GDPR: Hasznos tanácsok Billingósoknak az adatvédelmi felkészüléshez

Az EU Általános Adatvédelmi Rendelete - közismertebb nevén a GDPR - már 2016. május 24-én hatályba lépett, azonban két éves felkészülési időszakot kaptak a tagállamok vállalkozásai arra, hogy a rendelkezéseit bevezessék, ezért ténylegesen csupán 2018. május 25-től alkalmazandó közvetlenül.

A felkészülési idő tehát már lejárt, azonban ha esetleg még nem tette meg, úgy - jobb később, mint soha – kezdje el most a vállalkozása felkészítését a GDPR megfelelőségre.

Az alábbi cikkben három főbb szakaszban végig nézzük a felkészülés lépéseit.

1. Felmérési szakasz

A szakmai felkészülés

Javasolt a vállalkozáson belül kijelölni egy munkavállalót (illetve nagyon vállalkozások esetén akár egy csoportot is) akinek biztosítjuk a megfelelő szakmai felkészülését.

Dönthetünk úgy, hogy a kijelölt munkavállalónk képzéseken, konferenciákon, tanfolyamokon vesz részt és ott sajátítja el a szakmai ismereteket, majd pedig a tanultakat átülteti a vállalkozás folyamataiba.

Dönthetünk azonban úgy is, hogy megbízunk egy szakértőt, hogy kifejezetten a cégünkre szabva segítsen az elméleti felkészülésben, együtt tekintsük át a vállalkozás adatkezeléseit, segítsen az adatkezeléssel összefüggő döntések meghozatalában, a szükséges dokumentációk elkészítésében, és a helyes gyakorlatok kialakításában.

Fontos, hogy az adatkezeléssel kapcsolatban nem csak a GDPR-ban és az Info. törvényben találunk szabályokat, hanem esetleg a vállalkozásunk működésére vonatkozó ágazati jogszabályokban is, ezért ezeket is figyelembe kell vennünk.

A személyes adatkezeléssel járó tevékenységek számbavétele

Tekintsük át a cégünk teljes tevékenységét, de már a GDPR szemüvegén keresztül.

• Az egyes tevékenységek járnak-e személyes adatok kezelésével?
• Ha igen, akkor milyen személyes adatokat kezelünk?
• Milyen a célból kezeljük az adatokat?
• Találunk az adatkezelésre megfelelő jogalapot?
• Mi az adatkezelés időtartama?
• Kövessük és rögzítsük az adatok sorsát?
• Kik férnek hozzá?
• Hol tároljuk őket?
• Milyen biztonsági intézkedéseket alkalmazunk a tárolás során?
• Kinek küldjük tovább őket?

Ezeket a kérdéseket mind fel kell tennünk ahhoz, hogy biztosítani tudjuk a jogszerű adatkezelést vagy adatfeldolgozást. A kérdéseket természetesen nem elég feltenni, ezért amennyiben az azokra érkezett válaszaink nem a GDPR szabályainak, alapelveinek megfelelőek, akkor cselekednünk kell.

Megvalósítási szakasz

Az érintettek tájékoztatása

Biztosítanunk kell az érintettek tájékoztatáshoz fűződő jogainak az érvényesülését. Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, úgy kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett hozzájárult. Az átláthatóság alapelve megköveteli, hogy a tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint azt, hogy világos és közérthető nyelven fogalmazzák meg, sőt (gondoljunk csak a kamerafelvétel készítésére) szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve megköveteli azt is, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, jogalapjáról és az időtartamáról. Az adatkezelési tájékoztató elkészítésével kapcsolatban EBBEN a korábbi cikkünkben adtunk tippeket a Billingósoknak.

Fontos látnunk azonban – ahogyan a korábbi cikkemben is említettem – hogy a GDPR-nak való megfelelés nem egyetlen dokumentumból áll, tehát a kötelezettségeinknek egy adatvédelmi tájékoztató elkészítésével még nem tettünk eleget.

A hozzájárulás kérdése

Amennyiben az adatkezelés jogalapja az érintett önkéntes hozzájárulása, úgy vizsgáljuk meg, hogy a hozzájárulást utólag bizonyíthatóan megkaptuk-e. A hozzájárulás akkor elfogadható, ha megvalósul az önkéntesség, az egyértelműség és a tájékozottságot is. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. A hozzájárulás megszerzésére mind online, mind offline megvannak a megfelelő megoldások, de legyünk arra figyelemmel, hogy a szóbeli hozzájárulás utólag nem minden esetben bizonyítható (sőt!).


Eljárásrend az adatvédelmi incidensek kezelésére

A GDPR alapján a személyes adatok jogellenes kezelése vagy feldolgozása esetén adatkezelőként bejelentési kötelezettségünk keletkezik a NAIH felé. Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával a tudomásszerzést követően meg kell tennie a bejelentést, kivéve abban az esetben, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve. Fontos, hogy a be nem jelentett adatvédelmi incidenseket is rögzítsük az incidensek nyilvántartásában (jegyzőkönyvében)

Belső protokoll alkalmazása

Ugyan nem kötelező dokumentum, de rendkívül hasznosnak tartom, ha a vállalkozás egy adatvédelmi protokollt (nevezhetjük eljárásrendnek is, vagy akár belső szabályzatnak) készít, amelyben összefoglalja az adatvédelemmel kapcsolatos tudnivalókat, eljárásrendeket azon munkavállalók részére, akik a személyes adatok kezelését végzik. 

3. Ellenőrzési és oktatási szakasz

Az adatvédelmi tisztviselő kinevezése

A GDPR pontosan meghatározza azt a három esetet, amikor a vállalkozásoknak adatvédelmi tisztviselőt kötelezően ki kell kinevezniük, de ezzel természetesen bármelyik másik vállalkozás is élhet.

Az adatvédelmi tisztviselő feladatai legalább a következők:

• tájékoztat és szakmai tanácsot ad az adatkezelő és az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR szerinti kötelezettségeikkel kapcsolatban,
• ellenőrzi a GDPR-nak, valamint a vonatkozó tagállami jognak való megfelelést (információgyűjtés, adatkezelési tevékenységek elemzése, ajánlások megfogalmazása),
• együttműködik a felügyeleti hatósággal, és kapcsolattartó pontként szolgál felé az adatkezeléssel összefüggő ügyekben, valamint adott esetben konzultációt folytat vele.

Fontos, hogy a vezető tisztségviselői pozícióval összeférhetetlen. El lehet látni a pozíciót egyéni vállalkozóként, illetve cégként is úgy, hogy konkrét személyt jelölünk ki a feladat elvégzésére. 

Egyrészt az érintettekkel (az adatvédelmi tájékoztatóban megjelölve), másrészt pedig a hatóságokkal (NAIH weboldalán való bejelentéssel) is tudatnunk kell az adatvédelmi tisztviselő elérhetőségét.

Oktatás

Természetesen semmit nem ér a cégünk felkészítése akkor, ha a munkavállalóink a napi tevékenységük során nem tartják be az adatvédelmi szabályokat. Fontos, hogy megkapják a megfelelő és rendszeres elméleti és gyakorlati oktatást, különös figyelemmel az esetleges jogszabályváltozásokra.