hu

GDPR - Adatvédelem

Adatvédelem és GDPR (General Data Protection Regulation)

A személyes adatok védelmének jogi szabályozása Magyarországon jelenleg elsődlegesen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), továbbá a vonatkozó ágazati törvények adatvédelmi rendelkezési szerint történik.

Az Európai Parlament és a Tanács megalkotta a 2016/679. rendeletet, a GDPR-t (General Data Protection Regulation), amelyet 2018. május 25. napjától kötelezően alkalmazni kell a tagállamokban. A rendelet közel egységes adatvédelmi szabályozást fog eredményezni az Európai Unió teljes területén.

A személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzését és elősegítését a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) végzi.

A GDPR rendelet minden tagországra egységesen érvényes, és újdonság az is, hogy az Európai Unión kívüli országokban működő cégekre is vonatkozik, ha azok az Európai Unió területén tartózkodó magánszemélyek adatait kezelik.

Kikre vonatkoznak az adatvédelmi és GDPR változások?

A GDPR minden cégre (gazdasági társaságok, egyéni vállalkozások), állami szervre és nonprofit szervezetre vonatkozik, amelyik az Európai Unió területén tartózkodók személyes adatait kezeli!

A GDPR célja a személyes adatok és a magánszféra védelme. Központjában az az érintett áll, akit megillet, és aki rendelkezhet az információs önrendelkezési jogáról.

Amennyiben különösen, de nem kizárólag az alábbi adatfajtákat kezeli, az Ön vállalkozása is érintett:

Az ügyfelei, munkavállalói vagy más személyek

  • személyazonosító adatait (név, anyja neve, születési hely, idő, születési név)
  • elérhetőségi adatokat (telefonszám, e-mail cím, lakcím, postai értesítési cím, stb.)
  • online vagy más azonosítókat (jelszavak, felhasználónevek, TAJ szám, adóazonosító jel, stb.)
  • egészségügyi, fizikai, fiziológiai adatokat;
  • jövedelemre vonatkozó adatokat;
  • természetes személy képmását, a hangját;
  • szokásokat, viselkedéseket, véleményeket;
  • direkt marketingszolgáltatásokat (hírlevelek, promóciók, személyre szabott ajánlatokat)
  • technikai adatokat (IP cím, böngésző típusa, eszköz típusa)
  • belépési, kilépési adatokat, stb.

Adatvédelemmel és GDPR-rel kapcsolatos bírságok, büntetések

Bírság: Minden eddiginél szigorúbb pénzbüntetésre lehet számítani, ha az adatkezelés nem felel meg az új előírásoknak.

A bírság maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg. Az éves bevétel esetében egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Azt is fontos figyelembe venni, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot, vagy szervet a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.

Bűncselekmény megvalósulása: A hatályos Büntető Törvénykönyv tartalmazza a személyes adattal visszaélés tényállást, amely alapján akár 3 évig terjedő szabadságvesztés is kiszabható.

Kártérítés, sérelem díj: Adatvédelmi jogsértés esetén az érintett kártérítési igénnyel fordulhat az adatkezelővel szemben, továbbá sérelemdíjat is követelhet.

Mit kell tennie a vállalkozásnak a GDPR-ral kapcsolatban?

Adatvédelmi szempontból

  • Fel kell térképezni, hogy mely ország/okban fejti ki tevékenységét a társaság.
  • Fel kell mérni a vállalkozás által bármilyen célból kezelt személyes adatokat (adatvagyon eltár).
  • Meg kell vizsgálni, milyen adatvédelmi jellegű dokumentumokkal, szabályzatokkal rendelkezik a vállalkozás. Készült-e adatvédelmi/adatbiztonsági szabályzata, van-e adatkezelési tájékoztatója, rendelkezik-e belső adatvédelmi szabályzattal, amely a belső adatkezelési folyamatokat, mint eljárásrendet rögzíti, készült-e incidenskezelési szabályzata, vannak-e nyilvántartások, létezik-e adattovábbítási nyilvántartása, összeállítottak-e esetleg belső adatkezelési nyilvántartást, amely kötelező lesz.
  • Meg kell győződni arról, hogy a munkavállalókat milyen módon tájékoztatják a személyes adataik kezeléséről.
  • Fel kell mérni, hogy igénybe vesz-e a vállalkozás adatfeldolgozót, aki egy külső személy vagy jogi személy/jogi személyiség nélküli szerv (pl.: tárhely szolgáltató, hírlevél küldő cég, könyvelő, fuvarozó, személyes adatokat tartalmazó adatbázist külsőleg feldolgozó, vagyonvédelmi cég, stb.)
  • Meg kell vizsgálni informatikus bevonásával, hogy milyen adatvédelmi informatikai intézkedéseket tesz a Társaság a kezelt személyes adatok védelme érdekében

A felmérést követően el kell elkészíteni a 2018. május 25. napjától életbe lépő szabályzatokat, amelynek meg kell felelni a hatályban lévő Info törvénynek is.

Az adatvédelmi szabályozatlanság olyan támadási felület lesz a jövőben, amely akár az adott cég létezését sodorhatja veszélybe. Azonban ez nem szükségszerű, adatvédelmi tudatosság esetén megelőzhető, elkerülhető.

Amennyiben a vállalkozása még nem készült fel a hatályos jogszabályoknak megfelelően az adatvédelemre, és ha adatvédelmi tisztviselőként hozzájárulás lehetek a cége jelenlegi adatkezelési gyakorlatának átvizsgálásához, úgy kérem, a megadott elérhetőségeimen keressen, hogy Önnel együttműködésben kidolgozzuk a kiszervezett szolgáltatásokra vonatkozó adatfeldolgozói szabályzatokat, és egységesítsük az adatvédelmi és incidenskezelési folyamatokat.

Kopre Melinda

adatvédelmi tisztviselő

Telefon szám: +36 20/983-3254

E-mail: koprem@t-online.hu