A félelmetes GDPR

Szerző: DR. ANGYAL ANDOR Ügyvéd. Többek között a GDPR szabályzat cégre szabott, egyéni igényeknek megfelelő elkészítésében nyújt segítséget. Információ: +36 20/5691 711, angyalandor@gmail.com

A rendelet 2018. május 25-től teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban, így Magyarországon is. A GDPR valójában már 2016. május 25-e óta hatályban van, azaz 2018 május 25-én  a felkészülésre biztosított 2 éves határidő telik le, elvileg nincs tehát további idő a gondolkodásra, ettől a időponttól a benne foglaltaknak megfelelően kell működni minden vállalkozásnak, amelyik adatokat kezel.

A rendelet alapvető célja, hogy a természetes személyek személyes adatai az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő személyek kötelezettségeit megerősítse és részletesen meghatározza, továbbá biztosítsa a személyes adatok Unión belüli szabad áramlását.

A rendelet vonatkozik a közhatalmi szervek mellett minden vállalkozásra, értve ezalatt minden gazdasági tevékenységet folytató természetes vagy jogi személyt, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is. Ennek megfelelően gyakorlatilag mindenkit érint, aki bármilyen formában gazdasági tevékenységet folytat.

Az érintett személyek köre

A rendelettel érintett személyes adatok köre rendkívül tág, a természetes személyre vonatkozó bármely információ ide tartozik, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi jellemzője, de a képmása vagy az egészségi állapota is. Tág az adatkezeléssel érintettek köre is, az ügyfeleken túl ide tartoznak a munkavállalók, és általában mindazon természetes személyek, akikről a vállalkozás bármilyen alapon és módon személyes adatot tud meg és tart nyilván. Nem csak meg kell felelni a rendeletnek, de ezt a megfelelést ellenőrzés esetén igazolni is tudni kell.

A rendelet hatálya nem terjed ki a jogi személyekre vonatkozó adatkezelésre, azonban az egyéni vállalkozó, egyéni cég, őstermelő, jogi személy képviselőjeként eljáró ügyfeleket, vevőket, szállítókat a rendelet alkalmazásában természetes személynek kell tekinteni, tehát az ő személyes adataikat is a rendeletben foglaltak szerint kell kezelni és védeni.

A rendelet részletesen szabályozza mind az adatkezelők kötelességeit, a nyilvántartás módját, az adatkezelés jogszerűségét, az esetleges jogosulatlan hozzáférés, adatvédelmi incidens esetén teendő intézkedéseket, mind pedig az érintett természetes személyek jogait, egyebek mellett a tájékoztatás és a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez, az adatkezelés korlátozásához vagy a törléshez való jogot.

Az adatvédelem online felületekre is vonatkozik. Itt írtunk a szalonok online jelenlétéről. 

Csúszásban a magyar szabályozás

A rendelet a nemzeti szabályozás felett áll, a hazai jogalkotó számára csak annyi teret hagy, hogy a benne foglalt szabályok alkalmazását pontosíthatja. Magyarországon az adatvédelemről az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezik, ezt a GDPR-re tekintettel módosítani kellene, vagy inkább kellett volna, azonban ez még nem történt meg, a cikk megírásakor a parlament még napirendre sem tűzte.
Jelen pillanatban még azt sem tudhatjuk biztosan, hogy milyen hatóság felel majd a GDPR betartatásáért, bár nagyjából valószínűsíthető, hogy a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság, amely most is felelős a személyes adatok védelmének biztosításáért.

A szabályozás csúszása közvetlenül kihat a vállalkozásokra: kétszer kell elvégezni a saját szabályzatuk és adatkezelési tevékenységük jogszerűvé tételét, május 25-ig a rendeletnek, majd pedig valamikor a honi szabályozásnak megfelelően.

Adminisztrációs teher

Összességében kijelenthető, hogy az adatvédelem és az adatkezelés elveiben és alapjaiban nagy változást nem hoz az új szabályozás, a személyes adatok kezelése és annak jogszerűségének biztosítása Magyarországon eddig is megfelelő volt. Lényeges változás lesz azonban az adminisztrációs terhekben, amelyek jelentősen növekednek majd, elsősorban az adatkezelés jogszerűségének dokumentálására, a tényleges adatkezelésre vonatkozó szabályok, valamint a tájékoztatási kötelezettség miatt.

Fontos változás az is, hogy a rendelet fokozottan elvárja a megfelelésen túl a megfelelés igazolhatóságát is, azaz a vállalkozásnak bármikor tudnia kell bizonyítania azt, hogy a szabályoknak megfelelően működik. Végül, de nem utolsósorban jelentősen nőtt a jogsértések lehetséges szankciója is, súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg, a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós maximummal szemben.

A GDPR és a kozmetikus

Nyilván felmerül a kérdés: hogy is érinti mindez a mindennapjainkat, például egy kozmetika esetében, egyáltalán lesz-e ezzel nekem dolgom? Igen, gyakorlatilag mindeninek lesz vele dolga, nem is kevés.

Vegyünk két példát:
1. A saját szalonjában egyedül, a sarki boltban vásárolt krémekkel dolgozó kozmetikus, aki nem ad el terméket és kizárólag nyugtaadási kötelezettsége van. Ilyen esetben, ha a kozmetikusnak van akár egyetlen olyan vendége, akinek a neve és a telefonszáma fel van írva vagy el van mentve a telefonba, onnantól kezdve vonatkozik rá a rendelet.

A NAIH joggal kérheti tőle az adatvédelmi szabályzatot, az adatok nyilvántartását és minden egyéb előírt dokumentumot, de azt az egyetlen ominózus vendéget is tájékoztatni kell – írásban – arról, hogy a személyes adatait kezeli, ill. az ezzel kapcsolatos jogairól is.

2. Ha a fenti, szándékosan életszerűtlen példától eltérően a kozmetikus nyilvántartja a vendégei elérhetőségét, néhány egészségügyi adatát – például allergia –, valamely konkrét cég termékeit használja, amelyeket egy területi képviselőtől vásárol, néha állít ki számlát, van facebook oldala, akkor máris összejött egy rakás személyes adat, amit bizony csak a rendelet szabályainak megfelelően szabad kezelni.

Ilyen adat a területi képviselő neve, telefonszáma, a számlára írt név és cím is, ami ráadásul továbbításra kerül a könyvelőnek, aki ezáltal adatfeldolgozóvá válik, tovább bonyolítva a dolgot. Ezeket az adatokat nyilván kell tartani, a kezelésükről tájékoztatni kell az érintettet, adott esetben a hozzájárulását is be kell szerezni.

Olvass tovább a vállalkozásodat érintő üzleti kérdésekről itt!