Egy éve hatályban a GDPR - Hogyan kerülhető el a milliós bírság?

2019.06.17. Jogi Fórum / Taylor Wessing

Egy évvel ezelőtt, 2018. május 25-én lépett hatályba az Európai Unió adatvédelmi rendelete, vagyis a GDPR, amelynek megfelelni azóta is komoly kihívást jelent számos vállalkozás számára. A helyzetet tovább nehezíti, hogy az elmúlt hónapban mintegy 86 különböző ágazati törvényt módosítottak, átírva a korábbi adatkezelési szabályokat számos területen, a munkavállalókkal kapcsolatos adatkezelésektől kezdődően, a kamerás megfigyeléseken át egészen a kereskedelmi törvény új adatvédelmi rendelkezéséig. A GDPR megfelelés kapcsán alig 1 éve készített dokumentumok felülvizsgálata máris időszerűvé vált.

A Nemzeti Adatvédelmi és Információszabadság Hatóság első vizsgálataiból leszűrhető, hogy nem szabad félvállról venni az adatvédelmi megfelelést. A kiszabott bírságok jellemző vonása, hogy már egyetlen ügyfél panasza is milliós bírságot eredményezhet a vállalkozások számára. A Taylor Wessing Budapest adatvédelmi szakértői összeállítottak egy önellenőrzési listát, amely segítségül szolgálhat a leglényegesebb adatvédelmi mimumok meglétének ellenőrzésében.

„Az elmúlt év tapasztalatai alapján gyakori félreértésként tapasztaljuk, hogy bár a cégcsoportnál központi szinten történnek adatvédelmi intézkedések, a központi dokumentumok helyi sajátosságokhoz történő igazítása a folyamat során elmarad. Helyi szinten nem készül el az adatkezelési nyilvántartás, nem kerül sor az adatfeldolgozási szerződések helyi szolgáltatókkal történő megkötésére, elmarad az érdekmérlegelési tesztek dokumentálása, holott ezek egy esetleges adatvédelmi hatósági ellenőrzés során nagy jelentőséggel bírhatnak. Az adatvédelmi szabályzatok helyi követelményekhez igazítása újabb lendületet kapott az áprilisban hatályba lépett ágazati törvények módosításával. Olyan átfogó kérdések kerültek újraszabályozásra mint a munkavállalói adatkezelések jogalapja, a munkavállalók ellenőrzése, vagy a kamerás megfigyelés alapvető adatvédelmi szabályai - kiragadva a legátfogóbb témákat a 86 szabályozási tárgykörből.

Minden egyes cég önállóan felel az adatvédelmi követelmények betartásáért és a saját működéséhez igazított eljárásrendekkel, dokumentumokkal kell demonstrálnia, hogy eleget tett a GDPR által bevezetett új kötelezettségekkel összhangban a hazai részletszabályokkal egyidejűleg. Az anyacég központja által elkészített, de a helyi sajátosságokhoz nem igazított dokumentumok megléte bizonyosan nem elegendő az adatvédelmi megfelelés igazolásához” – foglalta össze el Ódor Dániel, a Taylor Wessing Budapest adatvédelmi csapatának vezetője.

A Taylor Wessing által összeállított alábbi lista – a teljeség igénye nélkül – azokat a legalapvetőbb adatvédelmi dokumentumokat tartalmazza, amelyekkel valamennyi vállalkozásnak rendelkeznie kell a GDPR követelményeinek való megfelelés érdekében.

Cégcsoport

  • Anyavállalattal vagy a cégcsoport más tagjaival megkötött adatfeldolgozási szerződés és/vagy közös adatkezelői szerződések a megosztott adatokra vonatkozóan

IT

  • Azalkalmazott technikai és szervezeti intézkedések leírása
  • Weboldal adatvédelmi tájékoztatója és cookie szabályzata GDPR új követelményeinek megfelelően
  • Kameraszabályzatra (esetleges beléptető rendszerre) vonatkozó szabályzat részletes figyelemfelhívó jelzéssel összhangban a GDPR-ral és az új áprilisi törvénymódosításokkal

Szállítók

  • Megkötött adatfeldolgozási szerződések
  • Kapcsolattartói adatok kezelésére vonatkozóan elhelyezett tájékoztatás a honlapon
  • A fennálló szállítási szerződések adatvédelmi szempontú kockázatértékelése, kiegészítése

Ügyfelek

  • GDPR szerinti hozzájárulások felülvizsgálata
  • Marketing tevékenység felülvizsgálata
  • Általános adatvédelmi tájékoztató és ÁSZF adatvédelmi frissítése

Munkavállalók

  • Kiegészített tartalmú munkavállalói tájékoztató a GDPR és a Munka törvénykönyvének áprilisi adatvédelmi módosításaival összhangban, új tájékoztató alkalmazása munkaszerződések mellékleteként
  • Állásajánlatra jelentkezők adatvédelmi tájékoztató
  • Fejvadászokkal kötött szerződések adatvédelmi szempontú kockázatértékelése, módosítása
  • HR szabályzat az önéletrajzok kezeléséről, kezelhető adatok köréről, megőrzési idejükről
  • Szabályzat a munkahelyi IT eszközök használatáról és azok ellenőrzéséről

Új eljárásrendek

  • Rendelkezésre áll az adatkezelési nyilvántartás
  • Valamennyi adatfeldolgozási és közös adatkezelői szerződést megkötöttek
  • Elvégezték a szükséges érdekmérlegelési teszteket
  • Kialakították (dokumentáltan) az adatvédelmi incidensek kezelésére illetve az érintettek GDPR szerinti jogaik gyakorlására vonatkozó eljárásrendeket
  • Rendelkezésre áll az adatvédelmi hatásvizsgálatok elvégzésére vonatkozó eljárásrend
  • kapcsolódó anyagok
ADATVÉDELEM
EURÓPAI UNIÓ JOGA
EURÓPAI UNIÓ