Az adatvédelmi jogszabályok változása miatt komoly zűrzavarra készüljön.
A GDPR rendeletnek - ez az az uniós adatvédelmi rendelet, amely május 25-én hatályba lép - még nincs kiforrott értelmezése, sok a nyitott kérdés. Többek között, hogy melyik rendelkezése milyen viszonyban van a nemzeti jogokkal (Magyarországon megcsúszott az infótörvény módosítása), nem történt meg sem a GDPR, sem a tervezett új infótörvény egybefésülése az ágazati jogszabályokkal, és érthető módon bírósági gyakorlat nincs. Az eddigi hatósági határozatok, sőt bírósági ítéletek között pedig több olyan van, ami legalább is csodálkozásra ad okot.
Egyrészt legyen biztos benne, hogy ez Önt is érinteni fogja - akkor is, ha jelenleg azt gondolja, hogy Ön nem kezel személyes adatot.
Nagyjából, ha egy vállalkozás iratai között legalább egy név szerepel - munkavállaló, alvállalkozó, vevő, lehetséges vevő, érdeklődő és bárki -, akkor ez Önt érinteni fogja! Ez most erős túlzásnak tűnik, de nem az.
Az adatkezelés rendbetétele nagy adminisztratív munkával jár. Önnek először fel kell mérnie, hogy milyen adatokat keze és hol. Ez nem egyszerű, lehet, hogy az Ön egyik üzletkötője tarja számon a mobilján a lehetséges vevőket - és más hasonló szörnyűségek. Ez az adatvagyon leltár.
Azt javasoljuk, hogy ezért kezdje azzal, hogy elkezdi az adatkezelési nyilvántartást kitölteni - ez azért jó, mert ez végigvezeti Önt a legfontosabb megválaszolandó kérdéséken.
Miután megnézte, ideges lesz.
Ha bárhol a cég dolgaiban talál olyan adatot, ahol név van, ezt a listát írja fel ebbe a nyilvántartásba - a valóságban persze ez lehet ennél bonyolultabb, de ezzel induláskor ne törődjön.
Minden ilyen adat kapcsán meg kell tudnia válaszolni, hogy milyen alapon kezeli az adatokat (a jogcímekről talál tájékoztatókat nálunk is), de két jogcím lesz Önnek a legfontosabb: az egyik esetben Ön ezt jogi kötelezettség miatt kezeli, a másik fő esetben pedig az Ön jogos érdeke az, amiért az adatokat kezeli.
A két fő jogalap csoport esetén eltérnek a nehézségek. A jogszabályi kötelezettségen alapuló adatkezelés esetén is meg kell mondani azt, hogy melyik jogszabály az alapja az adatkezelésnek? Ön valószínűleg tudja, hogy a számviteli - adózási papírokat 8 évig kell megőrizni, és a könyvelője valószínűleg azt is tudja, hogy hol lehet ez a jogszabályban. És a munkaviszony meglétét igazoló papírokat meddig kell megőrizni? És vajon ez hol van előírva? Ez a megőrzési hisztéria azért fontos, mert ha a határidő letelt, akkor ezen jogcímen nem is lehetnek meg Önnél az adatok, kötelezően selejtezni kell - a határidő lejártakor azonnal! Ez így alapvetően jogi és adminisztratív feladat, de attól még végrehajtandó.
A másik fő csoport, ha az adatkezelés oka az Ön jogos érdeke. Itt nem kell jogszabály-kutatásába merülni, de mindegyik esetében érdekmérlegelési tesztet kell végrehajtania. Ilyet a mi webshopunkban is talál, és ha szakértő segítséget vesz igénybe, neki is lesz.
Ha van ilyen teszt, akkor is kell hozzá pontos ok, hogy pontosan melyik adatot meddig és mire akarja használni, meg kell határozni, hogy mikor fogja törölni és addig is ki nézheti meg.
Ha idáig eljutott, akkor adattisztítást kell végrehajtania: ha gond van a jogcímmel vagy a céllal, vagy ha a nyilvántartás szükségtelenül részletes - azokat ki kell törölnie.
Hát nem - az adatbiztonság hátra van.
A kezelt adatok biztonságát is garantálnia kell. Az adatok lehetnek számítógépen és papíron, és nem veszhetnek el és nem ismerheti meg senki, aki erre nem jogosult.
Ezeken azért kell végig menni, mert az is bírságolási ok, ha Önnél adatvédelmi incidens - milyen szép szó - következik be (pl. elveszítenek egy céges telefont, elromlik egy számítógép és voltak rajra nem mentett adatok, pl. egy szerződés tervezet).
Ha bekövetkezik ilyesmi, akkor Önnek ezt ki kell vizsgálnia, nyilvántartásba kell vennie, és sokszor be kell jelentenie az adatvédelmi hatóságnál.
Itt az lesz az egyik fő kérdés, hogy vigyázott-e az adatokra. Az adatvédelem lehet informatikai jellegű, de szervezési és fizikai elemekből is állhat. Erre jó anyagaink vannak, de a spanyol viaszt nem mi találtuk fel. Sokszor elég egy kis józan paraszti ész, és egy adag üldözési mánia. Mindenesetre Önnek azt is dokumentálnia kell, hogy milyen adatbiztonsági intézkedéséket tett.
Normál esetben azt, akinek Ön átadja az adatokat adatkezelőnek hívják, pl. a könyvelője vagy a futárszolgálat vagy a marketing ügynökség vagy rendezvény szervező vagy más. Mindezekkel olyan módon kell a megállapodását megváltoztatnia, hogy Ön védve legyen. Alapesetben ugyanis Ön felel az adatkezelő hibájáéért is. Nagyon fontos lehet, hogy Ön gondos volt-e az adatkezelő kiválasztásakor, és az adatkezelő számára kiadott utasítások során is.
Mivel adatkezelés majdnem minden szerződéskötéskor és teljesítésékor felmerül, a legtöbb szerződésének a végére az adatkezeléssel foglalkozó klauzulát kell beépíteni. De hasonló problémája lesz ha az Ön dolgozói céges laptopot vagy telefont használnak. Nagyjából az van, hogy a magáncélú használatot kénytelen lesz betiltani - mert másképp szinte kezelhetetlen a jogi helyzet. Attól persze a telefonon maradnak személyes adatok - ahol Ön az adatkezelő!
Vannak továbbá különleges adatok, amelyeket tilos kezelni - általában - de azért sok a szükségszerű kivétel. Az könnyen belátható, hogy normál esetben a dolgozó vallása, politikai nézetei, szexuális irányultsága nem nyilvántartható - kivéve amikor igen. Viszont, ha egy vállalati rendezvény kapcsán megkérdezi, hogy ki allergiás és mire – már hogy számára ehető kaját kapjon - az már egészségügyi adat - megint eltérő szabályokkal. Hasonlóan gondja lehet egy vállalati Mikulás rendezvénnyel, ahol a gyerekekről kell Önnek tudni pl. hogy egészségesek-e - az is adat, hogy egészséges. És ekkor már egy gyermek egészségügyi adatait kezeli. Brrr… Üzemorvos, munkaegészség-ügy, alkalmassági vizsgálat, van itt is minden.
Az ágazati törvények a másik gond. Az Ön adatkezelésének egyik fő része a marketinghez kapcsolódik. (Ne feledje, hogy a gazdasági reklámról külön jogszabály van, és hogy ez így is maradjon azt a GDPR rendelet is megengedi.) Az, hogy mikor és mennyiben fogják a két joganyagot harmonizálni az kétséges, de ez senkit sem akadályoz meg abban, hogy Önt megbírságolják. Ágazati törvények az állatorvosokig bezárólag nagy számban vannak.
A következő lépés az legyen, hogy szervezzen magának vagy a cégének egy konzultációt - ebben mi is az egyik lehetséges cég vagyunk - de rajtunk kívül talál erre jelentkezőt az interneten szép számmal. Ha valakit sikerült elérni, és elképedt az ár és határidő hallatán, próbáljon szerezni egy adatvédelmi tisztségviselőt is - hogy valamikor legalább megkezdődjön a folyamat. Az is lehetséges, hogy a cég dolgozói közül bíz meg valakit ezzel a munkával. Az adatvédelmi tisztségviselő nem feltétlenül külsős és nem feltétlenül főállású - sőt lehet más feladata is. Az erre vonatkozó szabályokat nálunk is megtalálja.
A harmadik javaslatunk, hogy szerezze be a legnyilvánvalóbb nyomtatványokat, mert ezek kitöltésével szükségszerűen halad a rendezés irányába. Ez azért is jó, mert legalább lesz egy forrása ahova később is fordulhat - és viszonylag könnyen észlelheti, ha valami menet közben megváltozik. Arra, hogy a szabályozás változni fog, simán mérget vehet. Oldalunk elején van egy lista az általunk alapvetőeknek gondolt nyomtatványokról. Ha ezeket megveszi, akkor legalább a következő elmenő kollega nem fogja Önt feljelenteni, hogy ezeket - mások szellemi termékét - úgy lopták.
És akkor még egyszer - a helyzet bonyolultabb, mint ahogy mi leírtuk, de ennek meg kell felelni - előbb vagy utóbb. Az előbb az első ellenőrzés előtt, az utóbb az első birság után. Többször fog azzal a véleménnyel találkozni, hogy a hatóságnak nincs kapacitása mindenkit folyamatosan ellenőrizni - ez igaz, de ki tudja, hogy kit és milyen alapon választanak ki a példa statuálására. Ez azért fontos, mert bár a bírságolási gyakorlat nincs meg, amit most tudunk róla az elképesztő.