GDPR tudnivalók vállalkozóknak, cégeknek, HR-eseknek, marketingeseknek – GDPR 1. rész

GDPR tudnivalók vállalkozóknak, cégeknek, HR-eseknek, marketingeseknek – GDPR 1. rész

Az új EU-s adatvédelmi rendelet tartja lázban a hazai vállalkozókat. Megy a kapkodás, pánik, mert bizony közel van a május 25-i határidő. A cégvezetők 1/3-a még nem is hallott erről, hogy neki bármit is kellene tennie, akik pedig hallották, nem mind tette meg még az első lépéseket. Pedig most vagyunk a türelmi időben. Nagyon sok plusz munkát okoz a cégeknek, adminisztrációt és IT fejlesztést igényel, nem beszélve a jogi kiadásokról. Érdekes, hogy a többség nem fél a bírságtól, pedig ahogy említettem, május 25-től alkalmazni kell, valójában 2016 óta már hatályban van a rendelet. Nézzük is, miről van szó!

Ez a Minner.hu GDPR cikksorozatának első része.

A rendelet – GDPR lényege

Így állunk most: “Védjük a magánszemélyek adatait, akiket egyébként ez nem érdekel, és nehezítsük meg a cégek életét.”

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE 2016. április 27-től hatályban van, de csak 2018. május 25-től kell alkalmazni az EU valamennyi tagállamában. A GDPR rövidítés a General Data Protection Regulation szavak kezdőbetűiből áll.
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről, és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Miért nehézkesen indul be itthon? A cégek miért NEM mozgolódnak?

Bár látni, hogy egyre többen foglalkoznak vele, de az sem lendíti elő az egészet, hogy itthon még nem módosították a törvényt, továbbá a NEMZETI ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG HATÓSÁG egyre több állásfoglalást és tájékoztatót ad ki. Még mindig vannak vakfoltok a rendelet alkalmazásában.

Mi a célja?

A célja, hogy védje a természetes személyek adatait, azok kezelését szabályozza, valamint lehetőséget adjon az embereknek, hogy a velük kapcsolatban álló cégeknél tárolt adatokat töröltethessék, módosíthassák, vagy éppen tiltakozhassanak felhasználásukról (például a marketing célú felhasználással kapcsolatban). Továbbá a cégeknek tájékoztatni kell a vevőiket, ügyfeleiket vagy bármilyen magánszemélyt, akik valamilyen személyes adatukat megadják a cégnek, hogy azt milyen célra használják fel, meddig és ki fér még hozzá. Nemcsak a digitális adatokra, hanem a papír alapúakra is vonatkozik. Továbbá az adatbiztonság is fontos szempont. Mit jelent ez? Azt, hogy a cégek így korlátozottabban tudnak majd adatokat gyűjteni, bár ez egyben jó is lehet, mivel a túlzott adatgyűjtést megakadályozza. Már eddig is voltak szabályok az adatbázisok felhasználhatóságáról, de most még szigorúbb a szabályozás a célokat illetően. További cél, hogy reklámcélú megkeresések csak tényleges felhasználói hozzájárulás után történhessenek. Erre hozok majd lent példát. A marketing egyes elemeit pedig ellehetetleníti, bár ez már nem cél, hanem következmény.

(x) Készítsd fel a céged, munkatársaid az új adatvédelmi rendeletre!

A Minner.hu és a BWSP Gobert & Társai Ügyvédi- és Adótanácsadói Iroda videóanyaga segít a felkészülésben! Szerezd be minél előbb! Kattints ide! GDPR felkészítő tanfolyam. 

Mi a személyes adat?

Először is nézzük a fogalmát a rendelet szerint, mert ettől függ, hogy az adott adattal kell-e valamit csinálni vagy nem. A GDPR szerint személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Fontos! A rendelet alkalmazása csak jogi személyekre, cégekre, vállalkozásokra, szervezetekre vonatkozik. Ha valaki otthon, magánszemélyként kezel bármilyen más személy adatát, értelemszerűen nem kell semmit se csinálnia.

Milyen személyes adatot kezel egy hazai cég, vállalkozás, KKV?

Fent láthattad a felsorolást, na de ez hol látható a cégedben? Minden hazai cég kezel ilyen adatokat, így vonatkozik rájuk a rendelet. Személyes adatot kezelsz:

  • már az alkalmazottaknál is,
  • de például akkor is, amikor valaki elküldi az önéletrajzát neked,
  • vagy akkor, amikor emailt ír (beazonosítható – név emailcím miatt),
  • valaki ajánlatot kér,
  • De ez még semmi! A céges email cím is személyes adatnak minősül. pl. kispeter@ceg.hu
  • Személyes adat lehet, ha valaki a weboldaladra felmegy, és te eltárolod az ő IP-jét.
  • Telefonszám? Naná!

Oké! Személyes adatokat kezelek. Mit kell csinálnom cégként? – Jogalapok

Meg kell vizsgálnod, hogy a fenti példákhoz hasonló adatok még hogyan fordulnak elő a cégedben. Tehát egy magánszemély az adott céggel:

  • milyen adatot oszt meg,
  • azt hol,
  • miért (mire használják és milyen jogalapon),
  • meddig és
  • még ki férhet hozzá.

Ezt hívják adatleltárnak. Mikor ezt meghatároztátok, kiderítettétek, ez több dokumentumot is érinteni fog.

Ahhoz, hogy egy magánszemély adatát egy cég kezelhesse, valamilyen jogalapra van szüksége:

  • egyértelmű hozzájárulását adja a természetes személy (például hírlevél feliratkozás, ki kell pipálnia, hogy kér levelet, és utána nyom a gombra, vagy weboldalon csak akkor indulhat el a remarketing süti, ha kipipálja és rányom a gombra)
  • az adatkezelés szükséges egy minket érintő szerződés teljesítéséhez,
  • az adatkezelő jogi kötelezettségéből fakad (például meg kell őriznie a számlákat),
  • a mi vagy egy másik ember létfontosságú érdekeinek védelméhez szükséges (például egészségügyi adatok esetében),
  • jogos érdek fűződik hozzá (például számla kiállításához van szükség az adatokra, vagy például egy peres eljárás miatt).

Ezekre példákat láthatsz a cikksorozat 2. részében. Most viszont folytassuk!

Mit csinálhat egy magánszemély a nálam tárolt adataival? – Ezt hívják érintetti jog-nak

  • hozzáférést kér, vagyis tájékoztatást az adatai kezeléséről;
  • helyesbítést, ha valamilyen adata változott, vagy nem egyezik;
  • töröltetheti az adatait, ha azokat jogellenesen kezelték, vagy ha megszűnt az adatkezelés jogalapja (például ha visszavonta a hozzájárulását, és más jogalap nem maradt) – ezt hívják”elfeledtetéshez való jognak”;
  • korlátozhatja az adatkezelést;
  • adathordozhatóság, vagyis kérheti a kezelt adatokat “tagolt, széles körben használt, géppel olvasható formátumban”, hogy azokat egy másik szolgáltatóhoz átvihesse; illetve
  • tiltakozhat az adatai kezelése ellen.

Új szerepkörök a cég életében? Adatkezelő, adatfeldolgozó, adatvédelmi tisztviselő

Adatkezelő: A cég, vagyis a mi szempontunkból elsőként ezek vagyunk mi. Vagyis az adatkezelő, aki az adott természetes személy adatát kezeli, gyűjti, tárolja.
Adatfeldolgozó: Aki az így begyűjtött adatokhoz technikai feladatokat lát el. Például adatok rögzítése, vagy például online számlázó esetében a számla kiállítása, de a könyvelő is a céges számlák esetében adatfeldolgozó, vagy a hírlevél küldő. Az adatfeldolgozókat, mint harmadik felet, szerepeltetni kell az adatkezelési tájékoztatóban. (Magyarán leírni, hogy XY cég könyvel neked, vagy a weboldal tárhelyét az XY cég adja.)
Adatvédelmi tisztviselő: Elnézést, hogy nem jogi szöveget írok. A rendelet szerint szinte minden cégnek ki kell jelölnie egy adatvédelmi felelőst. Azért írom, hogy szinte, mert több adatvédelmi ügyvéddel egyeztetve kiderült, hogy igazából ez a pont minden cégre vonatkozik, mert a rendelet 3 konkrét esetben teszi kötelezővé az adatvédelmi tisztviselő kijelölését, és valójában ebbe a cégek 99%-a beletartozik:

  1. ha az adatkezelést, adatfeldolgozást Hatóság vagy közfeladatot ellátó szerv végzi
  2. ha a szervezet alaptevékenysége olyan adatkezelési műveleteket foglal magában, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
  3. ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban

Dokumentumok, melyeket el kell készíteni:

  • Tájékoztatók – Például a weboldaladon adatkezelési tájékoztató
  • Nyilatkozatok
  • Belső adatvédelmi nyilvántartás
  • Szerződések (ügyfelekkel, adatfeldolgozókkal)
  • Belső szabályzatok (adatkezelési, panaszkezelési, incidensbejelentési, adatvédelmi hatásvizsgálat elkészítésére vonatkozó szabályzat, stb.)

Kinyírja-e az online marketinget a GDPR?

A rendeletben külön figyelmet szentelnek a marketingcélú megkeresésekre, továbbá az ehhez kapcsolódó profilozás, automatizált marketingre. Csakis a magánszemély egyértelmű hozzájárulásával lehet reklámcéllal megkeresni. Így például, ha a weboldalon nem járul hozzá, hogy az adatait gyűjtsük (például remarketing adatát), akkor utána számára nem helyezhetünk el hirdetést például Facebookon vagy Google-ban (követő, retargeting hirdetésre gondolok). A hírlevelezés szabálya eddig is szigorú volt. Erről még lesz szó a cikksorozatban. Elöljáróban annyit, hogy ez azt jelenti, hogy a weboldalon lévő adatkezelési tájékoztatóban minden online tevékenységről is tájékoztatni kell az embereket. És a weboldalon futó sütik (cookie) kezelése még szigorúbb lett (erre lesznek tippek is).

A cikksorozat további részei:

(x) Készítsd fel a céged, munkatársaid az új adatvédelmi rendeletre!

A Minner.hu és a BWSP Gobert & Társai Ügyvédi- és Adótanácsadói Iroda videóanyaga segít a felkészülésben! Szerezd be minél előbb! Kattints ide! GDPR felkészítő tanfolyam. 

A rendelet teljes szövegéért kattints ide! 

Forrás: NAIH