Tudja, hogy mire használják fel a személyes adatait? Ez érdekelni fogja!

Nos, a GDPR nem más, mint az Európai Unió egységes Általános Adatvédelmi Rendelete. Majdnem biztosak vagyunk benne, hogy még így sem sok olvasónknak ismerős. Röviden arról van szó, hogy ennek a rendeletnek megfelelően 2018. május 25-től – ekkor lép hatályba a GDPR – minden egyes adatkezelő és adatfeldolgozó cégnek egységes és átlátható adatvédelmi rendszert kell majd működtetni. Ezt a szabályrendszert az unió minden tagállamában alkalmazni kell, így nálunk is.

A GDPR-nak megfelelés független a cégek méretétől, így a kis- és középvállalkozásokat is érinti. Ha már van például akár csak egy alkalmazott is, akinek kezeli a személyes adatait, vagy kapcsolatban áll legalább egy magánszeméllyel, vagy egyéni vállalkozóval a szervezet, illetve a cég honlapján ajánlatkérési lehetőség vagy hírlevélre való feliratkozási lehetőség van, akkor kiterjed rá a rendelet hatálya.

De a jogi személyek esetén a kapcsolattartók adatai is már személyes adatnak minősülnek, melyek védelemben részesülnek. Kamerás megfigyelőrendszert működtet? Alkalmazni kell a GDPR rendelkezéseit.

Viszont nemcsak a vállalkozásoknak szükséges ismerniük, hogy mivel jár a GDPR-nak megfelelés, hanem minden munkavállalónak is, hiszen az ő adatait is kezeli a munkáltatója, így nem árt tudnia, hogy milyen szabályok vonatkoznak erre, valójában milyen jogaik vannak. A munkáltató pedig jó eséllyel továbbadja egy „külsős” bérszámfejtő cégnek, aki az Ön adatait feldolgozza. Ő is, mint adatfeldolgozó a GDPR hatálya alá tartozik.

Hogy miért is olyan fontos megismerni az új szabályozást, arról Dr. Őri Adrienne-t, adatvédelmi és munkajogi tanácsadót, kamarai jogtanácsost kérdeztük.

- Az egységes adatvédelmi szabályozás megalkotásának célja az volt, hogy elejét vegyék az iparággá fejlődött személyes adatok adás-vételének. A legfőbb cél a személyes adatok megfelelő biztonságának, védelmének megvalósítása, a személyek jogainak bővítése, az adatkezelések átláthatóságának biztosítása. Mindenkivel előfordul, hogy kéretlenül kap tucatnyi hírlevelet valakitől úgy, hogy sosem adta meg neki az adatait. Az email címet viszont mégis felhasználták. Az hogy megtalálták, azt jelenti, hogy jogosulatlanul jutottak hozzá valahonnan. A GDPR egyik alapelve a „megfelelő jogalap elve”, ez éppen erre vonatkozik. Megfelelő jogalap nélkül egy személyes adat sem kezelhető.

- Fontos újdonság az elszámoltathatóság elve. Ez azt jelenti, hogy a cégnek mindig tudnia kell igazolni az adatvédelmi elveknek való megfelelést. Csak arra a célra használhatja fel az adataidat, amiről tájékoztatott és amire te a hozzájárulásodat adtad. Például, hogy ha az adataidra azért van szüksége, mert munkaszerződést köt veled, akkor csak és kizárólag erre a célra használhatja fel az adataidat, semmi másra. Ha már van egy további adatkezelési cél is vele, arról ugyancsak tájékoztatnia kell, neked pedig a hozzájárulásodat adnod – magyarázza Adrienne.

- Na de mi a garancia arra, hogy a vállalkozások betartják az új szabályokat?

- Ami megrettenti a vállalkozásokat, az a magas bírság, ami nem teljesülés esetén kiszabható. Ugyanis, aki nem tesz eleget az adatvédelmi rendelkezéseknek, azt a felügyeleti hatóság akár 20 millió eurós büntetéssel is sújthatja. Természetesen a bírság nagyságát meghatározza a jogsértés nagysága.

- És mi vár most a vállalkozásokra? Mit kell tenniük, hogy ne akadjanak fenn egy hatósági ellenőrzésen?

- Ha kap egy ellenőrzést az GDPR-ral kapcsolatban a cég, akkor igazolnia kell a jogszabályoknak megfelelő adatkezelését és az adatbiztonsági rendszerének működését. Ezt pedig csak akkor tudja igazolni, ha az dokumentált, és a szervezet valóban a leírtaknak megfelelően működik. A folyamat onnan kezdődik, hogy ha például jön a céghez egy új munkavállaló, őt tájékoztatni kell arról, hogy az adatait a cégnél milyen terjedelemben, milyen módon és leginkább milyen célból kezelik, azt meddig fogják megőrizni.

- Ennek az a jogalapja, hogy létrejön közöttük egy szerződés, valamint a hatóságok felé bejelentési kötelezettsége van a munkáltatónak. Ezekhez szükséges, hogy a munkáltató megismerje, kezelje az új dolgozó adatait. Neki pedig ehhez hozzá kell járulnia, de fontos, hogy mindezt írásban kell megtenni. Na de már a pályáztatás során beérkezett önéletrajzok kezelése sem maradhat GDPR-nak megfelelő szabályozás nélkül.

-És mi a helyzet a már meglévő munkavállalókkal? Őket hogyan érinti az új adatvédelmi szabályozás?

- Ha eddig nem történt meg, a meglévő munkavállalókat is tájékoztatni kell arról, hogy mire használják fel az adataikat, a munkavállalóknak pedig hozzá kell az adatkezeléshez járulniuk. De nem csak ez a munkáltató feladata. Valamennyi rendelkezésre álló személyes adatot át kell tekintenie minden cégnek és végigvenni, hogy ezt vagy azt jogszerűen kezeli-e vagy sem. Szóval az „adatleltár” mellett egyfajta „adattisztogatást” is el kell most végeznie minden vállalkozásnak.

- Például a cégtől eltávozott munkavállalók adatait törölni kell –a vonatkozó jogszabályban előírt megőrzési időn túl-, ha arra már nincs igazoltan szükségük. Titoktartási nyilatkozatokat szükséges készíttetni az adatkezelésben, feldolgozásban résztvevő dolgozókkal, illetve ennek kapcsán felhívni a munkavállalók figyelmét arra, hogy ez milyen felelősséggel jár. Például olyan már semmiképpen sem működhet, hogy mondjuk egy irodai számítógépen az „asztalra” van kitéve a bérjegyzék, és bárki láthatja, megnyithatja, aki odaül. Át kell vizsgálni a munkaszerződéseket, a partneri szerződéseket, de leginkább az adatfeldolgozói szerződéseket mint például a könyvelés, bérszámfejtés, foglalkozásegészségügy, az informatikai rendszer működtetése.

- Szabályozni kell azt is, ha a cég ad egy telefont, laptopot, céges email címet, amit te magán célra is használhatsz. De ide tartozik a kamerás megfigyelő rendszer is, amiről szintén tájékoztatni kell a munkavállalókat, ügyfeleket, hogy működik-e, és ha igen, mikor, mennyi ideig rögzíti a felvételeket, stb. És ez csak néhány példa az egyes adatkezelésekre. Hosszan lehetne még sorolni azokat az eseteket, mikor a szervezet „rálát” természetes személyek személyes adataira. Szóval, a feladat elkerülhetetlen, nem kevés munka, idő és anyagi ráfordítás ez a cégeknek. Viszont fontos leszögezni, hogy a rendelkezések bevezetése mindenkinek, mint magánszemélynek az érdekeit szolgálja. Ki kell, hogy alakuljon egy olyan adatvédelmi kultúra, mely legfőképpen az egyén érdekeit tartja szem előtt.

- És azt kell tudatosítani mindenkiben, hogy az adataiddal te gazdálkodsz. Ha töröltetni akarod, vagy módosíttatni, azt bármikor megteheted. Vagy megkérdezheted, hogy mely adataidat milyen célból kezelik, mire használják. Egyfajta szemléletváltásra van szükség az adatkezelés és adatbiztonság terén.

A magyar adatvédelmi jogszabály, rövid nevén az Infotörvény eddig is a legszigorúbbak közé tartozott az Európai Unióban. Azok a vállalkozások, amelyek eddig is ügyeltek arra, hogy megfeleljenek a magyar szabályoknak, az új rendelet hatálybalépésével nem kényszerülnek gyökeres változtatásokra. Azok a cégek viszont, akik eddig nem foglalkoztak adatvédelemmel, azok tényleg újdonságokkal találkozhatnak.