GDPR új adatkezelési szabályzatának irányelvei, amelyet adatkezelőként és adatfeldolgozóként alkalmazni kell

    Készítette: György Sándor adatvédelmi tisztviselő

    A vállalkozásunk tevékenysége munkáltatóként adatkezelő és szolgáltatóként adatfeldolgozó. Ebből következik, hogy természetes személyek adatait és a vállalkozások adatait egyaránt kezeljük. Célunk az adatkezelés tudatosságának erősítése és bizalmi jellegének betartása, illetve az adatvédelmi felügyelet előírásainak való megfelelés bizonyítása.

    Az adatkezelés fogalma: a személyes adatokon vagy adatállományokon automatizált vagy hagyományos módon végzett műveletek összessége, tehát az adatokon végzett minden művelet

    pl.: gyűjtése, rögzítése, rendszerezése, tárolása, lekérdezése, továbbítása, tárolása, törlése és megsemmisítése, illetve fénykép, hang vagy képfelvétel készítése, rögzítése stb.

    Jogalap: az adatkezelőnek képesnek kell lennie annak igazolására, hogy:

    • az érintett személyes adatainak kezeléséhez van hozzájárulás, ezt írásba foglaltuk pl. nyilatkozat formájában, vagy a hozzájárulását visszavonta
    • jogi személy az adatkezelő akkor szerződést kell kötni, de ez csak akkor érvényes, ha a szerződés aláírója maga az adatkezelő
    • a szerződés teljesítéséről, mint jogalapról akkor nyilatkozhatunk, ha az adatkezelővel, mint természetes személlyel kötöttünk szerződést
    • Adatvédelmi tudatosság erősítése
    1. Adatkezelések kritériumainak felülvizsgálata
    2. Érintett megfelelő tájékoztatása
    3. Érintettek jogai maradéktalanul érvényesüljenek
    4. Érintett hozzáférése
    5. Adatkezelés megfelelő jogalapja
    6. Hozzájárulás feltételeinek felülvizsgálata
    7. Gyerekek jogainak kiemelt védelme
    8. Adatvédelmi incidens bejelentése
    9. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat (magas kockázatú adatkezelések esetében konzultáció)
    10. Adatvédelmi tisztviselő
    11. Adatvédelmi felügyeleti hatóság illetékessége

    2011. évi CXII. törvény – az Infótörvény

    Célja a hatálya alá tartozó tárgykörökben az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.

    Hatálya minden olyan adatkezelésre kiterjed, amely személyes adatra, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.

    Általános rendelkezései között a jogszabály teljes körűen felsorolja azokat a rendelkezéseket, amelyeket a GDPR hatása alá tartozó adatkezelések esetén alkalmazni kell.

    A felsorolt rendelkezések kiegészítik a GDPR szabályait, ezért az Infótörvény hatálya alá eső adatkezelések esetén, a GDPR előírásai mellett ezeket a szabályokat is vizsgálni kell.

    Az Infótörvény a GDPR vonatkozó rendelkezéseivel összhangban biztosítja a jogot az érintettek számára, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényeljenek.

    Amennyiben megítélésük szerint valamely adatkezelő vagy adatfeldolgozó a személyes adataiknak kezelése során megsértette adatvédelemre vonatkozó jogaikat.

    Az érintett által kezdeményezett bírósági eljárás során nem az érintettnek kell bizonyítania adatvédelemmel kapcsolatos jogai megsértését, hanem az adatkezelő vagy adatfeldolgozó köteles bizonyítani azt, hogy az érintett ezen jogai nem sérültek. Fordított bizonyítási teher!

    A GDPR magyarországi alkalmazásának jogalapja

    • Eüak. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény.
    • Eütv. az egészségügyről szóló 1997. évi CLIV. törvény.
    • Üttv. az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény.
    • Ütvtv. az üzleti titok védelméről szóló 2018. évi LIV. törvény.

    Az adatkezelés szabályozása, a szabályozás szintjei, illetve követelmények és elvárások

    A munkáltató a munkavállalótól olyan nyilatkozat megtételt vagy személyes adat közlését követelheti meg, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igényérvényesítése szempontjából lényeges.

    Ezen felül a munkáltató, jogainak gyakorlása vagy kötelességének teljesítése céljából követelheti nyilatkozat megtételét vagy adat közlését.

    Az alkalmassági vizsgálatok, a munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

    A szabályozás rendelkezik az erkölcsi bizonyítvány kezelhetőségéről is. A munkavállaló bűnügyi személyes adata annak vizsgálata céljából kezelhető, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást.

    A munkáltató akkor határozhat meg ilyen feltételt, ha az érintett személy foglalkoztatása, a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy az adatok titkosságának megőrzéséhez fűződő érdek sérelmének veszélyeivel járna.

    A munkáltató az említett feltételeket előzetesen írásban köteles meghatározni.

    A munkáltató továbbra is jogosult

    • a munkavállalót a munkaviszonnyal összefüggő magatartása körében technikai eszközzel ellenőrizni,
    • a munkavállaló a részére biztosított számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja.
    • A munkáltató az átadott számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be, azaz, egyezően az eddigi kialakult gyakorlattal, az adatba az ellenőrzés során addig tekinthet be, ameddig el nem tudja dönteni, hogy az adat magáncélú adat-e.

    A rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

    A GDPR szerint „nyilvántartási rendszer” az, amely a személyes adatok bármely módon – centralizált, decentralizált vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

    A rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.

    Az alapértelmezett és beépített adatvédelem jellemzői:

    • minél nagyobb fokú elszámolhatóság és átláthatóság,
    • a szervezetnek képesnek kell lennie bebizonyítani, hogy a rendelet valamennyi elvárását teljesíti.

    Alapelvek:

    1. Jogszerűség, tisztességes eljárás és átláthatóság
    2. Célhoz kötöttség: van célja az adatkezelésnek? Feltétlenül szükséges?
    3. Adattakarékosság
    4. Pontosság
    5. Korlátozott tárolhatóság
    6. Integritás és bizalmas jelleg, sérülésmentesség biztosítása, titoktartási kötelezettség
    7. Elszámolhatóság

    A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

    A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és az adatokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

    Figyelembe kell venni:

    • az eredeti célok és az új/tervezett adatkezelési célok között fennálló összefüggést;
    • az adatgyűjtés körülményeit (milyen viszony van a vállalkozása/szervezete és a magánszemély között?);
    • az adatok típusát és jellegét (különleges adatokról van-e szó?);
    • a tervezett további adatkezelés esetleges következményeit (milyen hatással lesz ez az érintettekre nézve?);
    • a megfelelő garanciák meglétét (pl. titkosítás vagy álnevesítés)

    Amennyiben a vállalkozása az adatokat hozzájárulás vagy jogi kötelezettség alapján kezeli, nincs lehetőség az eredeti hozzájárulás vagy jogi kötelezettség által lefedett területeken túli további adatkezelésre. A további adatkezeléshez új hozzájárulás vagy új jogalap szükséges.

    Az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk – adattakarékosság elv.

    Az adatkezelőnek a felelőssége annak felmérése, hogy mennyi adatra van szükség, valamint annak biztosítása, hogy ne gyűjtsenek irreleváns adatokat.

    A személyes adatoknak, pontosnak és szükség esetén naprakésznek kell lenniük

    • Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
    • A személyes adatok tárolásának olyan formában kell történni, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

    A vállalkozásnak határidőket kell meghatároznia a tárolt adatok törlésére vagy felülvizsgálatára vonatkozóan.

    Iratmegőrzés:

    • az iratok eredeti példányára, vagy – ha azt jogszabály nem zárja ki – eredeti példány hiányában a jogszabályban előírt módon, elektronikus úton előállított hiteles másolatra vonatkozik. Az adóigazgatási eljárásban az irateredeti példánya – ha annak megőrzését jogszabály nem írja elő, és adózó azzal nem rendelkezik – nem kérhető.
    • ha az adózó a bizonylatot, könyvet, nyilvántartást online hozzáférést biztosítva, elektronikusan őrzi meg, köteles ellenőrzés esetén az adóhatóság részére az elektronikus hozzáférést, letöltést biztosítani.

    Az iratokat az adózónak a nyilvántartás módjától függetlenül az adó megállapításához való jog elévüléséig, a halasztott adó esetén a halasztott adó esedékessége naptári évének utolsó napjától számított öt évig kell megőriznie.

    Irat megőrzési határidők:

    • Adózással kapcsolatban az Art. szabályozza
    • Az iratokat az adózónak a nyilvántartás módjától függetlenül az adó megállapításához való jog elévüléséig, halasztott adó esetén a halasztott adó esedékessége naptári évének utolsó napjától számított öt évig kell megőriznie.
    • A gazdálkodó, jelen esetben az adatkezelő az üzleti évről készített beszámolót, az üzleti jelentést, valamint azokat alátámasztó leltárt, értékelést, főkönyvi kivonatot, továbbá a naplófőkönyvet, vagy más, a törvény követelményeinek megfelelő nyilvántartást olvasható formában legalább 8 évig kell megőrizni.
    • A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.
    • A szigorú számadású bizonylatok rontott példányaira is vonatkozik a megőrzési kötelezettség.
    • A számla kibocsátásának időpontjától a számla megőrzésére vonatkozó időszak végéig biztosítani kell a számla eredetének hitelességét, adattartalma sértetlenségét és olvashatóságát.
    • A követelmények bármely olyan üzleti ellenőrzési eljárással eleget lehet tenni, amely a számla és a termékértékesítés vagy a szolgáltatásnyújtás között megbízható ellenőrzési kapcsolatot biztosít.

    További adatkezelési rendelkezések:

    • Kata tv. – a bizonylatot, a nyilvántartást a kiállítás adóévet követő 5. naptári év végéig kell megőrizni. A kötelezettség a bizonylat rontott példányára is vonatkozik.
    • A kereskedelemről szóló törvény – a kereskedelemmel foglalkozó vállalkozásnak az áru eladásáig rendelkeznie kell az áru eredetét igazoló eredeti bizonylattal.
    • De minimis támogatás – a támogatás kedvezményezettjének 10 éves megőrzési időt kell biztosítani, a támogatásnyújtójának kötelessége, hogy felhívja a kedvezményezett figyelmét arra, hogy a csekély összegű támogatás jogcímén nyújtott támogatáshoz kapcsolódó minden iratot a támogatás odaítélésétől számított 10 évig meg kell őriznie és a támogatást nyújtó ilyen irányú felhívása esetén köteles azt bemutatni.

    Le nem zárt ügyek kezelése

    • Végelszámolás, felszámolás – A Cégtörvény 112. §-ának (1) bekezdése alapján a végelszámoló köteles gondoskodni a cég iratanyagainak az elhelyezéséről. A vagyonfelosztás során úgy is meg lehet állapodni, hogy a cég iratanyagának őrzését (ingyenesen vagy ellenérték fejében) a tagok valamelyike vállalja. A cég iratanyagának elhelyezésére egyebekben a Cstv. erre vonatkozó szabályai megfelelően alkalmazandók. A Csődtörvény 53. §-a alapján a felszámolásra kerülő cég iratainak kezelése és megőrzése a felszámoló feladata.

    • Ha a foglalkoztató megváltozott munkaképességű munkavállalót foglalkoztat, akkor a rá vonatkozó megváltozott munkaképességű személyek ellátásairól szóló 2011. évi CXCI. törvény (Mmtv.) 23.§ (7) bekezdése értelmében nyilvántartást vezet a rehabilitációs hozzájárulás megállapítása érdekében és ezt a nyilvántartást a foglalkoztatás megszűnését követő öt évig köteles megőrizni.
    • A pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló
    • A nyilvántartásra kötelezett a biztosított, volt biztosított biztosítási jogviszonyával összefüggő, szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.
    • A Sztv. 169 § „Az elektronikus formában kiállított bizonylatot – a digitális archiválás szabályairól szóló jogszabály előírásainak figyelembevételével – elektronikus formában kell megőrizni, oly módon, hogy az alkalmazott módszer biztosítsa a bizonylat összes adatának késedelem nélküli előállítását, folyamatos leolvashatóságát, illetve kizárja az utólagos módosítás lehetőségét.”
    • „Az eredetileg nem elektronikus formában kiállított bizonylatról – a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól szóló jogszabály előírásainak figyelembevételével – készített elektronikus másolattal az e törvény szerinti bizonylat megőrzési kötelezettség teljesíthető, ha a másolatkészítés alkalmazott módszere biztosítja az eredeti bizonylat összes adatának késedelem nélküli előállítását, folyamatos leolvashatóságát, illetve kizárja az utólagos módosítás lehetőségét.”
    • Az elektronikus dokumentumok archiválásánál figyelemmel kell lenni digitális archiválás szabályairól szóló 1/2018. (VI.29) ITM rendelet rendelkezései
    • Az adózás rendjéről szóló 2017. évi CL. törvény (Art) 78. § (8) alapján:

    „A megőrzési kötelezettség az iratok eredeti példányára, vagy – ha azt jogszabály nem zárja ki – eredeti példány hiányában a jogszabályban előírt módon, elektronikus úton előállított hiteles másolatára vonatkozik.

    • Az adóigazgatási eljárásban az irat eredeti példánya – ha annak megőrzését jogszabály nem írja elő, és az adózó azzal nem rendelkezik – nem kérhető.”
    • Az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 179. § (1) és (2) bekezdései szerint minden áfa alany köteles a birtokában levő vagy egyéb módon rendelkezésre álló okiratot legalább az adó megállapításához való jog elévüléséig megőrizni.

    A megőrzési kötelezettség teljesíthető a papíralapon kibocsátott okirat elektronikus formában történő megőrzésével is.

    Art. 1. számú melléklet 1.13. pontja szerint

    Az állami adó- és vámigazgatósághoz be kell jelenteni az adózó iratai, elektronikus alapon rendelkezésre álló bizonylatai és nyilvántartásai őrzésének helyét, ha az nem azonos az adózó székhelyével vagy lakóhelyével, valamint ha bizonylatot, könyvet, nyilvántartást online hozzáférését biztosítva, elektronikusan őrzi meg, ezt a tényt.”

    A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága.

    Az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

    Az adatkezelő felelős a rendeletben rögzítetteknek való megfelelésért, továbbá képesnek kell lennie a megfelelés igazolására vagyis:

    • az adatkezelőnek meg kell felelniük az alapelveknek
    • az adatkezelőknek bizonyítani kell tudniuk azt, hogy megfelelnek ezeknek az alapelveknek
    • amennyiben az adatkezelőknek mozgásteret biztosít a GDPR, akkor képesnek kell lenniük annak bizonyítására, hogy az adatkezelésük összhangban van a GDPR rendelkezéseivel.

    ______________________________

                                                                                                   ügyvezető

    Kecel, 2021-12-26

    A weboldal sütiket (cookie-kat) használ, hogy biztonságos böngészés mellett a legjobb felhasználói élményt nyújtsa.