A GDPR gyakorlati következményei

Ez a cikk a NavigátorVilág áprilisi számában jelent meg.

Többéves előkészítőmunka eredményeként 2016. május 24-én lépett hatályba, majd kétéves felkészülési időt követően, 2018. május 25-től alkalmazandó az Európai Unió 2016/679 számú általános adatvédelmi rendelete (General Data Protection Regulation, GDPR). Az új szabályozás kapcsán szükséges teendőkről kiadónk szemináriumot tartott április 12-én, amelynek legfontosabb tanulságait az alábbiakban foglaljuk össze.

A GDPR eltérően az eddigi uniós adatvédelmi szabályozástól már nem – a tagállami jogba átültetést igénylő – irányelvi szinten tartalmazza a tagállamok és azok jogalanyai által alkalmazandó adatvédelmi követelményeket, hanem a tagállami jogrendszerekben közvetlenül alkalmazandó rendeleti szinten. Mindez azt jelenti, hogy 2018. május 25-ig minden hazai cégnek szükséges adatvédelmi szempontból áttekinteni és a GDPR követelményeinek megfelelően átalakítani működését, hiszen ezen időponttól kezdődően az eddigi magyar adatvédelmi jogszabályban foglalt bírságnál jóval magasabb összegű bírsággal számolhatnak azok, akik nem felelnek meg e követelményeknek.

Személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ, így e foglalom alapján személyes adatok kezelése szinte kivétel nélkül minden cég esetében felmerül, hiszen elengedhetetlen a működés során a munkavállalói és/vagy ügyféladatok kezelése, a legtöbb cég folytat marketingtevékenységgel kapcsolatos adatkezelést, a weboldalán használ sütiket, és sok esetben kamerás megfigyelőrendszert is üzemeltet a társaság épületében. A felkészülés előkészületi teendőit jó esetben a cégek mára már elvégezték, azaz beazonosították az illetékes munkatársak bevonásával a gyakorlati teendőket, és kidolgozták a megvalósítási szakasz ütemtervét.

Mivel minden cég tekintetében más és más tevékenységek kapcsán merül fel személyes adatok kezelése, így a megvalósítási szakasz első lépésenként egy általános adatvédelmi helyzetfelmérés, az ún. „data mapping” elvégzése szükséges, amelynek során listázzák a társaság által végzett adatkezeléseket (mikor kerül sor személyes adatok kezelésére, hogyan kerülnek a céghez adatok, hol tárolják, kikhez továbbítják), és általánosan felmérik a jelenlegi adatbiztonsági rendszer állapotát. Amennyiben beazonosítottuk a társaságnál előforduló adatkezeléseket, a következő lépés a GDPR alapelveinek való megfelelés felmérése minden egyes adatkezelési művelet tekintetében és ennek tükrében az adatkezelési folyamatok felülvizsgálata. Különösen fontos e körben biztosítani azt, hogy az egyes adatkezelések során kizárólag azokat az adatokat és annyi ideig kezelje a társaság, amelyek és ameddig szigorúan szükségesek az adott célok eléréséhez. Szintén a megvalósítási szakasz első fázisában szükséges megállapítani, hogy mi a jogalapja a társaság által megvalósított adatkezelésnek.

A magyar adatvédelmi szabályok értelmében eddig alapvetően két jogalap alapján volt lehetőség személyes adatok kezelésére, egyrészt az érintett hozzájárulása, másrészt törvényi előírás alapján, szűk körben pedig lehetséges volt jogos érdekből kezelni adatokat. A GDPR alkalmazását követően azonban hat különböző jogalap alapján kell majd beazonosítani az egyes adatkezeléseket, nevesítésre kerül ugyanis e két fő jogalapon túl a szerződések teljesítése, létfontosságú érdekek védelme, közérdek (illetve közhatalmi jogosítvány gyakorlása), valamint az adatkezelő vagy harmadik fél jogos érdeke is mint jogalap; ez utóbbi jóval bővebb körben alkalmazandó.

Szükséges tehát felmérni, hogy a meglévő adatkezelések vonatkozásában a társaság rendelkezik-e minden esetben megfelelő jogalappal az adatok kezelésére (például hozzájáruláson alapuló adatkezelés esetén a hozzájárulást jogszerűen szerezték-e be az érintettől), és a megfelelő jogalapok megléte biztosított-e a jövőbeli adatkezeléseket illetően. Tekintve, hogy a GDPR megköveteli a biztonságos adatkezelés érdekében a szükséges technikai és szervezési intézkedéseket, a felkészülés körében az IT-s kollégák bevonásával szükséges a társaságnál meglévő biztonsági intézkedések felülvizsgálata/kialakítása, annak érdekében, hogy az adatbiztonság megfelelő szintű legyen. A GDPR-projekt következő fázisa a szükséges teendők elvégzése. A munkavállalói adatkezelések kapcsán felmerül például a munkavállalók személyes adatainak kezeléséről való előzetes tájékoztatás biztosítása – akár a munkaszerződés részeként, akár külön adatvédelmi tájékoztató átadásával –, illetve a személyes adatok kezelésével kapcsolatos szabályzatok (például IT-szabályzatok) GDPR-nak megfelelő átalakítása, valamint amennyiben a társaság adatfeldolgozóként jár el, úgy azon kollégák titoktartási nyilatkozatának biztosítása, akik munkavégzésük során személyes adatokat kezelnek.

Ugyanígy szükséges kialakítani a megfelelő előzetes tájékoztatómintákat például a webshopos, weboldali és egyéb fogyasztói, illetve a marketingcélú adatkezelések tekintetében. Amennyiben a társaság adatfeldolgozási tevékenységre (például bérszámfejtésre) ad megbízást más cégeknek, vagy a társaság maga végez adatfeldolgozói tevékenységet más cég megbízásából, azaz felmerül személyes adatok kezelése egy adott szolgáltatásnyújtás során, úgy szükséges a GDPR előírásainak megfelelő adatfeldolgozási szerződések (Data Protection Act, DPA) megkötése az érintett adatfeldolgozókkal.

A cég belső működését érintő további feladat még kialakítani belső nyilvántartásokat a rendelet által megkövetelt tartalommal: többek között az adatkezelő, illetve az adatvédelmi tisztviselő adatainak, az adatkezelések céljának, az érintettek, az adatok és a címzettek kategóriáinak feltüntetésével, a törlési határidők, az adattovábbítások és a biztonsági intézkedések ismertetésével – mind adatkezelő, mind adatfeldolgozói oldalon. Az utóbbi esetében többletelem az adatkezelők megnevezése, akiknek a nevében a társaság adatfeldolgozóként eljár, és az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriáinak nevesítése is.

Ezenkívül elő kell készíteni a társaságnál előforduló adatkezelési tevékenységekre kialakított belső adatvédelmi szabályzatot, és ki kell alakítani a cégen belüli eljárásrendeket az egyes esetekre (például ha az érintettek élnek jogaikkal, vagy adatvédelmi incidens történik). Végül szükséges az adattovábbítási folyamatok (nem adatfeldolgozásra irányuló adatátadások) ellenőrzése és felülvizsgálata, a meglévő ÁSZF-ek használatának felülvizsgálata és a külföldre (azaz az EGT területén kívülre) történő adattovábbítások esetének vizsgálata is. A GDPR-projekt zárószakaszaként kell, hogy sor kerüljön a kialakított eljárások és dokumentumok gyakorlati használatának ismertetésére az adatkezelésekkel foglalkozó munkavállalókkal.

SZAKMÁRA SZABVA

Milyen új kihívásokra kell felkészülniük a logisztikai és szállítmányozócégeknek a 2018. május 25-én hatályba lépő egységes uniós adatvédelmi szabályozással (GDPR) kapcsolatban? A legfontosabb információkat Osztopáni Krisztián, a Nemzeti Adatvédelmi és Információs Hivatal (NAIH) főosztályvezető-helyettese foglalta össze a szemináriumon.

A komoly szabálykerülési kockázat veszélyének elhárítása érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie, és nem függhet a felhasznált technikai megoldásoktól. Ez a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni, hívta fel a figyelmet Osztopáni Krisztián. „Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé”, idézte a rendelet szövegét a szakember az érdekmérlegelés jogalapjával kapcsolatban.

A NAIH honlapján elérhető érdekmérlegelési teszt mutatja be, hogy a munkavállaló érdekei miért nem előzik meg a munkáltató jogos érdekeit. A GPS navigációs rendszer által tárolt adat a gépjárművezető személyes adatának is minősül, mert annak alapján következtetéseket lehet levonni a munkavállaló munkavégzésére vonatkozóan. A GPS-t logisztikai, munkaszervezési célból lehet elsődlegesen alkalmazni, továbbá akkor, ha a gépjármű szállítmánya, rakománya ezt kifejezetten indokolja (például veszélyes áru fuvarozásakor), de kivételes esetben a munkavállaló élete, testi épsége is megfelelő indok lehet.

A GPS alkalmazása ugyanakkor nem indokolt olyan gépjármű esetében, amellyel jelentős értékű anyagot nem szállítanak, vagy az adott munkavállaló a gépjárművel otthon tartózkodik (vagy magáncélra jogszerűen használja). A GDPR előírja, hogy az adatkezelőnek előzetesen tájékoztatnia kell az érintetteket a személyes adatok kezeléséről, mindezt közérthetően, tömören, lehetőség szerint példákkal illusztrálva.

Az adatvédelmi incidenseket az új szabályozás szerint már nem elég bevezetni egy belső nyilvántartásba, hanem az adatkezelőnek a legtöbb esetben be is kell jelentenie a hatósághoz, valamint az érintettet is tájékoztatnia kell. A hatóság súlyosabb incidensek esetén vizsgálatot indíthat a GDPR valamely rendelkezésének megsértése miatt, és akár 20 millió euróig vagy a cég előző évi árbevételének 4 százalékáig terjedő bírságot is kiszabhat.