Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít lehetőséget a munkáltatóknak, vállalatoknak arra, hogy adatkezelésüket megfelelően alakítsák át. A vállalatok meghatározott esetekben nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk.
Mit kell tenni a vállalatoknak annak érdekében, hogy megfeleljenek a GDPR rendelkezéseinek?
A vállalkozásoknak fel kell készülniük a csupán pár hónapon belül hatályba lépő adatvédelmi rendelet rendelkezéseire, elkerülve így a már korábban részletezésre került súlyos bírságokat.
1. A vállalatnak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére – a GDPR szabályai szerinti – megfelelő jogalappal rendelkeznek. A jogalap főként jogszabályon, jogos érdeken, érintett hozzájárulásán alapulhat.
2. Jogalap hiányában a személyes adatokat törölni kell. Ennek megfelelően érdemes meggyőződni róla, hogy rendelkezik-e a cég a már szükségtelen adatok biztonságos megsemmisítésére vonatkozó gyakorlattal – lehetőleg automatikus törlés, esetleg anonimizálás – és eszközökkel (pl. az adathordozhatóság feltételeinek kialakítása). Az egyes IT-rendszerek adatbiztonsági megfelelőségét is felül kell vizsgálni.
3. A vállalkozásoknak döntést kell hozniuk, hogy ki lesz jogosult hozzáférni a személyes adatokhoz az adatkezelési folyamatok során, valamint a kezelt személyes adatokat meddig tárolják. (Számos vállalat használ egységes HR-adatbázisokat, amelyekhez nem csupán az Európai Unió országaiból, hanem esetenként azokon kívülről is lehet hozzáférése egyes személyeknek.) Külön kell rendelkezni arról, hogy harmadik fél milyen adatokhoz férhet hozzá, mely esetekben.
4. Adatot továbbítani az Európai Gazdasági Térségen kívülre csak megfelelő jogi garanciák megléte esetén lesz jogszerű. Ilyen jogi garancia a rendelet által bevezetett magatartási kódex és tanúsítvány. Ennek megfelelően azon országokba lehetséges továbbítani a személyes adatokat, amelyek az Unió által jóváhagyott magatartási kódexhez csatlakoztak vagy azon vállalkozásoknak, amelyek az EU által jóváhagyott tanúsítási mechanizmussal rendelkeznek.
5. A jövőben adatvédelmi nyilvántartást minden adatkezelőnek saját magának kell vezetnie lényegesen kibővült tartalommal. Az „adatregiszter”, vagy ahogy a jogszabály nevezi „adatkezelési tevékenységek nyilvántartásának” elkészítése jogszabályi kötelezettség lesz.
6. Érdemes lehet még az adatvédelmi hatásvizsgálat elvégzése. Az adatvédelmi hatásvizsgálat a GDPR rendelet betartásának elérésére és bizonyítására szolgáló eljárás.
Az általános adatvédelmi rendelet nem írja elő adatvédelmi hatásvizsgálat elvégzését minden olyan adatkezelési művelet esetében, amely természetes személyek jogaira és szabadságaira nézve kockázattal járhat. Csak akkor kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”.
Általában egy olyan új informatikai rendszer bevezetésénél, amely természetes személyekre vonatkozó egyes személyes jellemzők automatizált gyűjtését és értékelését (pl.: webes profilok építése) végzi vagy nyilvános helyek nagymértékű, módszeres megfigyelését látja el, ajánlott az adatvédelmi hatásvizsgálat.
7. A GDPR értelmében bizonyos adatkezelők és adatfeldolgozók kötelesek adatvédelmi tisztviselőt kijelölni. Ez a kötelezettség kiterjed minden közhatalmi szervre vagy egyéb, közfeladatot ellátó szervre (függetlenül attól, hogy milyen adatokat dolgoz fel), valamint egyéb olyan szervezetekre, amelyek fő tevékenysége az egyének szisztematikus, nagymértékű megfigyelése, vagy amelyek a személyes adatok különleges kategóriáit nagy számban kezelik.
Abban az esetben, ha a GDPR kifejezetten nem írja elő adatvédelmi tisztviselő kijelölését, a szervezetek számára bizonyos esetekben hasznosnak bizonyulhat, ha önkéntes alapon jelölnek ki adatvédelmi tisztviselőt. A tisztviselő az elszámoltathatóság sarokköve, elősegítheti a jogszabályoknak való megfelelést.
A rendelet közeli hatályba lépésére tekintettel ajánlott a GDPR rendelkezéseiben jártas jogi szakember segítségét igénybe venni a felkészüléshez.
Írta Dr. Németh Gábor ügyvéd | 2800 Tatabánya, Győri út 6/A.| Bővebb információért keressen bennünket!