A GDPR gyakorlati tapasztalatairól kérdeztük dr. Bárányos Krisztinát, a GDPR-ra specializálódott Smart Specialist Zrt. tanácsadó cég szakmai igazgatóját, aki az Európai Unió Alapjogi Ügynökségének (FRA) munkatársaként már 2012-2014 között rész vett a GDPR jogi előkészítésében, dolgozott a Nemzeti Adatvédelmi és Információszabadság Hatóság munkatársaként, és tulajdonképpen 14 éve kizárólag az adatvédelem, a GDPR a szakterülete.
Mi a GDPR célja? Miért van szükség a személyes adatok védelmére?
A személyes adataink védelméhez való jog alkotmányos alapjog. Az EU Általános Adatvédelmi Rendelete, közismertebb nevén a GDPR szabályozza a magánszemélyekre vonatkozó adatkezelést, amelynek fő célja a személyes adatok egységes és európai szintű védelmének a biztosítása.
Mi tekinthető személyes adatnak és adatkezelésnek?
A személyes adat és az adatkezelés fogalmainak megértése alapvető fontosságú a GDPR megfeleléshez. A GDPR csak a személyes adatok kezelésére vonatkozik, ami azt jelenti, hogy ha a kezelt adatok nem személyes adatok, akkor a GDPR nem alkalmazandó. Például nem személyes adat az info@cégnév.hu email cím, kivéve, ha személynevet tartalmaz.
A személyes adat az „azonosított vagy azonosítható természetes személyre vonatkozó bármely információ”.
Például személyes adatnak minősül a név, a helymeghatározó adat, az azonosítószám, a lakóhely, az online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó adat.
Míg adatkezelésnek minősül „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, a rögzítés, a rendszerezés, a tagolás, a tárolás, az átalakítás vagy a megváltoztatás, a lekérdezés, a betekintés, a felhasználás, a közléstovábbítás, a terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.”
Például adatkezelésnek minősül, ha egy szolgáltató ügyfelei nevét, telefonszámait tartalmazó jegyzetet vezet, vagy egy szálláshelyszolgáltató táblázatban jegyzi fel a vendégek foglalásait és elérhetőségi adatait.
A GDPR a hétköznapi életünk szerves része, például okostelefonra ébredünk, navigációval közlekedünk, kamerákkal találkozunk az utunk során, rendelünk az interneten, igénybe veszünk különböző szolgáltatásokat, egy állásra pályázunk, munkaszerződést írunk alá, bankszámlát nyitunk, és mindezekhez a személyes adatainkra van szükség.
Egy átlagember akkor találkozhat a GDPR témakörrel, amikor Adatkezelési tájékoztatót fogad el a checkbox kipipálásával az internetes vásárlások során, vagy akkor, amikor bemegy egy üzletbe, ami be van kamerázva, és jó esetben ki van függesztve a „kamerával megfigyelt terület” piktogram, valamint az erre vonatkozó adatkezelési tájékoztató.
Az „Adatkezelési tájékoztatón” a GDPR szakma azt a dokumentumot szokta érteni, amelyben tájékoztatjuk az adatkezelési tevékenységről (cél, jogalap, személyes adatok köre, megőrzési idő stb.) az érintettet (ügyfél, vásárló, vendég álláspályázó, munkavállaló). Nagyon fontos, hogy az adatkezelés megkezdése előtt ezt az adatkezelési tájékoztatót meg kell ismertetni az érintettekkel.
Fel kell ismernünk, hogy olyan világban élünk, ahol a személyes adat az új kőolaj: a technológia fejlődése miatt egyre értékesebb a személyes adat, ugyanis azok rendszerezése és elemzése komoly gazdasági döntések alapja lehet, ilyenek például a fogyasztóvédelmi szokások.
Milyen szerepet tölt be a GDPR a kkv-k adatkezelési tevékenységében?
A GDPR-nak való megfelelés a jogi háttér ismeretét igényli. Ez jelentős terhet ró a kis- és középvállalkozások (kkv) számára, ugyanakkor tisztában vagyunk azzal, hogy a vállalkozói lét kötelezettséggel jár nap mint nap. A GDPR is egyfajta jogi megfelelés, amelynek eleget kell tenni.
Találkoztunk olyan esetekkel, amikor nyilván spórolás miatt a vállalkozások „sablonokat” vásároltak az internetről, és maguk töltötték fel tartalommal. Az így elkészített Adatkezelési tájékoztatók minősége bőven hagy kívánnivalót maga után például azért, mert olyan jogszabályi hivatkozásokat tartalmaznak, amelyek biztos, hogy nem relevánsak az adott vállalkozás tevékenységére, vagy olyan hosszúak (tele ismétlődésekkel és felesleges mondatokkal), hogy nem felelnek meg a GDPR követelményeinek.
Ugyanis lényeges, hogy egy ilyen tájékoztatásnak tömörnek, átláthatónak, és érthetőnek kell lennie. Aki ilyet használt, ugyan kipipálhatta a GDPR megfelelési feladatot, de hosszabb távon egy hatósági eljárás során nagy bajba kerülhet. Célszerű, ha a vállalkozások a mintasablonokat kínáló cégek helyett a saját működésükre, szokásaikra szabott GDPR megfeleltetést választják, akár egy külsős GDPR tanácsadó bevonásával.
Fontos, hogy a vállalkozó meg tudja fogalmazni, mit kérjen egy GDPR szakértőtől. Nekünk, GDPR tanácsadóként az a filozófiánk, hogy az ügyfél azért fizet, és azért kéri a GDPR szolgáltatásunkat, hogy minél kevesebbet foglalkozzon a GDPR témakörrel, és ehelyett a profit megszerzésére és egyéb fontos területekre tudjon koncentrálni.
Egy vállalkozás működésének mely területeit érinti a GDPR?
Gyakorlatilag minden területét érinti. A GDPR minden olyan vállalkozásra vonatkozik, amelynek legalább 1 munkavállalója, vagy 1 ügyfele van, vagy 1 kamerát üzemeltet.
Tehát az olyan vállalkozások esetében is kötelező a GDPR-t alkalmazni, amelyek Business to Business (B2B) területen tevékenykednek, mert a szerződéses kapcsolattartó adata, így a neve személyes adatnak minősül, tehát vonatkozik rá a GDPR.
Egy GDPR dokumentációt egyszer kell jól elkészíteni az alapoktól, és utána már csak karbantartani szükséges. Egy vállalkozónak mindenhez kell egy kicsit értenie, így a GDPR-hoz is, mert ha változás történik valamelyik adatkezelési tevékenységben, vagy egy új adatkezelés bevezetése lesz aktuális, akkor a GDPR dokumentációt is ennek megfelelően kell módosítani.
A kisebb vállalkozások megúszhatták egy jó adatkezelési tájékoztató elkészítésével a GDPR-nak való megfelelést, azonban a nagyobb vállalkozásoknak a „kötelező minimum” megfelelésén túl további GDPR feladatai és kötelezettségei is voltak.
Kell-e külön egyéni vállalkozókra és vállalkozásokra, társaságokra vonatkozó GDPR-ról beszélnünk? Ha igen, miben különbözik a kettő?
A vállalkozások méretétől és adatkezelési tevékenységeinek számától és bonyolultságától függ, hogy milyen típusú GDPR dokumentációt készítünk el számára, és az mennyi dokumentumból áll. Ezt mindig egyedileg kell mérlegelni.
GDPR tanácsadó cégként mi úgy dolgozunk, hogy először megismerjük egy vállalkozás eljárásait és folyamatait, utána elkészítjük a GDPR dokumentációt, figyelembe véve, hogy a vállalkozásnak a legkevesebb adminisztrációval és költséggel járjon, ugyanakkor törekszünk arra, hogy ne változtassuk meg gyökeresen a vállalkozás működését. Természetesen, ha észlelünk olyan esetet, ami nem GDPR kompatibilis, azt jelezzük a megrendelő felé.
Miben különbözik a munkavállalók és az ügyfelek adatainak kezelése?
Mindegyik esetben van kötelező tájékoztatás bizonyos elemekről és főleg abban van különbség, hogy más típusú adatkezelési tevékenységek jellemzőek, és az adatkezelések céljai, jogalapjai, megőrzési ideje, a személyes adatok köre és az érintettek köre is más. Például munkavállaló esetében munkaviszony létesítése, társadalombiztosítási ellátások, bérszámfejtés, társadalombiztosítási ellátás, orvosi alkalmassági vizsgálat, elektronikus levelezés mint adatkezelési tevékenységekről beszélhetünk. Ugyanakkor az ügyfél esetében ajánlatkérés, kapcsolatfelvétel, szerződéses kapcsolattartás, direkt marketing tevékenység, számlázás mint adatkezelési tevékenységek jöhetnek szóba.
GDPR tanácsadó cégként azt szoktuk javasolni, hogy az ügyfeles adatkezelésről a honlapon legyen elérhető az Adatkezelési tájékoztató, és ugyanitt legyen megtalálható az álláspályázás és kamerás megfigyelésre vonatkozó adatkezelésről is a tájékoztatás, míg a munkavállalói adatkezelésről a munkaszerződés aláírása előtt kell tájékoztatni a munkavállalót, és azt nem szükséges a honlapra feltölteni.
Melyek a leggyakoribb adatvédelmi incidensek, buktatók, melyekre érdemes figyelnie egy vállalkozónak?
A leggyakoribb adatvédelmi incidensek közé tartozik a számítógépes eszközök (laptop stb.), és adathordozók elvesztése, eltulajdonítása vagy helytelen felhasználása. Az adatvédelmi incidensek oka lehet baleset vagy technikai hiba, hanyagság, valamint belső vagy külső munkatársak cselekedete, pénzügyi motivációból elkövetett számítógépes bűncselekmény, kibertámadás (nemzetbiztonság vagy gazdasági érdek).
Ha az információbiztonság sérülése nem érint személyes adatokat, akkor nem vonatkoznak rá az adatvédelmi incidenssel kapcsolatos kötelezettségek. Ezért nem minden biztonsági incidens számít adatvédelmi incidensnek.
Az adatvédelmi incidens esetén azonnal kell cselekedni, így belső vizsgálatot kell indítani, és dokumentált formában, például jegyzőkönyvben célszerű adminisztrálni az incidenst. Azonban az adatvédelmi incidens kezeléséhez az adatkezelőnek először is tudnia kell arról, hogy incidens történt. Így a munkavállalókat meg kell tanítani arra, hogy felismerjék az adatvédelmi incidenst és utána tudják mit kell tenni és kihez kell fordulni. Ez azt jelenti, hogy az adatkezelőnek rendelkeznie kell olyan belső eljárásokkal, amelyek segítségével meg lehet állapítani, hogy adatvédelmi incidens történt-e vagy sem, ugyanis a GDPR nem határozza meg ezen folyamatok gyakorlati elemeit.
Egy vállalkozás úgy tud felkészülni egy esetleges adatvédelmi incidensre, hogy rendelkezik incidenskezelési szabályzattal (akár az adatvédelmi szabályzat részeként), valamint rendelkezik egy cselekvési tervvel, ami a végrehajtására vonatkozó hivatalos dokumentum, és ennek része a kommunikációs terv, ami tartalmazza, hogy az incidenst hogyan kell kommunikálni a szervezeten belüli és az azon kívüli szereplőkkel.
Ha az adatvédelmi incidens valószínűsíthető kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott. Ezzel egyidejűleg az adatvédelmi incidenst pedig nyilvántartásba kell venni.
Mi történhet akkor, ha illetéktelenek kezébe kerülnek az adatok?
Az Alaptörvénytől kezdve a Polgári és Büntető Törvénykönyvön át az információs önrendelkezési jogról szóló törvényig védi a jog a személyes adatainkat. Ezzel érdemes tisztában lenni, mivel már egy, a hozzájárulás nélkül közzétett fotó is megvalósíthatja a visszaélést. Ha illetéktelen kézbe kerül a személyes adat, akkor az eset adatvédelmi incidensnek minősülhet, amit be kell jelenteni az Adatvédelmi Hatósághoz. A vállalkozásnak éppen ezért nagy hangsúlyt kell fordítania arra, hogy olyan technikai és szervezési intézkedést alkalmazzon, hogy ilyen ne fordulhasson elő.
Milyen adatkezeléssel kapcsolatos tanácsokkal látnád el a vállalkozókat?
Egy egyéni vállalkozónak, akinek például csak céges ügyfelei (B2B) vannak, elégséges egy ügyfeles Adatkezelési tájékoztató, az Adatfeldolgozókkal aláírt adatfeldolgozási szerződés(ek), és a szerződéses kapcsolattartókra vonatkozó érdekmérlegelési teszt elkészítése. Egy nagyobb méretű vállalkozás esetében már más típusú GDPR dokumentumok is szükségesek, és azt is mérlegelni kell, hogy szükséges-e például adatvédelmi tisztviselő kinevezése. Egy vállalkozás számára a legfontosabb GDPR dokumentumok az alábbiak, amelyeket el kell készíteni:
- Adatkezelési tájékoztató (amely lefedi az ügyfeles, álláspályázói, munkavállalói, kamerás adatkezeléseket)
- Adatfeldolgozókkal aláírt adatfeldolgozási szerződések
- Érdekmérlegelési tesztek
- Adatvédelmi szabályzat (belső szabályzat) (egy bizonyos cégmérettől)
- egyéb feladatok: adatvédelmi hatásvizsgálat elvégzésnek szükségessége, adatkezelési tevékenységek nyilvántartása, adatvédelmi incidens nyilvántartás stb.
Szeretném megnyugtatni a vállalkozásokat, hogy a vállalkozás üzleti érdekeit és a GDPR-t a legtöbb esetben össze lehet egyeztetni egymással anélkül, hogy teljesen felforgatnánk egy vállalkozás működését.
A GDPR-nak való megfelelés nem egyszeri, hanem folyamatos feladatot jelent. Így a vállalkozásnak érdemes megfontolni, hogy a piacról profi adatvédelmi szakértők szolgáltatását vegye igénybe, ezáltal biztosítva, hogy az elkészült GDPR dokumentáció pajzsként védje a vállalkozásukat. Ez a megfelelés versenyelőnyt jelent és erősíti a vásárlói bizalmat, továbbá új üzleti lehetőségeket is rejthet magában.
Fotó: Adobe Stock
Hasonló tartalmakat ITT olvashatsz. Ha tetszett a cikkünk, oszd meg másokkal, és kövess bennünket a Facebook-, valamint Instagram-oldalunkon is.
