A GDPR adatvédelmi rendelet bevezetése a vállalkozásokra jelentős hatást gyakorolt és új terheket is rótt. Az adatvédelmi kötelezettségek figyelembe vétele ma már nem kerülhető el egy komoly üzleti vállalkozásnál.
Mit jelent a GDPR?
A GDPR a General Data Protection Regulation kezdőbetűiből képzett mozaikszó, az Európai Unió általános adatvédelmi rendelete, azaz a GDPR 2018. május 25-étől kezdődően kötelezően és közvetlenül alkalmazandó a tagállamokban, így Magyarországon is. Az összes hazai adatkezelő és adatfeldolgozó részére szigorú követelményeket állít fel a személyes adatok kezelésére vonatkozóan.
Kikre vonatkozik a törvény?
Gyakorlatilag minden vállalkozásra.
- Az Európai Unión belül tartózkodó természetes személyeknek szolgáltatásokat nyújtó, vagy velük szerződésben álló szervezetre, vagy
- ha vállalkozásként, civil szervezetként vagy magánszemélyként az Európai Unión belül személyes adatokat kezel (azaz megszerez, rögzít, gyűjt, rendszerez, tárol, átalakít, megváltoztat, továbbít, azokba betekint vagy egyszerűen csak kapcsolatba kerül azokkal stb.).
Miért fontos az adatvédelem?
A GDPR rendelkezései a cégvezetők számára különösen fontosak az alábbi okok miatt:
- Adatvédelmi büntetések elkerülése érdekében: A GDPR megsértése komoly pénzbírságokkal járhat. Az adatvédelmi hatóságok jogosultak akár 20 millió euró vagy az éves globális forgalom 4%-a (attól függően, hogy melyik összeg a nagyobb) büntetést kiszabni. Ez jelentős anyagi terhet róhat egy vállalkozásra, amely nem megfelelően kezeli a személyes adatokat.
- Megbízhatóság és ügyfélbizalom megtartása miatt: Az ügyfelek és partnerek számára fontos, hogy adataikat biztonságban tudják. Ha egy cég nem tartja be a GDPR előírásait, az negatív hatással lehet a vállalkozás hírnevére és ügyfélbizalmára. A GDPR-nak való megfelelés biztosítja a vállalkozások megbízhatóságát és versenyelőnyt nyújthat a piacon.
- Dolgozói elkötelezettség növelése érdekében: Az elkötelezettség kulcsfontosságú szerepet játszik abban, hogy egy vállalat milyen üzleti sikereket tud felmutatni. A cégvezetőknek biztosítaniuk kell, hogy nemcsak az ügyfelek, hanem az alkalmazottak jogai tiszteletben legyenek tartva. Ez magában foglalja az adatok biztonságos tárolását cégen belül, az adatvédelmi tájékoztatók biztosítását a munkavállalóknak és az adatokhoz való hozzáférés korlátozását (pl.béradatok).
- Nemzetközi kereskedelem esetén: A multinacionális vállalatok és e-kereskedelmet folytató cégek életében már a mindennapi munka részévé vált a GDPR szabályok betartása, figyelemmel kísérése. Enélkül már nem lenne működőképes egy nemzetközi szervezet. A GDPR szabályozza az adatok harmadik országokba való továbbítását is, és biztosítja, hogy az adatvédelmi előírásokat megfelelően betartsák.
Milyen feladatai vannak egy cégvezetőnek?
- GDPR szabályokat betartatni, ellenőrzéseket végeztetni: Rendszeresen felül kell vizsgáltatniuk az adatvédelmi szabályzatok és tájékoztatók érvényességét, ha még nincs el kell készíttetni. Emmellet érteniük a GDPR alpvető alapelveit, követelményeit és azok hatását a vállalkozásra.
- Adatvédelmi tisztviselő kinevezése: Bizonyos esetekben a cégvezetőknek kötelességük lehet kinevezni egy adatvédelmi tisztviselőt (DPO - Data Protection Officer), különösen akkor, ha a vállalkozás fő tevékenysége az adatok rendszeres és nagymértékű monitorozására vagy érzékeny adatok kezelésére épül.
- Adatvédelmi incidensek kezelése: A cégvezetőnek biztosítania kell, hogy legyen a vállalkozásnak az adatvédelmi incidensek kezelésére vonatkozó eljárása. Ez magában foglalja azok azonosítását és dokumentálását is. Ha ez bekövetkezik (pl. céges laptop ellopása, eltűnése) és az incidens feltehetően kockázatot jelent az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, a vállalkozása/szervezete köteles bejelenteni az esetet a felügyeleti hatóságnál.
- Alkalmazottak képzése és személyes adataik védelme: Biztosítania kell, hogy a vállalkozásának rendelkezzen megfelelő technikai és szervezeti intézkedésekkel az adatok védelmére vonatkozóan. Ez magában foglalja az adatbiztonsági intézkedések bevezetését, az adatok védelmére vonatkozó szabályok betartását, és a dolgozók körében az adatvédelmi oktatást is.
Miben tudunk mi segíteni?
A megfelelés érdekében ügyvédi irodánk GDPR tanácsadás keretében elvégzi a szükséges teendőket adatvédelmi-, illetve IT-szakértő partnereinkkel együttműködve. Széles körű ismerettel rendelkezünk a GDPR, valamint a magyar adatvédelmi hatóság (NAIH) és az EU munkacsoportjai által kidolgozott állásfoglalások, az Infotv. és a különböző szektoriális vagy ágazati jogszabályok tekintetében.
a) Teljes adatvédelmi átvilágítást végzünk az egész vállakozásra
Lépései:
- Felmérés: Segítünk felmérni az ügyfelek adatkezelési folyamatait mind információtechnológiai (IT), mind jogi oldalról.
- Feltárás: Feltárjuk azokat az adatkezelési műveleteket, tevékenységeket, dokumentumokat, amelyek nem felelnek meg a GDPR előírásainak.
- Cselekvési terv: Ezt követően hozzájárulunk a GDPR-ral való harmonizáció megteremtéséhez azzal, hogy meghatározzuk a szükséges teendőket egy cselekvési tervben,
- Végrehajtás: Továbbá segítséget nyújtunk a végrehajtásában és a megfelelő jogi, IT-környezet megteremtésében.
b) Részfeladatokban tanácsot adunk, illetve elvégezzük a szükséges teendőket
- Adatkezelési szabályzatok, tájékoztatók, nyilatkozatok elkészítése,
- Az adatkezeléssel érintett szerződések elkészítése, valamint a már meglévő szerződések véleményezése és módosítása,
- Az érintett természetes személyek személyes adatainak sérelmével összefüggő jogi képviselet ellátása,
- Segítséget nyújtunk az ügyfeleknek többek között a marketing célú tevékenységek, reklámok, internetes áruházak, weboldalak üzemelése tekintetében, elkészítjük az ehhez szükséges adatvédelmi szabályzatokat, tájékoztatókat, ÁSZF-eket,
- Tanácsokat adunk a munkáltatók és a munkavállalók számára is a munkahelyi adatkezelésre vonatkozó kérdéseikre,
- Kamerarendszerek, beléptetőrendszerek adatvédelmi jogi megfelelőségét véleményezzük,
- Különös nagy tapasztalatunk van sportszervezetek, vendéglátó egységek, szállodák számára is komplex, az adatvédelmi szabályzatoknak megfelelő környezetet biztosítunk,
- Kapcsolatot tartunk az adatvédelmi hatósággal (NAIH),
- Igény esetén, adatvédelmi tisztviselőként (DPO) állandó vagy eseti megbízást láttunk el,
- Különböző adatvédelmi képzések, oktatások nyújtásával segítünk a szervezeteknek, annak érdekében, hogy a vezetők és a munkavállalók megfelelő felkészültséggel rendelkezzenek a személyes adatok védelme körében.