Az adatvédelem és adatkezelés szabályozása jelentős, a vállalkozásokat kivétel nélkül érintő változásokon megy át. 2018. május 25-étől valamennyi tagállamban közvetlenül alkalmazandó lesz az Európai Unió Általános Adatvédelmi Rendelete (2016/979. sz. Rendelet), ezzel számos új dokumentációs és eljárási adatkezelési kötelezettség lép életbe.
A terjedelmes hosszúságú Rendelet új megközelítést alkalmaz, a vállalkozások mindennapjainak részévé kíván tenni egyes adatvédelmi kötelezettségek teljesítését, nyilvántartások vezetését. Ugyanakkor megfogalmazásában jellemzően elvi, általános jellegű, így a NAIH és a vállalkozások feladata lesz mindezek gyakorlatba történő átültetése. Mivel nincsen a kis-, és középvállalkozások számára mentesség biztosítva, így a Rendeletben előírt kötelezettségek minden egyes gazdasági szereplőre kivétel nélkül kötelezők lesznek. Személyes adatot (ez alatt kizárólag a természetes személyek adatait értjük) pedig minden vállalkozás kezel, a leggyakoribbak például:
- Munkavállalók személyes adatainak kezelése, munkaügyi nyilvántartás;
- Álláspályázatra jelentkezők adatainak kezelése;
- Munkaköri alkalmassági vizsgálatokkal kapcsolatos adatkezelés;
- Könyvelési, bérszámfejtési adatkezelés;
- Munkahely kamerás megfigyelése, munkáltató által biztosított eszközök használatának ellenőrzésére vonatkozó adatok;
- Szerződéses partnerek (szállítók, vevők) és természetes személy képviselőinek adatai; törzsvásárlói listák;
- Látogatás, regisztráció a cég honlapján, hírlevél feliratkozás;
- Webáruház értékesítés;
- Direkt marketing tevékenységgel (pl. telefonos megkereséssel) kapcsolatos adatkezelés.
A vállalkozások számára kötelezettség lesz átfogó adatvédelmi szabályzatot készíteni, illetve a fenti adatokról, tevékenységekről külön-külön nyilvántartást viszonylagos folyamatossággal vezetni. A szabályzat elkészítésének első lépése a meglévő adatállomány, adatbázisok számbavétele, illetve annak megállapítása, hogy melyek minősülnek személyes adatnak. Továbbá meg kell állapítani, hogy a személyes adatot adatkezelőként vagy adatfeldolgozóként használják, hiszen ez alapján változnak a kötelezettségek. Adatkezelés valósul meg a személyes adatokon végzett bármely művelettel, míg adatfeldolgozás az adatkezelő nevében, önálló rendelkezési jog nélkül történő kezelés. Ez alapján a bérszámfejtő adatfeldolgozónak, a könyvelő iroda, a futárszolgálat, a vagyonvédelmi vállalkozások és az IT szolgáltatók pedig a körülményektől, a megbízás jellegétől függően minősülhet adatkezelőnek és adatfeldolgozónak is, vagy mindkettőnek. Az adatfeldolgozási tevékenység folytatásához előírás adatfeldolgozási szerződés megléte is egyben.
Kicsit leegyszerűsítve személyes, azaz védendő adat akkor kezelhető, ha ahhoz az érintett hozzájárul vagy az jogszabályi, szerződéses vagy egyéb hatósági kötelezettség alapján történik. Így tehát második lépésként meg kell határozni a jogalapot, jogszerű jogalap nélkül nem lehet adatkezelési tevékenységet folytatni. Jogalap lehet az adatkezelő, vagy harmadik személy jogos, illetve létfontosságú érdeke, szerződés vagy jogi kötelezettség teljesítése, közhatalmi jogosítvány gyakorlása vagy az érintett hozzájárulása. Az egyes jogalapok eltérő jogokat és kötelezettségeket írnak elő a vállalkozás és az érintett vonatkozásában. Általános elv azonban, hogy az érintetteket tájékoztatni kell az adatkezelés jellegéről, időtartamáról és ehhez kapcsolódó jogaikról (pl. törlési jog, adathordozhatóság joga, stb…), az adatkezelésnek pedig annak céljával arányosnak kell lennie. Ennek biztosítására ún. érdekmérlegelési tesztet kell elvégezni.
Még nem készítette el adatvédelmi dokumentációját? Nem tudja pontosan, hogyan kell megfelelni a szabályoknak? Mi segítünk Önnek, forduljunk hozzánk bizalommal!