GDPR gyorstalpaló – Mire érdemes odafigyelni?

Tavalyi GDPR konferencián említette egy lengyel kolléganő előadásában a legszélsőségesebb kérdést, amit az egységes adatvédelmi szabályozás hatályba lépése óta hallott: […] azért olyat kérdezhetek, hogy

“Szia, a nevem Jane, Téged hogy hívnak?”

Ha ennyire nem is nagy a kérdőjel a köztudatban, mindenképp hasznos, ha Te is tisztában vagy azzal, hogy vállalkozásodnak van-e további feladata GDPR ügyben.

Az európai általános adatvédelmi rendelet 2018. május 25-én lépett hatályba és gyakorlati alkalmazása azóta is formálódik. Ha már van egy kialakult adatvédelmi protokoll a vállalkozásod működésében, de bizonytalan vagy abban, hogy vajon az tényleg minden szükséges adatkezelési folyamatra kiterjed-e, esetleg még egyáltalán nem készültél fel és nem tudod eldönteni, hogy maga az adatvédelmi szabályozás milyen mértékben érintheti a vállalkozásodat, érdemes első lépésnek átfutni a következő – természetesen nem kimerítő jellegű – kérdéseket, szempontokat.

 

1. A vállalkozás tevékenysége során egyáltalán kezel-e személyes adatot?

Figyelj, mert a már az illető neve, elérhetősége is ebbe a kategóriába tartozik!

 

2. Adatkezelő vagy adatfeldolgozó?

Az sem mindegy, hogy adatkezelő vagy adatfeldolgozó minőségében kezeli vállalkozásod a személyes adatokat. Ha a vállalkozás elsődleges címztettje az adatoknak (pl. a te ügyfeled, vendéged, online felhasználód adatairól van szó), akkor az adatkezelésnek vállalkozásod adatkezelési szabályzatában foglaltakkal összhangban kell történnie. Ha esetleg egy partnered ügyfelének adatait kezeled (mert pl. alvállalkozóként közreműködsz a folyamatokban), akkor már adatfeldolgozói köntösbe bújtál és adatkezelésednek meg kell felelnie partnered adatvédelmi szabályzatának is. Szükséges továbbá, hogy az adatkezelő és adatfeldolgozó partnerek egymás között adatfeldolgozói szerződést kössenek. Ez fordítva azt is jelenti, hogy ha vállalkozásod jár el adatkezelőként a folyamatokban, de vannak adatfeldolgozó partnereid, akkor neked is szükséges megkötnöd adatfeldolgozó partnereiddel a megfelelő szerződést.

 

3. “Külső” és “belső” adatkezelési folyamatok

Amikor vállalkozásod adatkezelési folyamatait vizsgálod segítő szempont lehet, ha elkülöníted a vállalkozás “külső” és “belső” adatkezelési folymatait. Mit értek ezalatt? Ténylegesen vesd papírra és nézd meg, hogy a vállalkozás belső, szervezeti működése kapcsán milyen adatkezelési folyamatok merülhetnek fel: pl. munkavállalói adatkezelés, álláshirdetésekkel, pályázatokkal kapcsolatos adatkezelések, könyvelői adatkezelések stb. (“belső adatkezelés”). Ezt követően nézd meg, hogy mit mutat kifele a vállalkozásod: a szolgáltatás nyújtása során kinek és milyen személyes adatait kezeled?; vannak-e szerződő partnereid, alvállalkozóid?; milyen biztonsági intézkedéseket teszel (pl. kamerarendszer)?; van-e weboldala a vállalkozásodnak, illetve közösségi oldalakon jelen van-e?; hogyan kommunikál az ügyfelekkel, hogyan hirdet? stb. (“külső adatkezelés”). Végül nézd meg a két oldal közötti kapcsolódási pontokat, összefüggéseket – csak egy példa: a kamerarendszer üzemeltetése, mint adatkezelés nem csak az üzletbe érkező vendégekre, vásárlókra fog kiterjedni, de a munkavállalói adatkezelésekre is.

 

4. Van-e weboldala a vállalkozásodnak?

Ha a weboldalon pl. hírlevélre lehet feliratkozni és/vagy kapcsolatotba lehet lépni a vállalkozással, méginkább, ha az oldalon regisztrálni is lehet, már beleesik a vállalkozás az adatkezelő fogalmába, webáruház működtetése esetén pedig a fizetési adatok kezelése is megoldandó kérdés.

 

5. Hány főt foglalkoztat a vállalkozás?

Ha 250 fő alá teszed a foglalkoztatottak számát és emellett csak alkalmi jelleggel végez a vállalkozásod adatkezelést, akkor főszabály szerint nem kell adatvédelmi nyilvántartást vezetni (de ha az adatkezelésed rendszeres vagy kocázatokkal jár, esetleg különleges adatokra is kiterjed, már rád is vonatkozik a nyilvántartási kötelezettség!), 250 fő foglalkoztatotti létszám fölött viszont mindenképpen kötelező.

 

6. Működtet-e a vállalkozás biztonsági kamerát?

A kültéri és beltéri kamerarendszerek által rögzített kép, látószög, tárolási idő, figyelemfelhívás a területre belépők számára és még számos más kötelezettség – már a GDPR hatálybalépését megelőző szabályozásból adódóan is.

 

7. Egészségügyi adatok

A rendelet fokozottabb biztonságot és széleskörűbb kötelezettséget kíván meg azon vállalkozásokkal szemben, amelyek egészségügyi adatokat is kezelnek. Nem csak az egészségügyi ellátóknak, de akár a személyi edzőknek és edzőtermek is fontos odafigyelni, hiszen már önmagában az anamnézis lapon is számos egészségügyi adatot tüntetnek fel a vendégek, amit utána az edzők, edzőtermek kezelnek.

 

8. Álláshirdetések

Az állásra pályázónak ugyanúgy figyelembe kell venni a személyes adatait, mint bármely más, a vállalkozással kapcsolatba kerülő személynek. Önéletrajzát elzártan kell kezelni és az sem mindegy, meddig tárolják a kezelt adatokat.

 

9. Rendezvények és az ott készült fényképek, videófelvételek felhasználása

Ha a vállalkozás tevékenységi körébe tartozik pl. rendezvények lebonyolítása, az azon résztvevő személyekről készült fényképek, videófelvételek is hordoznak személyhez fűződő adatot, amelyek mind a felvétel készítéséhez, tárolásához és felhasználásához is kötődnek.

 

A fenti, gyakran előforduló szempontok nyilvánvalóan nem tesznek ki egy teljeskörű szempontrendszert, azok inkább példálózó jellegűek és legtöbbje már a GDPR rendelet hatályba lépése előtt is jogszabályi kötelezettségként szolgált a vállalkozások számára. Azonban elmondható és a gyakorlat is azt mutatja, hogy sok vállalkozás esetében igazi hangsúlyt az uniós rendelet hatálybalépése és annak kommunikációja hozott. Egy biztos, a megfelelés nem lehetetlen, nem kell tőle megijedni – már csak azért sem, mert eddig is jelen volt ez a vállalkozások életében -, de az tény, hogy a teljeskörű megfelelés nagyfokú körültekintést és előrelátást igényel.

 

Bízom benne, hogy az összefoglaló segített rávilágítani arra, milyen területeken érintheti vállalkozásod az adatvédelmi szabályozás. Kapcsolatfelvétel a lawyer@legaldiaries.hu címen vagy a weboldalon megadott telefonszámon keresztül lehetséges.

 

legaldiaries.hu

Instagram: @legal.diaries

Facebook: Legal Diaries