Blog

Blog » ADATVÉDELMI RENDELET – 5 TISZTÁZANDÓ KÉRDÉS A FELKÉSZÜLÉSHEZ

ADATVÉDELMI RENDELET – 5 TISZTÁZANDÓ KÉRDÉS A FELKÉSZÜLÉSHEZ

2017 Május 30

Korábbi cikkünkben már említettük, hogy az Európai Adatvédelmi Rendeletet (“Rendelet”) 2018 májusától kell alkalmazni. Egy éved van tehát arra, hogy céged folyamatait megfeleltesd a Rendelet szabályainak. A felkészültég hiánya akár 20 millió Euros bírsághoz is vezethet, ám még ennél is súlyosabb lehet a céged jó hírnevét érintő veszteség, melyet egy komolyabb adatvédelmi incidens okozhat. Egy megfeleltetési projektet sosem könnyű elkezdeni. Azért, hogy ezt egy kicsit könnyebbé tegyük, összegyűjtöttük az 5 legfontosabb kérdéskört, amelyet érdemes tisztázni, mielőtt beleveted magad a részletes megvalósításba.

1. Ismerd az általad kezelt adatokat!

Mindenekelőtt érdemes felmérni, hogy céged milyen fajtájú és mennyiségű személyes adatot kezel. Személyes adat alatt ebben a kontextusban csak olyan adatot kell érteni, ami egy azonosított (vagy azonosítható) természetes személyre vonatkozik. Emlékeztetőül: a Rendelet az Európai Unióban élő emberek személyes adatait védi, tehát olyan személyekét is, akik nem uniós állampolgárok, de az EU területén laknak.

A fentiek azt is jelentik, hogy amennyiben nincs reális esély arra, hogy egy adatot bármely természetes személyhez lehessen kötni, akkor nem személyes adatról van szó. Illetve, ha az adatalany nem az Európai Unióban lakik, akkor az adatkezelésre nem kell alkalmazni a Rendeletet. Így például az üzleti (céges) ügyfelünk elérhetősége nem minősül személyes adatnak, ugyanakkor ha például egy Németországban élő lakossági vásárló lakcímét tároljuk a rendszerünkben, akkor a Rendeletnek megfelelően kell végeznünk az adatkezelést. Fontosnak tartjuk megemlíteni, hogy személyes adatkezelésként nemcsak a lakossági vásárlók adatai merülhetnek fel, hanem a dolgozóid adatai is ilyenek lehetnek.

A felkészülési folyamat központi kérdése annak tisztázása is, hogy céged kezel-e különleges adatokat (pl. egészségügyi adatot). A különleges adatok kezelése ugyanis további intézkedéseket igényelhet (pl. hozzájárulás kérése), mivel ennek szigorúbbak a feltételei, mint a „sima” személyes adatok kezelésének.

2. Ismerd a szerepedet!

A kezelt személyes adatok jellegének azonosítását követően alapvető fontosságú annak eldöntése, hogy milyen szerepet töltesz be az adatkezelésben.

Adatkezelőnek minősülsz ugyanis akkor, ha te döntöd el, hogy milyen célból és milyen eszközökkel kezelsz személyes adatokat, így többek között azt, hogy kitől és milyen típusú adatot kérsz be. Ugyanakkor, ha egy másik szervezet kért fel bizonyos általa meghatározott adatkezelési műveletek elvégzésére, az adatfeldolgozó szerepét töltöd be. Az is lehetséges, sőt valójában nagyon is gyakori, hogy az adatkezelő egyúttal adatfeldolgozó is, mivel az adatkezelés fogalma számos tevékenységet magában foglal.

Így például, ha bekéred a leendő munkavállalód személyes adatait a munkaszerződés előkészítése és megkötése érdekében, egészen bizonyosan adatkezelő vagy, hiszen te határoztad meg az adatkezelés célját (munkaviszony létesítése). Mivel te gyűjtötted be az adatot, nyilvánvalóan adatfeldolgozó is vagy. Ha ezek után átküldöd az ügyvédednek a munkavállaló személyes adatait és megkéred, hogy készítse el a munkaszerződést, akkor az ügyvéd is adatfeldolgozó lesz, mivel a te adatkezelői utasításod alapján kezeli a bekért adatokat.

A szereped (adatkezelő / adatfeldolgozó / mindkettő) meghatározása rendkívül fontos, mivel ez nagyban befolyásolja, hogy milyen kötelezettségeid vannak a Rendelet alapján. Adatkezelőként szélesebb felelősségi köröd van és az általad igénybe vett adatfeldolgozó tevékenységéért is felelős vagy.

3. Ismerd az adatok áramlását!

Hasonlóan lényeges annak megértése és áttekintése, hogy hogyan áramlanak a személyes adatok a cégednél. Az adattérképezés segíthet az adatáramlás felmérésében és a lehetséges kockázatok kiszűrésében.

Érdemes azzal kezdeni, hogy beazonosítod, hogy kitől gyűjtesz személyes adatot és mi a jogalapja az adatgyűjtésnek (pl. hozzájárulás vagy szerződés teljesítése stb.). Tisztázd, hogy hol tárolod és kinek továbbítod a személyes adatokat (különös figyelmet fordítva az EU-n kívüli adattovábbításra).

Az adattérképed elkészítése a megfeleltetési projekt egyik legfontosabb eleme, mivel ez teszi lehetővé, hogy megállapítsd, milyen további kötelezettségeid vannak.

Így például, ha a vevőid adatait az Európai Unión kívülre továbbítod (pl. átküldöd az USA-beli anyavállaltodnak marketing célokra), tájékoztatnod kell az adatalanyt arról, hogy milyen adatbiztonságot garantáló intézkedéseket vezettél be. Vagy ha a vevőd a hibásan rögzített adatai helyesbítését kéri (pl. költözés miatt a lakcíme módosítását), értelemszerűen arról is gondoskodnod kell, hogy a partnered is értesüljön az adatváltozásról, aki a kiszállításokat végzi.

4. Tudd, hogy kit vonj be!

A Rendeletnek való megfeleltetési projekt nem egyszemélyes játék, így célszerű már az elején felmérni, hogy kit lehet, illetve kell bevonni szervezeten belülről és kívülről, és mi lesz az ő feladatuk.

Az informatikusok és a jogászok (legyen szó akár a belső jogi osztályról vagy külső ügyvédről) nyilvánvalóan központi szerepet fognak betölteni a projektben. Míg az informatikusok inkább az adatáramlási folyamatok megértésében (pl. milyen formátumban és hol őrzöd a személyes adatokat, milyen informatikai biztonsági mechanizmusaid vannak) tudnak segíteni, a jogászok fogják elmagyarázni a céged kötelezettségeit az adatkezelésben betöltött szereped alapján. Emellett a jogászok részt vehetnek a megfelelő szerződések, szabályzatok (pl. adatkezelési szabályzat), tájékoztatók és formanyomtatványok (pl. hozzájárulás) elkészítésében.

A projekt kezdetekor kiemelkedő fontosságú tisztázni azt is, hogy ki kell-e jelölnöd adatvédelmi tisztviselőt, mert például nagyszámú különleges adatot kezelsz. Ha köteles vagy adatvédelmi tisztviselőt kijelölni, ő is a megfeleltetési projekt kulcsfigurája lehet, mint az adatvédelem területén szakértői ismeretekkel rendelkező személy.

5. Ismerd a kötelezettségeidet!

Végül, de nem utolsó sorban nagyon fontos, hogy tisztában legyél a Rendelet alapján fennálló kötelezettségeiddel. A fenti kérdések megválaszolása segít abban, hogy pontosan átlásd a azokat, mert különbözőek lehetnek a kezelt adatok (pl. különleges adatok), a szereped (adatkezelő / feldolgozó) és az adatáramlás (pl. hogy továbbítasz-e adatot harmadik személynek vagy az EU-n kívülre) jellege alapján.

A kötelezettségeid pontos megismerése nemcsak a megfeleltetés, hanem a költség- és időhatékonyság miatt is lényeges. Hiszen például, ha nem kezelsz nagy számú különleges adatot, akkor lehet, hogy nincs is szükséged adatvédelmi tisztségviselőre és ezzel jelentős költségeket spórolhatsz meg. Vagy amennyiben nem továbbítasz harmadik személy részére adatokat, nem feltétlenül szükséges adatvédelmi szempontból átvizsgálni a partnereiddel kötött szerződéseket, mellyel időt takaríthatsz meg.

Egy szó mint száz, javasoljuk, hogy mielőtt beleugranál a megfeleltetési projektbe, állj meg egy kicsit és tisztázd a fenti kérdéseket, mert a projekt sikere függhet ettől. A közeljövőben újabb cikkekkel jelentkezünk a Rendelethez kapcsolódó témákban, hogy felkészülten várhasd a jövő májust.