A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szól az Európai Parlament és a Tanács (EU)
2016/679 rendelete (általános adatvédelmi rendelet avagy General Data Protection Regulation, a továbbiakban röviden: GDPR).
A rendelet 2018. május 25-től kötelező és közvetlenül alkalmazandó valamennyi tagállamban mindenki számára, aki természetes személy személyes adatait szakmai vagy üzleti tevékenységgel összefüggésbe hozható tevékenység okán bármilyen formában kezel, legyen ennek módja elektronikus vagy hagyományos, papír alapú adatkezelés.
A Magyarországon az adatkezelést és adatvédelmet az Infotv. (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) szabályozza, de ágazati jogszabályok is tartalmaznak adatkezelésre vonatkozó előírásokat. A kamarák esetében ilyen a kamarai törvény (Kamtv.), az építési törvény (Étv.) és a szakmagyakorlásról szóló Korm. rendelet (266/2013. (VII.11.) Korm. rendelet).
Fontos kiemelni, hogy a GDPR előírásai nem tartalmaznak radikális változást a jelenleg hatályos hazai szabályokhoz képest. Ami problémát okozhat, hogy a vállalkozások a jelenleg is fennálló kötelezettségeinek eddig nem, vagy csak részben tettek eleget, így ez indokolhatja a hangsúlyt és figyelmet, ami az új szabályozást körbeveszi. A GDPR adatvédelmi tudatosságra kívánja felhívni a figyelmet. Az EU-s jogszabály felépítésében és szövegezésében is eltér a nálunk megszokottól. Sok esetben további részletszabályok megalkotására és harmonizálásra lesz szükség a hazai jogrendszerben. Ezek megalkotása a rendelkezésünkre álló információ szerint ősztől várható.
Jelen tájékoztató néhány alapelvet és iránymutatást kíván adni szakmagyakorlóinknak.
Nincs két egyformán működő tervező iroda, egyéni vállalkozó vagy bármilyen cégforma, így teljes körű adatkezelési folyamatokat összegyűjtő sablon, minta elkészítése lehetetlen. Azokat a fő elveket és fő folyamatokat ismertetjük, amelyek áttekintése, értelmezése és testreszabása után a GDPR-nek való megfelelést szakmagyakorlóink biztosíthatják saját üzleti tevékenységük során.
1. A GDPR alapelve, hogy a természetes személyek személyes adatainak kezelésével összefüggő védelme alapvető jog! A személyes adat fogalmát a GDPR meghatározza. Minden olyan adatot ért ez alatt a rendelet, amellyel egy természetes személy beazonosítható, különösen név, azonosításra alkalmas szám, helymeghatározó adat, e-mailcím, telefonszám stb.
2. Az adatkezelő az, aki személyes adatot bármilyen formában és módon kezel. Az adatfeldolgozó az adatkezelő megbízásából személyes adatokat kezel (ilyen lehet például a könyvelő, informatikus is). Fontos kiemelni, hogy az adatkezelés minden személyes adattal kapcsolatos műveletet jelent, úgymint gyűjtés, rendszerezés, tárolás, átalakítás, megváltoztatás, felhasználás, lekérdezés, betekintés, továbbítás, terjesztés, stb.
3. Adatvédelmi incidens, amikor a kezelt személyes adat véletlenül vagy jogellenesen megsemmisül, elveszik, megváltoztatásra, jogosulatlan közlésre kerül vagy jogosulatlanul hozzáférnek.
4. A személyes adatok kezelésére vonatkozó elvek
A GDPR 7 fő elvet határoz meg, amelyeket az adatkezelés során, azzal összefüggésben minden esetben figyelembe kell venni és be kell tartani.
• jogszerűség, tisztességes eljárás, átláthatóság
a személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni
• célhoz kötöttség
személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, adatot az eredeti céltól eltérően csak indokolt és alátámasztott esetekben lehet felhasználni
• adattakarékosság
a kezelt adatoknak a szükségesre kell korlátozódniuk, azoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell, hogy legyenek; csak annyi adat kezelhető, ami a cél eléréséhez kell
• pontosság
az adatoknak naprakésznek kell lenniük
• korlátozott tárolhatóság
csak addig tárolhatjuk a személyes adatokat, ameddig az előre meghatározott cél teljesült (vagy a cél megvalósítása elérhetetlenné vált) – ennél hosszabb ideig (és bizonyos további feltételek teljesülése mellett) csak közérdekű archiválás, kutatási vagy statisztikai célból tárolhatók
• integritás és bizalmas jelleg
minden olyan technikai vagy szervezeti intézkedést meg kell tenni, hogy a személyes adatok biztonsága megoldott legyen; ezalatt értendő a jogosulatlan vagy jogellenes adatkezelés, véletlen elvesztés, megsemmisítés vagy károsodás szembeni védelem
• elszámoltathatóság
az adatkezelő felelős a fenti elveknek való megfelelésért továbbá ennek tényét igazolnia kell tudni mind a hatóság, mind az érintett felé
5. A GDPR előírja, hogy az adatkezelési tevékenységekről minden adatkezelőnek és adatfeldolgozónak nyilvántartást kell vezetni, azonban meghatározza azokat az eseteket, amelyekre ez a kötelezettség nem vonatkozik:
• 250 főnél kevesebb főt foglalkoztató vállalkozás (amennyiben az adatkezelés valószínűsíthetően nem jár kockázattal)
• amennyiben az adatkezelés alkalmi jellegű
• amennyiben az adatkezelés különleges vagy bűnügyi adatokat nem érint
(A szakmagyakorlók különleges és bűnügyi adatokat nem kezelnek, különleges adatnak minősül például a vallási hovatartozás, bőrszín, nem identitás, egészségügyi adatok)
Tekintettel arra, hogy a szakmagyakorlóink vállalkozásai nagy valószínűséggel a fenti feltételeknek megfelelnek, ezért adatkezelési tevékenység nyilvántartási kötelezettségük nincs, azonban a rendelet kifejezetten ajánlja a nyilvántartást elkészítését, mert incidens esetén minden esetben az adatkezelőnek kell bizonyítania az adatkezelés jogszerűségét.
A Magyar Építész Kamara fentiek alapján szakmagyakorlóinak feltétlenül ajánlja az adatkezelési tevékenységeik felülvizsgálatát és amennyiben szükségesnek ítélik meg a nyilvántartás elkészítését. A felülvizsgálat során ugyanis felmerülhetnek olyan kérdések és kiderülhetnek olyan rossz gyakorlatok, amelyek
– elsősorban a 7 fő elv figyelembevételével – kiküszöbölhetőek, így egy esetleges incidens vagy hatósági ellenőrzés során a vállalkozás adatkezelésének jogszerűsége bizonyítható lesz.
6. A GDPR három konkrét esetben teszi kötelezővé az adatvédelmi tisztviselő kijelölését:
• ha az adatkezelést, adatfeldolgozást Hatóság vagy közfeladatot ellátó szerv végzi,
• ha a szervezet alaptevékenysége olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban.
Fenti három kritériumba szakmagyakorlóink vállalkozásai nem esnek bele, ezért adatvédelmi tisztviselő kijelölése nem kötelező. A rendelet azonban lehetővé teszi tisztviselő alkalmazását bármilyen vállalkozás esetében.
7. A GDPR kifejezetten belső adatvédelmi szabályzat készítési kötelezettséget nem ír elő. Az adatkezelő számára azt írja elő, hogy az adatkezelések figyelembevételével meg kell tennie minden technikai és szervezési intézkedést, hogy biztosítsa, és a későbbiekben bizonyítsa azt, hogy az adatkezelés a rendeletnek megfelelő. Lehetőségként jelzi belső adatvédelmi szabályzat megalkotását. A GDPR ezen szabályzat tartalmi elemeire vonatkozóan nem tartalmaz további speciális szabályokat.
Fentiek alapján szakmagyakorlóink vállalkozásainak nincs szabályzatkészítési kötelezettsége, a GDPR alapján technikai és szervezési intézkedések megtétele elegendő. Fontos, hogy ez is dokumentáltan történjen, tehát utólag a Hatóság felé igazolni lehessen.
8. Amit egy vállalkozásnak tennie kell – GDPR teendők lista
A GDPR-nek való megfelelés első lépése, hogy át kell tekinteni a vállalkozáson belüli adatkezelési folyamatokat, a kezelt személyes adatok körét és ezeket kell összehangolni a 4. pontban szereplő 7 fő elvvel.
• az adatkezelés kritériumainak felülvizsgálata > a személyes adatok kezelésének elvei érvényesülnek-e az adatkezelési folyamatokban
• az érintett megfelelő tájékoztatása > előzetesen szükséges tájékoztatni azt, akinek a személyes adatait kezeljük, hogy a személyes adataival mit kezdünk, hogy tároljuk és meddig; a tájékoztatás a szerződés része is lehet
• az adatkezelés jogalapja > minden esetben ez az első, amit tisztázni kell, a jogalap nélküli adatkezelés adatvédelmi incidens jelent
• az érintett jogai > tudnunk kell, milyen jogai vannak az érintettnek és ezt minden esetben szem előtt kell tartanunk; a legtöbb esetben a személyes adat védelme erősebb az adatkezelő érdekénél
• az érintett hozzáférési joga > az érintettnek joga van ahhoz, hogy a személyes adatainak kezelésének mikéntjébe betekintsen
• a hozzájárulás feltételeinek felülvizsgálata > csak szabad döntés esetén tekinthető a hozzájárulás megadottnak (Pl.: ajánlatkérés esetén az ajánlattételi határideig őrizhetőek meg az adatok)
• adatvédelmi tudatosság erősítése
9. Példák egy vállalkozás adatkezelési folyamataira
A leggyakoribb adatkezelési folyamatok:
• tervezéshez (szakmagyakorláshoz) kapcsolódó adatkezelés
• szolgáltatáshoz kapcsolódó adatkezelés
• munkára pályáztatás, önéletrajzok
• munkavállalók személyes adatai
• munkavállalók ellenőrzése (e-mail, számítógép, telefon)
• nyilvántartások
• követeléskezelés
• honlap
10. Az adatvédelemi követelmények betartását a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) fogja ellenőrzi. A Hatóság a hatályos jogszabályi előírások alapján eddig is vizsgált eseteket, bejelentéseket, rengeteg állásfoglalást és iránymutatást tett közzé, amelyek a www.naih.hu oldalon bárki számára elérhetők. A NAIH állásfoglalásai nem csupán konkrét ügyekben, hanem általános kérdéskörökben is születtek, így sok esetben ezen iránymutatások segíthetnek eldönteni a szakmagyakorlóknak az adatvédelmi követelmények betartásával kapcsolatos további lépéseiket.
11. Az adatvédelemre és adatkezelésre vonatkozó jogszabályok, források és egyben ajánlott linkek
• Magyarország Alaptörvénye VI. cikkének (2) és (3) bekezdései (személyes adatok védelméhez fűződő jog)
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
• 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről
• 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
• 2008. XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
• AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE: https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU
• Infógrafikával segített általános adatvédelemi tájékoztató: http://ec.europa.eu/justice/smedataprotect/index_hu.htm
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról: https://net.jogtar.hu/jogszabaly?docid=A1100112.TV
• Iránymutatás adatkezelők, adatfeldolgozók részére: http://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html
• Az adatvédelmi reformmal kapcsolatos állásfoglalások: http://www.naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html
Budapest, 2018. május 24.
Magyar Építész Kamara