GDPR megfelelőség cégvezetőknek – adatvédelmi kötelezettségek üzleti szemmel

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:

  • A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
  • Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
  • A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.

Mi az a GDPR és miért érint minden céget?

A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.

A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:

  • munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
  • EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
  • bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.

A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.

Az adatvédelem hét alapelve — cégvezetői olvasatban

A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:

  1. Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
  2. Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
  3. Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
  4. Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
  5. Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
  6. Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
  7. Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.

Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.

Ki az adatkezelő és ki az adatfeldolgozó?

A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.

Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.

Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.

Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.

Mire adhat jogalapot az adatkezelés?

A GDPR hat jogalapot ismer:

  • Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
  • Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
  • Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
  • Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
  • Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
  • Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.

A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.

Az érintett személyek jogai — amit a cégnek biztosítania kell

A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:

  • Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
  • Hozzáférési jog — az érintett kérheti az adatai másolatát.
  • Helyesbítési jog — kérheti a pontatlan adatok javítását.
  • Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
  • Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
  • Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.

Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.

Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít

Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.

Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.

Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.

Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”

A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.

A bizonyítás eszközei lehetnek:

  • adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
  • adatvédelmi szabályzatok és eljárásrendek;
  • munkavállalók képzési dokumentációja;
  • adatfeldolgozói szerződések;
  • adatvédelmi hatásvizsgálatok (DPIA) kockázatos adatkezeléseknél;
  • adattörlési és megsemmisítési igazolások.

Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.

Szankciók: mennyibe kerülhet a meg nem felelés?

A GDPR kétfokozatú bírságrendszert vezet be:

  • Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
  • Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.

A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.

Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.

Hogyan érdemes hozzáfogni?

A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:

  1. Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
  2. Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
  3. GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
  4. Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
  5. Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
  6. IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?

Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.

Gyakori kérdések

Ki köteles betartani a GDPR-t?

Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.

Mi számít „személyes adatnak” a GDPR szerint?

Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.

Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?

Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.

Mennyi ideig lehet személyes adatokat tárolni?

Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.

Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?

Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.

Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?

Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.