A kezdetek – 6. rész GDPR

Egy olyan területet szeretnék most bemutatni nektek, ami elsőre nagyon barátságtalannak tűnik. Na jó, ismerjük be, másodjára is … Az adatvédelem.

Talán hallottatok már a rettenetes GDPR rendeletről. Ez egy Európai Uniós jogszabály, melynek rendelkezéseit az Unió területén működő vállalkozásoknak be kell tartani. Rengeteg tévhit él a gyakorlatban ennek kapcsán, a legtöbb vállalkozó azt gondolja, hogy rá ez a jogszabály nem vonatkozik, nincs tehát teendője ezzel kapcsolatban.

Sokan abban a hitben vannak, hogy csak akkor ró rájuk kötelezettséget a hírhedt rendelet, ha weboldalt üzemeltetnek, oda szükségük lesz egy Adatkezelési Tájékoztatóra, amit lemásolnak a hasonló tevékenységet űző konkurenciáról, és már rendben is van minden.

El kell, hogy keserítsek mindenkit, aki így gondolkozik, sajnos ez nem így van, a GDPR kivétel nélkül minden vállalkozót érint és mindenkinek vannak teendői ezzel kapcsolatban.

A téma talán valóban idegen az „egyszerű halandó” számára, mégis kénytelenek vagyunk valamilyen szinten beleásni magunkat, hiszen a vállalkozó felelőssége lesz a jövőben, hogy felismerje a vállalkozásánál előforduló személyes adatkezelési helyzeteket, megfelelő időben és módon reagáljon ezekre.

Megkértem Hajnerné dr. Horváth Barbarát, a HHB Consulting Kft. ügyvezetőjét, aki mára közel 300 vállalkozás GDPR felkészítését végezte el és számomra is Ő tette érthetőbbé az adatvédelmet, hogy meséljen egy kicsit arról, hogy mi is ez a „mumus” jogszabály és mi az, amire mindenképpen figyelnünk kell nekünk vállalkozóknak.

Mondanál néhány gondolatot a GDPR rendeletről?

Ez egy Európai Uniós jogszabály, amely a személyes adataink kezelését hivatott szabályozni. 2018. májusában lépett hatályba, de már 2016-ban elfogadták és kihirdették a rendelet szövegét.

Tehát lett volna idő a felkészülésre, ennek ellenére azt látom, hogy a vállalkozókat meglepetésként érte és többségük nem is tudja, hogy miről is szól valójában.

Miért volt szükség erre a szabályozásra?

A rendelet megalkotásának egyik célja az volt, hogy például a mai világban oly gyakori online vásárlások, szolgáltatások igénybevétele során megadott személyes adataink biztonságban legyenek, ne lehessen azokkal visszaélni, valóban csak a megfelelő célok érdekében kezeljék azokat. Ez a rendelet új világot teremtett az európai adatvédelmi jogban.

Hogy kezdted a vállalkozói pályafutásodat?

Az első diplomám szerint közgazdász vagyok. Ezen kívül mérlegképes könyvelő és adótanácsadó képesítésem volt. Egy nagy győri építőipari cégnél kezdtem a pályafutásom, 9 évig dolgoztam ott, ahol gazdasági igazgató lettem. Sajnos jött a válság és a recesszió, a cégek sorban becsődöltek. Időközben elvégeztem a jogi egyetemet és 2010-ben, már jogász-közgazdászként alapítottam meg saját vállalkozásomat, egy tanácsadó irodát.

Felismertem azt az előnyt, melyet a jogi-gazdasági kettős tudás és szemléletmód nyújtott egy-egy eset kapcsán – ez ritka volt a piacon – és igyekeztem kihasználni az ebből fakadó lehetőségeket. Fő megbízóim a turisztikai szektorhoz tartoznak, elsősorban gyógyfürdőknek dolgozok. Közel 3 évig voltam főtitkára a Nemzeti Fürdőszövetségnek és a Magyarok a Piacon Klubnak.

Hogy kezdődött az érdeklődésed az adatvédelem iránt?

Miután megszületett a kisfiam kezdtem el foglalkozni az adatvédelemmel, ekkor már lehetett hallani az új adatvédelmi rendeletről. Érdekelt a téma, hiszen a megbízóim számítottak rám és az új információkra. Ahogy egyre inkább beleástam magam ebbe a jogterületbe, nagyon megkedveltem és rájöttem, hogy ezzel szeretnék foglalkozni a jövőben.

A téma még jogászok számára is nehezen érthető, ez izgalmas kihívást jelentett számomra. Egyre több megbízást kaptam, mára már több száz vállalkozással dolgoztam együtt, nagy cégek adatvédelmi tisztviselője vagyok, workshopokat tartok a témában, előadásokra hívnak és szakértői véleményemet is kérik.

Segítenél egy kicsit tisztábban látni? Kezdjük az alapoknál. Mik azok a személyes adatok?

Személyes adat minden olyan információ, amely egy személyre vonatkozik, mely alapján beazonosítható az adott személy, például név, vagy bármilyen azonosító, helymeghatározó adat, online azonosító. Személyes adat lehet egy e-mail cím, vagy telefonszám, az adott személyről készült képmás is.

Milyen esetekben kezel egy vállalkozó személyes adatokat?

Személyes adatkezelés történik például ajánlatadáskor, szerződéskötéskor, e-mail váltás során, telefonszámok kezelésekor, számla kiállítása során, munkavállalók alkalmazásakor, önéletrajzok kezelésekor, ha egy fényképet szeretnénk feltölteni a weboldalunkra és még rengeteg esetben, reggelig tudnám sorolni az adatkezelési helyzeteket.

Tovább bonyolítja a dolgokat, ha egy vállalkozás például gyermekek személyes adatait kezeli, vagy esetleg az ügyfelei egészségügyi adatai jutnak tudomására tevékenysége során, ezek ugyanis különleges adatoknak minősülnek, melyek szigorú szabályozás alá tartoznak.

Mi a vállalkozók teendője? Mikor járunk el helyesen a személyes adatok kezelése kapcsán?

A legfontosabb kötelezettsége a vállalkozónak a tájékoztatás. Fontos, hogy már az adatkezelés megkezdése előtt tájékoztassa az ügyfeleit, vásárlóit, partnereit arról, hogy hogy is történik az ő vállalkozásánál a személyes adatok kezelése.

Erre szolgál az Adatkezelési Tájékoztató, mely egy írásos dokumentum, amely az adott vállalkozásnál felmerült adatkezelési helyzeteket részletezi, érthető nyelvezet alkalmazásával, tájékoztatja az érintetteket, hogy a vállalkozóval való együttműködés során milyen személyes adataikat, milyen célból, milyen jogalappal és mennyi ideig kezeli, tárolja majd.

Csak erre az egy dokumentumra van szükség?

Nem, a feladat ennél sokkal komplexebb. Egy adatkezelési szabályzati dokumentációt kell készíttetni. Ez magában foglal egy szabályzatot, a már említett tájékoztatót, a weboldalra vonatkozó tájékoztatót, egy adatkezelési szerződést, melyet az adatfeldolgozó partnerekkel kell megkötni és sok-sok nyilatkozati mintát is, melyet a napi munka során alkalmazni kell. A dokumentáció egy „egyszerű” vállalkozás esetében is legalább 10-15 dokumentumból áll.

Te jó ég! Ez nagyon bonyolult dolognak hangzik. Valóban az, vagy bárki képes elkészíteni egy ilyen tájékoztatót?

Semmiképpen sem javaslom, hogy szakmai tudás nélkül bárki nekiálljon elkészíteni az Adatkezelési Tájékoztatóját.

Azt szoktam mondani az ügyfeleimnek, hogy ha meg tudják mondani, hogy egy adott személyes adatot milyen jogalapon kezelnek (persze helyesen) és ezt meg is tudják indokolni jogilag, akkor természetesen semmi akadálya annak, hogy saját maguk készítsék el a vállalkozásuk Adatkezelési Tájékoztatóját.

Általában már a kérdést sem értik. Ami természetesen nem baj, hiszen nem az ő szakterületük, viszont ez esetben tényleg javasolt szakemberhez fordulni. Én sem állok neki megszerelni az autómat, ha elromlik, ugyanis nem értek hozzá, szerelőhöz fordulok inkább.

Fontos, hogy jogászhoz forduljunk az adatkezelési szabályzatunk elkészítése érdekében?

Igen, én azt mondom, hogy elengedhetetlen a jogi szemléletmód a téma kapcsán. Vannak olyan bonyolult informatikai háttérrel rendelkező cégek, ahol persze nem elég a jogász, szükség van egy adatkezelésben jártas informatikus segítségére is, de alapvetően jogi feladat a GDPR-nek való megfeleltetés.

Azt tapasztalom, hogy az ügyvédek általában nem vállalják a GDPR dokumentumok elkészítését, rengeteg ügyvéd ismerősöm hozzám irányítja megbízóit a téma kapcsán. Az ügyvédi munka összetettsége kevés ügyvéd számára ad lehetőséget arra, hogy igazán elmerüljenek a téma mélységeiben.

Mi a helyzet az interneten elérhető szabályzati sablonokkal, vagy a bérelhető, havi díjas dokumentumokkal?

Én semmiképpen sem javaslom ezek alkalmazását. Több ügyfelem keresett már meg azzal, hogy több százezer forintért vásárolt egy szabályzati sablont, amiről persze kiderült, hogy nem felel meg az ő vállalkozása számára.

Az adatkezelési szabályzati dokumentumok minden esetben személyre, vállalkozásra szabottak, teljesen egyedi dokumentumok. Az interneten fellelhető, bérelhető dokumentumokkal kapcsolatban a legnagyobb probléma – az általánosság mellett -, hogy többnyire kizárólag a weboldalra vonatkozó Adatkezelési Tájékoztatót tartalmazzák, ez pedig csupán egy része a GDPR-nek való megfelelésnek (ráadásul csak egy nagyon kis része), ezzel tehát nem tettünk eleget a jogszabály rendelkezéseinek.

Mi történik akkor, ha a vállalkozó nem veszi komolyan ennek a jogszabálynak az előírásait és nem készül fel megfelelően?

Sajnos komoly bírságra számíthat. Az ellenőrzések megkezdődtek, és szinte hetente értesülünk egy-egy új határozatról, mely bírság kiszabásáról rendelkezik.

A GDPR 2018. május 25-én lépett hatályba, több mint egy év eltelt azóta, elég sok tapasztalat felhalmozódott mára, ami az ellenőrzéseket és a NAIH szemléletmódját tükrözi.

A GDPR rendelkezései szerint a bírság összege akár 20.000.000 EUR, vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg lehet. A kettő közül az, amelyik magasabb!

Mennyi???

Igen, ez valóban rendkívül magas összeg, főleg egy magyar kisvállalkozó számára. A gyakorlatban azt látjuk, hogy ha nem is ekkora összegű bírságokat, de több százezer forintos és milliós összegű szankciókat szabott ki a hatóság a jogszabály rendelkezéseit figyelmen kívül hagyó vállalkozásokra. Nem érdemes tehát kockáztatni.

Ha most tervezel vállalkozást indítani: a Virtuális Irodaház komplex szolgáltatásának keretein belül többek között a teljes adatvédelmi dokumentációt is elkészítjük Neked!

Keress minket bizalommal!

Megjegyzés hozzáfűzése

Az email címet nem tesszük közzé.