A 2018 óta érvényben lévő GDPR, vagyis az EU új adatvédelmi rendelete szinte minden vállalkozást érint, amely európai állampolgárok adatait is kezeli. Mivel a szabályozás megszegése esetén akár az éves árbevétel 4%-ára, vagy 20 millió euróra rúgó bírság is kiszabható, a GDPR megfelelő értelmezése és előírásainak betartása minden KKV számára kulcsfontosságú. Segítünk megérteni, mit is jelent a GDPR a vállalkozásodra nézve!
Mi is az a GDPR?
A GDPR, vagyis General Data Protection Regulation az Európai Unió új Általános Adatvédelmi Rendelete, ami 2018. május 25. óta van érvényben. A rendelet célja, hogy szabályozza a “természetes személyek személyes adatainak” kezelését, védelmét, és azok szabad áramlását.
Hogy ez mit jelent a valóságban? Ha a vállalkozásod EU-s állampolgárok bármilyen személyes adatát kezeli, a GDPR rád is vonatkozik. Személyes adatnak minősül egy természetes személyre (“érintettre”) vonatkozó szinte bármilyen információ, pl. telefonszám, e-mail cím, de akár az online azonosítók (sütik, IP címek) is. Tehát: ha van weblapod, esetleg legalább egy vevőd, akit név szerint ismersz, vagy egy munkavállalód, akinek bért fizetsz (de akkor is, ha például biztonsági kamerát üzemeltetsz az üzletedben), meg kell felelned a GDPR követelményeinek.
Érdemes elolvasni a GDPR részletes leírását, de összességében kijelenthető, hogy a szabályozás gyakorlatilag minden, az EU-ban üzleti tevékenységet folytató vállalatot érint, így nagy valószínűséggel téged (vagyis a te vállalkozásodat) is!
Adatkezelési és adatvédelmi kötelezettségek
A GDPR értelmében akkor jogszerű az adatok kezelése, ha ahhoz az érintett (egy vagy több jól meghatározott célból) hozzájárult, ha az adatkezelés az érintettel kötött szerződéshez kapcsolódik, vagy ha az jogi kötelezettség teljesítéséhez szükséges.
A szabályozó célja a GDPR-ral alapvetően az, hogy minden európai természetes személy kontrollban legyen a személyes adatait illetően. A GDPR követelményeinek ezért – elviekben – nem nagy ördöngösség megfelelni. Röviden összefoglalva a GDPR nagyjából a következőket követeli meg vállalkozásodtól:
- Egyszerű, érthető nyelven kommunikálj: mondd el, ki vagy, és miért kéred el az érintettek adatait, illetve mi fog azokkal történni.
- Kérj beleegyezést az adatkezeléshez, méghozzá “félreérthetetlenül kifejező cselekedet útján”! Tehát fontos, hogy az érintett aktívan, saját döntéséből, annak következményeit megértve adja át neked az adatait. Ha felmerül az adatsértés lehetősége, erre is figyelmeztesd az érintetteket!
- Biztosítsd, hogy az érintettek hozzáférjenek adataikhoz, azt megoszthassák másokkal, illetve add meg nekik a lehetőséget, hogy kérhessék adataik törlését.
Gyakorlati lépések az adatvédelemért
A gyakorlatban azonban van pár buktató. Fontos például, hogy az adatkezelésre feljogosító (írásbeli) hozzájárulás elfogadásának tényét rögzítsd – így később bizonyítható, hogy jogszerűen kezeled valakinek az adatait. Ezt digitális platformokon relatíve könnyen megteheted, de például egy vásáron vagy más “kitelepülésen” készülnöd kell kinyomtatott adatvédelmi hozzájárulási nyilatkozatokkal!
A honlapodra látogatókat is tájékoztatnod kell, így a legjobb, ha készítesz egy adatkezelési és adatvédelmi tájékoztatót, amit aztán minden látogatónak el kell fogadnia. Írd le, milyen adatokat, hogyan, és mennyi ideig kezelsz! Ebben segítségedre lehet a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) minta-tájékoztatója.
Érdemes nyomatékosítani, hogy a GDPR a marketingtevékenységedet is erősen érintheti: csak akkor küldhetsz üzeneteket (pl. promóciós e-maileket, hírleveleket) ügyfeleidnek, ha ahhoz ők előzetesen és bizonyíthatóan hozzájárultak. Jusson eszedbe, hogy a hozzájárulást jelentő kis dobozka kipipálása maga az aktív hozzájárulás – tehát az nem lehet alapértelmezetten “beikszelve”!
Fontos az is, hogy a kezelt adatokhoz csak az arra jogosultak férjenek hozzá. Ez nem csak azt jelenti, hogy nem adhatod tovább ezeket az adatokat: vállalkozásodon belül is csak azok kezelhetik az adatokat, akiknek ez a feladata, mások nem férhetnek hozzá. Gondoskodnod kell tehát az adatok mentéséről és védelméről is.
Kötelességed továbbá azonnal bejelenteni a hatóságok felé, ha az adatokkal kapcsolatos jogsértés lehetősége merül fel. Magyarul: ha például egy munkavállalód elveszti a céges telefonját, amin ügyféladatok is vannak, ezt az “adatvédelmi incidenst” azonnal, vagyis 72 órán belül be kell jelentened a NAIH felé.
Az adatvédelem nem vicc, amit a magas bírságok is jeleznek. Mindamellett nem érdemes pánikba esni a GDPR-tól, mert a kellő figyelemmel teljesíthetőek a követelmények. Reméljük, a fenti tippek segítenek megfoghatóvá tenni, mit is jelent a GDPR a vállalkozásod számára, de tudd, hogy nem helyettesítik a szakmai (jogi) tanácsadást!