Folytatjuk cikksorozatunkat, melyben igyekszünk felkészíteni a cégeket az Európai Unió 2018. május 25-étől alkalmazandó Általános Adatvédelmi Rendelete, a GDPR jelentette kihívásokra. Ebben a részben ahhoz adunk támpontot, hogy milyen szabályzatokat, tájékoztatókat kell készíteniük az adatkezelőknek.
Nemrég lezajlott a Portfolio GDPR Summit 2018 konferenciája, amelyen Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke kifejtette: hivatala 2018. május 25-ét követően is elsősorban panaszbeadványok alapján fog eljárni, azaz nem fog váratlanul megjelenni az adatkezelőknél, de az biztos, hogy azokat a dokumentumokat el fogják kérni, amivel igazolják, hogy megvizsgálták az adatkezelésüket, és hogy megfelelnek a GDPR-ban előírtaknak. Nagyon fontos tehát, hogy a cégek a közelgő határidőre elkészüljenek azokkal a szabályzatokkal és nyilvántartásokkal, amelyek az új előírásoknak való megfelelést biztosítják. De miket célszerű szabályozni és hogyan lássunk hozzá?
Az adatkezelési tájékoztató
A kezelt személyes adatok köréről és az adatkezelés módjáról eddig is kellett tájékoztatni az érintetteket; kevés olyan kiskereskedelmi vállalkozás, webáruház létezik ma, amelyiknek ne lenne adatvédelmi tájékoztatója. Mivel azonban a tájékoztatás tartalmára nézve a GDPR az eddigi magyar jogszabályi előírásokhoz képest sok plusz elemet ír elő, és eltérő a tájékoztatás tartalma aszerint, hogy az adatok az érintettől származnak, vagy más forrásból (például adatbázis megvásárlása útján), ezért a meglévő adatkezelési tájékoztatókat felül kell vizsgálni és az új szabályokhoz, valamint a tényleges üzleti folyamatokhoz kell igazítani.
Nincs két egyforma vállalkozás és adatkezelési modell, ezért nem érdemes sablon tájékoztatót használni vagy a versenytársa tájékoztatóját lemásolni. Az sem mindegy, hogyan helyezzük el a tájékoztatót. A GDPR ugyanis kifejezetten előírja, hogy azt az ÁSZF-től és más, a vásárlásra vonatkozó feltételektől elkülönítve kell elhelyezni, és könnyen érthető, egyértelmű, világos módon kell megfogalmazni.
A tájékoztató hangsúlyos része kell, hogy legyen az érintettek jogairól szóló információ. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:
- a rá vonatkozó személyes adatokhoz való hozzáférés;
- azok helyesbítése;
- törlése („az elfeledtetéshez való jog”);
- kezelésének korlátozása;
- a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
- az adathordozhatósághoz való jog.
Az adatkezelési hozzájárulás
A GDPR szükségessé teszi az adatkezeléshez való hozzájárulás módjának a felülvizsgálatát és módosítását is. A hozzájárulás ugyanis csak akkor tekinthető jogszerűnek, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti. Egy webáruház esetében az önkéntesség kritériuma például csak akkor teljesül, ha a személyes adatoknak – a megrendelés teljesítéséhez szükséges adatkezelésen túlmenő (pl. direkt marketing célú) – kezeléséhez történő hozzájárulás nem feltétele a megrendelés teljesítésének. Természetesen a vásárlót lehet az ilyen célú adatkezelésre különféle kedvezményekkel motiválni, de lehetővé kell tenni, hogy rendeléskor az érintett szabadon dönthessen arról, hogy a fő adatkezeléshez történő hozzájárulása mellett kíván-e például hírlevelet is kapni a webshop-tól.
Belső szabályzatok
A NAIH nemrégiben kiadott egy iránymutatást, melyben 12 pontban összefoglalja, hogyan készüljenek fel a szervezetek a GDPR alkalmazására. A lista élén az adatvédelmi tudatosság erősítése áll: az adatkezelőnek biztosítania kell a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez. Vagyis az adatokat kezelő munkavállalók részére megfelelő belső szabályokat kell alkotni.
A munkáltatói szabályzatok tartalma a szervezet által kezelt adatok jellegétől függően nagyon eltérő lehet, de legalább három témát mindenhol érinteni kell:
- Adatvédelmi incidens bejelentése: A GDPR értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén az adatkezelőnek indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – bejelentést kell tennie a NAIH-nál. A szervezetnek tehát meg kell határoznia, hogy ki vagy kik lesznek, akiknek ezt a bejelentést meg kell tenniük, és meg kell határoznia egy belső eljárást, amelyet minden munkavállalónak ismernie és alkalmaznia kell ilyen esetben.
- Az érintettek tájékoztatása: A GDPR nemcsak azt írja elő, hogy az érintettet az adatkezelés megkezdése előtt tájékoztatni kell az adatkezelés főbb jellemzőiről és az ő jogairól, hanem azt is, hogy az adatkezelőnek az érintett kérésére bármikor tájékoztatást kell nyújtania a kezelt adatok köréről, terjedelméről, módjáról, stb. Ezt a kérést az adatkezelőnek legfeljebb 30 napon belül teljesítenie kell, méghozzá díjmentesen – kivéve, ha a kérelem egyértelműen megalapozatlan vagy túlzó. Mivel a NAIH jellemzően az érintettek panaszára fog eljárni, rendkívül fontos, hogy az ilyen tájékoztatás-kérések teljesítésére a munkáltató a megfelelő belső eljárásrend lefektetésével fel legyen készülve.
- Jogosultságok kezelése: A GDPR alapelvi szinten rögzíti, hogy az adatkezelő „megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik”. Mindent meg kell tenni tehát annak érdekében, hogy a személyes adatok a szervezeten belül biztonságban legyenek, és csak azok férjenek hozzá, akiknek a feladatuk ellátásához ez feltétlenül szükséges. Érdemes tehát belső munkáltatói szabályzatban rögzíteni azt, hogy ki milyen adatokhoz férhet hozzá és milyen módon. Ennek a szabályzatnak a tartalma szervezetenként igen eltérő lehet, elsősorban attól függően, hogy milyen formában tárolódnak az adatok.
A soron következő cikkünkben az adatkezelési nyilvántartásokról, az előzetes hatásvizsgálatról és az adatvédelmi tisztségviselőről lesz szó.