GDPR – gyorstalpaló

}

5 perc olvasási idő

Utoljára frissítve: 2022.03.01

Written by M. Aurél

2020.04.20.

Lemaradtál róla? Szeretnéd tudni mit rejt ez a négy betű? Miért fél minden vállalat a Május 25-től, és miért beszél róla mindenki? Neked van teendőd? Olvasd el kiskáténkat, hogy azonnal tájékozottá válj.

Mi az a GDPR?

General Data Protection Regulation. Azaz az európai unió személyes adatok védelmére irányuló rendelkezés

Miért van erre szükség?

A technológia fejlődésével a személyes adataink ugyanolyan értéket képviselnek, mint vagyontárgyaink vagy a magánéletünk. Ma már rengeteg fontos adat keletkezik rólunk és azt a vállaltok cégek ismerhetik ezért indult meg az a folyamat, amely erre szabályzatokat hoz.

Mi a célja a GDPR-nak?

A rendelkezések célja, hogy a természetes személyek nagyobb fokú rendelkezést kapjanak az adataik felett.

Mit jelent ez a gyakorlatban?

Azt, hogy ha a magánszemélyről adat keletkezik előtte hozzájárulást kell kérned (mert feliratkozik, mert könyvelve van, mert kitöltött egy jelentkezési lapot, mert felvetted dolgozni … stb) akkor számára meg kell mutatni, hogy miképp férhet hozzá és mit tehet vele, hiszen az az övé.

Kire vonatkozik a GDPR?

Bárkire, aki olyan adatokat kezel vagy feldolgoz amelyek a GDPR hatálya alá esnek. Bővebben a magánszemélyekre (ha adatot kezel), egyéni vállalkozókra, társas vállalkozásokra.

Papíron vezetek mindent akkor is?

Igen akkor is. Ha egy pendrivieon, papírusz tekercsen, kőtáblán, nyomtatott papíron akkor is gondoskodni kell az adatok megfelelő kezeléséről, mindegy mi a hordozó.

Milyen adatokra vonatkozik a GDPR?

Személyes adatok, név, személyi szám, lakcím email cím, TB szám, online azonosító, kulturális profil, egészségügyi adatok, időadatok, helyszíni adatok… És igen a kötelezően tárolandó munkaügyi adatok is.

Mit kell tennem, hogy megfeleljek?

Magát a rendelkezéseket érdemes tüzetesen átolvasni és annak megfelelően alakítani az adatbázison szakembert bevonni, ha szükséges. Kell egy teljes koncepció az adatvédelemre. Kel, hogy megfelelően tájékoztasd az adatkezelésben érintetteket. A NAIH iránymutatását is érdemes alapul venni.

Nem ez volt a NAIH?

Az Adatvédelmi törvények az első lépései voltak ennek a folyamatnak és a GDPR-t a kiteljesedéseként lehet felfogni.

Hogyan néz ki a gyakorlatban a GDPR megvalósítása?

Első körben célszerű megvizsgálni az adatvagyont. Ez azt jelenti, hogy fel kell mérnetek a cégnél, hogy milyen adatokat kezeltek és egyáltalán a rendelkezésekkel kezelhetitek-e azt. A munkaügyi adatok egyértelműen ebbe tartoznak. (Egy munkakezdés, személyi adatok, távollét) Ha olyan adatok is a birtokba kerültek, amelyeket nem kezelhettek akkor azt meg kell semmisíteni. (Pl Egy kilépett kolléga adatbázisa a saját ügyfeleiről, ami a gépen maradt, inaktív dolgozók személyes adatai egy központi rendszerben, vagy vásárolt adatbázis, ahol nem bizonyítható a hozzájárulás)

Második lépésként ki kell dolgozni a szervezeten belüli adatvédelmi protokollokat. Ki kell nevezni adatvédelmi biztost és érthetően tájékoztatni kell az adatkezelésben részesülteket.

Ki az Adatkezelő és ki az Adatfeldolgozó?

Adatkezelő bárki a ki személyes adatokhoz hozzáfér vagy módosíthatja azokat. Adatfeldolgozó, az akit az Adatkezelő megbíz, hogy az adataival dolgozzon. (Pl Ha a munkaidő adatokat Te vezeted, de azt átadod egy programba, hogy számolja ki akkor utóbbi az adatfeldolgozó)

Van már adatvédelmi szabályzatunk akkor készen vagyunk?

Nem sajnos. Az adatvédelmi szabályzat helyett adatvédelmi tájékoztatóra van szükség. Az adatvédelmi tájékoztatóban meg kell érthetően és olvasmányosan mutatnod, hogy miképpen kezeled az adatokat. Az adatkezelési kötelesség (NAIH szám igénylése) is megszűnik, cserébe az az adatvédelmi incidenseket kell bejelenteni.

Mi az az incidens?

Adatvédelmi incidens lehet minden olyan tevékenység, amelyben az adatok illetéktelenek kezére juthatnak vagy nem megfelelően vannak tárolva. (Pl.: Az iroda fiókjából kifujja a szél, feltörik a hírlevél adatbázist, elviszik a dolgozók adatait tartalmazó whincestert…stb) Az incidenseket egyébként szigorúan három napon belül  kell jelenteni a hatóságoknak.

Kötelező a belső az adatvédelmi szabályzat?

Önmagában nem kötelező, de célszerű kidolgozni ezt egy nagyobb vállalatnál ahol sok adat, sok emberen fut végig. Incidens esetén pedig ez alapján lehet eljárni. Azt is meg kell határozni, hogy a vállalton belül ki milyen adatokhoz férhet hozzá. Továbbá a hatóság nem azt bünteti, ha incidens történik, hanem azt, ha az látható, hogy ennek megelőzésére vagy megakadályozására semmilyen törekvés nem volt.

Ki fogja betartatni és ellenőrizni a GDPR-t?

Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság. Az Infotörvénykönyvet pedig tavaszra ígérték a GDPR alapján módosítani.

Milyen bírságra lehet számítani?

A bírság maximálisan 20 millió euró vagy a vállalat éves bevételének a 4 százaléka.

Mikortól lép életbe a GDPR?

A GDPR 2018 május 25. Türelmi idő nincs, hiszen 2016-ban kihirdették azt. Igaz a kommunikáció az elmúlt fél évben lett aktívabb, ahogy a határidő közeleg.

Remélem ezzel az ismertető bejegyzéssel sikerült a fontosabb információkat megtudnod. Felhívjuk figyelmedet, hogy noha az irányelvek egyértelműek azonban a gyakorlati megvalósításuk még szakmai körökben és a hivatalos szerveknél is megbeszélés alatt vannak. Az viszont biztos, hogy nem lehet kikerülnöd amennyiben adatokat kezelsz és meg kell próbálnod az irányelveknek megfelelően tenni azt.

Nagyvállalati munkaügyek kezelésére OLM Rendszer - Munkaügyi Fórum blog
Ajándék munkaügyi segédanyagok és naptárak a 2024-es évre - Munkaügyi Fórum