Az új adatvédelmi rendelet óriási változásokat hoz az adatkezelésben. Az utóbbi pár hónapban megsokasodtak a témával kapcsolatos hírek, blogbejegyzések, tippek, tanácsok. A GDPR már közel 2 éve bolygatja az online világ amúgy sem unalmas mindennapjait, azonban most a finishben minden apró információmorzsa aranyat érhet. Május 25-ig még nem késő pótolni, ha bármi is hiányzik.

A GDPR téma kapcsán feltettem néhány kérdést Mag. Esztegár Balázs bécsi ügyvédnek, az Esztegár Ügyvedi Iroda alapítójának, akinek az internetjog az egyik szakterülete.

Mit jelent a GDPR és kire vonatkozik?

„Az általános adatvédelmi rendelet (angol rövidítése: GDPR) mindenkire vonatkozik, aki vállalkozóként természetesen személyek személyi adatait kezeli, kis vállalkozásokra éppen úgy, mint a multikra.”

Mit nevezünk személyes adatnak?

„Személyes adatnak minősül minden azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható. Ezért szinte minden információ, ami alkalmas arra, hogy egy természetes személy azonosítására felhasználják, „személyes adatnak” minősül.”

Mit jelent az adatkezelés?

„Adatkezelés alatt pedig a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége értendő, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.”

Az egyik leggyakoribb kérdés a téma kapcsán: „Nekem csak egy egyszerű kis weboldalam van, engem is érint?” Melyek az „egyszerű” weboldalak (amelyhez például hírlevél feliratkozó űrlap, cookie gyűjtés és Google Analytics statisztikák kapcsolódnak) kötelező elemei, amelyek nem hiányozhatnak május 25-től?

„Manapság szinte elképzelhetetlen, hogy egy weboldal ne kezeljen adatokat valamilyen szinten. A hírlevélre történő feliratkozáskor például az érintett személy e-mail címe kerül feldolgozásra. Cookie-k esetében egyéb adatokat rögzít a rendszer, mint például az IP-címet, mely akár közvetetten is alkalmas az érintett személy azonosítására. Minden adatkezelési műveletről az adatkezelő köteles az érintett személyt felvilágosítani. Ezért szükséges lesz egy adatvédelmi ismertető a weboldalon. Továbbá az adatkezelő köteles minden adatfeldolgozási rendszeréről nyilvántartást vezetni.”

Mire kell a webshop üzemeltetőknek figyelni?

“Webshop esetében is alapvetően ugyanazok a feladatok állnak fent, mint az „egyszerű” weboldalak esetében. Itt azonban többféle adatot kezel az adatkezelő (pl. név, cím, elérhetőség stb). Ezekről és ennek felhasználásáról, illetve tárolási idejéről is fel kell világosítani az érintettet.”

Minden esetben kell a cégnek adatvédelmi tisztviselőt kijelölni?

„Nem közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek esetében adatvédelmi tisztviselőre akkor van szükség, ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé vagy személyes adatok különleges kategóriáinak nagy számban történő kezelését foglalják magukban. Tehát például akkor, ha egészségügyi adatokat dolgoz fel az adatkezelő.”

Milyen segítségeket vehetünk igénybe az adatvédelmi tájékoztató, az általános szerződési feltételek és az impresszum megírásához? Mi a helyzet abban az esetben, ha a kisvállalat ezt egyedül nem tudja megírni?

„A szükséges dokumentumok elkészítésében elsősorban ügyvédi irodák tudnak segítséget nyújtani. Ezek mellett számos tanácsadó szervezet, illetve cég is szakosodott a témára.”

Amennyiben a vállalkozás több weboldal üzemeltetésével és karbantartásával is foglalkozik, abban az esetben ki tehető felelőssé az adatvédelemért, a weboldal tulajdonosa vagy az üzemeltető?

„Az adatvédelmi kötelezettségek betartására első sorban az adatkezelő hivatott, tehát az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Amennyiben az adatkezelő más személyeket is felhasznál az adatkezelésben, ők a személyes adatokat az adatkezelő nevében kezelik, őket adatfeldolgozónak nevezi a rendelet. Ilyen esetben az adatkezelő és az adatfeldolgozó között adatfeldolgozói szerződés szükséges.”

Az adatvédelmi tájékoztatóban szerepelnie kell annak is, hogy hol és milyen módon és mennyi ideig tárolja a cég az adatokat?

„Igen, a tájékoztatóban meg kell nevezni, hogy milyen adatokat (milyen adatkategóriákat) kezel az adatkezelő, milyen célra és milyen jogalapon. Továbbá azt is meg kell nevezni, hogy továbbítja-e bárkinek és mennyi ideig tárolja az adatokat.”

Van még türelmi idő az elmaradások behozására május 25. után is?

„Az általános adatvédelmi rendelet már régebb óta „hatályban van”, csupán az ebben megnevezett kötelezettségek teljesítésére van türelmi idő 2018. május 25-ig. Ezt követően további türelmi idő nincs.”

Az adatvédelmi rendeletet érdemes tényleg komolyan venni, hisz aki vét a szabályok ellen, nagy pénzbüntetésre számíthat. A bírság mértéke legfeljebb 20 millió Euró vagy a cég előző évi világpiaci árbevételének 4%-a. Természetesen azt az összeget veszik figyelembe, amelyik a magasabb. Minden eset azonban egyedi elbírálás alá esik, a büntetés kiszabása során figyelembe veszik a jogsértés mértékét, illetve azt, hogy szándékosan, vagy nemtudásból eredt.

Akinek tanácsra lenne szüksége a GDPR kapcsán vagy úgy érzi, hogy jobb lesz szakemberre bíznia az adatkezeléssel kapcsolatos feladatokat, bátran forduljon a téma szakértőjéhez Mag. Esztegár Balázs ügyvédhez.

Mag. Balazs Esztegar LL.M. Ügyvéd
1080 Bécs, Piaristengasse 41/10
Tel. +43 1 997 4102
office@esztegar.at

Az általános adatvédelmi rendelet teljes szövege magyar nyelven itt érhető el.