2018. május 25-én hatályba lépett az Általános adatvédelmi rendelet (az Európai Parlament és Tanács 2016/679 rendelete (GDPR)), amely az Európai Unió országaira egységes szabályozást veztett be az adatkezelés szabályozásában.
GDPR cikksorozatunk rövid áttekintést nyújt az adatvédelem vállalkozások számára legfontosabb témáiban.
Első cikkünkben a személyes adat fogalmát ismertetjük, kitérünk továbbá a KKV-kra vonatkozó nyilvántartási feladatokkal kapcsolatos szabályokra.
A személyes adat.
A GDPR meghatározása szerint személyes adat azonosított vagy azonosítható természetes személyre (ő az „érintett”) vonatkozó információ egy személy akkor azonosítható, ha közvetett vagy közvetlen módon, pl. valamely azonosító, név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján a személye pontosan megállapítható.
Gyakorlatilag ide tartozik minden adat, amellyel egy természetes személy egyértelműen azonosítható.
Ilyen adat például a fénykép, hang- képfelvétel, a természetes személy személyes adatai, így (a nevét tartalmazó magán vagy céges) email címe is.
Kell-e adatvédelmi nyilvántartást vezetni?
Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője nyilvántartást vezet
- a felelősségébe tartozóan végzett adatkezelési tevékenységekről.
- az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról.
E nyilvántartási kötelezettség nem vonatkozik arra a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, amennyiben
- az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően nem jár kockázattal,
- az adatkezelés alkalmi jellegű, vagy
- az adatkezelés nem terjed ki a személyes adatok
- cikk (1) bekezdésében említett különleges kategóriáinak vagy
- a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésére.
„Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. /GDPR (78) preambulumbekezdés/
budlegal TIPP!
Munkavállalók személyes adatainak kezelésére nyilvántartás szükséges
A munkavállalók személyes adatainak kezelésére vonatkozó nyilvántartás álláspontunk szerint nem alkalmi jellegű nyilvántartás, ezért erre vonatkozó adatkezelési nyilvántartást kell készítenie mindenkinek, aki munkavállalókat vagy megbízottakat alkalmaz, akiknek a személyes adatait kezeli. (Ld. még későbbi cikkünket a munkajogi adatkezelésről)
Olvassa el! Tájékoztató KKV-k számára: http://ec.europa.eu/justice/smedataprotect/index_hu.htm