GDPR rendelet alkalmazása KKV-k esetében

A GDPR rendelet az Európai Unió egységes, minden tagországra nézve kötelező adatvédelmi rendelete. A betűszó a General Data Protection Regulation rövidítése, a GDPR jelentése: Általános Adatvédelmi Szabályozás. A rendelet célja a személyes adatok védelme az EU teljes területetén. Ilyen személyes adat lehet többek közt a név, cím, telefonszám, e-mailcím, de a fénykép vagy a GPS koordináta is. A különösen bizalmas adatainkat (mint pl. az egészségi állapot) és a gyermekek adatait fokozottan védi.

GDPR szabályzat: kinek NEM KELL alkalmaznia?

Neked nem kell alkalmaznod, ha…

Nincs alkalmazottad, és nem is tervezel felvenni;
Nincs számlás magán vevőd, a magánvevőidről semmilyen adatot nem tárolsz (csak nyomod a blokkot);
Nem tárolsz semmilyen céges, de személyhez köthető kapcsolati adatot (könyvelő, vevő, beszállító, stb. kapcsolattartójának e-mail címét, telefonszámát, és egyéb ilyeneket);
 Nem alkalmazol kamerás megfigyelést vagy beléptetést telephelyed védelmére;
 Nincs weboldalad;

Ha a fentiek közül akár csak egy olyan van amelyik nem igaz rád, akkor 2018. május 25-től már neked is foglalkoznod kellett volna a GDPR-ral. Érdemes tovább olvasnod!

A GDPR sztori – nehéz kezdetek

2018. május 25-én kisebb sokként érte a magyar vállalkozásokat a GDPR-nak, azaz az EU új adatvédelmi rendeletének a „hatályba lépése”. És itt egyből pontosítsunk is, ugyanis ez az egyik legnagyobb tévhit. A GDPR rendelet 2016.(!) május 25-e óta hatályban van, csak a kötelező alkalmazása tolódott 2018-ra. A rendelet 2 éves felkészülési időt biztosított. Nem mentség, de talán árnyalja a képet, hogy nem csak a vállalkozásokat érte váratlanul a szabályozás élesedése.

A jogalkotók legalább annyira lemaradtak a felkészüléssel, és ezzel nem kevés jogértelmezési galibát okoztak. Az Info tv. (2011. évi CXII. törvény) csak két hónappal később került módosításra. A NAIH, a Nemzeti Adatvédelmi és Információszabadság Hatóság, amely hivatalosan a GDPR szabályzat betartását ellenőrzi, ezen időszak alatt nem is indíthatott eljárásokat. Még tovább bonyolítja a képet, hogy sem a GDPR, sem pedig az Info tv. nem közöl részletes szabályozást az egyes ágazatok jogalkalmazásáról. A kamerahasználattal, a munkavállalók adatainak kezelésével, vagy a direkt marketinggel kapcsolatos szabályozás csak idén, április 26-án, vagyis közel egy évvel a GDPR kötelező alkalmazását követően vált hatályossá (2019. évi XXXIV. törvény). 

20 millió eurós büntetés az adatvédelmi vétségekért?

Igaz a 20 millió eurós büntetés az adatvédelmi vétségekért?

De nézzük meg, hogy egy ilyen képlékeny jogi környezetben hogyan telt az elmúlt egy év, tényleg halomra büntették-e a cégeket. A NAIH beszámolója szerint bár szép számmal érkeztek bejelentések, de csak 57 ügyben indult adatvédelmi hatósági eljárás. Az 57 ügyből 8 esetben hivatalból, 49 esetben pedig kérelemre kezdtek el vizsgálódni. 2019. március végéig ezen ügyek alig felét sikerült lezárni. 27 döntés született, amelyek közel kétharmadánál, 17 esetben megszüntették az eljárást. A maradék 10 ügyből 8 esetben hoztak jogsértést megállapító határozatot, és csak 6 esetben szabtak ki pénzbírságot.

A pénzbírsággal sújtott esetek közt elég extrémek is találhatók. Volt, hogy politikai párt 6.000 szimpatizánsának nevét és e-mail adatait tették fel hackerek a netre a párt gondatlansága miatt. Az is megtörtént, hogy önkormányzat a közérdekű bejelentő adatait kiadta a munkáltatójának, ezzel elintézve az illető kirúgását. A statisztikákból még hiányzik, mivel az utóbbi napok híre volt, hogy a NAIH 30 millió forintra büntette a Sziget Zrt.-t (Sziget Fesztivál, VOLT, Balaton Sound). A fesztiválszervező cég a terrorfenyegetettséget kissé túllihegve, hosszú éveken keresztül minden egyes fesztiválozó személyes adatait részletesen rögzítette a beléptetésnél. Persze voltak ezeknél csekélyebb súlyú esetek is. A lényeg: azért senki nem kapott 20 millió € büntetést, mert a cookie figyelmeztetése a honlapján nem felelt meg a NAIH elképzeléseinek.

De akkor most mennyire kell a GDPR-t komolyan venni?

Alapértelmezésben azt mondom nagyon, főleg, ha most indítod a vállalkozásod. Minden vállalkozó az ügyfelei, vásárlói, munkatársai, beszállítói adataiból él. Ha nem ismernénk vevőink személyes adatait nem tudnánk számukra felkínálni a legjobb, legújabb termékeinket, nem tudnánk hova küldeni a rendeléseket. Ha nem lenne meg beszállító partnereink kapcsolattartóinak a telefonszáma, e-mail címe, akkor sokkal macerásabb lenne az árurendelés. Munkatársaink adatai nélkül még törvényesen foglalkoztatni sem tudnánk őket. Nálam az adatvédelem mindig is hangsúlyos kérdés volt vállalkozásaimban. Évekkel ezelőtt felismertem: bizalom nélkül nincs üzlet, bizalmat pedig csak akkor tudok építeni, ha partnereim adataival korrektül bánok. Rokon területeken szerzett tapasztalataimra építkezve már jóval a “GDPR pánik” előtt elkezdtem foglalkozni a témával. Kialakult egy olyan szemléletem, amiért az adatvédelmi szakjogászok vélhetően megköveznek. Nem a törvény homályos betűjét kell betartani, hanem becsületesen kell partnereink személyes adataival bánni, és akkor a GDPR szabályzat előírásainak is meg fogunk felelni.

Mit tegyen egy KKV GDPR ügyben?

Egy multi, de még egy izmosabb középvállalkozás is, simán kicsap az asztalra pár százezer forintot vagy akár egy-két millát amiből kulcsrakész GDPR rendszert építenek neki. Ha kész a rendszer könnyedén eltart néhány plusz embert aki ezt a későbbiekben működteti. De mi van a picikkel, mi azokkal akik most indulnak? Rájuk sajnos ugyan úgy vonatkozik a GDPR, bár inkább azt mondom, hogy nekik sem érdemes elhanyagolni. Az előírásokat ésszerűen betartva, nem túllihegve, de nem is figyelmen kívül hagyva, akár egy egy-két fős vállalkozás is versenyelőnyt tud kovácsolni a tudatos adatkezelésből.

Én hiszek benne, hogy az adatvédelem a vállalkozás egyik különösen fontos pillére. Ugyan olyan fontos pillére, mint az értékesítés vagy a pénzügy, de pont ezért a többi részterülettel egyensúlyban kell működtetni. Meg kell találni azt a pontot, ahol még nem folytja meg cégedet a GDPR, de hozzáállásoddal ki tudod vívni partnereid megbecsülését. Ha így gondolkozol, feltételezve a NAIH vállalkozó barát, a törvény szellemiségét figyelembe vevő gyakorlatát, a bírságot sem kockáztatod. Nem hiszem, hogy a cookie tájékoztató formai részletein, vagy az adatvédelmi szabályzatok pont és vessző szintű kérdésein múlna a dolog. Az adatvédelem lényegét, gördülékenyen, a magad javára fordítva be kell építeni vállalkozásod mindennapjaiba. 

Büntetési esélyek a GDPR rendelet alapján

És tutira nem fognak megbüntetni?

Hááát, ez Magyarország, itt semmi nem biztos. Ha megnézzük az eltelt időszak statisztikáit, azt hiszem nagyon csúnya dolgot kell csinálnod, hogy fennakadj, ráadásul olyan szinten, hogy abból pénzbüntetés is legyen. Az Info tv. indoklásában egyértelműen megjelent, „…hogy a Kormány álláspontja szerint a (GDPR) Rendelet közvetlenül hatályosuló szabályait eredeti rendeltetésüknek megfelelően, vagyis elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, míg a többi gazdasági szereplő – elsősorban és kiemelten a kis- és középvállalkozások – tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni. Magyarországon ugyanis igen nagyszámú kis- és középvállalkozás működik, amely vállalkozásokra jelentős terheket ró a Rendeletnek való megfelelés biztosítása.”

Ez a törvénybe is bekerült, a 75/A. § kimondja, hogy „A Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt – az általános adatvédelmi rendelet 58. cikkével összhangban – elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.” Többször is kérdezték erről Péterfalvi Attillát a NAIH elnökét, ő (kiemelve az „első alkalommal” és az „elsősorban” kifejezéseket) ezt úgy kommentálta, hogy súlyos gondatlanság, szándékosság vagy például gyermekek jogainak sérelme esetén egyetlen adatkezelő sem kerülheti el a bírságot.

4+1 személyes jótanács

Gondold át nagyon alaposan, hogy milyen személyes adatokat kezelsz, szaknyelven készíts adatvagyon leltárt, és ellenőrizd, hogy szükséged van-e adatvédelmi tisztviselő kinevezésére.
Ha a vállalkozásod jellege olyan, hogy nagyszámú, esetleg érzékeny személyes adatot kezelsz (egészségügy, pénzügyi szektor, kamerarendszer üzemeltetése, stb.), akkor mindenképpen fordulj profi adatvédelmi szakjogászhoz. Ha gyermekek adatait is kezeled, akkor ugyancsak nem úszod meg.
Ha igazán nagy volumenben folytatsz direktmarketinget, mert mondjuk van egy jól menő webshopod, akkor szintén érdemes profihoz fordulni. Mindenképpen olyat keress, aki felelősséget is vállal a munkájáért. Ha most kezded az online marketinggel való ismerkedést, szintén érdemes utána nézned a GDPR-nak, és beépítened a mindennapjaidba.
Ha a fentiek egyike sem igaz rád, akkor próbálhatsz egy kicsit lavírozni, de legalább a látszatra adj. Minimum egy adatvédelmi tájékoztatónak illene lennie minden cégnél, lehetőleg a honlapra kitéve. Ehhez sablonokat, mintákat találsz a neten, amik persze pont annyit érnek, mint amibe kerülnek (=0), de legalább látszódjon a jó szándék. A cookie kezelés szintén nagyon a kirakatban van, egy figyelmeztető szöveget mindenképpen írass ki valami pluginnel, de ha normális megoldást akarsz, akkor érdemes a Cookiebot szolgáltatással próbálkozni. Ne feledd, ezek még nem jelentenek korrekt jogi megoldást, csak egy esetleges azonnali büntetéstől menthetnek meg.
Legyél nagyon transzparens, rugalmas és őszinte. A legnagyobb esélyed a buktára akkor van, ha összeakaszkodsz valakivel. Ha a többezres listádról egy vevő nehezményezi, hogy mért küldtél neki reklámot, akkor ne kezd el bizonygatni, hogy ő járult hozzá. Kérj elnézést és azonnal töröld. 

A cikkben található tanácsok, infók nem számítanak jogi tanácsadásnak! Nem vagyok jogász, bár GDPR témában végeztem képzést. A GDPR pánik idején több száz cikket átnyálaztam, zárt fórumokon hónapokig egyeztettem az ország legnagyobb GDPR koponyáival. Összességében kigyúrtam magam a témában, de ez még nem tesz jogásszá. Ha úgy érzed, hogy a te eseted sokkal bonyolultabb az átlagosnál, vagy csak szeretnél 1000%-ig biztosra menni, akkor minden képpen keress fel egy adatvédelmi szakjogászt.

Ha tetszett, kérlek oszd meg!

Tarsoly Péter

Üdvözöllek! Tarsoly Péter vagyok WebSalesService alapítója, társtulajdonosa, a kezdő online vállalkozók mentora. Hogy miért érdemes hinned nekem? Mert az ezredforduló óta építek sikeres cégeket, és kialakulása óta foglalkozom az online világgal. Küldetésünk, hogy segítsünk megvalósítani üzleti elképzeléseidet. Számíthatsz ránk, akár teljesen kezdő vagy a vállalkozói körben és még csak tervezgetsz, akár rutinos öreg róka vagy aki most érzi elérkezettnek az időt, hogy nyisson az online tér felé. Az online vállalkozás velünk kezdődik!