Talán hallottatok már a rettenetes GDPR rendeletről. Ez egy Európai Uniós jogszabály, melynek rendelkezéseit az Unió területén működő vállalkozásoknak be kell tartani. 28 országban vezették be, köztük 2018. májusa óta, kis hazánkban is kötelező. 

Ma erről fog nekünk mesélni Hajnerné dr. Horváth Barbara, a HHB Consulting Kft. ügyvezetője, jogász, közgazdász, adótanácsadó és mérlegképes könyvelő.

Mára közel 500 vállalkozás GDPR felkészítését végeztem el és tudom, rengeteg tévhit él a gyakorlatban ennek kapcsán. A legtöbb vállalkozó azt gondolja, hogy rá ez a jogszabály nem vonatkozik, nincs tehát teendője ezzel kapcsolatban. Pedig de!

Sokan abban a hitben vannak, hogy csak akkor ró rájuk kötelezettséget a hírhedt rendelet, ha weboldalt, vagy webáruházat üzemeltetnek. Ekkor van csak szükség Adatkezelési Tájékoztatóra. És elég, ha lemásolják a hasonló tevékenységet űző konkurenciáról, már rendben is van minden. Sajnos ez nem így van, a GDPR kivétel nélkül minden vállalkozót érint és mindenkinek vannak teendői ezzel kapcsolatban. 

A téma talán valóban idegen az „egyszerű halandó” számára, mégis kénytelenek vagyunk valamilyen szinten beleásni magunkat, hiszen a vállalkozó felelőssége lesz a jövőben, hogy felismerje a vállalkozásánál előforduló személyes adatkezelési helyzeteket, megfelelő időben és módon reagáljon ezekre.

-Mi is tulajdonképpen a GDPR?

A GDPR rendelet egy Európai Uniós jogszabály, amely a személyes adataink kezelését hivatott szabályozni. 2018. májusában lépett hatályba, de már 2016-ban elfogadták és kihirdették a rendelet szövegét. Tehát lett volna idő a felkészülésre bőven. Ennek ellenére azt látom, hogy a vállalkozókat meglepetésként érte és többségük nem is tudja, miről is szól valójában. A rendelet megalkotásának egyik célja az volt például, hogy a mai világban oly gyakori online vásárlások, szolgáltatások igénybevétele során megadott személyes adataink biztonságban legyenek, ne lehessen azokkal visszaélni. Az adatainkat valóban csak a megfelelő célok érdekében kezeljék, ne kerüljenek illetéktelen személyekhez. Ez a rendelet új világot teremtett az európai adatvédelmi jogban.

-Kezdjük az alapoknál. Mik azok a személyes adatok?

Személyes adat minden olyan információ, amely egy személyre vonatkozik, mely alapján beazonosítható az adott személy, például név, vagy bármilyen azonosító, helymeghatározó adat, online azonosító. Személyes adat lehet egy e-mail cím, vagy telefonszám, az adott személyről készült képmás is.

-Mikor történik személyes adatkezelés?

Személyes adatkezelés történik például ajánlatadáskor, szerződéskötéskor, e-mail váltás során, telefonszámok kezelésekor, számla kiállítása során, munkavállalók alkalmazásakor, önéletrajzok kezelésekor, ha egy fényképet szeretnénk feltölteni a weboldalunkra. Ezeken kívül is rengeteg esetben beszélhetünk személyes adatkezelésről, reggelig tudnám sorolni ezeket a helyzeteket. Tovább bonyolítja a dolgokat, ha egy vállalkozás például gyermekek személyes adatait kezeli, vagy esetleg az ügyfelei egészségügyi adatai jutnak tudomására tevékenysége során, ezek ugyanis különleges adatoknak minősülnek, melyek még szigorúbb szabályozás alá tartoznak.

Az adatkezelés minden vállalkozót érint és mindenkinek van teendője ezzel kapcsolatban. Azt a vállalkozót is terheli kötelezettség, akinek nincs weboldala, tehát csak offline tevékenységet végez, hiszen személyes adatokat ennek ellenére ő is kezel. Magánszemélyeket is érinthet ez a kötelezettség, pl. blogírás esetében.

A legfontosabb kötelezettsége a vállalkozónak a tájékoztatás. Fontos, hogy már az adatkezelés megkezdése előtt tájékoztassa az ügyfeleit, vásárlóit, partnereit arról, hogy hogy is történik az ő vállalkozásánál a személyes adatok kezelése. Erre szolgál az Adatkezelési Tájékoztató, ami egy írásos dokumentum. Az Adatkezelési Tájékoztató az adott vállalkozásnál felmerült adatkezelési helyzeteket részletezi, érthető nyelvezet alkalmazásával, tájékoztatja az érintetteket, hogy a vállalkozóval való együttműködés során milyen személyes adataikat, milyen célból, milyen jogalappal és mennyi ideig kezeli, tárolja majd.

De nem csak erre az egy dokumentumra van szükség, a feladat ennél sokkal komplexebb. Egy adatkezelési szabályzati dokumentációt kell készíttetni. Ez magában foglal egy szabályzatot, a már említett tájékoztatót, a weboldalra vonatkozó tájékoztatót, egy adatkezelési szerződést, melyet az adatfeldolgozó partnerekkel kell megkötni, nyilvántartásokat és sok-sok nyilatkozati mintát is, melyet a napi munka során alkalmazni kell. A dokumentáció egy „egyszerű” vállalkozás esetében is legalább 10-15 dokumentumból áll. Ahol bonyolultabb a helyzet, több adatot kezelnek, ott még több dokumentum szükséges.

Ezt a dokumentációt a vállalkozás elindításától kezdve használni és alkalmazni kell!

Javasolt az Adatkezelési Tájékoztatót a közösségi oldalra is linkelni, hiszen a közösségi oldalakon is történik személyes adatkezelés.

Sokan próbálják maguk elkészíteni a dokumentumokat, a tájékoztatást. Hogy jó ötlet-e?  

Hajnerné dr. Horváth Barbara, a HHB Consulting Kft. ügyvezetője semmiképp sem ajánlja!

Nem javaslom, hogy szakmai tudás nélkül bárki nekiálljon elkészíteni az Adatkezelési Tájékoztatóját. Azt szoktam mondani az ügyfeleimnek, hogy ha meg tudják mondani, hogy egy adott személyes adatot milyen jogalapon kezelnek (persze helyesen) és ezt meg is tudják indokolni jogilag, akkor természetesen semmi akadálya annak, hogy saját maguk készítsék el a vállalkozásuk Adatkezelési Tájékoztatóját. Általában már a kérdést sem értik.  Ami természetesen nem baj, hiszen nem az ő szakterületük, viszont ez esetben tényleg javasolt szakemberhez fordulni. Ez olyan, mintha weboldal programozásba kezdenénk, a megfelelő ismeretek nélkül. Valamit biztosan sikerül összehoznunk, de nem lesz az igazi.

Érdemes szakértő segítségét kérni, még akkor is, ha ennek költsége van. Mint szinte minden területen, itt is ajánlott körültekintően választani partnert, érdemes megnézni a referenciákat, ajánlásokat. A felmerülő szakértői díjak is nagyon változatosak és azt kell mondanom, hogy a gyakorlat azt mutatja, hogy nem a legmagasabb áron dolgozó szakember végzi a legjobb munkát.

Én mindig is arra törekedtem, hogy szolgáltatásaim a kezdő vállalkozók számára is elérhetőek és megfizethetők legyenek. Egyedi ajánlatot készítek minden érdeklődő számára egy kérdőív kitöltését követően.

-Felmerülhet a kérdés, hogy fontos jogászhoz fordulni az adatkezelési szabályzatunk elkészítése érdekében?

Igen, én azt mondom, hogy elengedhetetlen a jogi szemléletmód a téma kapcsán. Vannak olyan bonyolult informatikai háttérrel rendelkező cégek, ahol persze nem elég a jogász, szükség van egy adatkezelésben jártas informatikus segítségére is, de alapvetően jogi feladat a GDPR-nek való megfeleltetés. Azt tapasztalom, hogy az ügyvédek általában nem vállalják a GDPR dokumentumok elkészítését, rengeteg ügyvéd ismerősöm hozzám irányítja megbízóit a téma kapcsán. Az ügyvédi munka összetettsége kevés ügyvéd számára ad lehetőséget arra, hogy igazán elmerüljenek a téma mélységeiben.

-Nem elég leszedni valami sablont és azt az oldalunkra tenni?

Az interneten elérhető szabályzati sablonok, vagy bérelhető, havi díjas dokumentumok alkalmazását semmiképpen sem javaslom. Több ügyfelem keresett már meg azzal, hogy több százezer forintért vásárolt egy szabályzati sablont, amiről persze kiderült, hogy nem felel meg az ő vállalkozása számára. Az adatkezelési szabályzati dokumentumok minden esetben személyre, vállalkozásra szabottak, teljesen egyedi dokumentumok. Az interneten fellelhető, bérelhető dokumentumokkal kapcsolatban a legnagyobb probléma – az általánosság mellett -, hogy többnyire kizárólag a weboldalra vonatkozó Adatkezelési Tájékoztatót tartalmazzák, ez pedig csupán egy része a GDPR-nek való megfelelésnek (ráadásul csak egy nagyon kis része), ezzel tehát nem tettünk eleget a jogszabály rendelkezéseinek. Azt hinnénk, védve vagyunk, ugyanakkor nem.

Ha a vállalkozó nem veszi komolyan ennek a jogszabálynak az előírásait és nem készül fel megfelelően sajnos komoly bírságra számíthat. Az ellenőrzések megkezdődtek, és szinte hetente értesülünk egy-egy új határozatról, mely bírság kiszabásáról rendelkezik. A GDPR 2018. május 25-én lépett hatályba, több mint két év eltelt azóta, elég sok tapasztalat felhalmozódott mára, ami az ellenőrzéseket és a NAIH szemléletmódját tükrözi. A GDPR rendelkezései szerint a bírság összege akár 20.000.000 EUR, vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg is lehet.

Igen, ez valóban rendkívül magas összeg, főleg egy magyar kisvállalkozó számára. A gyakorlatban azt látjuk, hogy ha nem is ekkora összegű bírságokat, de több százezer forintos és milliós összegű szankciókat szabott ki a hatóság a jogszabály rendelkezéseit figyelmen kívül hagyó vállalkozásokra.

Tehát hogy summázzuk, nem érdemes kockáztatni. Inkább egyszer fizessünk ki egy hozzáértőnek egy minimális összeget, mint hogy egy hatalmas bírságot kapjunk a helytelen, hiányos GDPR vagy annak teljes hiánya miatt.

Ha maximálisan pontos GDPR szabályzatot szeretnétek, keressétek bátran Barbarát!

#GDPR #gdpr #jog #fontos #nehagydki #nefelejtsdel #prcikk #fizetettbejegyzés #szponzorálttartalom #jogász #tanácsadó #tanácsadás #HHBConsulting