GDPR
FONTOS TEENDŐK A GDPR HATÁLYBA LÉPÉSÉVEL KAPCSOLATBAN Fontos adatvédelmi szabályozás lép életbe az Európai Unió tagországaiban 2018 májusában, melynek a Bútorszövetség is eleget kíván tenni és az alábbiakban partnereinket is tájékoztatjuk az új szabályozásról, hogy vállalkozásuk működtetése során ne hagyják figyelmen kívül az új adatvédelmi szempontokat.
Mi a GDPR?
A GDPR az EU valamennyi tagállamában 2018. május 25. napjától közvetlenül alkalmazandó uniós általános adatvédelmi rendelet. Célja a személyes adatok és a magánszféra fokozott védelme, az érintett, azaz minden olyan természetes személy jogainak védelme, akinek a személyes adatát bárki kezeli.
Személyes adatnak minősül e tekintetben gyakorlatilag bármi, ami az érintettel kapcsolatba hozható, ideértve például a nevet, lakcímet, iskolai- és jövedelemadatokat, egészségügyi adatokat, földrajzi pozíciót (GPS adatok), fotót, video-, illetve hangfelvételt, stb.
Nem mellékes szempont, hogy a szabályozásnak való nem megfelelés igen súlyos szankciókkal, köztük bírsággal járhat: akár 20 millió euro, vagy - ha annál magasabb - az éves árbevétel 4%-a is lehet a büntetés!
Kire vonatkozik a GDPR?
Gyakorlatilag mindenkire.
Az egyik oldalon mindazon természetes személyekre, akiknek a személyes adatát más személy kezeli.
A másik oldalon az adatkezelőkre, adatfeldolgozókra, azaz mindazokra, akik a személyes adatokkal kapcsolatban adatkezelési műveleteket végeznek. Ennek megfelelően az Ön vállalkozása is érintett, amennyiben például ügyfeleik vagy munkavállalóik, illetve partnereik valamely adatát – például az itt felsoroltak közül - kezelik:
-
név, cím, telefonszám
-
TAJ szám
-
felhasználó név, e-mail cím, jelszó, egyéb online azonosító adatok
-
bankszámlaszám
-
fénykép, videofelvétel….
A lista a végtelenségig folytatható.
Az adatkezelés nem valamilyen különleges tevékenységet jelent; az magában foglalja többek között az adatok gyűjtését, rögzítését, tárolását, lekérdezését, törlését, felhasználását, továbbítását.
Fontos eltérések a jelenlegi szabályozáshoz képest a teljesség igénye nélkül:
-
Az elszámoltathatóság elve
A GDPR–ban hangsúlyosan megjelenik az adatkezelők központi szerepe és felelőssége az adatkezelési folyamatok jogszerűségéért.A GDPR határozott kereteket jelöl ki, amit az adatkezelők kötelesek tartalommal megtölteni, megalkotva saját részletes szabályozásukat.
Az adatkezelők döntései számonkérhetőek lesznek, igazolniuk kell tudni – alapvetően megfelelő dokumentációval – adatkezelésük jogszerűségét. Ez a gyakorlatban nem kevés szabályzat, tájékoztatás és egyéb kapcsolódó dokumentum kidolgozását, összeállítását jelenti.
2. Adatkezelési jogalapok változása
Korábban a vállalkozások gyakorlatában tipikusan az érintettek (legyenek akár munkavállalók, akár ügyfelek) hozzájárulását tekintették az adatkezelés jogalapjának. A továbbiakban a hozzájárulás csak akkor lehet a jogalap, ha az önkéntes, és megfelelő tájékoztatáson alapul.
Mivel a munkavállaló a munkáltatóval alá-fölérendeltségi viszonyban áll, a munkavállaló esetében a hozzájárulás mint jogalap nem alkalmazható.
Munkavállalók esetében az adatkezelés jogalapja vagy jogszabályi előírás, vagy a munkáltató jogos érdeke lehet, mely utóbbit egy gondosan elvégzett, ún. érdekmérlegelési teszttel alá kell tudni támasztania, és meg kell tudni védenie.
3. Incidensek kötelező bejelentése
Adatvédelmi incidens többek között, ha a személyes adatokhoz illetéktelenek hozzáférnek, vagy az adatok sérülnek, megsemmisülnek.
A GDPR előírja a személyes adatokat érintő incidensek kötelező, 72 órán belül történő bejelentését az adatvédelmi hatóság részére, így ezeket a kérdéseket is kezelni kell.
A vállalkozások mint adatkezelők legfőbb teendői
Minden vállalkozásnak részletesen át kell tekintenie, hogy milyen adatokat kezel, feltérképezve az összes adatkezelési folyamatot: az adat felvételétől, annak tárolásán át az adat törlésének megtörténtéig, beleértve különösen, hogy milyen adat kerül felvételre, min alapul az adat felvétele, mely fázisban mi történik az adattal, ki fér ahhoz hozzá, mi biztosítja az adat megfelelő védelmét.
Meg kell vizsgálni a meglévő vállalati szabályzatokat, ahol szükséges, azokat módosítani, illetve - ha kapcsolódó szabályzat nem áll rendelkezésre - azt pótolni kell. Ezzel összefüggésben ki kell alakítani az adatkezelési tevékenységek naprakész nyilvántartását.
Az adatkezeléshez kapcsolódóan megfelelő tájékoztató anyagokat kell készíteni, az adatkezeléshez szükséges hozzájárulásokat be kell szerezni, ahol pedig az adatkezelés jogalapja a munkáltató jogos érdeke lesz, ott érdekmérlegelési teszteket kell végezni.
A fentiekkel párhuzamosan fel kell mérni a vállalkozás informatikai rendszerét és feltárni az esetleges biztonsági réseket, annak érdekében, hogy a szükséges változtatások elvégezhetők legyenek.
Meg kell tenni továbbá mindazon egyéb intézkedéseket, amelyek a vállalkozás adatkezelési gyakorlatával összefüggésben akár az uniós, akár a hazai jogszabályok alapján szükségessé válnak.