Vezetői felelősség az adatkezeléshez kapcsolódóan

mkvkok_kis
  • Értesítő a rovat cikkeiről

2018 májusától gyökeresen megváltozik az adatkezelések rendje. Az Európai Unió Általános Adatvédelmi rendelete, ami hazánkban közvetlenül hatályosul ettől az időponttól új szabályokat határoz meg, és kiegészítésképpen – abban a körben amelyben az Általános Adatvédelmi Rendelet („GDPR”) nem tartalmaz szabályozást –, módosított tartalommal kell majd a jelenlegi magyar törvényt alkalmazni (ez a jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, tehát az ún. „Infó törvény”). A megváltozott szabályozás leginkább érzékelhető változása a szankciókat érinti: 2018 májusától az adatkezelési szabályok megszegéséért akár 20 millió EUR összegnek megfelelő magyar forintnyi bírság (vagy, amennyiben vállalatcsoport előző évi nettó árbevétele esetleg magasabb, az árbevétel 4%-a) szabható ki adatvédelmi bírságként. Az alábbiakban áttekintjük a szabályozás legfontosabb tudnivalóit.

Az adat és az adatkezelés fogalma

Működése során minden vállalat rengeteg személyes adatot kezel, akkor is, ha ügyfelekkel (természetes személyekkel) nem kerül közvetlen kapcsolatban. Tipikus adatkezelési tevékenységek: a társaság honlapjának az üzemeltetése, a munkavállalók adatainak kezelése vagy a gazdasági társaság üzletfelei munkatársainak a személyes adatai (kapcsolattartási adatok például).

A személyes adat fogalma nagyon tág, bármely információ személyes adatnak minősül, amelyből következtetést lehet levonni az érintett személyére, szokásaira. Személyes adat tehát a név, a lakcím, a telefonszám, az e-mail cím, de akár az arckép is.

Adatkezelésnek tekinthető a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett „bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”.  Minden olyan cselekmény ebbe a körbe tartozik tehát, amelynek nyomán személyes adat keletkezik, megváltozik vagy megsemmisül, adatkezelés továbbá az adatok tárolása illetőleg a továbbítása. Tipikusan adatkezelés lehet valamely adatnak számítógépes programból történő lehívása vagy lemásolása. Az adatkezelés ún. veszélyes üzemi tevékenység, azaz csak nagyon kivételes körben mentesülhet az adatkezelést végző vállalkozás a jogellenesen okozott károk megtérítése alól.

Azoknak a részfeladatoknak az ellátói, akik, pl. külső megbízottként, más közreműködő vállalkozásként az adatkezelő munkáját segítik (például a tárhelyszolgáltatók, hírlevélküldők, vagy akár a futárok) az ún. adatfeldolgozók. Az új szabályok azt vezetik be, hogy az adatfeldolgozó hibájáért (például a futár rossz címre kézbesíti a küldeményt, vagy a promóciós játékot szervező ügynökség weboldalát hacker támadás éri) is maga az adatkezelő vonható felelősségre.

A tisztességes és jogszerű adatkezelés feltételei

Minden adatkezelési tevékenység esetében a legfontosabb elvárás az, hogy az adatkezelő tudatában legyen az adatkezelés alapinformációinak (milyen adatot, milyen célból és mennyi ideig kezel / tárol). Ezeket az alapinformációkat belső nyilvántartásban kell rögzíteni (a vonatkozó hatósági nyilvántartás 2017 májusától megszűnik). A belső nyilvánosságot (a szabályozott rendszert) bármikor számon kérheti a hatóság (ezt hívják elszámoltathatóságnak), illetőleg bármely természetes személy, akinek az adatát kezelik. A tájékoztatás legtöbbször az ún. adatvédelmi szabályzattal valósul meg, de bármilyen más alkalmas formája is lehet.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

 

Minden egyes adat (adatkategória) esetében meg kell tudni jelölni az adatkezelés célját (ennek tisztességesnek és az adatkezeléssel arányos mértékűnek kell lennie). A cél mellett meg kell tudni határozni az adatkezelés jogalapját is, vagyis azt a viszonyrendszert, ami meghatározza, hogy miért kezeli az adatkezelő az adatot. A jogalap hatféle lehet, amelyek közül a piaci adatkezelők számára mindössze négy releváns. Jogalap lehet (és legtöbb esetben ez szolgál az adatkezelés alapjául): szerződés, vagy azt megelőző tevékenység (például ajánlattétel, álláspályázat), az érintett hozzájárulása, jogi kötelezettség teljesítése (tipikusan például a munkáltatói adattárolások és adatszolgáltatások) illetőleg az érdekmérlegelés. Az érdekmérlegelés azt jelenti, hogy hozzájárulás vagy szerződés nélkül is lehet jogszerűen személyes adatot kezelni, ha az adatkezelő bizonyítja, hogy valamely jogos érdekének gyakorlásához az adatkezelés feltétlenül szükséges volt (tipikusan ilyen lehet valamely követelés érdekében tett lépés a követelés behajtására, vagy a biztonsági érdekből végzett megfigyelések).

Amennyiben megfelelő jogalapja és célja van az adatkezelésnek, további alapelveket kell betartani, ezek közül három nagyon fontos van: adatbiztonsági követelményeket kell teljesíteni, az adatok pontosságát és jó minőségét kell fenntartani (például, ha az ügyfél címe megváltozik, a módosított címet kell tárolni és a régi törlendő), illetve az érintettek számára biztosítani kell, hogy a jogaikat megfelelően és könnyen tudják gyakorolni.

Az érintettek jogai

A legkiemeltebben az érintettek jogait szabályozza az új jogszabály, bármilyen ezzel kapcsolatos jogsértés a legsúlyosabb kategóriába tartozik (legmagasabb bírságokat ebben a körben lehet kiszabni).

Az érintettek jogai: a folyamatos tájékoztatáskérés, az adat megváltoztatásának joga. Az érintett kérheti továbbá az adatainak törlését (elfeledtetéshez való jogként lett híres ez a jogosultság). A törlési kérelem azonban csak azokra az adatokra vonatkozhat, amelynek az érintett hozzájárulása a jogalapja, a jogi kötelezettség teljesítése érdekében (például számlaadatok), vagy az érdekmérlegelés alapján kezelt adatok (ügyfélszolgálati hangfelvétel vagy kamerafelvétel) esetében törlés nem kérhető.

További érintetti jog a megismerés és a hozzáférés joga, sőt, egyes esetekben az érintett kérheti az adatainak a hordozhatóságát is biztosítani (például, ha igénybe vett egy szolgáltatást, kérheti, hogy az ezzel kapcsolatosan keletkezett összes adatot egy versenytárs részére adjon át a vállalkozás). Az adathordozhatóság joga, akárcsak a törlés joga nem korlátlan, bonyolult és körültekintő vizsgálat szükséges mielőtt ezeket a kéréseket az adatkezelő teljesítené, hiszen az adatvesztés vagy az adat versenytárs számára történő előadása önmagában is okozhat üzleti károkat.

Újdonság a magyar szabályozásban (más tagállamoktól eltérően), hogy elhunyt személyek esetén a hozzátartozókat is megilletik ezek a jogok. A magyar jogszabálytervezet szerint1 az örökösök közokirat felmutatásával fordulhatnak majd információért az adatkezelőkhöz.

Az adatkezelők kötelezettségei

A 2018. május 25-én életbe lépő szabályok szerint (szűk kivétellel), minden adatkezelőnek nyilvántartást kell vezetnie az általa folytatott adatkezelési és adattovábbítási tevékenységekről (adatvagyon leltár). Az ún. adatvagyonleltárt felhívásra meg kell az érintetteknek és a hatóságnak mutatni.

A nyilvántartási kötelezettség mellett, egyes adatkezelőknek külön tisztviselőt kell kinevezniük az adatvédelmi folyamatok felügyeletére, amelynek részleteivel következő írásunk foglalkozik majd.

A cikk szerzője: dr. Soós Andrea Klára ügyvéd, adatvédelmi tisztviselő, a Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója.

MKVOK embléma

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • Árverés

    Az adóvégrehajtási eljárás során végzett értékesítési módokon kalauzolja végig az olvasót az Adó szaklap írása. A januártól hatályos adóvégrehajtási törvény az értékesítések területén nem változtatta meg alapvetően a korábbi eljárási rendelkezéseket, viszont az eddig némileg szabályozatlan romlandó vagyontárgyak értékesítése körében jelentősebb újdonságot vezetett be.

     

  • cégvezető

    A cégutódlás problémája tömegesen szakad a magyar családi vállalkozások nyakába, miután ezek többségét a rendszerváltás környékén alapították, vagyis a generációváltás igencsak esedékes. Hogyan tud egy cég tulajdonosa visszavonulni az aktív üzleti élettől úgy, hogy közben nem kerül veszélybe a sok év alatt felhalmozott cégvagyon? A családon belüli öröklés kézenfekvőnek hangzik, de egy alkalmatlan utód nagyobb veszélyt jelenthet a cégre, mintha külső érdekeltség kezébe kerül a családi vagyon. A dilemmára azonban van megnyugtató jogi megoldás.

  • Fotó: shutterstock

    Pünkösdnek hála, az adózók nyernek néhány napot a 2017-ről szóló szja-bevallással, amelynek benyújtási határideje idén május 22. – hívta fel a figyelmet a MAZARS. Fontos az is, hogy a tavalyi adóévre az adózók már nem kérhettek munkáltatói adómegállapítást, ám a NAV az eddigieknél szélesebb körben segíti az adófizetőket. Az eSZJA-rendszer bevezetésének egyértelmű vesztese a civil szféra: az 1%-os felajánlások összege már tavaly is 1 milliárd forinttal csökkent, a Mazars szakértői szerint idén várhatóan még kevesebben tesznek felajánlást.

  • Unió

    Érvényesül a Nemzeti Agrárgazdasági Kamara (NAK) álláspontja az Európai Unió tisztességtelen kereskedelmi gyakorlatok ellen közzétett új szabályozási javaslatában - közölte a köztestület.

  • gyár, munkás, nő

    Egyre kevesebb a cég, ám egyre több a munkavállaló az ágazatban - derül ki a Világgazdaság cikkéből.