Mi jelentett a GDPR bevezetése a vállalati adatkezelés tekintetében?
Az európai Általános Adatvédelmi Rendelet (GDPR) vitathatatlanul a legátfogóbb adatvédelmi rendelet a világon. A vállalatok eredményességük érdekében az adatkezelést is üzleti szempontok szerint folytatták és nem vagy minimálisan foglalkoztak az üzleti érdekeiken felül (pl üzletit titkok) a magánszemélyek vagy akár jogi személyek adatbiztonságával és adatait illető jogaival ( pl adatminimalizálás, megfelelő tájékoztatás). A GDPR megjelenésével a vállalatoknak sokkal körültekintőbben kell eljárniuk ezen területeken.
Mi az az adattár?
A GDPR 30. cikkének alapján az adatkezelők kötelesek az adatkezelési tevékenységükről nyilvántartást vezetni, melynek tartalmaznia kell:
- az érintettek megnevezését;
- a kezelt személyes adatok kategóriának leírását;
- azon személyek csoportjának a leírását, akik a kezelt adatokat megkapják;
- azon Európai Gazdasági Közösségen kívüli államok leírását, ha van ilyen, ahova az adatokat küldik, valamint a megfelelő intézkedéseket, melyek megkönnyítik a továbbítást;
- az adatok várható törlését megelőző időszakot és
- az adatok védelmének leírását.
A GDPR- nak való megfelelés érdekében a vállalkozások sürgősen rákényszerülnek, hogy saját adattárat hozzanak létre. E tekintetben ügyvédi irodák vagy felülvizsgáló hatóságok által készített formanyomtatványok vagy sablonok használatával vagy pedig adatvédelmi tanácsadó alkalmazása is bevett gyakorlat.
Miért veszélyesek az adattárak?
A vállalatoknak olyan adattárat kell létrehozniuk, melyet kérés után az adatkezelő, vagy adatfeldolgozó a felügyeleti hatóság részére átad. Az esetleges ellenőrzés keretein belül pedig ez lesz az első dolog, amit a hatóság átnéz.
A gyakorlatban megismert eset, amikor egy nemzetközi szervezet alkalmazott egy neves tanácsadó céget az adattáruk elkészítése érdekében. A cég több száz emberrel készített online felmérést majd pedig ezek alapján elkészítette a vállalat adattárát. A vállalkozás ezt követően teljes körű értékelést kért az adattárról, mely során több hibát is felfedeztek. A szervezet jelenlegi adatkezelése nem ütközött a GDPR-be, az elkészített adattár viszont már igen. Az eset során felmerült problémák megmutatják, mire érdemes odafigyelni a rendeletnek való megfelelés esetében.
A hozzájárulás mint jogalap feltüntetése
A GDPR- nak való megfelelés jegyében oda kell figyelni arra, hogy korábban miként rögzítette a vállalat az adott adatok jogszerűkezelését megalapozó jogalapokat.
Lényeges, hogy a hozzájárulások kezelését olyan emberre bízzák, aki megfelelően képes a kezelésükre, továbbá tisztában van a rendelet vonatkozó szabályaival.
Figyelni kell, hogy a hozzájárulások megfelelőek legyenek, legyen dokumentálva, továbbá feleljen meg a rendelet 7. cikkének, a hozzájárulás megadása előtt érthető, könnyen hozzáférhető módon kell tájékoztatni az érintettet, lehetőséget kell biztosítani neki a hozzájárulásának visszavonására.
Figyelemmel kell lenni arra, hogy személyes adatokhoz hozzáféréssel rendelkező személy csak az adatkezelő utasításával kezelheti az adatokat, kivéve, ha uniós vagy tagállami jog kötelezi az eltérésre.
A szerződés teljesítése, mint jogalap
Csak akkor adhat jogi alapot a személyes adtok kezeléséhez, amennyiben a szerződésben az adatgyűjtés által érintett félként szerepel.
Kötelező adatgyűjtés és – kezelés
Nem elég általánosságban hivatkozni, meg is kell jelölni azokat a törvényeket, rendeleteket, szabályokat, amelyek az érintettre vonatkoznak, annak érdekében, hogy megállapítható legyen az ellenőrzést végző hatóság számára, hogy létezett/létezik az adatok begyűjtését előíró jogszabály.
Itt fontos megjegyezni ugyanakkor, hogy a személyes adatok feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport (az Európai Adatvédelmi Testület elődje) kimondja, hogy az EU illetve valamely tagállam joga kell, hogy előírja az információk gyűjtését.
