Az elmúlt napok és hetek egyik vezető híre mind az elektronikus, mind a nyomtatott sajtóban a GDPR (General Data Protection Regulation ) 2018. május 25-i életbe lépése, melyet közvetlenül kell alkalmazni a hazai jogban is, ezáltal a katás egyéni vállalkozókat is érinti.
Az Európai Adatvédelmi rendelet hatálya mindenkire kiterjed, aki személyes adatot kezel az EU-ban, és ez független attól, hogy van-e adatkezelői jogköre vagy sem, azaz hogy ez hivatásából eredően kötelessége lenne-e vagy sem. Például nagyon sokan hiszik, hogy ők nem kezelnek személyes adatot, ezért nem vonatkozik rájuk, csak a “nagy” cégekre. Az igazság az, hogy a vállalkozások 99%-a kezel személyes adatot, így a GDPR szinte minden vállalkozásra vonatkozik, beleértve a katás vállalkozókat is.
Magyarországon jelenleg egy adatvédelmi hatóság van, a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH), mely szervezet az Infótörvény és most már a GDPR rendelkezései mentén is eljárt az adatvádelem körében.
Jogalkotói hiányosság, hogy az
Infótörvény módosítása még nem történt meg teljes egészében a GDPR rendelkezéseire tekintettel. Magyarországon a NAIH jogosult ellenőrizni nemzeti szinten a GDPR-nak való megfeleltetést.
Fontos megjegyezni, hogy nem is kell, hogy átvegye a magyar törvényekbe, mert a GDPR Európai Uniós rendelet, ami magasabb rendű a magyar törvényeknél, így annak betartása minden Eu-s tagországra kötelező érvényű.
Az EU adatvédelmi reform fő célja az átlátható adatkezelés a tagállami állampolgárok védelme érdekében, így a célok között szerepel, hogy EU-szerte kialakuljon egy azonos adatvédelmi gyakorlat.
Hazánkban az eljárási szabályok jelenleg az Infótörvényben vannak, így ha a személyes adatainkkal visszaélés (incidens) történik, akkor a GDPR mellett azt is alkalmazni kell. Tehát jelenleg Magyarországon a GDPR-en túl a jelenleg is hatályban levő Infótörvényt is be kell tartani.
Az adatvédelmi incidensek bejelentésének rendszere a NAIH honlapján 2018. május 26-tól elindult. Ez egy elektronikus felület, ahol azokat az adatvédelmi incidenseket, amelyek valószínűsíthetően kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, az adatkezelő bejelentheti. Tehát ez nem csak mások feljelentésére szolgál, hanem, hogy ha nálunk történt valami incidens és kikerültek személyes adatok, pl. nevek, e-mail címek, telefonszámok stb. akkor ezen a felületen be kell jelentenünk a hatóságnak.
Dr. Péterfalvi Attila, a NAIH elnöke egy előadásában elmondta, hogy hivatalból csak hatósági eljárás indítható, vizsgálati eljárás nem, ami azt jelenti, hogy vizsgálati eljárás incidens bejelentés alapján várható.
Függetlenül attól, hogy rengeteg a kérdőjel a GDPR hazai alkalmazásának tekintetében, mind elméleti, mind gyakorlati szinten, mindenkinek foglalkoznia kell a témával, aki személyes adatot kezel.
A vállalkozásoknak, így a KATA adózó egyéni vállalkozóknak is figyelmet kell fordítaniuk arra, hogy kialakítsák a saját, GDPR rendelkezéseinek megfelelő adatkezelési folyamataikat. Fontos kiemelni, hogy az adatvédelmi tudatosság megerősítését célozzák ezek a szabályok. Idővel valamennyi tagállamnak el kell jutnia arra a szintre, hogy az adatkezelők tudják azonosítani a problémát, illetve kialakuljon egyfajta rutin a mindennapi személyes adatkezelési gyakorlatunk vonatkozásában.
Hogy mi a teendő, akkor, ha 2018. május 25-ére nem készültünk el a GDPR-nak megfelelő adatkezelési szabályzatokkal?
Véleményem szerint elkésve még senki sincsen, hiszen egy hosszú folyamat előtt állunk, de javasolt mihamarabb nekikezdeni és hangsúlyt fektetni az adatvédelem vállalati szintű megvalósításához, melyhez elsődlegesen mindenképp szakember segítségének az igénybevétele javasolt, vagy legalább szakértő cégek által készített iratminták megvásárlásával közelíteni a saját gyakorlat kialakításához.
