Tudja, mit kell tennie, ha elveszíti a céges laptopot az ügyfeleinek adataival együtt? Van már a vállalkozásának adatvédelmi tisztviselője? Közérthető módon van megfogalmazva az adatkezelési tájékoztatója? Ha a válasz minden kérdésre igen, Önnek nem kell aggódnia, ellenkező esetben, jobb, ha felkészül, mert akár 20 millió eurós bírságot is kaphat. Május 25-étől Magyarországon is alkalmazni kell az Európai Unió általános adatvédelmi rendeletét (GDPR), amely a korábbiaknál sokkal jobban védi a magánszemélyek jogait. Az új szabályozás minden olyan szervezetet és munkáltatót érint, amely polgárok, illetve munkavállalók személyes adatait kezeli.
A jogszabály szerint személyes adatnak minősül minden olyan információ, amely alapján egy természetes személy közvetve vagy közvetlenül beazonosítható (például név, cím, anyja neve, születési hely, idő, azonosítók, telefonszám, email cím, felhasználónév, bankszámla adatok stb.), de ide tartozhat a munkahelyi e-mail cím vagy telefonszám is. A személyes adatok gyűjtése, rögzítése (akár kamerás megfigyelés is), rendszerezése, tárolása, továbbítása, felhasználása, törlése, sőt az azokba való betekintés is adatkezelésnek számít.
Nem lehet „csak úgy” adatokat kezelni
A rendelet egyik legfontosabb alapelve, hogy személyes adatot csak valamilyen konkrét céllal lehet kezelni. Az érintettet tájékoztatni arról, hogy miért van szükség az adataira, milyen célból használják és meddig fogják kezelni azokat. Az adatkezelőnek közölnie kell az érintettel a saját és – amennyiben alkalmaznia kell – az adatvédelmi tisztviselő elérhetőségét is. Amennyiben az érintett hozzájárulása alapján kezelünk adatot, a hozzájárulás bármikor visszavonható – ekkor a kérelem szerint rögtön törölni kell az adatokat. Az érintett azonban nem kérheti az adatainak a törlését, ha azt valamilyen jogi kötelezettség teljesítése érdekében (például a bank pénzmosás megelőzése céljából) vagy közérdekből kezelik.
Még szigorúbb szabályok vonatkoznak az úgynevezett különleges adatokra – ilyenek például a vallási vagy világnézeti meggyőződésre, politikai véleményre, egészségi állapotra, faji vagy etnikai származásra, szexuális irányultságra vonatkozó információk. Ezek kezelése többek között akkor megengedett, ha az érintett ahhoz kifejezetten a hozzájárulását adta vagy ha valamilyen közérdek miatt van rá szükség.
Munkáltatók, figyelem! – nem lehet megfigyelni az alkalmazottakat
Az új szabályozás a munkáltatókat egyaránt érinti, hiszen ők is kezelnek adatokat saját alkalmazottaikról. Azok az adatok, amelyek a munkaszerződések megkötéséhez vagy a munkabér kifizetéséhez szükségesek, természetesen továbbra is jogos adatkezelésnek számítanak. Más a helyzet azonban, ha egy munkáltató kamerás megfigyelést alkalmaz a munkahelyen, vagy ha azt ellenőrzi, hogy munkavállalói milyen internetes vagy közösségi oldalakat látogatnak – erre ugyanis csak akkor van lehetősége, ha ez bizonyíthatóan a munkáltató jogos érdeke és erről előzetesen tájékoztatja a munkavállalókat. A munkaviszony megszűnését követően bizonyos idő után pedig törölni kell a volt munkavállaló adatait.
Van adatvédelmi tisztviselője? Ha nincs, elkezdhet aggódni!
A rendelet egyik újdonsága, hogy adatvédelmi tisztviselő alkalmazását írja elő számos, adatkezelést végző szervezet számára. Miden esetben kötelező ilyen személyt kijelölnie a közhatalmi vagy közfeladatot ellátó szerveknek (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságoknak), azoknak az adatkezelőknek, amelyek fő tevékenységükként rendszeresen és szisztematikusan, nagy mértékben figyelik meg az érintetteket – például olyan programok készítői, amelyek célja a felhasználó viselkedésének és szokásainak rögzítése –, valamint azoknak, akik nagy számban kezelnek különleges adatokat. Utóbbiba tartozhatnak az egészségügyi szolgáltatók, politikai pártok vagy egyéb olyan szervezetek, amelyek hozzájutnak például személyek faji, etnikai hovatartozását, politikai véleményét, egészségi állapotát, vallási meggyőződését, szexuális irányultságát tükröző vagy biometrikus adatokhoz.
Jöhet a söralátétnyi adatkezelési tájékoztató
A GDPR véget vethet a végtelen hosszú, apró betűs, internetes adatvédelmi nyilatkozatoknak, amelyeket a felhasználók amúgy sem olvastak el soha, hanem csak gyorsan kipipálták az „elfogadom” mezőt, hogy minél hamarabb megkezdhessék az online vásárlást vagy böngészést. Az új szabályok szerinti tájékoztatónak közérthető módon, és tömör nyelvezettel kell tartalmaznia, hogy az adatokat milyen jogalap szerint és célból használják, mikor fogják törölni azokat, valamint ha panasza van, akkor kihez fordulhat jogorvoslatért. Ha a tájékoztatás nem felel meg ezeknek az előírásoknak, akkor a felügyeleti hatóság akár meg is bírságolhatja az adatkezelőt.
Akár 20 millió euró is lehet a bírság
A felügyeleti hatóság panasz alapján vagy hivatalból egyaránt indíthat vizsgálatot, és amennyiben valaki nem tesz eleget a rendelet szerinti kötelezettségeinek, bírságot szabhat ki. Súlyosabb jogsértéseknél a bírság akár 20 millió euróig vagy a cég éves világpiaci forgalmának 4 százalékáig terjedhet, míg kisebb kötelezettségszegés esetén a bírság maximuma ennek a fele lehet. A komolyabb jogsértések közé tartozik például a gyermekek adataival való visszaélés, míg kisebbnek számíthat az adatvédelmi tisztviselő hiánya vagy valamilyen dokumentációs hiányosság. A hatóság azonban mindig mérlegelhet és nem kell feltétlenül pénzbírsággal sújtania a jogsértőt, előfordulhat, hogy csak figyelmeztet vagy korlátozza az adatkezelést.
Be kell jelenteni, ha elvesztek az adatok
A jövőben nem csak egy esetleges vizsgálat során kell kapcsolatba lépnünk a felügyeleti hatósággal, hanem akkor is, ha az általuk kezelt személyes adatok – az érintettek jogára nézve kockázatot jelentő – veszélybe kerülnek. Adatvédelmi incidens például, ha elveszítünk egy személyes adatokat tartalmazó pendrive-ot, ellopják a céges mobiltelefonunkat vagy téves e-mail címre küldünk egy levelet. Ilyenkor ugyanis az adatok elveszhetnek, megsemmisülhetnek vagy jogosulatlan személyhez kerülhetnek. Az adatkezelőnek minden ilyen eseményről nyilvántartást kell vezetni, és 72 órán belül jelenteni kell a felügyeleti hatóságnak, ha az érintettek jogaira nézve kockázatot jelent az incidens. Ha ez a kockázat valószínűsíthetően magas, az adatkezelőnek az érintetteket is külön tájékoztatnia kell az incidensről.