Sötétben tapogatózol az adatvédelem terén? A sikeres vállalkozás elengedhetetlen feltétele, hogy az adatkezelésed jogilag is rendben legyen. Hogy ne kelljen remegő kézzel megnyitnod az Adatvédelmi Hatósagtól érkező levelet...

Miért kihagyhatatlan elem az adatkezelési tájékoztató egy weboldalon?

2018. május 25-től vált alkalmazandóvá az Általános Adatvédelmi Rendelet (GDPR), ami előírja, hogy az ügyfeleinket, alkalmazottainkat, vagy bárki mást, akinek az adatait vállalkozóként, cégként, állami szervként, vagy bármilyen más szervezetként kezeljük, kötelező tájékoztatni az adatkezelésről és az ehhez kapcsolódó jogairól. Ez a tájékoztatás azért kötelező, mert az emberek személyes adatai a magánszférájuk részét képezik, ők rendelkeznek felettük és az európai jogalkotók ezzel és a többi kapcsolódó joggal garantálják, hogy ellenőrizni tudják a velük kapcsolatos adatkezelések jogszerűségét.

A GDPR elsősorban a magánszemélyt védi az adatkezeléseket leggyakrabban végző állammal és cégekkel szemben, mert elég egyenlőtlen az erőviszony közöttük. Az adatvédelemhez való jogról bővebben az Európai Parlament honlapján olvashatunk. Az ügyintézéseink során napi szinten előfordul, hogy magánszemélyként egy weboldalon, telefonon, személyesen vagy levélben nekünk is meg kell adnunk a személyes adatainkat, mint például név, születési idő, lakcím, e-mail cím, stb. Ha nincs elérhető adatkezelési tájékoztató, és kérésre sem tájékoztatnak minket, akkor az erős jelzés arra, hogy ne adjuk meg az adatainkat, mert az adott szervezet visszaélhet velük. Amennyiben van adatkezelési tájékoztató, akkor érdemes megvizsgálni, hogy mit írnak arról, miért szükséges megadni az egyes adatainkat. A GDPR szerint adatkezelést csak valamilyen jól körülhatárolt céllal lehet végezni, és csak olyan adatokat kérhetnek hozzá, amelyek a cél eléréséhez szükségesek. Ha olyan adatokat is elkérnek, amelyekre nincs logikus magyarázat, hogy miért kellenek, az is erősíti a gyanút, hogy valami nem stimmel az adatkezeléssel kapcsolatban.

Kerüld el a büntetést!

Az Adatvédelmi Hatóság (NAIH) komoly pénzbírságokat szab ki, amennyiben az adatkezelési tájékoztató nem létezik, nem megfelelő, vagy maga az adatkezelés jogszerűtlen. Jelenleg bírságok terén a Budapest Bank vezeti a listát 250 millió forinttal, a Digi a második 100 millió forinttal, a Vodafone/UPC a harmadik 60 millió forinttal. Ebből a top 3-ból az elsőnél és a harmadiknál voltak komoly hiányosságok a tájékoztatókban és az adatkezelés jogszerűségében, a másodiknál információbiztonsági hiányosságok és adatvédelmi incidens miatt bírságolt a hatóság. Természetesen általában nem ilyen kirívóan magas összegű bírságokat szoktak kiszabni, a bírságok legnagyobb része az 500 ezres és 5 milliós tartományba esik. Egy tájékoztató és az esetleg vele kapcsolatos többi dokumentum (pl. hatásvizsgálat és érdekmérlegelési teszt elkészítése) körülbelül tizedennyibe szokott kerülni, ráadásul nyugodtak lehetünk afelől, hogy a weboldalunk rendben van ilyen szempontból. Amikor a hatóság bírságolni szokott, utána egyébként is ellenőrzi, hogy a cég pótolta-e az ezzel kapcsolatos hiányosságokat, tehát előbb-utóbb mindenképpen foglalkozni kell a témával. A másik lehetséges szankció, amitől sok cég jobban tart, amikor a hatóság elrendeli az ügyféladatbázis törlését, és így ellehetetlenül a cég működése.

Nem érdemes abba a hitbe ringatni magunkat, hogy minket nem fognak ellenőrizni. Általában az elégedetlen ügyfelek vagy az elbocsájtott alkalmazottak szoktak fogást keresni a cégen, és a legtöbb hatósági eljárás az ő kérésükre indul. Ritkább az az eset, amikor egy konkurens cég jelent fel egy másikat. Általában minél sikeresebbek vagyunk, annál valószínűbbé válik egy ilyen hatósági megkeresés, mert annál több ember igényeivel foglalkozunk, és sajnos nem mindenkivel egyszerű a konfliktusokat kezelni. Ezért hosszú távon szerintem nincs értelme kockáztatni.

Kivel írassunk tájékoztatót?

Magát a tájékoztatót meg lehet próbálni saját kezűleg is összerakni mások tájékoztatói vagy sablonok alapján, de érdemes tisztában lenni azzal, hogy nincs garancia ezek megfelelőségére. Még hasonló adatkezeléseknél is nagyban eltérhetnek a kötelező elemek egymástól. Érdemes legalább az adatvédelmi jogi alapismeretekkel tisztában lenni még egy egyszerűbb tájékoztató esetében is, mert itt nincs helye a félmegoldásoknak. A minden szempontból kifogástalan tájékoztató elkészítéséhez feltétlenül javaslom szakember bevonását, legalább ellenőrzés szintjén.

Fontos az is, hogy milyen szakembert keresünk meg ezzel a munkával. Ha lehet ilyen hasonlattal élni, a jogászat hasonló egy kicsit az orvostudományhoz. A jogászok is szakosodnak, és ahogy egy agysebész általában nem ért a belgyógyászathoz vagy a virológiához, úgy egy munkajogász vagy egy büntetőjogász sem fog érteni az adatvédelmi joghoz. Ezért érdemes kifejezetten adatvédelemre specializálódott szakembert felkeresnünk.

Jelenleg az országban az ELTE Jogi Továbbképző Intézete tartja a legjobb képzést ezen a téren, amelyet jogi végzettséggel Adatbiztonsági és adatvédelmi szakjogász vagy más felsőfokú végzettséggel Adatbiztonsági és adatvédelmi jogi szakokleveles szakember képzésnek hívnak. Az órákon az Adatvédelmi Hatóság szakemberei adnak elő arról, hogy mik az elvárásaik, és hogy miért büntetnek. Sokan csinálnak néhány napos vagy egy hetes adatvédelmi gyorstalpaló képzéseket, amelyek az idő hiánya miatt nem ütik meg ugyanezt a színvonalat, az ELTE adatvédelmi képzése ugyanis másfél évig tart.

Szeretnél olyan adatkezelési tájékoztatót a weboldaladra, amely megfelel az előírt kritériumoknak? Kérdésed van a témában, vagy éppen tanácsra lenne szükséged? Keress bizalommal a gdpr[kukac]janszky[pont]eu e-mail címen.

Adatbiztonsági és adatvédelmi jogi szakokleveles szakemberként és elektronikus információbiztonsági vezetői végzettséggel, több év tapasztalattal a hátam mögött vállalkozásoknak és cégeknek segítek abban, hogy jogilag rendben legyen az adatkezelésük, és hogy az információbiztonság területén is helyt álljanak.

Jánszky Lajos