GDPR

A GDPR az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation). Minden tagország minden adatkezelőjére kiterjed és minden EU-s állampolgár személyes adatait védi.

Bár a vállalkozásoknak adminisztrációs többletterhet jelenthet az alkalmazása, az adatvédelmi rendelet rendelet betartása összességében segíti a vállalkozásokat abban, hogy világos szabályok mentén kezeljék az ügyfeleik, ügyfeleik (vagy akár munkatársaik) adatait. A vállalkozás működéséhez, az üzletszerzéshez, az ügyfelekkel való kapcsolattartáshoz, a nyilvántartásokhoz szükséges személyes adatokat a GDPR szabályait betartva minden cég kezelheti. 

Személyes adatnak számít minden olyan információ, amely közvetlenül vagy közvetetten kapcsolatba hozható egy élő személlyel. Nem csak azok az információk tehát, amelyek révén egy személy egy lépésben azonosítható vagy megkereshető. (Egy személy neve, személyiigazolvány-száma, lakcíme mellett sok egyéb között a cipőmérete, hajszíne, kedvenc étele is személyes adatnak számít, ahogyan például az is, hogy egy adott napon milyen útvonalon és hova utazott.)

Ha egy magánszemély vagy egy cég a saját nevében személyes adatokat gyűjt, rögzít, tárol vagy módosít, akkor adatkezelőnek számít. Az adatkezelőknek minden uniós országban, tehát Magyarországon is kötelező betartaniuk a GDPR előírásait. Ezt Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeli.

Az adatkezelést minden esetben a rendeletben meghatározott jogalapok egyikével kell tudni alátámasztani. A GDPR hat jogalapot ismer, a leggyakoribbak az alábbiak:

• az érintett hozzájárult az adatok kezeléséhez;
• az adatok kezelésére az érintett által aláírt szerződés teljesítéséhez, vagy az érintett kérésére való megkötéséhez van szükség;
• az adatok kezelésére azért van szükség, mert az adatkezelőt az adatkezelésre jogszabály kötelezi.

Ha egy cég valakivel szerződést köt (például azzal, hogy az ügyfél megrendeli a cég szolgáltatását), nem kell külön engedélyt kérnie az ügyféltől a szerződéshez szükséges adatai megadásakor. Ugyanakkor tájékoztatni kell arról, hogy mi és miért fog történni az adataival (ez az adatvédelmi nyilatkozat vagy adatkezelési tájékoztató). Munkaszerződés megkötésekor az új munkatársnak is meg kell kapnia a rá vonatkozó tájékoztatást.

A rendelet szerint személyes adatok csak konkrét céllal kezelhetők. Csak azokat az adatokat és csak annyi ideig szabad kezelni, amikre és ameddig erre a cél eléréséhez szükség van. A szerződéshez megadott adatokat csak akkor szabad tehát később például marketingüzenetek küldéséhez felhasználni, ha erre az érintett külön hozzájárulást adott.

A GDPR-nek való megfelelés nem egyszerű dolog. A rendelet előírja: nem elég az adatgyűjtés, adattárolás szabályait betartani, hanem dokumentálni és igazolni is kell mindezt. Az adatkezelőnek tájékoztatókkal, informatikai és hozzáférési szabályzatokkal, szükség szerint elektronikus naplókkal, nyilvántartásokkal kell bizonyítania, hogy a nála fellelhető adatok mindegyike esetében betartotta és betartja az előírásokat. A munkavállalók esetében például nem elég, ha megkapják a tájékoztatót, érdemes alá is írniuk, hogy ez megtörtént (mint a munkavédelmi oktatás esetében). 

A médiában emlegetett hatalmas összegű bírságok biztosan nem a kisebb vállalkozásokat, hanem a globális óriáscégeket fenyegetik. A rendelet alkalmazását segítő magyar jogszabályban külön is szerepel, hogy ha a NAIH egy cég esetében megállapítja az előírások megsértését, az érintett cég az első alkalommal lehetőleg csak figyelmeztetést kapjon, de bírságot ne kelljen fizetnie.