GDPR gyakran ismételt kérdések – adhatok a könyvelőnek adatokat?

A cikk olvasási ideje 5 perc

Még élünk. Május 25 elmúlt és a magyar vállalkozások még mindig nem roppantak bele a GDPR büntetésekbe. Talán mert mindenki felkészült? Talán. Azért volt néhány olyan vállalkozás, akik megkerestek bennünket, hogy mit kellene tenniük, majd nem tettek semmit.

Május utolsó hetében összeállítottam egy GYIK (gyakran ismételt kérdések) listáját házi használatra, mert ezeket a kérdéseket naponta sokszor tették fel nekünk. A pánik elmúlt ugyan, de a személyes adatok védelme attól még fontos maradt. Nem a GDPR miatt, hanem saját magunk védelme miatt.

Mi történik, ha nem készültünk fel 2018. május 25-ig (és azóta sem)?

A rendelet büntethetősége 2018. május 25-én hatályba lép, nincs semmilyen „türelmi idő”, addig fel kellett készülni annak alkalmazására. Ha valaki május 25 előtt jelentette fel a vállalkozást a személyes adatok kezelésével kapcsolatban, akkor még nem biztos, hogy kellett fizetni. Persze, ne feledjük el, hogy az információs önrendelkezési jogról szóló törvény már 2011 óta hatályos! Tehát a személyes adatokat eddig is védeni kellett (volna).

Ha nem készültünk fel a GDPR-ra, és nem jelenti fel a vállalkozásunk valakit, akkor nem történik semmi.

Ha nem készültünk fel a GDPR-ra és feljelenti valaki a vállalkozásunkat, akkor nagy valószínűséggel először figyelmeztetést kapunk, amelyben a hatóság felhívja a figyelmünket az elkövetett jogsértésre, és határidőt szab ki kötelezettségünk teljesítésére. Amennyiben ezzel sem élünk, és nem kezeljük a személyes adatokat a GDPR jogszabályainak megfelelően, akkor megbüntetik a vállalkozást.

KKV-kra is vonatkozik a GDPR?

Igen, ahogyan a jelenlegi szabályok is minden adatkezelőre és adatfeldolgozóra vonatkoznak, így a GDPR is vonatkozik pl. minden cégre, amely magánszemélyek személyes adatait valamilyen nyilvántartási rendszerben kezeli.

Mi minősül személyes adatnak?

Személyes adatnak minősül bármilyen információ, amely azonosított vagy azonosítható természetes személyre vonatkozik. Ez gyakorlatilag bármilyen információ lehet, amely az adott személyhez köthető és általa a személy – közvetlenül vagy közvetetten – azonosítható (pl. lakcím, anyja neve, e-mail cím, biztonsági kamera felvétele…)

Melyek egy adatkezelés legfőbb alapelvei?

Az adatkezelés legfőbb alapelvei a következők:

  • célhoz kötöttség elve: személyes adatot csak előre meghatározott célból lehet kezelni,
  • adat-takarékosság és alapértelmezett adatvédelem elve: csak a cél megvalósításához feltétlenül szükséges mértékben,
  • korlátozott tárolhatóság elve: csak a cél megvalósulásáig,
  • tisztesség elve: az adatkezelésnek meg kell felelnie a tisztesség követlményének,
  • megfelelő jogalap elve: jogszerűnek kell lennie,
  • pontosság elve: a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie,
  • előzetes tájékoztatás elve: az adatkezelés csak közérthető, részletes, teljes és könnyen hozzáférhető, előzetes tájékoztatáson kell alapulnia;
  • az érintettek jogai: tájékoztatást kérhet adatai kezeléséről, tiltakozhat adatai kezelése ellen, kérheti azok törlését, helyesbítését és zárolását. A fentieket lényegében a hatályos magyar szabályozás is tartalmazza.

Szabad-e tárolnom évekig, évtizedekik személyes adatokat?

 Igen, ha az megfelel az adatkezelés legfőbb alapelveinek.

Gondoljunk csak bele, mi lenne, ha a kórházak, NAV, egyetemek, általános iskolák, stb… nem tárolná az adatokat, Nem tudnánk kérni igazolásokat, ha elveszett valamelyik bizonyítványunk, a kórházak nem tudnák, milyen műtéteink voltak, vagy betegségben szenvedünk, stb…

Van egy könyvelőm, aki az alkalmazottam bérét bérszámfejti. Akkor most az alkalmazottaimtól hozzájárulást kell kérnem ahhoz, hogy a könyvelőnek továbbíthassam az adatokat? Mi van, ha nem egyezik bele? Akkor lehetséges, hogy nem adok neki fizetést, amíg nem egyezik bele?

Nem. Az üzemszerű működéshez szükséges a bérszámfejtés, ezért nem kell külön megkérni az alkalmazottat, hogy ugyan járuljon már hozzá, hogy bérszámfejtessünk számára.

Nem. Akkor sem, ha külsőssel végetetjük.

Nem. Nem lehetséges valakit nem kifizetni az elvégzett munkája után azért, mert nem egyezik bele a személyes adatainak ilyen vagy olyan kezelésébe.

Mi az adatvédelmi incidens?

Bármilyen esemény, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (pl. egy személyes adatokat tartalmazó adathordozó elvesztése, rossz címzettnek küldött e-mail stb.). Az adatvédelmi incidenst haladéktalanul (legkésőbb 72 órával a tudomásszerzést követően) be kell jelenteni az adatvédelmi hatóságnál, nyilván kell tartani, és ha valószínűsíthetően magas kockázattal jár, akkor az érintettet is tájékoztatni kell.

Mit jelent az adatvédelmi hatásvizsgálat?

Ha egy adatkezelés annak jellege, hatóköre, céljai miatt valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor kell.

Milyen előnyöm származik a GDPR-ből?

Átláthatóság: tisztában leszünk azzal, hogy milyen személyes adatokat kezelünk, hol tároljuk és hogyan védjük őket.

Bizalmi tényező.

Értékteremtés.

Versenyelőny.

Kérdése van? Tegye fel a megjegyzések között vagy keresse szakértőnket!

Címke