Két éve lépett hatályba az általános adatvédelmi rendelet (GDPR), így hosszú felkészülési időt biztosított. Ennek ellenére a vállalkozások többsége az utolsó pillanatban kezdett hozzá a felkészüléshez, melynek következménye egyértelműen az, hogy május 25-én nem fognak megfelelni a szabályozásnak. A megfeleléshez azonban hozzá kell kezdeni, nem odázhatják el a vállalkozások. Összefoglaljuk a főbb lépéseket az alábbiakban foglaljuk össze.
Számos vállalkozás a csodában reménykedett, azaz abban, hogy a GDPR kevéssé áttekinthető követelményrendszere alól valamilyen okból mentesülni fognak. Ilyen reménysugár volt például az, hogy az infotörvényt még nem módosította az Országgyűlés, a NAIH-ot, mint felügyeleti szervet még nem jelölték ki. Hasonlóan kártékony az a szemlélet, mely a megfelelést a tájékoztatók egymástól való átmásolásában látja. Tekintettel arra, hogy minden vállalkozás egyedi, a szabályzatok másolásával nem lehet biztosítani a megfelelést.
Adatvagyonleltárt kell készíteni
A vállalkozásoknak első lépésben át kell tekinteniük a saját adatkezeléseiket. Meg kell tehát vizsgálni, hogy személyes adatokat, illetve azok különleges kategóriáit a munkaviszonnyal, az ügyfélkapcsolatokkal, illetve a szerződéses partnerekkel összefüggésben miként kezelnek. A munkaviszonnyal összefüggésben a munkaerőtoborzás, illetve a munkaszerződés teljesítéséhez kapcsolódó adatkezelések feltérképezése szükséges. Meg kell vizsgálni, hogy a személyes adatok honnan érkeznek, milyen előzetes tájékoztatást kapnak az érintettek, a személyes adatokat meddig tárolják a vállalkozások, illetve másnak továbbítják-e azokat. Azt is vizsgálat tárgyává kell tenni, hogy valamennyi adatra szükség van-e (például fényképekre), illetve, hogy van-e minden adatkezelésnek megfelelő jogalapja (például iratmásolás, életrajzok őrizgetése).
Az ügyfélkapcsolatok, valamint a szerződéses partneri adatok vonatkozásában hasonlóképpen azt kell megvizsgálni, hogy ezen jogviszonyokban természetes személyeknek mely adatai kerülnek a céghez (ügyfél, kapcsolattartó), azoknak a kezeléséhez van-e megfelelő jogalap (például igazolványszámok rögzítése), kapnak-e megfelelő tájékoztatást az érintettek az adatkezelésekről, valamint azokra meddig van szükség.
Tájékoztatók munkavállalóknak, ügyfeleknek, szerződéses partnereknek
Az érintettet az adatkezelés megkezdése előtt az infotörvény 20. paragrafusának (2) bekezdése alapján egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen
– az adatkezelés céljáról és jogalapjáról,
– az adatkezelésre és az adatfeldolgozásra jogosult személyéről,
– az adatkezelés időtartamáról,
– ha az érintett személyes adatait az adatkezelő a 6. § (5) bekezdése alapján kezeli (jogos érdek),
– kik ismerhetik meg az adatokat.
A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen a követelményrendszeren a GDPR sem változtat, sőt a tájékoztatási követelmény fokozottabban fog érvényesülni. Ha ugyanis az adatokat az érintettől gyűjti a vállalkozás, az adatok megszerzésének időpontjában kell tájékoztatást adnia
– az adatkezelő személyéről, elérhetőségéről,
– az adatvédelmi tisztviselő személyéről,
– az adatkezelés céljáról, jogalapjáról,
– jogos érdek, mint jogalap esetén a jogos érdekről,
– az adattovábbításokról (címzettek),
– a tárolás időtartamáról vagy annak szempontjairól,
– az érintetti jogokról, illetve
– az automatizált döntéshozatal és profilalkotás tényéről.
Ha a személyes adatok nem az érintettől származnak (például vásárolt vagy nyilvános adatbázisból), abban az esetben észszerű határidőben, de legfeljebb egy hónapon belül, kapcsolatfelvétel esetén az első kapcsolatfelvételkor, adattovábbítás esetén már az első adattovábbításkor, adatkezelési cél változása esetén pedig minden egyes cél változásakor meg kell adni a személyes adatok kezelésével összefüggő tájékoztatást.
Akármilyen tájékoztatót is készít a vállalkozás, annak alapvető szabálya, hogy az a természetes személy, akinek a személyes adatainak birtokában van, tudja, hogy pontosan mely adatait, milyen jogalapon és meddig kezeli a cég, és, hogy ezzel összefüggésben milyen jogok illetik meg. Figyelni kell arra is, hogy ha a vállalkozásnak honlapja is van, az azzal összefüggő adatkezelésekről is tájékoztatást kell adni (cookiek, tárhelyszolgáltató, állás, bejelentkezés, panasz, regisztráció stb.)
Nyilvántartásokat is kell készíteni
A GDPR 30. cikke alapján belső nyilvántartást is kell készíteni. A nyilvántartás – amely a hatósági bejelentések rendszerét fogja felváltani – függ attól, hogy adatkezelőről vagy adatfeldolgozóról van szó, az első lépés tehát a minősítés. A vállalkozások zöme adatkezelő, adatfeldolgozó csupán az, aki más nevében, annak utasításai alapján végzi az adatkezelési tevékenységeit (például bérszámfejtő). Adatkezelőknek adatkezelői, adatfeldolgozóknak pedig adatfeldolgozói nyilvántartást kell készíteniük. Előbbiben valamennyi adatkezelési tevékenységet meg kell jelölni, s meg kell adni a hozzá kapcsolódó adatkezelési adatokat (jogalap, cél, időtartam stb.). Utóbbi nyilvántartás pedig főként azt tartalmazza, hogy mely adatkezelők nevében milyen adatfeldolgozói feladatokat lát el a vállalkozás. Szükség lesz továbbá incidens-, valamint adattovábbítási nyilvántartásra is. Utóbbi keretei az infotörvény módosításával még változhatnak.
Forrás: adozona.hu
Vélemény, hozzászólás?