Vendégcikk
Szerző: Hajnerné dr. Horváth Barbara, a HHB Consulting Kft. ügyvezetője, jogász, közgazdász, adótanácsadó, mérlegképes könyvelő. Mára közel 300 vállalkozás GDPR felkészítését végezte el.
GDPR - tények és tévhitek
Talán hallottatok már a rettenetes GDPR rendeletről. Ez egy Európai Uniós jogszabály, melynek rendelkezéseit az Unió területén működő vállalkozásoknak be kell tartani. Rengeteg tévhit él a gyakorlatban ennek kapcsán. A legtöbb vállalkozó azt gondolja, hogy rá ez a jogszabály nem vonatkozik, tehát nincs teendője ezzel kapcsolatban.
Sokan abban a hitben vannak, hogy csak akkor ró rájuk kötelezettséget a hírhedt rendelet, ha weboldalt üzemeltetnek, oda szükségük lesz egy Adatkezelési Tájékoztatóra, amit lemásolnak a hasonló tevékenységet űző konkurenciáról, és már rendben is van minden.
Hát, el kell, hogy keserítsek mindenkit, aki így gondolkozik, sajnos ez nem így van, a GDPR kivétel nélkül minden vállalkozót érint és mindenkinek vannak teendői ezzel kapcsolatban.
A téma talán valóban idegen az „egyszerű halandó” számára, mégis kénytelenek vagyunk valamilyen szinten beleásni magunkat, hiszen a vállalkozó felelőssége lesz a jövőben, hogy felismerje a vállalkozásánál előforduló személyes adatkezelési helyzeteket, és a megfelelő időben és módon reagáljon ezekre.
A GDPR rendelet egy Európai Uniós jogszabály, amely a személyes adataink kezelését hivatott szabályozni. 2018. májusában lépett hatályba, de már 2016-ban elfogadták és kihirdették a rendelet szövegét. Tehát lett volna idő a felkészülésre, ennek ellenére azt látom, hogy a vállalkozókat meglepetésként érte és többségük nem is tudja, hogy miről is szól valójában.
A rendelet megalkotásának egyik célja az volt, hogy például a mai világban oly gyakori online vásárlások, szolgáltatások igénybevétele során megadott személyes adataink biztonságban legyenek, ne lehessen azokkal visszaélni, valóban csak a megfelelő célok érdekében kezeljék azokat. Ez a rendelet új világot teremtett az európai adatvédelmi jogban.
GDPR - a személyes adatok
Kezdjük az alapoknál. Mik azok a személyes adatok?
Személyes adat minden olyan információ, amely egy személyre vonatkozik, mely alapján beazonosítható az adott személy, például név, vagy bármilyen azonosító, helymeghatározó adat, online azonosító. Személyes adat lehet egy e-mail cím, vagy telefonszám, az adott személyről készült képmás is.
Személyes adatkezelés történik például ajánlatadáskor, szerződéskötéskor, e-mail váltás során, telefonszámok kezelésekor, számla kiállítása során, munkavállalók alkalmazásakor, önéletrajzok kezelésekor, ha egy fényképet szeretnénk feltölteni a weboldalunkra és még rengeteg esetben, reggelig tudnám sorolni az adatkezelési helyzeteket.
Tovább bonyolítja a dolgokat, ha egy vállalkozás például gyermekek személyes adatait kezeli, vagy esetleg az ügyfelei egészségügyi adatai jutnak tudomására tevékenysége során, ezek ugyanis különleges adatoknak minősülnek, melyek szigorú szabályozás alá tartoznak.
Az adatkezelés minden vállalkozót érint, és mindenkinek van teendője ezzel kapcsolatban.
A legfontosabb kötelezettsége a vállalkozónak a tájékoztatás. Fontos, hogy már az adatkezelés megkezdése előtt tájékoztassa az ügyfeleit, vásárlóit, partnereit arról, hogy hogy is történik az ő vállalkozásánál a személyes adatok kezelése.
Erre szolgál az Adatkezelési Tájékoztató, mely egy írásos dokumentum, amely az adott vállalkozásnál felmerült adatkezelési helyzeteket részletezi, érthető nyelvezet alkalmazásával, tájékoztatja az érintetteket, hogy a vállalkozóval való együttműködés során milyen személyes adataikat, milyen célból, milyen jogalappal és mennyi ideig kezeli, tárolja majd.
Olvass szórakoztatóan üzleti tervezésről, arról, hogy bizniszedből hogyan lesz pénz!
Ilyen egyszerű: ide kattintva iratkozz fel hírlevelünkre!
GDPR - a szükséges dokumentumok
De nem csak erre az egy dokumentumra van szükség, a feladat ennél sokkal komplexebb. Egy adatkezelési szabályzati dokumentációt kell készíttetni. Ez magában foglal egy szabályzatot, a már említett tájékoztatót, a weboldalra vonatkozó tájékoztatót, egy adatkezelési szerződést, melyet az adatfeldolgozó partnerekkel kell megkötni és sok-sok nyilatkozati mintát is, melyet a napi munka során alkalmazni kell. A dokumentáció egy „egyszerű” vállalkozás esetében is legalább 10-15 dokumentumból áll.
Semmiképpen sem javaslom, hogy szakmai tudás nélkül bárki nekiálljon elkészíteni az Adatkezelési Tájékoztatóját. Azt szoktam mondani az ügyfeleimnek, hogy ha meg tudják mondani, hogy egy adott személyes adatot milyen jogalapon kezelnek (persze helyesen) és ezt meg is tudják indokolni jogilag, akkor természetesen semmi akadálya annak, hogy saját maguk készítsék el a vállalkozásuk Adatkezelési Tájékoztatóját.
Általában már a kérdést sem értik. Ami természetesen nem baj, hiszen nem az ő szakterületük, viszont ez esetben tényleg javasolt szakemberhez fordulni. Én sem állok neki megszerelni az autómat, ha elromlik, ugyanis nem értek hozzá, szerelőhöz fordulok inkább.
GDPR - ezért fordulj szakértőhöz
Felmerülhet a kérdés, hogy fontos jogászhoz fordulni az adatkezelési szabályzatunk elkészítése érdekében?
Igen, én azt mondom, hogy elengedhetetlen a jogi szemléletmód a téma kapcsán. Vannak olyan bonyolult informatikai háttérrel rendelkező cégek, ahol persze nem elég a jogász, szükség van egy adatkezelésben jártas informatikus segítségére is, de alapvetően jogi feladat a GDPR-nek való megfeleltetés.
Azt tapasztalom, hogy az ügyvédek általában nem vállalják a GDPR dokumentumok elkészítését, rengeteg ügyvéd ismerősöm hozzám irányítja megbízóit a téma kapcsán. Az ügyvédi munka összetettsége kevés ügyvéd számára ad lehetőséget arra, hogy igazán elmerüljenek a téma mélységeiben.
Az interneten elérhető szabályzati sablonok, vagy bérelhető, havi díjas dokumentumok alkalmazását semmiképpen sem javaslom. Több ügyfelem keresett már meg azzal, hogy több százezer forintért vásárolt egy szabályzati sablont, amiről persze kiderült, hogy nem felel meg az ő vállalkozása számára. Az adatkezelési szabályzati dokumentumok minden esetben személyre, vállalkozásra szabottak, teljesen egyedi dokumentumok.
Az interneten fellelhető, bérelhető dokumentumokkal kapcsolatban a legnagyobb probléma – az általánosság mellett -, hogy többnyire kizárólag a weboldalra vonatkozó Adatkezelési Tájékoztatót tartalmazzák, ez pedig csupán egy része a GDPR-nek való megfelelésnek (ráadásul csak egy nagyon kis része), ezzel tehát nem tettünk eleget a jogszabály rendelkezéseinek.
Ha a vállalkozó nem veszi komolyan ennek a jogszabálynak az előírásait és nem készül fel megfelelően sajnos komoly bírságra számíthat. Az ellenőrzések megkezdődtek, és szinte hetente értesülünk egy-egy új határozatról, mely bírság kiszabásáról rendelkezik. A GDPR 2018. május 25-én lépett hatályba.
Több, mint egy év eltelt azóta, elég sok tapasztalat felhalmozódott mára, ami az ellenőrzéseket és a NAIH szemléletmódját tükrözi.
A GDPR rendelkezései szerint a bírság összege akár 20.000.000 EUR, vagy a vállalkozás előző évi teljes forgalmának legfeljebb 4%-át kitevő összeg lehet.
Igen, ez valóban rendkívül magas összeg, főleg egy magyar kisvállalkozó számára. A gyakorlatban azt látjuk, hogy ha nem is ekkora összegű bírságokat, de több százezer forintos és milliós összegű szankciókat szabott ki a hatóság a jogszabály rendelkezéseit figyelmen kívül hagyó vállalkozásokra. Nem érdemes tehát kockáztatni.
Szerző: Hajnerné dr. Horváth Barbara
E-mail cím: dr.horvath.barbara@hhbconsulting.hu
Facebook oldal: www.facebook.com/gdprszabalyzat
YouTube csatorna: www.youtube.com/channel/UCboHNphg1CalB6yV3N6fP4Q
Ha tetszett, amit olvastál, kérlek, oszd meg, vagy küldd el ismerősödnek, akinek szintén hasznos olvasmány lehet!
Olvasd következő bejegyzéseinket is! Csatlakozz Facebook-oldalunkhoz, vagy lépj be Facebook-csoportunkba, hogy biztosan eljussanak hozzád!
Ha szívesebben nézel videókat, iratkozz fel Youtube csatornánkra: https://www.youtube.com/subscription_center?add_user=szianita
