Miért van szükségünk az adatvédelmi tájékoztató elkészítésére adatkezelőként?

A személyes adatok védelméhez való jog egyik legfontosabb jogszabályi követelménye, és a GDPR egyik alappillére a tájékoztatási kötelezettség, azaz hogy mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatkezelés egész útját. Mindenkinek joga van tudni, hogy ki, hol, mikor, és milyen célra használja fel az ő személyes adatait.

Ennek követelménynek úgy tudunk megfelelni, ha elkészítjük, vagy szakértővel elkészíttetjük az adatvédelmi tájékoztatónkat.

Hogyan fogjunk hozzá a tájékoztató elkészítéséhez?

Egy jó tanács, semmiképpen sem egy hasonló tevékenységű cég adatvédelmi tájékoztatójának az átírásával. Néhány adat kicserélésével, vagy apróbb módosításokkal két okból sem érdemes átemelni más tájékoztatóját.

Első ok, hogy, nincs két egyforma cég, amelynek minden adatkezelése, minden adatfeldolgozója, minden biztonsági intézkedése ugyanaz lenne, ezért ezeket cégenként egyedileg kell számba venni, és ennek megfelelően elkészíteni a tájékoztatót.

Második ok, hogy a GDPR-nak való megfelelés nem egyetlen dokumentumból áll, tehát az adatvédelmi kötelezettségeinknek egy adatvédelmi tájékoztató elkészítésével nem tettünk eleget.

Kezdjünk azzal első lépésként, hogy azonosítjuk a cégünk adatkezeléseit annak megfelelően, hogy az adott adatkezeléseknek mi a célja (pl.: hírlevél feliratkozók gyűjtése, vagy regisztráció a webshopba).

Az egyes célokhoz kapcsolódóan pontosan meg kell határoznunk a kezelt adatok körét (pl. hírlevél feliratkozás: név, email cím), majd a GDPR Rendelet 6. cikkben meghatározott hat jogalap közül ki kell választanunk a megfelelőt, végül pedig meg kell határoznunk az egyes adatkezelések időtartamát, ugyanis csak addig kezelhetjük azokat, ameddig a meghatározott cél megvalósulásáig szükséges.

Második lépés, hogy felmérjük, hogy milyen adatfeldolgozókkal fogunk együtt dolgozni az egyes adatkezelések során. Bővebben az adatfeldolgozókkal kapcsolatos feladatokról ITT írtunk korábban.

Az adatvédelmi tájékoztató tartalmi kellékei

Ha a fentiekkel megvagyunk, elkezdhetjük összeállítani a tájékoztatónkat úgy, hogy legalább az alábbiakat tartalmazza:

• a) Tájékoztató célja, az Adatkezelő bemutatása;
• b) Fogalmak, adatkezelési alapelvek;
• c) Adatkezelési tevékenységek megjelölése adatkezelési célonként,kezelt adatok köre, jogalap, és időtartam meghatározása;
• d) Adatfeldolgozók megjelölése;
• e) Adatbiztonsággal kapcsolatos tájékoztatás;
• f) Érintett jogaival kapcsolatos kioktatás;
• g) Adatvédelmi tisztviselő elérhetőségei;
• h) Jogorvoslati lehetőségekkel kapcsolatos kioktatás.

Kivel kell megismertetnünk a tájékoztatót? Mikor kell hozzájárulást kérnünk?

Gyakorlatilag mindenkivel, aki érintett a személyes adatainak általunk végzett kezelésével. Ha az adatkezelés jogalapja az érintett önkéntes hozzájárulása, akkor az adatkezelés megkezdése előtt meg is kell kapnunk a hozzájárulását. A hozzájárulás során az érintett kijelenti, hogy az adatkezelési tájékoztatónkat megismerte, és az abban foglaltak alapján önkéntesen hozzájárul a személyes adatok meghatározott célból történő kezeléséhez.

A fentiekből következik, hogy ha az adatkezelés jogalapja nem az érintett önkéntes hozzájárulásán alapul, úgy nem kell előzetesen hozzájárulást kérnünk, viszont a tájékoztatónkban természetesen ezekre az adatkezelésekre is ki kell térnünk.

Hol és milyen módon kell elérhetővé tennünk a tájékoztatónkat?

Ha van weboldalunk, akkor azon mindenképpen, de javasolt a cégünk székhelyén, telephelyén papír alapon is kifüggeszteni. A GDPR Rendelet nem határozza meg azt, hogy milyen nyelven készítsük a tájékoztatót, de tekintettel arra, hogy magyar a vállalkozásunk, javasolt magyar nyelven elkészíteni. Természetesen, ha külföldi partnerekkel, ügyfelekkel dolgozunk, akkor szerencsés, ha van legalább angol nyelvű változatunk is.

Azt javasoljuk, hogy a cégetek adatvédelmi tájékoztatójának összeállítása során fordítsatok kellő figyelmet a fentiekre. Ahogyan már említettünk, a tájékoztató elkészítésével még korántsem értünk a feladataink végére. Az adatvédelmi felkészülés javasolt lépéseivel egy következő cikkben foglalkozunk itt, a Billingo szakértői blogjában.