Május 25-étől kell alkalmazni a GDPR-t a magyar vállalkozásoknak is, a rendelet a személyes adatok kezelésének, feldolgozásának, védelmének új uniós szabályait rögzíti. Személyes adat a többi között a magánszemély neve, lakcíme, online azonosítója, egészségügyi adatai, jövedelme és így tovább.
A cél az új rendelettel az, hogy minden vállalkozás védje a magánszemélyek által megadott adatokat, hogy azokkal ne lehessen visszaélni. Azt várják tőle, hogy nőjön a fogyasztók bizalma, és ezzel együtt a vállalkozások eredményessége.
Meglehetősen vaskos rendeletről van szó, amelynek értelmezése nem egyszerű. Gyakorlati alkalmazáshoz a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatvédelmi munkacsoportja is számos iránymutatást adott ki. A praktikus, egyszerű kérdésekre adott válaszok elérhetők az uniós weboldalon. De ezek sem feltétlenül visznek közelebb ahhoz, hogy az egyszeri vállalkozó el tudja dönteni, kell-e neki foglalkoznia az új rendelettel vagy sem.
A legkisebb vállalkozás sem hagyhatja figyelmen kívül?
A NAIH válaszából megtudtuk, annak semmilyen jelentősége nincs, hogy valaki milyen vállalkozási formában kezel személyes adatokat. Vagyis
Az is mindegy, hogy elektronikus vagy papíralapú személyes adatok kezeléséről van-e szó.
Viszont nem tartozik a rendelet hatálya alá, ha
- valaki személyes vagy otthoni tevékenységéhez kezel adatokat, feltéve ha azok szakmai vagy üzleti tevékenységgel nem hozhatóak összefüggésbe (azaz például ha valaki meghívja a barátait egy kör e-mailben egy általa szervezett bulira);
- jogi személyek, vállalkozások adatait kezeli egy másik vállalkozás.
Ha egy vállalkozásnak csak egyetlen alkalmazottja van, az már biztosan kezel személyes adatot. De ha nincs egy alkalmazottja sem, ám vannak magánszemély ügyfelei, akik valamilyen okból megadták neki bármely személyes adatukat, akkor szintén érintett lehet. És akkor már kellhet adatkezelési, adatvédelmi tájékoztató (ki, mikor, miért, hogyan, milyen adatokat kezel, milyen célból stb.), adatnyilvántartás, hatásvizsgálat a kockázatok kiszűrésére vagy éppen adatvédelmi tisztviselő. Vagy mégsem?
250 fő alatt megúszható?
A rendelet egyedül a kis és közepes (250 embernél kevesebbet foglalkoztató) vállalkozásoknál megengedőbb. Nekik csak akkor kell adatnyilvántartást végezniük, ha az adatfeldolgozás
- rendszeres,
- veszélyezteti az emberek jogait és szabadságait,
- érzékeny adatokat vagy bűnügyi adatokat érint, ahol valószínűsíthetően magas a kockázat.
Mi számít alkalmi és mi rendszeres adatkezelésnek? Erre a rendelet nem tartalmaz további eligazítást. A NAIH álláspontja szerint kizárólag azok a kis- és középvállalkozások kaphatnak ez alapján felmentést, akik tényleg csak egyedi, egyszeri, kivételes adatkezelést végeznek.
Fotó: Mohai Balázs / MTI
Az emberek jogait és szabadságát veszélyeztetheti az adatkezelés, ha a többi között fizikai, vagyoni, nem vagyoni hátrányt, hátrányos megkülönböztetést, adatlopást, azaz bármilyen visszaélést okozhat. De melyik adatkezelő merné azt kijelenteni, hogy az ilyen típusú kockázatok nála teljesen kizártak?
Hogy mi számít magas kockázatú adatkezelésnek, azt kilenc pontban foglalták össze. Ilyen például az olyan automatizált döntéshozatal, amelynek joghatása van, a módszeres megfigyelés, a fokozottan személyes adatok kezelése (politikai vélemény, egészségügyi adatok, e-mailek), a nagy számban kezelt adatok, az adatkészletek összevonása, a kiszolgáltatottak (gyerekek, munkavállalók, idősek, betegek) adatainak kezelése, illetve az a helyzet, amikor az adatkezelés megakadályozza a joggyakorlást vagy szolgáltatás igénybevételét (például banki szűrés hitelfelvételnél). A hatósági iránymutatás szerint ha ezek közül kettő jellemző az adatkezelésre, akkor már szükség van adatvédelmi hatásvizsgálatra.
Adatvédelmi tisztségviselő pedig akkor kell feltétlenül, ha
- közhatalmi, közfeladatot ellátó szervek kezelik az adatokat (kivéve a bíróságokat),
- rendszeres, szisztematikus, nagymértékű megfigyelést tesz lehetővé az adatkezelés,
- ha érzékeny vagy bűnügyi adatokról van szó.
Hogy valaki alkalmaz-e tisztviselőt, elküldi-e továbbképzésre, vesz-e szoftvert a kockázatértékeléshez, milyen módszert alkalmaz, hogyan állítja össze a tájékoztatóját, nyilvántartását, szabályzatát, azt rábízzák az adatkezelőre, azaz a vállalkozásra. A lényeg, hogy feleljen meg a rendelet előírásainak, és ha ellenőrzik, akkor képes legyen bizonyítani, hogy jogszerű az adatkezelés és megfelelő a tájékoztatás. Ami szintén nem túl megfogható.
Ráadásul mivel az új adatkezeléssel kapcsolatban gyakorlati tapasztalatok még csak eztán lesznek, és további értelmezési kérdések vetődhetnek fel, finomítások még jöhetnek. Május 25-én pedig feláll az Európai Adatvédelmi Testület, amely újabb iránymutatásokat, illetve a legjobb gyakorlatot bemutató tájékoztató anyagot is ki fog majd adni.
Egy jó hír is van:
illetve az eddigi adatkezelői nyilvántartás.
6 milliárdos bírság?
Hogy mégis mennyire kell komolyan venni az új kötelezettséget? A rendelet szerint maximum 20 millió euró lehet a GDPR-rel összefüggésben kiszabható közigazgatási bírság, vagy az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4 százaléka. (A kettő közül a magasabb összeg a plafon.) Ami nemhogy egy mikrovállalkozást, de egy méretesebb vállalatot is alaposan taccsra vághat.
A GDPR alkalmazását Magyarországon a NAIH fogja ellenőrizni, kérelemre vagy hivatalból. Azt nem részletezték, lesznek-e olyan vállalkozói csoportok, amelyeket kiemelten célkeresztbe vesznek. Szabálysértés esetén szankció lehet a figyelmeztetés, az utasítás korrekcióra és/vagy a közigazgatási bírság. De mint a NAIH hangsúlyozta, nem lesz automatikus bírságkiszabás, mérlegelnek minden esetben.
Kiemelt kép: Patrick Pleul / dpa / AFP
