Fotó: Pixabay.com

A félelmetes GDPR

Érvényes egy „kis” kozmetikusra is a GDPR? Hetek óta foglalkoztat szinte mindenkit az a kérdés, hogy vajon őrá (a vállalkozására vagy a cégére) vonatkozik-e ez az újfajta szabályozás. Cikkünkben erre a kérdésre igyekszünk válaszolni

A Rendelet 2018. május 25-től teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban, így Magyarországon is. A GDPR valójában már 2016. május 25-e óta hatályban van, azaz idén május 25-én  a felkészülésre biztosított 2 éves határidő telik le, elvileg nincs tehát további idő a gondolkodásra, ettől a időponttól a benne foglaltaknak megfelelően kell működni minden vállalkozásnak, amelyik adatokat kezel.
A Rendelet alapvető célja, hogy a természetes személyek személyes adatai az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő személyek kötelezettségeit megerősítse és részletesen meghatározza, továbbá biztosítsa a személyes adatok Unión belüli szabad áramlását.
A Rendelet vonatkozik a közhatalmi szervek mellett minden vállalkozásra, értve ezalatt minden gazdasági tevékenységet folytató természetes vagy jogi személyt, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is. Ennek megfelelően gyakorlatilag mindenkit érint, aki bármilyen formában gazdasági tevékenységet folytat.

Keretes
“Nem csak meg kell felelni a Rendeletnek, de ezt a megfelelést ellenőrzés esetén igazolni is tudni kell”

Az érintett személyek köre

A Rendelettel érintett személyes adatok köre rendkívül tág, a természetes személyre vonatkozó bármely információ ide tartozik, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi jellemzője, de a képmása vagy az egészségi állapota is. Tág az adatkezeléssel érintettek köre is, az ügyfeleken túl ide tartoznak a munkavállalók, és általában mindazon természetes személyek, akikről a vállalkozás bármilyen alapon és módon személyes adatot tud meg és tart nyilván.
A Rendelet hatálya nem terjed ki a jogi személyekre vonatkozó adatkezelésre, azonban az egyéni vállalkozó, egyéni cég, őstermelő, jogi személy képviselőjeként eljáró ügyfeleket, vevőket, szállítókat a rendelet alkalmazásában természetes személynek kell tekinteni, tehát az ő személyes adataikat is a rendeletben foglaltak szerint kell kezelni és védeni.
A Rendelet részletesen szabályozza mind az adatkezelők kötelességeit, a nyilvántartás módját, az adatkezelés jogszerűségét, az esetleges jogosulatlan hozzáférés, adatvédelmi incidens esetén teendő intézkedéseket, mind pedig az érintett természetes személyek jogait, egyebek mellett a tájékoztatás és a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez, az adatkezelés korlátozásához vagy a törléshez való jogot.

Csúszásban a magyar szabályozás

A Rendelet a nemzeti szabályozás felett áll, a hazai jogalkotó számára csak annyi teret hagy, hogy a benne foglalt szabályok alkalmazását pontosíthatja. Magyarországon az adatvédelemről az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezik, ezt a GDPR-re tekintettel módosítani kellene, vagy inkább kellett volna, azonban ez még nem történt meg, a cikk megírásakor a Parlament még napirendre sem tűzte.
Jelen pillanatban még azt sem tudhatjuk biztosan, hogy milyen hatóság felel majd a GDPR betartatásáért, bár nagyjából valószínűsíthető, hogy a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság, amely most is felelős a személyes adatok védelmének biztosításáért.
A szabályozás csúszása közvetlenül kihat a vállalkozásokra: kétszer kell elvégezni a saját szabályzatuk és adatkezelési tevékenységük jogszerűvé tételét, május 25-ig a rendeletnek, majd pedig valamikor a honi szabályozásnak megfelelően.

Adminisztrációs teher

Összességében kijelenthető, hogy az adatvédelem és az adatkezelés elveiben és alapjaiban nagy változást nem hoz az új szabályozás, a személyes adatok kezelése és annak jogszerűségének biztosítása Magyarországon eddig is megfelelő volt. Lényeges változás lesz azonban az adminisztrációs terhekben, amelyek jelentősen növekednek majd, elsősorban az adatkezelés jogszerűségének dokumentálására, a tényleges adatkezelésre vonatkozó szabályok, valamint a tájékoztatási kötelezettség miatt. Fontos változás az is, hogy a rendelet fokozottan elvárja a megfelelésen túl a megfelelés igazolhatóságát is, azaz a vállalkozásnak bármikor tudnia kell bizonyítania azt, hogy a szabályoknak megfelelően működik. Végül, de nem utolsósorban jelentősen nőtt a jogsértések lehetséges szankciója is, súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg, a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós maximummal szemben.

A GDPR és a kozmetikus

Nyilván felmerül a kérdés: hogy is érinti mindez a mindennapjainkat, például egy kozmetika esetében, egyáltalán lesz-e ezzel nekem dolgom? Igen, gyakorlatilag mindeninek lesz vele dolga, nem is kevés.

Vegyünk két példát:
1. A saját szalonjában egyedül, a sarki boltban vásárolt krémekkel dolgozó kozmetikus, aki nem ad el terméket és kizárólag nyugtaadási kötelezettsége van. Ilyen esetben, ha a kozmetikusnak van akár egyetlen olyan vendége, akinek a neve és a telefonszáma fel van írva vagy el van mentve a telefonba, onnantól kezdve vonatkozik rá a rendelet. A NAIH joggal kérheti tőle az adatvédelmi szabályzatot, az adatok nyilvántartását és minden egyéb előírt dokumentumot, de azt az egyetlen ominózus vendéget is tájékoztatni kell – írásban – arról, hogy a személyes adatait kezeli, ill. az ezzel kapcsolatos jogairól is.
2. Ha a fenti, szándékosan életszerűtlen példától eltérően a kozmetikus nyilvántartja a vendégei elérhetőségét, néhány egészségügyi adatát – például allergia –, valamely konkrét cég termékeit használja, amelyeket egy területi képviselőtől vásárol, néha állít ki számlát, van Facebook oldala, akkor máris összejött egy rakás személyes adat, amit bizony csak a rendelet szabályainak megfelelően szabad kezelni. Ilyen adat a területi képviselő neve, telefonszáma, a számlára írt név és cím is, ami ráadásul továbbításra kerül a könyvelőnek, aki ezáltal adatfeldolgozóvá válik, tovább bonyolítva a dolgot. Ezeket az adatokat nyilván kell tartani, a kezelésükről tájékoztatni kell az érintettet, adott esetben a hozzájárulását is be kell szerezni.

Ajánlott cikkek

Minden megosztás számít!
FacebookPinterestTwitterGoogle+LinkedInEmail

Vélemény, hozzászólás?