gdpr-1500x750-1024x512

Adatvédelmi tájékoztató

Tisztelt Ügyfelünk!

 

Tekintettel arra, hogy 2018. május 25. napjától hatályba lép a 2016/679/EU Rendelet (GDPR, más néven általános adatvédelmi rendelet), nagy változások lesznek a digitálisan, illetve papíralapon kezelt természetes személyek személyes adatainak területén, összefoglaltuk az ezzel kapcsolatban fontosabb tudnivalókat.

Az új szabályozás lényegét röviden úgy lehet összefoglalni, hogy a magánszemélyeknek nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban, ezzel párhuzamosan a cégek ez irányú kötelezettségeit növeli, a mulasztásokat pedig pénzbüntetéssel sújtja. A rendelet ugyanis nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás. A rendelet a digitálisan és papíralapon tárolt személyes adatokra is vonatkozik, amennyiben azok valamilyen nyilvántartási rendszer részét képezik vagy fogják képezni.

 

A GDPR KIRE VONATKOZIK?

Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását, hogy csak néhány adatkezelési műveletet említsünk. Az ezt végző személy az Adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó. A fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).

VAN VALAMI BEJELENTÉSI KÖTELEZETTSÉG MÁJUSTÓL?

A változás kétirányú:

  • megszűnik a most működő, a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.
  •  bejelentési kötelezettség keletkezik viszont az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül. Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. A bejelentést ilyenkor a NAIH felé kell megtenni. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, pl. banki kódok kiszivárgása esetén. Ha az adatfeldolgozó észlel jogsértést, ő is köteles ezt bejelenteni, mégpedig az adatkezelő felé.

 

SZÁMÍT-E, HOGY A KAPCSOLATI ŰRLAPON MILYEN MÉLYSÉGIG KÉRÜNK ADATOKAT?

Egyértelműen számít! A személyes adatok bekérése adatkezelésnek minősül, csak olyan jellegű és mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható.

 

MILYEN JOGAI VANNAK AZ ADATBIRTOKOSOKNAK?

A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:

  • Tájékoztatáshoz való jog: megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.
  • Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
  • Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre – megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség, így célszerű időről időre ellenőrizni azok pontosságát;
  • Törléshez való jog: az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek.
  • Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.
  • Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő.
  • Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.

 

MILYEN FORMÁBAN KÉRHETI BÁRKI AZ ADATAI TÖRLÉSÉT?

Adatai törlését bárki az adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában feltüntesse pontos elérhetőségeit.

 

MINDEN CÉGNEK KELL-E KÜLÖN EGY ADATVÉDELMI TISZTVISELŐ?

Nem szükséges minden cégnek, csak a GDPR-ban meghatározott esetekben, vagyis közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok (egészségügyi adatok, büntetett előélettel kapcsolatos adatok) megfigyelése esetén (pl. kórház).

Az adatvédelmi tisztviselő egyébként lehet alkalmazott vagy külső megbízott.

 

MILYEN HIVATALOKAT KELL KÖTELEZŐEN MEGJELENÍTENI AZ ADATVÉDELMI TÁJÉKOZTATÓBAN?

 Azt kell megjelölni, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni.

 

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEKBE VAGY KÜLÖN DOKUMENTUMBA KELL FOGLALNI AZ ADATKEZELÉST?

Mindkét megoldás megfelelő. Külön adatkezelési tájékoztatót, adatvédelmi szabályzatot abba az esetben javaslunk készíttetni, ha ez megoldható, hogy minden ügyfél szerződéséhez melléklet formában hozzácsatolásra kerüljön. Amennyiben ez nem praktikus, mert például a magánszemély ügyfél ettől elbizonytalanodna, vagy megijedne, úgy az általános szerződési feltételek közé érdemes beemelni az adatkezelési tájékoztatót, avagy – ha nincsen egyébként általános szerződési feltétel érvényben, a honlapra elhelyezni és a szerződésben csak a link megjelölésével és utalással felhívni az ügyfél figyelmét az adatvédelmi tájékoztatóra.

 

KELL-E A TÁROLT ADATOKAT BÁRMILYEN TITKOSÍTÁSSAL VÉDENI?

Igen, amennyiben a tárolásra megengedett idő lejárt. Ebben az esetben gondoskodni kell arról, hogy a személyes adatokat ne lehessen az érintettel többé kapcsolatba hozni.

 

FACEBOOK/WHATTSAPP stb. CSOPORT MŰKÖDÉSE

A Facebook csoport mindaddig személyes, magáncélra történő adatkezelésnek minősül – és így nem tartozik a GDPR hatálya alá –, amíg az nagy tömegek számára nem férhető hozzá, és csak olyan személyes adatokat hoz nyilvánosságra, amelyeket maga az érintett töltött fel. 

Röviden összefoglalva a legfontosabbakat: 

 

  • csak olyan adatok legyenek a cég birtokában, amelyekre bizonyíthatóan szükség van;
  • ezeket megfelelően kell tárolni és folyamatosan átnézni, hogy mire van még szükség, és mi az, amit meg kell semmisíteni;
  • az aktualitásukat vesztett adatokat, bizalmas információkat tartalmazó iratokat szakszerűen és biztonságosan kell megsemmisíteni, ehhez a megfelelő eszközöket időben be kell szerezni, legyen szó papíralapú dokumentumok vagy elektronikus adatok megsemmisítéséről;
  • a magánszemélyeknek ezek után is joga lesz betekintést kérniük abba, hogy hol és hogyan tárolják a róluk szóló adatokat, hogyan mozgatják azokat, illetve hogy kellő időben megsemmisítik-e;
  • egy cégnél csak az erre kijelölt személyek férhetnek hozzá az adatokhoz;
  • külön rendelkezni kell, hogy harmadik személynek milyen adatokat lehet átadni;
  • át kell nézni a szerződéseket, beleértve a munkaszerződéseket is, és meg kell vizsgálni, hogy azok megfelelnek-e az új előírásoknak, illetve azoknak megfelelő szerződésmintákat kell kidolgozni;
  • a személyes adatokhoz hozzáférő beszállítókkal, alvállalkozókkal a rendeletben foglalt előírásoknak megfelelő szerződést kell kötni;
  • bizonyos feltételek teljesülése esetén ki kell nevezni egy adatvédelmi tisztviselőt.