Az általános adatvédelmi rendelet (GDPR) 2018. május 25-én lépett hatályba, és sokan vannak, akik még mindig nem tettek semmit sem annak érdekében, hogy a GDPR rendelkezéseinek megfeleljenek.

Több helyen lehetett már olvasni, hogy az adatvédelmi hatóság (NAIH) már több adatvédelmi bírságot szabott ki, mert a megbírságolt vállalkozás nem tartotta be a GDPR szabályait. A legtöbb kis- és közepes vállalkozásnak nincs olyan sok dolga, mint ahogyan a korábbi és mostani cikkek riogatnak. Véleményem szerint a GDPR ellenőrzése nem célirányos, hanem elsősorban panasz alapján kerül vizsgálat alá egy vállalkozás. Ugyancsak úgy vélem, hogy ha a hatóság látja, hogy egy vállalkozás valamelyest foglalkozott a GDPR rendelkezéseinek való megfeleléssel, akkor elsősorban egy vizsgálatot követően hiánypótlásra hívja fel az adott vállalkozást és nem bírságot fog alkalmazni első körben.

Ebben a cikkben sorra veszem azokat a dolgokat, amelyeket mindenképpen el kell végeznie egy vállalkozásnak.

Adatleltár

Első, amit mindenképpen el kell végezni, az egy úgynevezett adatleltár. Ez azt jelenti, hogy a vállalkozás írja össze, hogy a tevékenysége során milyen személyes adatokat kezel. Egy vállalkozás, aki munkavállalókat foglalkoztat, az szükségszerűen kezel személyes adatokat (név, születési hely, idő, stb.). Az adatleltározás során minden személyes adatot össze kell gyűjteni. Ha a vállalkozásnak van hírlevélre feliratkozói, akkor ezt is számba kell venni.

Adatkezelési nyilvántartás

Amennyiben megtörtént az adatleltár, úgy el kell készíteni az úgynevezett adatkezelési nyilvántartást. E nyilvántartás elkészítésére nincs minta, nem is kell egyébként. Az adatvédelmi rendelet egyértelműen meghatározza, hogy miket kell tartalmaznia:

  • adatkezelő neve, elérhetősége (vagy ha van adatvédelmi tisztviselő, akkor neve, elérhetősége)
  • adatkezelés célja
  • adatkezelés jogalapja
  • érintettek kategóriái
  • milyen személyes adatokat kezelünk (pl. név, születési ely, idő, stb.)
  • címzettek kategóriáit
  • történik-e harmadik országba adattovábbítás
  • az adatok törlésére előirányzott határidő
  • technikai és szervezési intézkedések.

Ezen adatkezelési nyilvántartásban létre kell hozni adatcsoportokat. Ilyen adatcsoport lehet például a munkavállalók bér- és munkaügyi adatai, vagy a munkaerő felvétellel kapcsolatos adatok. Amennyiben van a vállalkozásnak biztonsági kamerája, akkor kell egy olyan adatcsoport is, hogy a biztonsági kamerák által készített felvételek nyilvántartása.

Nincs meghatározva, hogy mennyi adatcsoport kell, vagy lehet. A lényeg az, hogy az egyes adatcsoportok legyenek elkülönítve, és tartalmazzák a fent felsoroltakat. De mi az a technikai és szervezési intézkedések? Itt kell megjelölni, hogy adatkezelő milyen intézkedéseket tesz az adatok védelmére, pl. jelszóval, vagy titkosítással védi, stb.

Adatok törlésére előírt határidő is kérdés lehet: vannak olyan adatok, amelyeknek a törlését jogszabály írja elő. Ide akkor ezt kell beírni. De például egy olyan adatcsoportnál, amely egy hírlevélre feliratkozottak nyilvántartását tartalmazza, hogy a törlési határidőnél azt kell beírni, hogy a felhasználó törlési kérelmétől számított x napon belül.

Nyilván nem lehet megadni több hónapos határidőt ebben az esetben, mert a lehető leghamarabb törölni kell, érdemes 3 napot megadni. És ezt minden egyes adatcsoportnál elvégezni. Még kérdés lehet, hogy milyen jogalapon kezeli a vállalkozás az adott adatcsoportban lévő adatokat.

Nyilván, a munkavállalói- és bérnyilvántartás adatcsoportnál az adatkezelés jogalapja a törvényi/jogi kötelezettség lesz. De egy biztonsági kamerás megfigyelésnél a vállalkozás jogos érdeke lesz a helyes jogalap, hírlevélnél pedig az érintett hozzájárulása.

Biztonsági kamerás megfigyelés

Amennyiben egy vállalkozásnál vannak biztonsági kamerái, azokra el kell készíteni a biztonsági kamera szabályzatot is. Nagyon fontos, hogy a szabályzatban meg kell jelölni az egyes biztonsági kamerák helyeit, azok milyen területet rögzítenek. A legszerencsésebb akkor lenne a helyzet, ha a vállalkozás rendelkezik egy üzlet/telephely tervrajzzal, és azon be lehetne jelölni a kamerák helyeit, és e tervrajz lehetne a szabályzat melléklete. Fontos, hogy a kamera közterületet nem rögzíthet.

A szabályzatban egyértelműen meg kell jelölni azoknak a személyeknek a neveit, beosztását, akik a kamerák felvételeihez hozzáférhet. A GDPR-rendeleten túl figyelemmel kell lenni az Infotv. és más egyéb ágazati jogszabályokra.

A biztonsági kamerás megfigyelésnél ezen ágazati jogszabály a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól 2005. évi CXXXIII törvény. E jogszabály tartalmazza azt, hogy a biztonsági kamerás felvételeket mennyi ideig szabad megőrizni, mennyi idő után kell törölni (3 nap).

A szabályzat elkészítésén túl szükséges, hogy az üzlet/telephely bejáratánál figyelemfelhívó módon jelezni kell, hogy az adott területen biztonsági kamerás megfigyelés történik. Amennyiben a telephelyen több üzem/csarnok található, akkor célszerű minden bejáratra kihelyezni ezen figyelemfelhívó jelzést. A hatályos szabályok szerint nem elegendő egy egyszerű piktogrammal ezt jelezni, hanem a piktogramot tartalmazó tájékoztatón rajta kell lennie a következő adatoknak:

Meg kell jegyezni, hogy egy üzletben/telephelyen történő biztonsági kamera felvétel készítéséhez nem kell az érintett hozzájárulása, ugyanis a megjelölt jogalapot, a jogos érdeket a jog elismeri (pl. vagyonvédelem, veszélyes anyagok védelme, munkavédelem, stb.). Jogos érdek jogalapra való hivatkozásnál el kell készíteni egy érdekmérlegelési tesztet, ami egy többlépcsős folyamat. Elsőnek meg kell határozni a vállalkozásnak a jogos érdekét, azonosítani kell az érintett jogalapot, valamint meg kell állapítani, hogy kezelhető-e személyes adat.

Személyes adat: azonosított vagy azonosítható természetes személyre (“érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A vállalkozásnak el kell készítenie egy adatvédelmi és adatkezelési tájékoztatót is, amely arra szolgál, hogy a munkavállalóit, vásárlóit tájékoztassa, hogy milyen adatok kerülnek kezelésre, és azokat milyen módon védik, tárolják, stb.

Amennyiben a vállalkozás úgymond kiszervezte a könyvelését, akkor a könyvelő (cég) és a vállalkozás között kell egy adatfeldolgozói szerződés.

Adatfeldolgozói szerződés

A GDPR rendelet szerencsére meghatározza  azokat a kötelező tartalmi elemeket, amelyeket tartalmaznia kell az adatfeldolgozói szerződésnek. Rendelet alapján az adatfeldolgozói szerződés az alábbi elemeket kell hogy tartalmazza:

  • az adatfeldolgozói a személyes adatokat kizárólag az adatkezelő utasításai alapján végezheti;
  • az adatfeldolgozónak titoktartási kötelezettséget kell vállalnia az általa kezelt személyes adatokat illetően;
  • az adatfeldolgozónak garanciát kell arra vállalnia, hogy meghozza a megfelelő technikai és szervezési intézkedéseket, amelyek az adatbiztonságot garantálja;
  • segíti az adatkezelőt a kötelezettségeinek teljesítésében;
  • amennyiben megszűnik az adatfeldolgozás, akkor az adatfeldolgozónak kötelezettséget kell vállalnia arra, hogy az általa, az adatkezelő megbízása alapján kezelt személyes adatokat törli.

Egy adatfeldolgozói szerződés tartalmazza, hogy kik a felek, vagyis ki az adatkezelő és ki az adatfeldolgozó. Majd ezt követően rögzíteni kell, hogy a felek (adatkezelő és adatfeldolgozó) között mikor jött létre megbízási szerzős (pl. könyvelésre), majd ezt követően a szerződés további részébe kell belefoglalni a fent megjelölt kötelező tartalmi elemeket.