GDPR

GDPR: ezeket készítsd el mindenképpen

Az általános adatvédelmi rendelet (GDPR) hamarosan hatályba lép (2018. május 25.), és sokan vannak, akik még nem tettek semmit sem annak érdekében, hogy a GDPR rendelkezéseinek megfeleljenek.

Szinte már nincs olyan nap, hogy ne lenne olyan cikk, hogy aki most kezdi el a GDPR-re való felkészülést, az már késében van, elkésett. A legtöbb kis- és közepes vállalkozásnak nincs olyan sok dolga, mint ahogyan a cikkek riogatnak. Véleményem szerint a GDPR ellenőrzése nem célirányos lesz, hanem elsősorban panasz alapján kerül vizsgálat alá egy vállalkozás. Ugyancsak úgy vélem, hogy ha a hatóság látja, hogy egy vállalkozás valamelyest foglalkozott a GDPR rendelkezéseinek való megfeleléssel, akkor elsősorban egy vizsgálatot követően hiánypótlásra hívja fel az adott vállalkozást.

Ebben a bejegyzésben sorra veszem azokat a dolgokat, amelyeket mindenképpen el kell végeznie egy vállalkozásnak.

Első, amit mindenképpen el kell végezni, az egy úgynevezett adatleltár. Ez azt jelenti, hogy a vállalkozás írja össze, hogy a tevékenysége során milyen személyes adatokat kezel. Egy vállalkozás, aki munkavállalókat foglalkoztat, az szükségszerűen kezel személyes adatokat (név, születési hely, idő, stb.). Az adatleltározás során minden személyes adatot össze kell gyűjteni. Ha a vállalkozásnak van hírlevélre feliratkozói, akkor ezt is számba kell venni.

Amennyiben megtörtént az adatleltár, úgy el kell készíteni az úgynevezett adatvédelmi nyilvántartást. E nyilvántartás elkészítésére nincs minta, nem is kell egyébként. Az adatvédelmi rendelet egyértelműen meghatározza, hogy miket kell tartalmaznia:

  • adatkezelő neve, elérhetősége (vagy ha van adatvédelmi tisztviselő, akkor neve, elérhetősége)
  • adatkezelés célja
  • adatkezelés jogalapja
  • érintettek kategóriái
  • milyen személyes adatokat kezelünk (pl. név, születési ely, idő, stb.)
  • címzettek kategóriáit
  • történik-e harmadik országba adattovábbítás
  • az adatok törlésére előirányzott határidő
  • technikai és szervezési intézkedések.

Ezen adatvédelmi nyilvántartásban létre kell hozni adatcsoportokat. Ilyen adatcsoport lehet például a munkavállalók bér- és munkaügyi adatai, vagy a munkaerő felvétellel kapcsolatos adatok. Amennyiben van a vállalkozásnak biztonsági kamerája, akkor kell egy olyan adatcsoport is, hogy a biztonsági kamerák által készített felvételek nyilvántartása.

Nincs meghatározva, hogy mennyi adatcsoport kell, vagy lehet. A lényeg az, hogy az egyes adatcsoportok legyenek elkülönítve, és tartalmazzák a fent felsoroltakat. De mi az a technikai és szervezési intézkedések? Itt kell megjelölni, hogy adatkezelő milyen intézkedéseket tesz az adatok védelmére, pl. jelszóval, vagy titkosítással védi, stb.

Adatok törlésére előírt határidő is kérdés lehet: vannak olyan adatok, amelyeknek a törlését jogszabály írja elő. Ide akkor ezt kell beírni. De például egy olyan adatcsoportnál, amely egy hírlevélre feliratkozottat nyilvántartását tartalmazza, hogy a törlési határidőnél azt kell beírni, hogy a felhasználó törlési kérelmétől számított x napon belül.

Nyilván nem lehet megadni több hónapos határidőt ebben az esetben, mert a lehető leghamarabb törölni kell, érdemes 3 napot megadni. És ezt minden egyes adatcsoportnál elvégezni. Még kérdés lehet, hogy milyen jogalapon kezeli a vállalkozás az adott adatcsoportban lévő adatokat.

Nyilván, a munkavállalói- és bérnyilvántartás adatcsoportnál az adatkezelés jogalapja a törvényi/jogi kötelezettség lesz. De egy biztonsági kamerás megfigyelésnél a vállalkozás jogos érdeke lesz a helyes jogalap, hírlevélnél pedig az érintett hozzájárulása.

Amennyiben egy vállalkozásnál vannak biztonsági kamerái, azokra el kell készíteni a biztonsági kamera szabályzatot is. Nagyon fontos, hogy a szabályzatban meg kell jelölni az egyes biztonsági kamerák helyeit, azok mit rögzítenek. A legszerencsésebb akkor lenne a helyzet, ha a vállalkozás rendelkezik egy üzlet/telephely tervrajzzal, és azon be lehetne jelölni a kamerák helyeit, és e tervrajz lehetne a szabályzat melléklete.

A szabályzatban egyértelműen meg kell jelölni azoknak a személyeknek a neveit, beosztását, akik a kamerák felvételeihez hozzáférhet. Mint a korábbi bejegyzésben említettem, a GDPR-rendeleten túl figyelemmel kell lenni az Infotv. és más egyéb ágazati jogszabályokra.

A biztonsági kamerás megfigyelésnél ezen ágazati jogszabály a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól 2005. évi CXXXIII törvény. E jogszabály tartalmazza azt, hogy a biztonsági kamerás felvételeket mennyi ideig szabad megőrizni, mennyi idő után kell törölni.

A szabályzat elkészítésén túl szükséges, hogy az üzlet/telephely bejáratánál figyelemfelhívó módon jelezni kell, hogy az adott területen biztonsági kamerás megfigyelés történik. Ezt jellemzően elegendő egy egyszerű piktogrammal jelezni. Amennyiben a telephelyen több üzem/csarnok található, akkor célszerű minden bejáratra kihelyezni ezen figyelemfelhívó jelzést.

Meg kell jegyezni, hogy egy üzletben/telephelyen történő biztonsági kamera felvétel készítéséhez nem kell az érintett hozzájárulása, ugyanis a megjelölt jogalapot, a jogos érdeket a jog elismeri (pl. vagyonvédelem, veszélyes anyagok védelme, munkavédelem, stb.).

A vállalkozásnak el kell készítenie egy adatvédelmi és adatkezelési tájékoztatót is, amely arra szolgál, hogy a munkavállalóit, vásárlóit tájékoztassa, hogy milyen adatok kerülnek kezelésre, és azokat milyen módon védik.

Amennyiben a vállalkozás úgymond kiszervezte a könyvelését, akkor a könyvelő (cég) és a vállalkozás között kell egy adatfeldolgozói szerződés.

A GDPR rendelet szerencsére meghatározza  azokat a kötelező tartalmi elemeket, amelyeket tartalmaznia kell az adatfeldolgozói szerződésnek. Rendelet alapján az adatfeldolgozói szerződés az alábbi elemeket kell hogy tartalmazza:

  • az adatfeldolgozói a személyes adatokat kizárólag az adatkezelő utasításai alapján végezheti;
  • az adatfeldolgozónak titoktartási kötelezettséget kell vállalnia az általa kezelt személyes adatokat illetően;
  • az adatfeldolgozónak garanciát kell arra vállalnia, hogy meghozza a megfelelő technikai és szervezési intézkedéseket, amelyek az adatbiztonságot garantálja;
  • segíti az adatkezelőt a kötelezettségeinek teljesítésében;
  • amennyiben megszűnik az adatfeldolgozás, akkor az adatfeldolgozónak kötelezettséget kell vállalnia arra, hogy az általa, az adatkezelő megbízása alapján kezelt személyes adatokat törli.

Egy adatfeldolgozói szerződés tartalmazza, hogy kik a felek, vagyis ki az adatkezelő és ki az adatfeldolgozó. Majd ezt követően rögzíteni kell, hogy a felek (adatkezelő és adatfeldolgozó) között mikor jött létre megbízási szerzős (pl. könyvelésre), majd ezt követően a szerződés további részébe kell belefoglalni a fent megjelölt kötelező tartalmi elemeket.

Ha tetszett a bejegyzés, csatlakozz a Jogzóna Facebook oldalához!

A szerzőről

Dr. Keserű Imre

A Debreceni Egyetem, Állam- és Jogtudományi Kar jogász szakán végzett, jelenleg a Dr. Nagy Ádám Ügyvédi Iroda (Hajdúszoboszló) ügyvédjelöltje.