Ügyfeleink már tudják, hogy mit jelent az adatvédelem, pontosan ismerik feladataikat és kötelezettségeiket. Ezen az oldalon az adatvédelem kapcsán előforduló gyakori kérdések mentén vezetjük végig az olvasót a GDPR rejtelmes világán.

Mi történik, ha valaki kifogást emel a vállalkozásommal szemben az adatvédelem, azaz a személyes adatai kezelése miatt?

A magánszemélyek bármikor élhetnek kifogásolási jogukkal az adatok kezelése kapcsán. Ebben az esetben az Ön vállalkozásának bizonyítania kell, hogy az adatkezelés elsőbbséget élvez az érintett jogaihoz képest, vagy hogy az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

Jó példa erre, hogy a pénzmosás elleni intézkedések esetén nagyon gyakran van szükség személyes adatokra a jogi igények védelméhez. Ilyen esetekben egy pénzintézet megtagadhatja az egyén kérelmét arra hivatkozva, hogy a gyanús tranzakciók felderítése kapcsán az adatkezelés elsőbbséget élvez az érintett jogaival szemben.

Problémás lehet, ha reklámleveleket küldök az embereknek?

Gyakori kérdés, hogy mit jelent az adatvédelem a reklámlevelek küldése kapcsán. Közvetlen üzletszerzésnek számít minden művelet, amelynek során a vállalkozás hirdetési vagy marketing anyagokat küld ki adott egyének részére. Szükséges a megfelelő tájékoztatás: az érintetteket az adatvédelmi nyilatkozatában vagy legkésőbb az első kapcsolatfelvétel alkalmával tájékoztatnia kell arról, hogy személyes adataikat közvetlen üzletszerzésre használja, valamint hogy jogukban áll tiltakozni, kifogást emelni az adatkezelés ellen. Amennyiben valaki kifogást emel személyes adatainak közvetlen üzletszerzési célú kezelése ellen, az ön vállalkozása/szervezete többé nem dolgozhatja fel az érintett személyes adatait ilyen célokra. Illetve fontos a megfelelő jogalap, azaz rendelkezni kell hozzájárulással az Érintettől az üzleti tárgyú reklámlevelek küldéséhez.

Hogyan válasszak Adatvédelmi tisztviselőt?

Az adatvédelmi tisztviselő személyét és feladatkörét szigorúan védi az új adatvédelmi rendelet, a szervezeten belül teljes szakmai függetlenséget élvez, utasításokat senkitől sem fogadhat el, az adatkezelő nem sújthatja büntetésekkel és nem bocsáthatja el. Az adatvédelmi tisztviselő közvetlenül a legfelső vezetésnek tartozik felelősséggel. Vállalkozási szerződés alapján is elláthatók feladatai kiszervezett tevékenységként és munkavállalóként.

Mitől függ a bírság mértéke?

A jogsértés típusától, volumenétől, illetve ezzel együtt a felkészültség mértékétől függ az adatvédelmi bírság mértéke. Gyakori kérdés, hogy ez mit jelent az adatvédelem napi gyakorlatában. Súlyos jogsértés esetén a rendelet szerint a büntetés elérheti akár a 20 millió eurót, vagy az adott vállalat előző pénzügyi évének teljes éves világpiaci forgalmának mintegy 4%-át – a kettő közül a magasabbat kell kiszabnia a hatóságnak. Ráadásul adatvédelmi jogsértések esetén a tagállamoknak jogukban áll további büntetőjogi intézkedéseket foganatosítani.

Magyarországon volt már példa 40 millió forintos büntetés kiszabására, és milliós büntetéseket róttak már ki egyházra, pártra, önkormányzatra és pénzintézetre is. A vétségek listáján szerepel a megfelelő adatkezelési tájékoztatás elmulasztása, az érintetti jogok megtagadása, jogalap nélküli adatkezelés.

Mi az a beépített adatvédelem?

Ma már az üzleti tevékenység tervezése során be lehet építeni a folyamatokba az adatbiztonságot és az adatvédelmet szolgáló elemeket, ezt nevezzük “beépített adatvédelem”-nek (Privacy by design). Ebben az esetben jellemzően az üzletszerzés folyamatába és a műszaki termékekbe integrált titkosítási, álnevesítési automatizmusokról, és értetési, kommunikációs logikákról, amelyek a teljes üzleti ciklus alatt biztosítják, hogy az adatkezelés megfeleljen az előírásoknak.

Mi az az alapértelmezett adatvédelem?

Az alapértelmezett adatvédelem (Privacy by default) ezzel szemben az egyszerűségre koncentrál, az a lényeg, hogy az üzleti tevékenység végzésekor csak a legszükségesebb személyes adatot kezelje a vállalkozás.

Kinek kötelező a hatásvizsgálat?
Az adatvédelmi tisztviselő köteles hatásvizsgálatot készíteni, amennyiben az adatkezelés igen magas kockázattal jár az érintettek jogaira és szabadságára nézve . Ilyen eset lehet pl. a különleges adatok igen nagy számban való kezelése egy kórházban, vagy profilozást végző online kereskedelmi portál.

Kezelhetek adatokat az EU-n kívül?

Akkor sem sérülhetnek az érintettek jogai, ha a személyes adataikat az Európai Gazdasági Térségen (EGT) kívülre továbbítják. Az adattovábbítás így akkor lehet jogszerű, ha a harmadik ország megfelelő védelmi szintet képes biztosítani, és ezt a megfelelő jogi garanciák biztosítják. Az új uniós rendelet e garancia nyújtása kapcsán két új jogi garanciatípust vezetett be, a tanúsítványt és a magatartási kódexet. Amennyiben az ország rendelkezik a megfelelő szinttel, úgy az adattovábbításhoz már nem szükséges külön engedély, ugyanis jogilag ugyanúgy kell rá tekinteni, mint ha a személyes adatok az Európai Unión belül maradtak volna. A biztonságosnak tekinthető országok listáját a Bizottság honlapján lehet megtekinteni.

Az USA-ban van a szerver, amit használok. Ez rendben van?

Az Egyesült Államokba továbbított adatok esetén további feltételeknek kell eleget tenni: személyes adat csakis akkor továbbítható, ha az adott vállalat biztosítja, hogy betartja a Privacy Shield megállapodásban lefektetett feltételeket.

Ha ez nem teljesül, akkor a következő feltételek esetén továbbítható a személyes adat:

• a felek az Európai Bizottság által elfogadott adatvédelmi szerződés által meghatározott kikötéseket alkalmazzák vagy;
• az adatvédelmi hatóság által jóváhagyott kötelező erejű vállalati szabályokat alkalmaznak a felek (Binding Corporate Rules, BCR) vagy;
• olyan vállalkozásnak kerül továbbításra, mely már csatlakozott egy jóváhagyott magatartási kódexhez vagy;
• a vállalkozás jóváhagyott tanúsítási mechanizmussal rendelkezik.

Amennyiben ezek a garanciák nem állnak rendelkezésre, úgy az Európai Unión kívülre csak úgy lehet személyes adatot továbbítani, hogyha:

• megfelelően tájékoztatják a továbbításról, illetve a garanciák és határozat hiányából fakadó kockázatról az érintettet, mely után az érintett kifejezett hozzájárulását adja vagy;
• a szerződés teljesítésének feltétele az adattovábbítás vagy;
• az adattovábbítása jogi igények érvényesítése, előterjesztése és védelme miatt szükséges vagy;
• létfontosságú érdek az adattovábbítás az érintett számára, és az érintett jogilag vagy fizikailag képtelen a hozzájárulás megadására vagy;
• a nyilvánosság tájékoztatását szolgálják a személyes adatok a tagállami vagy uniós jog értelmében.

Tényleg van dolgom a Sütikkel?

Az adatvédelmi rendelet (GDPR) szerint a süti-azonosítók is alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya.

A sütikről, azaz a „cookie-k”-ról egyértelmű és pontos tájékoztatást kell adni az adatvédelmi tájékoztatóban, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Ezen felül lehetőséget kell adni minden oldal-látogatónak, hogy úgy döntsön, a továbbiakban nem járul hozzá a cookie-k alkalmazásához.

Hogyan kell biztosítanom a leiratkozást?

Mindenképpen fontos, hogy a leiratkozási lehetőség jól látható legyen, az olvasó számára érthető, a honlapon belül gyorsan megtalálható.

Nem szeretik a pipálgatást az ügyfeleim, muszáj kipipáltatnom velük?

Igen. Jogszerűtlen az adatkezelés, ha nincs hozzájárulás, és nem küldhetünk hírlevelet, ha nincs külön hozzájárulás. Van olyan eset, ahol akár 3 jelölőnégyzetet is be kell pipálni az adott szolgáltatás használatához. És persze nem elég csak pipáltatni, valamilyen módon nyilván kell tartani, hogy ki, pontosan mihez járult hozzá, azaz tudnunk kell, hogy az egyes ügyfelek, látogatók kapcsán, mihez van jogosultságunk.

Külön hozzájárulás kell hírlevél küldéséhez?

Igen, a rendszeres reklámüzenetek, hírlevelek küldéséhez külön hozzájárulás szükséges. Az adatbázisokban tárolt adatokat csak a gyűjtésük kapcsán megszerzett hozzájárulásban meghatározott célra lehet használni, új cél esetében ismételten, külön be kell kérni az érintett hozzájárulását.

Vettem régebben egy adatbázist, fizettem érte, akkor használhatom?

Az adatbázissal kereskedni, azt értékesíteni a GDPR szabályainak értelmében nem lehet, így nem lehet pl. egy cipő-webshop adatbázisát az akár azonos tulajdonosi körrel rendelkező pl. utazási iroda céljaira felhasználni. A megvásárolt adatbázis pedig feltételezhetően nem jelent semmiféle jogalapot az adatok kezelése kapcsán, tehát használata mindenképpen jogsértő.
Vannak szolgáltatók, akik a megfelelő jogalap birtokában vállalják például reklámcélú üzenetek küldését, saját adatbázis híján ez lehet a megfelelő megoldás.