Nincsen KKV kedvezmény

Elsőnek azt a tévhitet oszlatom el, hogy a KKV-k a szabályozás keretében bizonyos területeken mentességet élvezhetnek. Sem a GDPR, sem pedig az Infotv. tervezett módosítása nem tesz kivételt a vállalkozások között méret, munkavállalói létszám vagy bevétel alapján. Mindenkinek alkalmazni kell tehát az alábbi szabályokat (is).

Az adatvagyonát minden vállalkozásnak fel kell térképeznie

Ahhoz, hogy a GDPR követelményeinek eleget tudjunk tenni, első lépésben a vállalkozás által kezelt személyes adatok körét szükséges feltérképezni. Személyes adatok alatt pedig a természetes személyekre vonatkozó adatokat értjük. Meg kell tehát vizsgálni, hogy természetes személyek adatai az egyes üzleti folyamatokhoz kapcsolódóan hogyan, milyen módon kerülnek begyűjtésre, hol tárolódnak, illetve hova továbbítódnak. Miután feltérképeztük, hogy mely személyes adatokhoz miként jutunk hozzá, azok milyen formában és hogyan kerülnek felhasználásra, ezt az állapotot rögzíteni szükséges. Ez a lépés ahhoz kell, hogy az adatkezelések jogszerűsége ellenőrizhető legyen. Ennek tükrében válik vizsgálhatóvá (láthatóvá) ugyanis az, hogy az érintett (munkavállaló, ügyfél, tag, szerződéses partner stb.) kap-e megfelelő adatvédelmi tájékoztatást az adatfelvételt megelőzően, s így eldönthető az is, hogy jogszerűen történik-e a személyes adatainak a kezelése. Kiderül az is, hogy jogszerűen jutottunk-e hozzá az egyes, például marketing célra használt, adatbázisokhoz, valamint, hogy megfelelő jogalappal kezeljük-e a személyes adatokat. Fontos tényező, hogy nem kezelünk-e olyan személyes adatokat, amelyekre nem feltétlenül van szükségünk, valamint annak vizsgálata, hogy hova, miért továbbítunk személyes adatokat. Ezen leltár elkészítése az adatkezelő vállalkozás számára is segítséget nyújt, hiszen innentől kezdve az adatkezeléseit megfelelően át fogja tudni tekinteni, hatósági vizsgálat esetén pedig megfelelően be tudja mutatni.

Belső nyilvántartások, melyeket készítenünk szükséges

A GDPR 30. cikke alapján az adatkezelő köteles adatkezelői vagy adatfeldolgozói nyilvántartás vezetésére attól függően, hogy a tevékenysége adatkezelésnek vagy pedig adatfeldolgozásnak minősül. Adatkezelőnek azt tekintjük, aki az adatkezelés célját, eszközeit meghatározza. Adatfeldolgozónak pedig az minősül, aki az adatkezelését az adatkezelő megbízásából az ő utasításai alapján végzi, ahhoz technikai segítséget nyújt. Ennek tükrében adatkezelőnek tekintendő például a munkáltató, míg a külsős bérszámfejtője már adatfeldolgozónak minősül. A két pozíció tehát egymást kiegészíti. Akármelyik minőségünkben kezelünk is személyes adatokat, azokat mindenképpen belső nyilvántartás részévé kell tenni. Ebben a nyilvántartásban adatkezelés esetében fel kell tűntetni többek között az adatkezelő, illetve az adatvédelmi tisztségviselő nevét, elérhetőségét, az adatkezelés célját, az érintettek kategóriáit, a személyes adatok kategóriáit, a címzettek kategóriáit, a harmadik országba történő adattovábbítások garanciáit, a törlésre előirányzott határidőket, valamint a technikai és szervezési intézkedéseket. Az adatfeldolgozói nyilvántartásba pedig különösképpen fel kell tűntetni az adatkezelő nevét és elérhetőségét, amelynek a nevében az adatfeldolgozó eljár, valamint az adatkezelő nevében végzett adatkezelési tevékenységek kategóriáit. Egyéb belső nyilvántartásokkal is rendelkeznünk szükséges. Vezetnünk kell így adattovábbítási nyilvántartást, incidensnyilvántartást, illetve az adatkezelés megszüntetési kérelmeket tartalmazó un. Robinson listát. Az elszámoltathatóság, illetve átláthatóság elvei alapján az érintetti, hatósági megkereséseket, a hatásvizsgálatok eredményét, valamint az adatvédelmi tisztségviselő tevékenységét is dokumentálni szükséges.

Elkezdődhet a szabályzatok, tájékoztatók gyártása, hatályosítása

Miután feltérképeztük, hogy a vállalkozásunk milyen személyes adatokat, milyen jogalapon, hogyan kezel, valamint elkészítettük az ezeket visszatükröző belső nyilvántartásokat, következő lépésben nekiláthatunk a belső szabályzatok létrehozásának, illetve a meglévő szabályzatok felülvizsgálatának. A szabályzat az érintettek megfelelő tájékoztatásának az eszköze. Ebből következően külön tájékoztatóban szükséges a munkavállalókat, valamint az ügyfeleket vagy a szerződéses partnereket tájékoztatni. Míg a munkavállalók megfelelő tájékoztatására a belső intranet, addig utóbbiak számára a vállalkozás honlapja szolgálhat. A szabályzatnak az adatkezelések konkrét körülményeit, így annak jogalapját, célját, időtartamát, a címzettek körét, a technikai, szervezési intézkedéseket, valamint az érintetti jogokat kell bemutatnia. Az általános törvényi, rendeleti hivatkozások így kerülendőek.

A munkaviszonnyal összefüggő adatkezeléseknél így jelentkeznek a változások

A GDPR hatályba lépése a vállalkozások adatkezelése vonatkozásában több területen rugalmasítást is jelent. Ez pedig a munkaviszonnyal összefüggő adatkezelések területén is jól kitapintható. Az adatkezeléseket ugyanis ezidáig két fő jogalapon végezhettük, melyek a törvény, illetve az érintett hozzájárulása voltak. Mostoha sorsa volt ugyanakkor az Infotv-ben elismert, de az adatvédelmi irányelvből nem megfelelően átültetett jogos érdek jogalapnak, mely a munkaviszonnyal összefüggő adatkezelések fő jogalapja. Nos, 2018. május 25. napjától a helyzet változik, hat jogalapon végezhetjük ugyanezen adatkezeléseket, a jogos érdek, mint jogalap így megfelelő helyére kerül. Ez nem jelenti ugyanakkor azt, hogy több személyes adatot kezelhetünk, mint amennyi a munkaviszonyból származó jogok gyakorlásához, kötelezettségek teljesítéséhez szükséges, azokat ugyanakkor egyszerűbben kezelhetjük. A munkaszerződésbe foglalt személyes adatokat például szerződés teljesítése jogalapon kezelhetjük, illetve ezen a jogalapon továbbíthatjuk bérszámfejtő részére. Jogos érdek ugyanakkor a jogalapja a munkahelyi ellenőrzésnek (email, internethasználat, helyzetmeghatározás stb.), a vállalatcsoporton belüli adattovábbításnak, illetve az elektronikus megfigyelőrendszer működtetésének. Az álláspályázatokkal kapcsolatos adatkezelés azonban továbbra is az érintett megfelelő, előzetes tájékoztatására épülő hozzájárulásán alapulhat. Akármilyen jogalapon is kezeljük a személyes adatokat, arról az érintetteket (pályázó, munkavállaló) megfelelően tájékoztatni szükséges. Erre a célra szolgál az adatkezelő szabályzata, illetve szabályzatai. Míg a munkavállalókra vonatkozó tájékoztatót a belső hálózaton, addig a pályázókra vonatkozó tájékoztatót a honlapon kell megjeleníteni.

Fel kell készülni, hogy a megfelelés a tagszervezetek több hónapos munkája lesz.

Dr. Kéri Ádám, ügyvéd