Blog

Blog » A TOP 5 GDPR TÉVHIT ELOSZLATÁSA

A TOP 5 GDPR TÉVHIT ELOSZLATÁSA

07 May 2018

A GDPR tévhitek miatt olykor ott is adatvédelmi problémát láthatsz, ahol nincs, vagy ami még rosszabb, nem látsz problémát ott, ahol valójában van. Egy sikeres GDPR megfelelés projekt érdekében célszerű elkerülnöd mind a két fenti hibát. Hogy ebben segítsünk, az 5 leggyakoribb általunk tapasztal GDPR tévhitet tisztázzuk cikkünkben.

1. Hozzájárulás tévhit 1 – nincs hozzájárulásunk

A cégek gyakran úgy gondolják, hogy ha az érintett nem járult hozzá személyes adatainak kezeléséhez, akkor ők nem is kezelhetik az adatot.

Ez valóban így van, ha az adatkezelés egyetlen lehetséges jogalapja a hozzájárulás. Sok esetben ugyanakkor a GDPR által meghatározott más jogalapot is lehet találni és ebben az esetben nem kell kérni az érintett hozzájárulását.

Sokszor egy jogszabálynak való megfelelés érdekében kell kezelni az érintett személyes adatait, például ahhoz, hogy a munkavállalódat a NAV előtt bejelentsd, nyilván össze kell gyűjtened az azonosító adatait.

Előfordulhat, hogy a személyes adatot azért kell kezelned, hogy teljesíteni tudd az érintettel kötött szerződést. Így ahhoz, hogy ki tudd szállítani a vevődnek az árut, amit a webshopodból rendelt, természetesen be kell kérned a lakcímét.

2. Hozzájárulás tévhit 2 – van hozzájárulásunk

A fenti hozzáállás ellenkezője, hogy sokan úgy gondolják, hogy ha megszerezték az érintett hozzájárulását, az adatkezelés egész biztosan jogszerű.

Nos, ez az elképzelés veszélyeket rejthet magában. Bár sok esetben a hozzájárulás megfelelő jogalap lehet az adatkezeléshez, bizonyos jogviszonyokban és helyzetekben nem alkalmazható.

Munkaviszony esetében például a hozzájárulás általában nem tekinthető önkéntesnek. Tehát még ha a munkavállalód alá is írja a munkaszerződében, hogy hozzájárul személyes adatainak kezeléséhez, ez jó eséllyel érvénytelen, az adatkezelési tevékenységed pedig jogellenes lesz.

A munkavállaló hozzájárulására csak akkor érdemes alapozni az adatkezelést, ha a munkavállaló kizárólag előnyöket szerez: így, ha karácsonyi ajándékként könyvutalványt adsz a dolgozónak és kéred a hozzájárulását, hogy a nevét átadd a könyvesboltnak.

3. Nem nálam van az adat – nem vagyok felelős

Megbízóink sok esetben nem tekintik magukat felelősnek az adatkezelésért, mert az adatot nem ők gyűjtötték és nem is tárolják a rendszerükben.

Nem szabad elfelejteni viszont, hogy ha az adatkezelés célját te határoztad meg, még ha nem is te végzed az adatkezelési műveletet, adatkezelőnek minősülsz és végső soron felelős leszel az adatkezelés jogszerűségéért.

Hogy egy példát említsek: ha megbízol egy marketing céget, hogy gyűjtse össze olyan személyek e-mail címét, akik érdeklődhetnek a termékeid iránt, majd küldjön nekik DM üzenetet, te leszel az adatkezelő, függetlenül attól, hogy nem te gyűjtötted az adatot és nem te küldted ki az üzenetet.

4. Nem kezeljük az adatot, csak tároljuk

Gyakran hangzik el a megbízóink szájából: mi csak tároljuk az adatokat a rendszerünkben, de nem kezeljük, nem dolgozzuk fel.

Rossz hír: valójában az adattárolás is adatkezelési tevékenységnek minősül. A GDPR lényege ugyanis, hogy a személyes adatokat megóvják az adatkezelés során a visszaélésektől vagy a károsodástól. Egyértelmű, hogy az adat a tárolás során is „sérülhet”, így helyénvaló, hogy a GDPR a tárolást is adatkezelésnek tekinti és felelősséget telepít az adat tárolójára.

Ezért, ha például a szervereden tárolsz egy ügyfél címlistát, még ha nem is „használod” (pl. nem küldesz nekik e-mailt), adatkezelési műveletet végzel, amiért felelős vagy.

5. Nem továbbíthatok személyes adatot az EU-n kívülre

Többen feltették már nekem a kérdést: olvastuk az Interneten, hogy a GDPR hatálybalépése után nem küldhetünk személyes adatot az EN-n kívülre, mit csinálunk így az egyesült államokbeli / kínai stb. kapcsolatainkkal?

Tény, hogy személyes adatot csak megfelelő garanciák mellett lehet az Európai Unión kívülre továbbítani, de az nem tilos.

Így, ha az amerikai cég, akinek személyes adatot küldesz, regisztrálta magát a Adatvédelmi Pajzs rendszerben, az adattovábbítás biztonságosnak tekinthető. Vagy amennyiben az előbbi eset nem működik, adattovábbítási szerződést köthetsz a címzettel, ami megfelelő garanciának minősül.

A fentieket összefoglalva, számos féligazság terjed a GDPR-rel kapcsolatban. Legyél nagyon körültekintő és óvatos, mert ezek egy része feleslegesen köti meg a kezed, vagy ami még rosszabb, hamis biztonságérzetet kelt az adatkezelésed jogszerűségével kapcsolatban, ami végső soron egy vagyonba kerülhet.