GDPR

Kedves Partnereink!

 

Már egyre nyilvánvalóbbá válik a vállalkozók, gazdálkodók, civil szervezetek számára, hogy rájuk is közvetlenül vonatkozik az Európai Unió Általános Adatvédelmi Rendelete (GDPR).

A rendelet alapvetően átírta a jogszerű adatkezelések rendjét.

 

Sok tévhit fakad abból, hogy a gazdálkodók nem gondolják végig, hogy mely vonatkozásban válnak érintetté. Ehhez szükséges a személyes adatok körének az áttekintése.

 

Személyes adatnak minősül az érintett személlyel érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.

Érintett személynek kell tekinteni bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személyt.

 

A személyes adatokon kívül lehetnek a vállalkozás birtokában ún. különleges adatokkal. Ezek:

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adatok,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adatok;

 

A GDPR alanyává válik egy cég, ha a fenti adatokból, információkból akár egyetlen egyet is a tevékenysége során kezelt, kezel, vagy olyan rendszert épít ki, amelyben kezelni fogja.

 

A vállalkozók túlnyomó többségénél legalább természetes adat napi szinten elő – csak néhány terület:

• alkalmazottak, foglalkoztatottak alkalmazása, nyilvántartása esetén;
• vevőkörében, megrendelői között, szállítási címeiben természetes személyek adatai is előfordulnak;
• szervezet tagságának nyilvántartása;
• webáruház üzemeltetése;
• honlap üzemeltetésénél, ahova valaki személyes bejelentkezés útján regisztrálhat,
• honlapján ún. cookie-k (sütik) kezelése;
• marketing anyagok küldéséhez tartozó címjegyzék megszerzése, tárolása, kezelése,
• természetes beazonosítást is tartalmazó (név) mail címek tárolása;
• eseményekről, akciókról készített felvételek (fényképek, filmek) tárolása;
• természetes személyeket összehozó, közvetítő rendszerek működtetése,
• bármilyen kamera, beléptető- vagy megfigyelő rendszer működtetése, stb.

 

De nem csak az aktív adatkezelés során keletkezik ilyen irányú kötelezettség, hanem akkor is, ha a vállalkozás ún. "passzív" jelleggel adatkezelést valósítunk meg. Ide tartozik a személyes adatok rögzítése és tárolása.

 

Az adatkezelés nem csak a számítógépeken tárolt személyes adatokra terjed ki, hanem a személyes adatokat tartalmazó dokumentumoknak a papír alapon vagy bármilyen adathordozó és tároló eszközökön történő elhelyezése, archiválása is. Tehát számba kell venni az összes, a vállalkozásnál lévő személyes adatot tartalmazó iratot, adatot, illetve azok összes fellelhető tárolási helyét (irattárat, archívumot, szervert, adatmentést, archivált adatállományt)

A vonatkozó jogszabályok értelmében akkor is történik adatkezelés, ha a régi adatokat már akár évek óta nem használják, vagy azokhoz csak korlátozott a hozzáférés.

 

Bár a vonatkozó jogszabályok eddig is erőteljesen szabályozták az adatok kezelésével kapcsolatos kérdéseket, az adatvédelem szabályrendszerében 2018. május 25. napjával jelentős fordulat következik be, illetve a nem megfelelően szabályozott adatkezelést jelentős mértékű bírságok sújtják. A Nemzeti Adatvédelmi és Információszabadság Hatósága jogellenes adatkezelést végző cégekre akár 20 millió forintos bírságot is kiszabhat.

 

Minden vállalkozásnak át kell gondolnia a saját tevékenységét és abban előforduló adatok kezelését. Ennek gerince:

• az adatkezeléshez megfelelő jogalap kell;
• az adatkezeléshez való jogalap lehet az érintett önkéntes hozzájárulása is;
• az adatkezelésről megfelelő, előzetes tájékoztatást kell adni.

 

A kötelezettségek alól nem mentesülhet a vállalkozás, ha a személyes adatok kezelését külső szolgáltatóra bízza, hiszen ebben az esetben a külső szolgáltató (bérszámfejtő, könyvelő, honlap üzemeltetője, marketing cég, stb.) csupán adatfeldolgozó, akire további szabályok vonatkoznak. Az adatfeldolgozó nem vállalhatja át a vállalkozás (adatkezelő) vonatkozó kötelezettségeit és az adatkezelési szabályozás hiányából vagy a nem megfelelő végrehajtáséból eredő kockázatokat.

 

A megváltozott jogszabályoknak való megfelelés minden vállalkozás saját érdeke.

Bár a jogszabályi háttér nyilvánosan hozzáférhető, de a saját vállalkozásra vonatkozó szabályozás elkészítése sok olyan szakmai kérdést vethet fel, amelyekhez mélyebb szaktudás, területen lévő jártasság ajánlott.

Az belső szabályzat szakértőkkel történő kidolgozása – vállalkozás méretétől tevékenységének jellegétől, az érintett területek bonyolultságától függően – akár hónapokat is igénybe vehet.

A könyvelők, a bérszámfejtők – jellemzően ilyen jellegű képzettség és jártasság hiányában – nem vállalják a megbízóik adatkezelési szabályzatának az elkészítését, ez nem része a könyvelési vagy bérszámfejtési szolgáltatásnak.

A számviteli szakemberek – mivel adatfeldolgozó mivoltukban ők is érintettek a saját szolgáltató cégükre vonatkozó szabályzat elkészítésében – rendelkezhetnek a stratégiai partneri körükben olyan képzett szakemberekkel, akiket ajánlani tudnak.

 

 

Budapest, 2018. március 20.

 

Tisztelettel:

 

dr.Sallai Csilla

Kamarai tag könyvvizsgáló

 

 

Kapcsolódó dokumentumok:

• 1098_file1_18-03-20-gdpr.pdf

Vissza a hírekhez!

A honlapon található írások figyelem felhívó jelleggel készültek és tájékoztatásul szolgálnak. Felhívjuk a figyelmet honlapunk jogi nyilatkozatában foglaltakra, amely szerint írásainkban szereplő információk nem helyettesítik a szakmai tanácsadást és nem szolgálnak bármely döntés vagy cselekmény alapjául, azokat a konkrét esetekben mindenki csak a saját kockázatára használhatja fel, illetve az érintett szabályok kivonatos ismertetése, értelmezése miatt nem vállalhatunk felelősséget.