meg, a következők szerint:
személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés
Mivel a fenti fogalom a jogban kevésbé jártas embereknek keveset mond, lássunk néhány konkrét példát a személyes adatra. Az nyilvánvalóan mindenki számára egyértelmű, hogy a személyazonosító adatok (név lakcím, születési hely, idő, anyja neve stb.) személyes adatok. De ugyanígy személyes adat az email cím, a telefonszám, a munkahely stb. is. Így például mindazok a webshopok, ahová vásárlási szándékkal beregisztrálunk, a személyes adatainkat kezelik, de ugyanígy a bankok, vagy akár a kórházak, vagy közhivatalok is személyes adat kezelők. Ebből is látszik, hogy a GDPR nagyon sok embert érinthet, így sokunknak kell elgondolkodni azon, hogy május 25-ig van-e valamilyen teendő.
Ki minősül adatkezelőnek?
A GDPR meghatározása szerint az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását, stb. Az ezt végző személy az adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az adatfeldolgozó. A fontos különbség az, hogy az adatkezelő határozza meg az adatkezelés célját, míg az adatfeldolgozó csak az adatkezelő utasításai alapján dolgozza fel az adatokat az adatkezelő által megadott szempontrendszer szerint. Egy egyszerű példa: ha rendszerhiba miatt tévesen hozzánk érkezik egy email, aminek nem mi vagyunk a címzettjei, akkor nem leszünk adatkezelők, ha semmit sem teszünk a levéllel, csupán töröljük. Ha viszont kifejezetten email címeket gyűjtünk és rendszerezünk, akkor adatkezelők vagyunk.
Mi a legfontosabb feladata annak, aki személyes adatot kezel?
A személyes adatok kezelésének tényét és az adatkezelés célját a jelenleg hatályos szabályozás szerint is sok esetben be kellett jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, tehát az adatkezelőknek eddig is voltak bizonyos kötelezettségei. A GDPR a bejelentési kötelezettséget megszünteti, május 25-től kezdve a legfontosabb az adatkezelők számára az lesz, hogy adatkezelési tájékoztatót vagy adatvédelmi szabályzatot készítsenek. Bár minden vállalkozás más és más, ezért nem lehet sablon mintaszabályzatokat használni, mindenkinek magának kell gondoskodnia a megfelelő dokumentumok elkészíttetéséről, de az alábbiakban igyekszünk ehhez némi segítséget nyújtani, a legfontosabb tartalmi elemek ismertetésével.
Az adatkezelési tájékoztató
Az adatkezelési tájékoztató célja, hogy minden érintett számára rövid felvilágosítást nyújtson arról, hogy az adatkezelő vállalkozás milyen személyes adatokat kezel, milyen célból, és ahhoz hogyan jutott hozzá, továbbá tájékoztatni kell a személyes adatok tulajdonosait arról is, hogy milyen jogaik vannak – ezeket alább részletezzük. A legcélszerűbb, ha az adatkezelő vállalkozás minden egyes ügyfelével kitölteti és aláíratja az adatkezelési tájékoztatót, hiszen ezzel a jövőben igazolni lehet, hogy a személyes adat tulajdonosa a tájékoztatóban foglaltakat megismerte és elfogadta.
Egy adatkezelési tájékoztató legfontosabb tartalmi elemei a következők:
– az adatkezelő adatai – itt szükséges megjelölni azt is, hogy személyes adatkezeléssel kapcsolatos észrevételek, panaszok esetén az adatkezelő szervezetrendszerén belül kihez lehet fordulni
– az adatkezelés jogalapja – itt azt kell megjelölni, hogy mi jogosítja fel az adatkezelőt a személyes adatok kezelésére – a rendelet megjelöli a lehetséges jogalapokat, ezeket kell feltüntetni a tájékoztatóban, a megfelelő aláhúzásával – ilyen lehet például: az érintett hozzájárulása, közérdekű vagy közhatalmi feladat végrehajtása, jogszabályi kötelezettség teljesítése, stb.
– az adatkezelés célja – a célok teljes felsorolása lehetetlen, de ilyen lehet például: on-line regisztráció, munkavállalók és pályázók adatainak kezelése, kapcsolattartás, lehetséges ügyfelek számára marketing tevékenység stb.
– a kezelt adatok köre – itt fel kell sorolni, hogy milyen adatokat kezel a vállalkozás, pl. csak email cím és telefonszám, IP cím, stb. bármi lehet
– az adatkezelés időtartama – mennyi ideig tárolja a vállalkozás az adatokat
– érintetti jogok – a személyes adatok tulajdonosait tájékoztatni kell, milyen jogaik vannak és hogyan gyakorolhatják ezeket – ezt a következő pontban részletezzük, a tájékoztatóban ezeket a jogokat kell felsorolni
– jogorvoslati tájékoztatás – az adatkezelőnek tájékoztatnia kell a személyes adatok tulajdonosait arról, hogy adatvédelmi problémák esetén hova fordulhatnak jogorvoslatért – itt a Nemzeti Adatvédelmi és Információszabadság Hatóságot, és az illetékes bíróságot kell megjelölni.
Milyen jogai vannak a személyes adatok tulajdonosainak?
A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:
– Tájékoztatáshoz való jog: ez lényegében a fenti adatvédelmi tájékoztatóban foglalt információk átadását jelenti – az érintetteknek ugyanis joguk van tudni arról, hogy ki, mikor, mire és meddig használja személyes adataikat. A tájékoztatásnak lehetőség szerint még az adatkezelés előtt meg kell történnie
– Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
– Adathelyesbítéshez való jog: az érintett személyek jelezhetik, ha valamely személyes adatuk pontatlan és kérhetik annak javítását
– Törléshez való jog: az érintett bármikor kérheti adatai törlését. A törlésnek véglegesnek kell lennie, tehát biztosítani kell azt, hogy az adat később ne legyen visszaállítható vagy visszakereshető. Amennyiben az adatkezelő más számára is továbbította a személyes adatokat, amelyeknek a törlését kérték, őket is értesíteni kell a törlés kötelezettségéről.
– Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – ekkor az adatkezelő csak az adatok tárolására lesz jogosult
– Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő.
– Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen.
Ki az adatvédelmi tisztviselő?
Sok esetben lehet olvasni arról, hogy a vállalkozásoknak adatvédelmi tisztviselőt is ki kell nevezni, azonban ezzel kapcsolatosan is sok a bizonytalanság. A GDPR szerinti adatvédelmi tisztviselő egy olyan független személy, aki a vállalat adatkezelési és adatfeldolgozási tevékenységét figyelemmel kíséri, a jogi megfelelés érdekében a vállalat és a munkavállalói részére tanácsot ad, és az adatvédelmi hatósággal a kapcsolatot tartja. Az adatvédelmi tisztviselő egyébként lehet akár alkalmazott, akár külső megbízott. A felelősség és a szakértelem miatt mindenképpen azt javasoljuk, hogy ha egy vállalkozásnak kötelező az adatvédelmi tisztviselő kijelölése, akkor ez egy független szakértő legyen, hiszen így biztosak lehetünk abban, hogy olyan személy tölti be majd a tisztséget, aki biztosan ért hozzá, illetve a felelősséget is ráterhelhetjük.
A Rendelet 3 konkrét esetben teszi kötelezővé az adatvédelmi tisztviselő kijelölését:
1. ha az adatkezelést, adatfeldolgozást Hatóság vagy közfeladatot ellátó szerv végzi,
2. ha a szervezet alaptevékenysége olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
3. ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban.