Januártól több ponton változik az adatvédelmi törvény, s ezek a változások érintenek minden olyan céget, szervezetet, amely személyes adatokat kezel – tudtuk meg Kulcsár Zoltán adatvédelmi szakértõ elõadásából, amelyet az Infoszféra szervezett.
Íme néhány praktikus példa ahhoz, hogy egy cég vagy szervezet eldönthesse, adatvédelmi nyilvántartásba kell-e vetetnie az adatkezelési tevékenységét.
Személyes adat: a magánszemélyekkel kapcsolatba hozható adat (például a név, adóazonosító jel, egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságra jellemzõ ismeret valamint az azokból levonható következtetések).
Személyes adatot kezel egy szervezet például akkor is, ha a magánszemély:
– regisztrálhat a weboldalán (például a webáruház használatához)
– feliratkozhat a hírlevelére
– nyereményjátékban vagy más módon megadja a személyes adatait, és azt adatbázisba gyûjti a szervezet
– IP címet vagy cookie-t tárol a szervezet honlapja.
A személyes adatokat csak meghatározott céllal és meghatározott ideig lehet tárolni, kezelni. Ez eddig is így volt. Újdonság viszont, hogy januártól a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) kell bejelenteni az adatkezelést (korábban az adatvédelmi biztoshoz kellett), és a bejelentés díjköteles. Hogy mekkora díja lesz, azt még nem lehet tudni. A már folyamatban lévõ, de be nem jelentett adatkezeléseket december végéig díjmentesen az adatvédelmi biztoshoz lehet bejelenteni, utána (legkésõbb 2012 június 30-ig van türelmi idõ) pedig az új hatósághoz, díjfizetés mellett.
Nem minõsül személyes adatkezelésnek, vagyis nem kell bejelenteni, ha az adatkezelõvel tagsági-, munka-, tanulói viszonyban, ügyfélkapcsolatban áll a magánszemély; de az egyházi, hatósági, egyes egészségügyi, tudományos kutatási, levéltári adatkezeléseket sem.
Újdonság viszont, hogy a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók az ügyfélkapcsolattal összefüggõ adatkezelést is be kell hogy jelentsék.
A NAIH-nak jövõre 8 napon belül kell nyilvántartásba vennie a bejelentett adatkezelést. Ha ez nem történik meg, akkor is el lehet kezdeni az adatok begyûjtését. Be nem jelentett adatkezelést viszont nem lehet elkezdeni. A szakértõ szerint kérdés, mi történik, ha 8 napon belül nem jön visszajelzés, az adatkezelés elkezdõdik, majd esetleg olyan döntés születik, hogy mégsem engedélyezik.
Mi nem változott?
Nem változott az sem, hogy amelyik cég vagy szervezet adatot kezel, annak adatvédelmi szabályzatot kell készítenie, és adatvédelmi felelõst kell kijelölnie, valamint gondoskodnia kell az adatok biztonságáról és arról is, hogy azok napra készek legyenek. Az adatkezelésrõl pedig tájékoztatni kell azokat a magánszemélyeket, akiknek az adatait kezelik, vagy kezelni szeretnék.
Maradt az a szabály is, hogy mielõtt egy magánszemély adatait kezelni szeretné a cég vagy szervezet, elõzetes engedélyt kell tõle kérni, és ekkor tájékoztatni is kell. Ugyanígy engedélyt kell kérni ahhoz is, hogy különbözõ reklámküldeményeket küldjenek, és itt a lemondás lehetõségét is biztosítani kell.
Tízmillióba is kerülhet
Az adatvédelmi szabályokat megszegõkre többféle büntetést szabhatnak ki. A hatóság például pénzbírságot is alkalmazhat (százezertõl tízmillió forintig). De a szakértõ szerint a legszigorúbb büntetés talán az, ha a nagy nehezen, hosszú évek munkájával felépített adatbázist törölni kell.
Új Btk. tényállás, hogy akár két-három év börtönt is kaphat az adatkezelõ, ha bebizonyosodik, hogy jogtalan haszonszerzés céljából, vagy jelentõs érdeksérelmet okozva vétett a személyes adatkezelés szabályai ellen.
