Adatvédelmi jog

A munkaviszony vagy más munkavégzésre irányuló jogviszonyok számos adatvédelemmel összefüggő kötelezettséget keletkeztetnek a munkáltató oldalán.
Ügyfeleink részére audit lefolytatását, tanácsadást, illetve dokumentumszerkesztést vállalunk, különösen, de nem kizárólag elektronikus megfigyelőrendszerekkel, munkavállalók ellenőrzésével, vállalati informatikai eszközök, szoftverek és gépjárművek használatával, beléptetőrendszerekkel, kiválasztási folyamatokkal összefüggő adatkezelési kérdésekben.

Az adatvédelmi megfelelőség kétségkívül központi és egyik legfontosabb eleme az érintettek részére szóló adatkezelési tájékoztató elkészítése. Ugyanakkor ezzel korántsem tettünk eleget az adatvédelmi jogszabályokban foglalt követelményeknek, ez „csak” a felszín, sőt, ideális esetben az utolsó teendők egyike. A mélyben húzódnak ugyanis az adatvédelmi compliance igazi kihívásai: a folyamatok, adatkezeléssel összefüggő vállalati szokások, gyakorlatok jogszabályi elvárásokkal történő összehangolása.
Ennek keretében előre meghatározott módszertannal átvilágítjuk Ügyfeleink működését, adatvédelemmel kapcsolatos napi gyakorlatát, majd azonosítjuk és rangsoroljuk kockázatokat, ezt követően az Ügyféllel közösen kidolgozzuk az őt leginkább támogató jogi megoldást.

A gazdasági társaságok – mint adatkezelők - nagy része odáig már eljutott, hogy valamiféle adatvédelmi megfelelőséggel rendelkezik, vagy legalábbis tett bizonyos adatvédelmi intézkedéseket. Azt azonban már kevesen tudják, hogy a cégeknek van egy olyan kötelezettségük az adatvédelem kapcsán, amelyet akkor is foganatosítaniuk kell, ha a rendszerükben semmiféle változás az idők folyamán nem történt.

Az adatkezelő kiemelt kötelezettsége, hogy az adatkezelés megkezdésétől számítottan legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából eljáró adatfeldolgozó partnere által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e, azaz fennáll-e a folytatólagosság.

Ennek a felülvizsgálatnak és eredményének megfelelő dokumentálása akkor is szükséges, ha a felülvizsgálat eredménye csupán annyi, hogy nincs szükség az adatkezeléssel kapcsolatos jogi folyamatok módosítására.

A felülvizsgálat tehát azt fogja megmutatni, hogy az adatkezelés megkezdése óta eltelt időben az adatkezelő továbbra is célhoz kötötten és megfelelő módon végzi az adatkezelést. Ha ennek ellenkezőjét mutatja ki, akkor a jogi folyamatokon azonnal módosítani kell. Az adatkezelőnek a felülvizsgálati dokumentációt tíz évig meg kell őriznie és hatósági számonkérés esetén igazolnia kell a felülvizsgálat tényét, valamint a kapott eredményeket. A NAIH eljárásai során a felülvizsgálati dokumentációt bekéri és abba betekint.

Tekintettel a felülvizsgálati eljárás módszertanára és dokumentációs módjára, ha ez az „igazolás” a szükséges időben nem áll az adatkezelő rendelkezésére, egy esetlegesen megindult eljárás közben -azaz „utólag”- már nem lehet – és nem is jogszerű - elkészíteni.

Ha egy adott adatkezelő jogkövető módon 2018-ban már kialakította a saját adatvédelmi megfelelőségét, és az adatokat ez alapján kezeli, akkor legkésőbb 2021-ben az első ilyen felülvizsgálatot el kellett (volna) végeznie, a következő pedig 2024-ben (lenne) esedékes.

A felülvizsgálat hiányával komoly esélye van annak, hogy a hatóság megállapítja a megfelelő cél és jogalap nélkül folytatott adatkezelés tényét. A NAIH bírságkiszabási gyakorlatát – ha máshonnan nem – a hírekből minden gazdasági szereplő ismerheti. Ezen túlmenően a NAIH határozatban fogja kötelezni az adatkezelőt a felülvizsgálat elvégzésére.

Ezért javasoljuk minden adatkezelőnek, aki fenti kötelezettségét ezidáig mulasztotta, hogy a felülvizsgálatot mielőbb indítsa el.

Az adatvédelmi jogszabályok szigorú dokumentációs kényszert határoznak meg.
Ügyfeleink igényeinek és tevékenységi köreinek megfelelő adatvédelmi tájékoztatások, szabályzatok előkészítését, szükség esetén hatásvizsgálatok lefolytatását és dokumentálását vállaljuk.

Vállaljuk Ügyfeleink képviseletét az adatvédelmi hatósági határozat bírósági felülvizsgálatával kapcsolatos eljárásban, illetve adatvédelmi tárgyú peres eljárásokban.

Elhagyott céges informatikai eszköz? Hackertámadás? Kártékony kódok betörése az informatikai rendszerbe? Téves címre küldött levél?
A felsorolt esetkörökben egy közös: a legtöbb esetben adatvédelmi incidensnek minősülnek. Egy adatvédelmi incidens bekövetkezte a legfelkészültebb adatkezelőket is kihívás elé állíthatja. Tapasztalataink azt mutatják, hogy amint az adatkezelők adatvédelmi incidenst észlelnek, tanácstalanság és bizonytalanság lesz úrrá, jellemzően még akkor is, ha egyébként vannak érvényben incidenskezelési tárgyú szabályzatok a szervezetnél.
Ebben az esetben kiemelten fontos a gyors és megfelelő reakció, tekintettel arra, hogy főszabály szerint az adatvédelmi incidenst annak észlelésétől számított 72 órán belül szükséges bejelenteni az adatvédelmi hatóság részére. Irodánk támogatja Ügyfeleit a személyes adatokat érintő incidensek kivizsgálásában, dokumentálásában, azok adatvédelmi hatóság részére bejelentésben és minden, adatvédelmi incidenssel kapcsolatos további teendőben.

Információbiztonsági szakemberek körében gyakori szállóige, hogy a „munkavállaló a legnagyobb információbiztonsági kockázat”. Szerencsére a munkavállalók megfelelő edukálásával ez a kitettség minimalizálható. Ügyfeleink számára rendszeresen tartunk adatvédelmi és információbiztonsági képzéseket, melyek során a munkavállalók megismerkedhetnek olyan fogalmakkal, mint például kukabúvárkodás, adatminimalizálás, clean desk policy, biztonsági esemény, adatvédelmi incidens.

Az adatvédelmi jogszabályok által adatvédelmi tisztviselő (DPO) kinevezésére kötelezett adatkezelők részére Irodánk vállalja hosszútávú együttműködés keretében az adatvédelmi tisztviselői feladatok ellátását.
A DPO szolgáltatás keretében Irodánk felülvizsgálja az adatkezelő adatvédelmi folyamatait, folyamatos támogatást nyújt adatkezeléssel kapcsolatos kérdésekben és incidenskezelési folyamatokban, auditokat végez, kapcsolatot tart a hatóságokkal, továbbá általánosságban felügyeli és biztosítja, hogy az Ügyfél adatkezelési folyamatai az jogszabályi elvárásokkal összhangban legyenek.

A GDPR a korábbi szabályozásokhoz képest magas önrendelkezési lehetőséget biztosít az adatkezeléssel érintett természetes személyek számára.
Ezen önrendelkezés keretében -az adatkezelés jogalapjának függvényében- az érintetteknek joguk van hozzáférniük személyes adataikhoz, kérhetik azok törlését, helyesbítését, hordozhatóságát, kezelésük korlátozását, továbbá tiltakozhatnak személyes adataik kezelése ellen.
Az adatkezelőket érintetti igény teljesítése során is szoros jogszabály által előírt határidők kötik: az érintetti igényt annak beérkezésétől számított egy hónapon belül szükséges megválaszolni.
Irodánk vállalja Ügyfelei támogatását érintetti igények kezelésében, teljesítésében.