Az elmúlt időszakban nagyon sokat lehetett hallani a május 25-től életbe lépett új általános adatvédelmi rendeletről, a GDPR-ról (Egységes Európai Adatvédelmi Rendelet). Mivel valamennyi vállalkozást érinti az új szabályozás, fontos és érdemes is róla beszélni, hogy az alapokkal tisztába kerüljenek a cégek. Talán még mindig sokak számára nem teljesen egyértelmű, de az új rendelet a családi vállalkozásoktól kezdve a legnagyobb cégekig mindenkire kiterjed, hiszen valamilyen szinten minden vállalkozás kezel személyes adatokat, hiszen vannak saját munkavállalói, ügyfelei, szerződéses partnerei.
Mit védünk a szabályozással
A szabályozás kifejezetten a személyes adatok védelméről szól; tartalmazza ezen adatok megszerzésére, rögzítésére, tárolására, kezelésére és bármilyen felhasználásra vonatkozó szabályozásokat. Egyben részletezi az érintett természetes személyek jogait és az adatokat begyűjtő, kezelő, feldolgozó cégek kötelezettségeit.
Személyes adat minden olyan információ, ami alkalmas arra, hogy egy bizonyos személyhez kössük, amivel egy személyt be tudunk azonosítani; különösen az érintett neve, különböző személyes adatok, azonosító jelek, valamint bármely egészségügyi, jövedelmi, kulturális profilra, nemzeti, vallási hovatartozásra jellemző ismeret, valamint az ezekből levonható, az érintettre vonatkozó következtetés.
Kire vonatkozik
Ki kell emelnünk, hogy a rendelet hatálya a vállalkozások adataira nem terjed ki, csak az egyes természetes személyek adataira vonatkozik; így pl. egy megbízási szerződés kapcsán a cégvezetők, vagy a kapcsolattartók adataira, vagy bérszámfejtési szolgáltatás kapcsán a megbízó cég munkavállalóinak adataira. Így tehát természetesen a szabályozást minden cégnek figyelembe kell vennie a saját munkavállalója kapcsán is.
Az adatkezelés jogalapjai – nem csak a hozzájárulás az egyetlen lehetőségünk
Az adatkezeléshez megfelelő jogalap szükséges. Az új rendelet a hozzájárulásán felül 5 jogalapot is megad az adatok kezelésére, ami nem teszi szükségessé az érintett hozzájárulását.
A rendelet szerint személyes adat akkor is jogszerűen kezelhető, ha pl. a cég szerződés alapján nyújt szolgáltatást az érintettnek, hiszen így a kezelt adatok a szolgáltatás nyújtásához szükségesek. Ugyancsak nem szükséges hozzájárulás ha pl. egy munkáltatónak a jogszabályi kötelezettségét kell teljesítenie a bérszámfejtéssel a munkavállaló részére, amit nem lehetne megtenni a munkavállaló adatai nélkül.
Ilyen plusz jogalap lehet még:
- létfontosságú érdek: ha cselekvőképtelensége folytán vagy más elháríthatatlan okból nem tud hozzájárulni, pl. egészségügyi adatok, kár, veszély elhárítása
- közhatalmi jogosítvány gyakorlása: hatóságok, állami szervek, közintézmények, törvényi felhatalmazás alapján
- adatkezelő vagy harmadik fél jogos érdeke: pl. vagyonbiztonsági rendszerek
Mik az érintettek jogai?
Az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:
- tájékoztatáshoz való jog (írásban, elektronikus úton, tájékoztatók)
- hozzáférési jog (érintett kérelme alapján)
- helyesbítéshez való jog
- törléshez való jog (cél, jogalap megszűnt, vagy hozzájárulását visszavonta)
- adatkezelés korlátozásához való jog
- adathordozhatósághoz való jog
- tiltakozáshoz való jog
- automatizált döntéshozatal hatálytalanságához való jog
Amit ne hagyjunk el – az érintettek tájékoztatása
Kiemelten fontos, hogy minden érintettet, így a munkavállalóinkat, a szerződött partnereink, ügyfeleink kapcsolattartóit megfelelően, közérthetően tájékoztassuk az adatkezelés okáról, céljáról, időtartamáról, az adatokhoz hozzáférők köréről, az érintettet megillető jogokról és jogorvoslati lehetőségekről. Ezt a tájékoztatót mind a munkavállalók, mind az ügyfelek részére tegyük elérhetővé, hiszen hiába van megfelelő jogalapunk, a tájékoztatást akkor is meg kell adnunk mindenkinek.
Felmerülő kérdések esetén, forduljon tanácsadóinkhoz bizalommal!