Az általános adatvédelmi rendelet, azaz a GDPR kiemelt szerepet játszik a vállalkozások és a magánemberek életében is. Vendégbejegyzésünkben minden fontosabb információt megtalálsz arról, hogy mi a lényege, és hogyan érint téged.
2022 márciusa, Magyarország. A Nemzeti Adó- és Vámhivatal összeállította a munkavállalók számára a személyijövedelemadó-bevallások tervezetét. Egyik rokonom is megkapta, aki tavaly nem dolgozott egy munkáltatónak sem. A tervezetből az derült ki, hogy 2021-ben két különböző, számára idegen vállalkozás is bejelentette őt, fiktív munkaviszonyt létesített, bért számfejtett részére, és adót is fizetett utána. Hogyan történhetett ez meg?! Valakik valahogy hozzájutottak az említett rokonom személyes adataihoz, amelyeket ezek a cégek jogsértő módon munkaviszony létesítésére, és több törvény súlyos megsértésével jogosulatlan haszonszerzés céljára használták fel. Milyen lehetőségeink vannak, hogy megelőzzük az ilyen kellemetlen helyzeteket?
Az Európai Unió általános adatvédelmi rendeletének rövidítése, azaz a GDPR a legtöbb vállalkozó és döntéshozó számára egy szitokszó. Egy kötelező valami, amit a legjobb lenne elfelejteni.
Nézzük meg, mi is a lényege ennek az európai rendeletnek! Vegyük szemügyre a saját, emberi szemszögünkből a kérdéskört!
Vannak azok az ismeretek, adatok, információk, amelyek az életünk során hozzánk kötődnek, minket azonosítanak, sok esetben jogokkal ruháznak fel bennünket, illetve az érdekeinket tudjuk védeni és érvényesíteni általuk. A különböző ellátások, szolgáltatások elérésének lehetősége, vagy a tulajdonszerzés, a birtoklás mind a hozzánk kötődő, csak minket jellemző, ránk vonatkozó információk alapján valósítható meg. Ezek az ismeretek, jellemzők, információk a mi személyes adataink. Nélkülük alig tudnánk valamihez is kezdeni a mai civilizált emberi világban.
Személyes adataink mások általi ismerete azonban lehetőséget teremt arra, hogy valaki a nevünkben, vagyis önmagát más személynek kiadva olyan lépéseket tegyen, olyan döntéseket hozzon, amelyek jelentősen befolyásolják az életünket. Vásárolhat a nevünkben, a tudtunk nélkül kötelezettségeket vállalhat vagy igényeket támaszthat, de akár pénzzé is teheti az értékeinket, mert azt állíthatja, hogy ő mi vagyunk, ha ehhez minden szükséges bizonyíték – a személyünket azonosító minden adat – a rendelkezésére áll. Nem vitás, hogy ezt a lehetőséget, az ilyen helyzeteket el kell kerülni.
A személyes adataink saját magunk által történő bizalmas kezelése, és ezáltal a szükséges védelem alkalmazása azért nem magától értetődő, mert a digitalizáció az egész világon egyre nagyobb teret nyer, és ezáltal a korszerű szolgáltatások igénybevételéhez mind több helyen szükséges megadnunk magunkról különböző egyedi jellemzőket, személyes adatokat az adatkezelőknek. Mi történik, és mi minden történhet ezekkel az információkkal? Mit tudhatunk mi minderről? Van-e ebbe beleszólásunk? Nos, ennek a kereteit és szabályrendszerét határozza meg az Európai Unió általános adatvédelmi rendelete.
A GDPR az adatkezelők és adatfeldolgozók számára határoz meg követelményeket, amelyek hét alapelv szerint biztosítják az adatkezeléssel érintett természetes személyek jogait a saját személyes adataik kezelésével kapcsolatos tisztánlátás érdekében. Erre szükség is van ahhoz, hogy követhessük az általunk megadott vagy rólunk összegyűjtött személyes adatok sorsát, és beavatkozhassunk, ha ennek szükségét érezzük.
Az adatok gyűjtése során a „bármire is jó lehet még” elv alkalmazása nem megengedett, az adatkezelők személyes adatokat kizárólag előre meghatározott cél elérése érdekében és a jogszabályban felsorolt jogalapok valamelyikének fennállása esetén kezelhetnek, és csak addig, amíg az adott célt el nem érték. Cél vagy jogalap nélkül személyes adatot nem szabad kezelni.
Jogos elvárás részünkről az is, hogy a saját személyes adataink védve legyenek, ne kerüljenek illetéktelen kezekbe, ne használja föl senki olyan célok elérésére, amelyről nincs tudomásunk vagy amellyel nem értünk egyet, hacsak nem jogszabály kötelezi az adatkezelőt a személyes adataink kezelésére. Más szóval nem szeretnénk azzal szembesülni, hogy valaki a nevünkben és helyettünk hozott meg az életünket jelentősen befolyásoló fontos és megmásíthatatlan döntéseket.
Ha valaki egy szervezetben vagy vállalkozásban döntéshozó pozícióban van, általában adatkezelői döntéseket is kell hoznia, ez elkerülhetetlen. Ahogy jogos elvárásaink vannak a minket körülvevő adatkezelőkkel szemben, ugyanúgy nekünk is be kell tartanunk a jogszabályi előírásokat az általunk kezelt személyes adatok érintettjeinek védelme érdekében. Ezzel is tartsuk tiszteletben a többi ember jogait, védjük a személyes adatokat, mert a követelmények nem teljesítése a jogszabályok megsértését jelenti, és akár emberi életek is veszélybe kerülhetnek általunk!
A magyarországi törvény az információs önrendelkezési jogról és az információszabadságról, amit infotörvényként is ismerünk, a GDPR követelményrendszerének nagy részét kiterjeszti valamennyi olyan hazai adatkezelésre, amelyek nem kizárólag személyes célú, úgymond háztartási adatkezelésnek minősülnek. Ebből eredően minden adatkezelés, amely bármilyen intézmény, szervezet, csoport, társulás, vállalkozás célját szolgálja, – függetlenül attól, hogy számítógéppel támogatott-e vagy teljes mértékben papíralapú, – lényegében a GDPR hatálya alá tartozik.
Az általános adatvédelmi rendelet alapvetően kétféle követelményt tartalmaz. Az egyik az adminisztratív előírások halmaza, amely az adatkezelés jogszerűségét szolgálja, a másik a védelmi intézkedések meghatározása, amely megfelelő technológiai megoldások alkalmazásával a személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását hivatott garantálni. Mindkét területre oda kell figyelni, és a szervezeten belüli működési szabályokat és intézkedéseket össze kell hangolni a hatályos jogszabályok követelményrendszerével. Ahhoz, hogy egy adatkezelő a GDPR tükrében is jogszerűen tudjon tevékenykedni, szükség van a szervezet működésének adatkezelés-központú áttekintésére, és a megfelelő adminisztratív és védelmi intézkedések meghatározására és érvényesítésére.
A SZENZOR Szolgáltató Központ szakemberei több mint 20 éves adatkezelői és adatfeldolgozói tapasztalatuk, valamint a GDPR követelményrendszerének és gyakorlati alkalmazásának ismeretét igazoló nemzetközi CERTOP tanúsítvány birtokában segítik a különböző szervezeteket a jogszabályi előírások betartásában és a magyar adatvédelmi hatósággal, a Nemzeti Adatvédelmi és Információszabadság Hatósággal történő kapcsolattartásban. Egyszerű példákkal szemléltetve, logikus és közérthető magyarázatokkal támogatják a szervezetek vezetőit a megfelelő adatkezelési gyakorlat kialakításához szükséges döntések meghozatalában.
A Szolgáltató Központban készséggel adnak tájékoztatást a jogszerű és biztonságos adatkezelés elsajátításához az érintettek, az adatkezelők és az adatfeldolgozók, azaz magánszemélyek és szervezetek részére egyaránt. Ismeretterjesztő előadásaik minden korosztály számára átfogó képet adnak az adatkezelés és az adatvédelem legfontosabb elemeiről, és ezek emberközpontú megvalósításának lehetőségeiről.
Az a mondás, miszerint „Bánj úgy másokkal, ahogy szeretnéd, hogy veled bánjanak!” egy az egyben érvényes a személyes adatok kezelésénél is. Elvárhatjuk a tisztességes és jogkövető eljárást az adatkezelőktől, de nekünk is tiszteletben kell tartanunk a velünk kapcsolatban álló érintettek jogait, amikor a személyes adataikat adatkezelőként vagy adatfeldolgozóként kezeljük.
A szerző: Eőry Csaba Örs
védelmi mérnök – Certified GDPR Manager
SZENZOR – A SZOLGÁLTATÓ KÖZPONT
Adat. Irat. Információ. Menedzsment.
Kapcsolatfelvétel:
06.20.771.5550
iroda@szenzor.net
www.szenzor.net