Az Európai Unió általános adatvédelmi rendelete (GDPR rendelet) 2018. május 25. napjától alkalmazandó, egységessé téve az adatvédelmi szabályozást az Unió területén belül.

A rendelet hatálya alá esik minden Unióban honos, ennek következtében minden Magyarország területén működő vállalkozás, intézmény és szervezet, amely személyes adatok kezelését végzi.

Tekintettel arra, hogy nincs olyan vállalkozás, amely a tevékenysége során valamilyen módon ne végezné magányszemélyek adatainak a kezelését – elég csak az ügyfelek vagy a munkavállalók adataira gondolni – senki nem mentesülhet a kötelező dokumentáció elkészíttetése és a jogszabályoknak megfelelő adatkezelési gyakorlat kialakítása alól.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), mint magyarországi felügyeleti szerv a hatálybalépést követő első félévben megengedő volt a mikro,- kis- és középvállalkozásokkal szemben, de 2019. évtől már megszülettek az első GDPR megfeleléshez kapcsolódó bírságok hazánkban is.

A GDPR megfelelőség nem egy állapot, hanem egy folyamat. Egy olyan folyamat mely során a vállalkozásoknak egy – adatvédelmi szempontból – megfelelően felépített és dokumentált állapotot kell rögzítenie majd az adatkezelési folyamatokat megfelelően meghatározva és alkalmazva a GDPR kompatibilis állapotot folyamatosan fenn kell tartania.

Azt, hogy az adott helyzetben elvárható intézkedéseket egy cég megtette, előzetesen nem szükséges bejelenteni, azonban egy esetleges ellenőrzés során az adatkezelőn van a bizonyítás terhe, hogy igazolja, hogy minden tekintetben megfelelően járt el. Mindemellett az esetlegesen bekövetkező adatvédelmi incidenseket megfelelően dokumentálni kell, adott esetekben a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé is továbbítva azokat.

A GDPR szabályzat, valamint a kapcsolódó dokumentáció elkészítéséhez átfogó képet kell kapnunk vállalkozásuk minden adatkezelésével kapcsolatban, melyet ingyenes személyes vagy online konzultáció keretein belül biztosítunk. Itt fontos kiemelni, hogy a GDPR szabályozás széles területet érint, hiszen igen tág a személyes adatok köre, már egy céges e-mail cím kezelése is annak számít, ha a fiókhoz kapcsolható személy neve kiolvasható belőle. Maga az adatkezelés fogalma is tevékenységek széles listáját foglalja magában, hiszen amennyiben megismerünk egy személyes adatot, az már adatkezelésnek számít, hiába nem rögzítjük azt.

Személyes vagy online megbeszélésen, valamint írásban egyeztetve vállalkozásuk vezetőivel és adatkezelési kérdéseket érintő területen tevékenykedő munkatársaikkal feltérképezzük, hogy milyen típusú adatokat kezel intézményük, és meghatározzuk minden egyes adattípus esetén az adatkezelés megfelelő jogalapját, az érintettek körét, az adatkezelés időtartamát, valamint azon személyek – és esetlegesen adatfeldolgozók – körét, akik az adott adattípushoz hozzáférhetnek.

A fentiek szerint egy vállalkozás adatkezelő lesz, amennyiben egy érintett személyes adatát megismeri. (Például amennyiben megbízási szerződést köt egy tisztító céggel és a szerződésben szerepel a megbízott társaság egy munkavállalójának – mint kapcsolattartónak – a személyes adata.) Miután ez a kezelt személyes adat más személynek átadásra kerül, az adatfeldolgozónak minősül és annak is meg kell a GDPR elvárásoknak felelnie. Erre tekintettel a konzultációt követően összeállítjuk vállalkozásukkal adatfeldolgozói viszonyban álló társaságok, szervezetek listáját is. Az adatfeldolgozókkal (pl könyvelő, IT szolgáltató, kamera rendszer üzemeltető…) adatfeldolgozási szerződést kell kötnie az adatot átadó cégnek, vagy más módon (pl. az adatfeldolgozó egyoldalú nyilatkozatával) igazolnia kell, hogy az adatfeldolgozó GDPR kompatibilisen dolgozik.

Meghatározzuk, hogy szükséges-e Adatvédelmi tisztviselő foglalkoztatása, adatvédelmi hatásvizsgálat készítése, előzetes konzultáció igénylése, valamint felmérjük, hogy ügyfelünk továbbít-e személyes adatokat harmadik ország felé, hiszen a GDPR rendelet előírja, hogy EU-n kívüli harmadik országba csak megfelelő garanciák mellett juthat uniós tagállam állampolgárnak, mint érintettnek adata.

A bevezetéshez és fenntartáshoz tehát először fel kell mérnünk az adott vállalat adatkezelési folyamatait. Hasonlóan ahhoz az alapelvhez, hogy egy gazdasági társaság folyamatai se a vállalatirányítási rendszerhez alkalmazkodjanak, hanem a vállalatirányítási rendszer legyen a társaság folyamataira szabva, mi is igyekszünk a jelenleg bevált adatkezelési folyamatokat megőrizni és csak szükség esetén javasolni azok módosítását. Ezzel ügyfeleinknek komoly kiadásokat spórolunk meg.

A megfelelő bemeneti információk birtokában elkészítjük a teljes GDPR dokumentációt, mely az adatvédelmi nyilvántartáson, adatvédelmi szabályzaton és online, munkavállalói, kamera stb. tájékoztatókon túl számos olyan nyilatkozatot tartalmaz (pl.: konferencián részt vevő nyilatkozata, munkavállalói nyilatkozatok, szerződéses kikötések) mely segítségével nemcsak egy NAIH ellenőrzés esetén lesz biztonságban vállalkozásuk, hanem egy esetleges rosszakaró – legyen az konkurens vagy egy elbocsátott munkatárs – feljelentésétől, fenyegetésétől sem kell tartani.

Az dokumentáció csak pillanatnyi megfelelést jelent, így azt folyamatosan frissíteni szükséges, továbbá fontos, hogy az adott cég adatkezeléssel foglalkozó minden munkatársa – gyakorlatilag az összes kapcsolódó személy – az adatkezelési szabályzat szerint végezze mindennapi tevékenységét. Ezt igény esetén oktatással, valamint az adatvédelmi tisztviselővel folytatott konzultációkkal tudjuk segíteni.

Eddigi tapasztalataink szerint egy nagyobb intézmény esetén pár hét munkával elkészített és bevezetett dokumentáció elejét tudja venni – akár egy vállalat alkalmazottainak hibájából adódó – 10 millió forintos nagyságrendű sérelemdíj követeléseknek, valamint az utóbbi időben kiszabott körülbelül egymillió forintos NAIH bírságoknak.