Dr. Kovács Norbert blogja

ügyvéd, felelős akkreditált közbeszerzési szaktanácsadó, energetikai szakjogász

Mégis mi az a GDPR, és hogy lehet megfelelni neki?  

2018. április 17. 13:32 - dr. Kovács Norbert

Múlt heti cikkem a GDPR-ről, azaz az Európai Unió új adatvédelmi szabályozásáról extrém aktivitást váltott ki kedves Olvasóimban. E heti bejegyzésemben igyekeztem ezeket rendszerezni, összegyűjteni, és közérthető formában megválaszolni.
adult-blur-business-374899.jpg

Mi is tulajdonképpen a GDPR? 

Összefoglalva, a GDPR (General Data Protection Regulation - Általános Adatvédelmi Rendelet) a privát adatok kezelését szabályozza. Legfőbb érintettjei azok a vállalatok, akik bármilyen jellegű személyes adatot kezelnek.

Az Európai Uniónak eddig is voltak az adatkezeléssel kapcsolatos irányelvei. A sokak által „rettegett” változást az hozza el, hogy a szabályozás közvetlenül alkalmazandó rendelet formájában is hatályba lép.

Nomen est omen, az irányelveket az EU irányadónak szánja, előkészítve egy jövőbeli egységes szabályozást, a rendeletek viszont kötelező érvényűek. A GDPR hazai betartatásáról a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gondoskodik.

 

Családi vállalkozásom van, érdemes tovább olvasni egyáltalán?

A NAIH állásfoglalása szerint a rendelet minden cégre kiterjed, ami a GDPR hatálya alá tartozó személyes adatokat kezel (ennek köréről lásd előző írásomat). 

Ennek értelmében a rendelet a legnagyobb multicégek mellett ugyanúgy vonatkozik a szomszédra, aki egyéni vállalkozóként könyvel, és nagymama családi ruhakereskedésére is. A rendelet nem tesz különbséget cégek között ilyen tekintetben.

 

Cipruson van a cégem bejegyezve, hátradőlhetek?

Külföldi székhelyű cégek sem mentesülnek a szabályozás hatálya alól. Mivel a rendelet minden olyan vállalatra vonatkozik, amely európai polgároknak szolgáltat, ezért ilyen jellegű megoldások sem vonják ki a cégeket a rendelet hatálya alól. Érintett a nemrég pont adatkezelési botrányai miatt reflektorfénybe került Facebook is, és a Máltán bejegyzett, magyarországi ügyfelekkel rendelkező pénzügyi tanácsadócég is.

 

Május 25-én lép érvénybe a rendelet, meddig érek rá még ezzel foglalkozni?

  1. május 25-étől kezdve minden vállalkozás, aki a rendelet előírásait megszegve, szabálytalanul kezel személyes adatokat, bírságolhatóvá válik, nem is kis mértékben.

A NAIH folyamatosan készül már a hazai vállalatok ellenőrzésére. Minden bizonnyal nem a rosszindulat vezérli majd ezeket a vizsgálatokat, mindamellett egyértelművé tették, hogy a privát adatokat kezelő cégeknek nem csak megfelelniük kell a szabályozásnak, hanem ezt a vonatkozó dokumentumokkal bizonyítaniuk is kell tudni.

A passzív jogkövető magatartás tehát szükséges, de nem elégséges - fontos, hogy bizonyítani is tudjuk.

A május 25-ei dátum előtt már 2 évvel, 2016 ugyanezen szakaszában a rendeletet kihirdették, így a hátralévő heteken túlmenően türelmi időre nem számíthatunk.

 

Webáruházam van, küldhetek hírlevelet a korábbi vevőimnek?

A GDPR témájában egyik legáltalánosabban tárgyalt kérdés az a webáruházak adatkezelése, valamint a már meglévő adatok marketing célokra való felhasználása.

Ha Önt is mindig zavarták az indokolatlanul, ismeretlen feladótól származó hírlevelek, már nem kell sokat várnia.

A rendelet értelmében ugyanis tilos online tranzakciók után az ügyfelek adatait megőrizni, más céllal felhasználni, hacsak nem erre kifejezett felhatalmazást kaptunk. Azaz mind az adatok megőrzéséhez, mind azoknak más célú felhasználásához (mint például egy későbbi promóciónkat beharangozó hírlevél) a fogyasztók tudatos hozzájárulása szükséges.

 

Milyen jogaink vannak magánszemélyként?

Bár a legtöbb fogyasztó nem ismeri pontosan a jogait, GDPR széleskörű eszköztárat biztosít magánszemélyeknek, hogy nyomon kövesse és kezelje a róla tárolt adatokat.

Magánemberként jogunk van többek között, hogy tájékoztassanak bennünket, amint egy cég hozzájut személy adatainkhoz, valamint hogy mely adatainkat tárolják. Jelezhetjük, ha ezekben változtatást szeretnénk eszközölni. 

Tiltakozhatunk a személyes adataink kezelése ellen, ha azt jogtalannak véljük (például mert nem adtunk rá felhatalmazást), de akár az adatok törlését is kérhetjük. Törlési kérés esetén az adatkezelőnek tájékoztatnia kell minden harmadik felet is, akinek az adatokat átadta.

Természetesen vállalati szereplőként mindezek kötelezettségként jelennek meg, melyet fontos szem előtt tartanunk az ügyfeleinkkel, partnereinkkel való kapcsolattartásban.

 

+ Ügyvédi tipp

Amennyiben Ön cégvezetőként nem biztos abban, hogy vállalkozása megfelel az előírásoknak, és megfelelően le van védve, forduljon szakemberhez - a rendelet húszmillió érvet hoz fel erre.

Mivel összetett szabályozásról van szó, melyet a hatóságok ellenőrizni is fognak, javasolt jogi tanácsadást igénybe venni, hogy megszüntesse a meg nem feleléssel járó súlyos anyagi kockázatot.

 

(Jelen írás tájékoztató jellegű, nem kimerítő. Jogi tanácsadásnak nem minősül, azt nem is pótolhatja).