A gazdálkodó szervezeteket érintő adatvédelemmel kapcsolatos legfontosabb tennivalókat dr. Ritter Marianna ügyvéd, az iLex vezérigazgatója foglalja össze.

Az iLex és a Kamara Online ingyenes jogi iratminta adatbázisában, a Vállalkozói Tudástárban a vállalkozók számára legfontosabb dokumentumokról szakértők foglalják össze az alapvető tudnivalókat.

Napjainkban a gazdasági társaságoknak az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (Info tv.) rendelkezéseihez kell fordulniuk, ha céges adatok adatkezelésről, nyilvános adatok megismeréséről, adatfeldolgozásról esik szó. Az Info tv. hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik – akkor is, ha teljesen vagy részben automatizált eszközzel, és akkor is, ha manuális módon történik az adatkezelés.

Ugyancsak az Info tv. alkalmazandó, ha olyan adatkezelésre kerül sor, amikor az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel (kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja).

A vállalkozásoknak legelső lépésként célszerű azt megvizsgálniuk, hogy bejelentkezzenek-e a Nemzeti Adatvédelmi és Információszabadsági Hatóság (NAIH) Adatvédelmi Nyilvántartásába, vagyis van-e olyan adatkezeléssel összefüggő tevékenységük, amely ezt indokolttá teszi. A személyes adatkezeléssel összefüggésben alapvető változásokat hozó uniós szabályozás, a GDPR (General Data Protection Regulation, Általános Adatvédelmi Rendelet) csak jövő májusban lép hatályba, de addig is érdemes – az új szabályokra történő felkészüléssel egyidejűleg – felülvizsgálni, mennyire jogszerű a vállalkozásunk adatkezelése.

Az Info tv. 4. §-ában foglaltak szerint személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

Az Info tv. 65. §-a szerint a NAIH Adatvédelmi Nyilvántartása az alábbiakat tartalmazza:

  1. az adatkezelés célját,
  2. az adatkezelés jogalapját,
  3. az érintettek körét,
  4. az érintettekre vonatkozó adatok leírását,
  5. az adatok forrását,
  6. az adatok kezelésének időtartamát,
  7. a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
  8. az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
  9. az alkalmazott adatfeldolgozási technológia jellegét,
  10. a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.

És mi az, amit nem tartalmaz? Nem vezet adatvédelmi nyilvántartást a NAIH arról az adatkezelésről, amely

  1. az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével – ügyfélkapcsolatban álló személyek adataira vonatkozik;
  2. a bevett egyház belső szabálya szerint történik;
  3. az egészségügyi ellátásban kezelt személy betegségével, egészségi állapotával kapcsolatos személyes adatokra vonatkozik gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;
  4. az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik;
  5. a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira, vagy a büntetés-végrehajtás során a büntetés-végrehajtással összefüggésben kezelt személyes adatokra vonatkozik;
  6. a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy – törvényben meghatározottak szerint – az adatok érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik.
  7. a médiaszolgáltatásokról és a tömegkommunikációról szóló törvény szerinti médiatartalom-szolgáltató olyan adatait tartalmazza, amelyek kizárólag saját tájékoztatási tevékenységét szolgálják;
  8. a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra,
  9. a levéltári őrizetbe vett iratokkal összefüggésben valósul meg.

A NAIH adatvédelmi nyilvántartásába történő elektronikus bejelentés (a kötelező adatkezelés kivételével) önkéntes, tehát az adatkezelő vállalkozásra vár a feladat, hogy kitölti-e a bejelentési kérelmet vagy sem. Ehhez mindenekelőtt a fenti két felsorolás pontos értelmezése szükséges.

Ha eddig nem tudtuk vagy nem vizsgáltuk, hogy adatvédelmi nyilvántartás szerinti adatkezelést végzünk-e, akkor jó hír, hogy tevékenységünket gyorsan jogszerűvé tehetjük: a NAIH ugyanis az adatkezelést főszabályként a kérelem beérkezésétől számított 8 napon belül nyilvántartásba veszi. (természetesen vannak ettől eltérő, speciális eljárási szabályok is).

Az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó NAIH-határozatnak tartalmaznia kell az adatkezelés nyilvántartási számát, amelyet az adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az érintettnek való kiadásakor a továbbiakban fel kell tüntetni.

Fontos szabály: a nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét!

A korábbi adatok megváltozása esetén az adatkezelő vállalkozás a változás bekövetkezésétől számított nyolc napon belül ugyancsak változásbejegyzési kérelmet kell, hogy benyújtson a NAIH-nak, tehát nem egyszeri ügyvezetési feladatról van szó, hanem folyamatos odafigyelésről.

A NAIH elektronikus bejelentkezési nyomtatványcsomagja itt érhető el (kitöltési útmutató az oldalon).

A következő cikkben folytatjuk a céges adatok védelmére vonatkozó tájékoztatónkat: megkíséreljük a nyilvántartás alá tartozó adatkezelések körét – néhány tipikus vállalkozási adatkezelési példa felhozásával – konkretizálni.

dr. Ritter Marianna ügyvéd,
az iLex Systems Zrt. vezérigazgatója