Változások az adatvédelmi szabályozásban Jogi hírlevél 2013. május 15.
Változások az adatvédelmi szabályozásban Jogszerűvé válik az adatfeldolgozás kiszervezése, számos cégnek kötelező a bejelentkezés az adatvédelmi nyilvántartásba A tavalyi évben hatályba lépett új adatvédelmi törvény alapján sok cégnek kötelező az adatvédelmi nyilvántartásba regisztrálnia, annak elmulasztása esetén a vállalkozások különböző kockázatokkal és szankciókkal számolhatnak. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) alapján a múlt évben önálló hatóságként kezdte meg működését a Nemzeti Adatvédelmi és Információszabadság Hatóság (Hatóság). Az Infotv. számos újítást vezetett be az adatkezelésre vonatkozóan a korábbi adatvédelmi törvényhez képest, melyet a Hatóság gyakorlata az elmúlt év során tovább alakított. Az Infotv. legújabb módosítása szerint pedig lehetővé válik, hogy az adatfeldolgozók további adatfeldolgozót vegyenek igénybe. Az adatvédelmi nyilvántartás kinek kötelező a bejelentkezés? Az Infotv. szerint - bizonyos kivételektől eltekintve - személyes adatok kezelése esetén be kell jelentkezni az adatvédelmi nyilvántartásba. A nyilvántartásba történő bejelentkezés jelenleg még díjmentes. személyes adatok kezelése esetén be kell jelentkezni az adatvédelmi nyilvántartásba A törvény konkrétan meghatározza azokat az élethelyzeteket, melyekben nem szükséges bejelentkezni az adatvédelmi nyilvántartásba. Bizonyos kivételektől eltekintve nem kell bejelenteni az adatvédelmi nyilvántartásba az adatkezelővel munkaviszonyban, tagsági viszonyban, ügyfélkapcsolatban álló személyek adataira vonatkozó adatkezelést. A gyakorlatban ez azt jelenti, hogy a munkáltató a munkaviszonyból eredő kötelezettségeinek teljesítése érdekében, a szükséges mértékben munkavállalói személyes adatokat kezelhet, azokat a munka törvénykönyvének rendelkezései alapján adatfeldolgozó részére (pl. bérszámfejtőnek, könyvelőnek) - az érintett megfelelő tájékoztatását követően - továbbíthatja. Ugyanígy nem szükséges a bejelentés, ha a cég ügyfeleinek adatait kizárólag az ügyféltől kapott megbízás teljesítéséhez szükséges mértékben és ideig kezeli, és azokat egyéb célra nem használja fel. A cégek az ügyféladatokat az esetek többségében azonban nem kizárólag az adott ügylet teljesítésének céljára, hanem további közvetlen üzletszerzés céljára, azaz ajánlatok és reklámanyagok küldése érdekében is kezelik. Számos vállalkozás a személyes adatok ilyen direktmarketing célra történő tárolása és felhasználása miatt köteles az adatvédelmi nyilvántartásba bejelentkezni. Ugyanebbe a kategóriába eshet a hírlevelek küldése is a
cég ügyfelei részére, amennyiben az bármilyen reklámanyagot vagy ajánlatot tartalmaz. A vállalkozások igyekeznek továbbá saját biztonságukat különböző technológiai berendezések alkalmazásával elősegíteni. A kamerás megfigyelő rendszerek üzemeltetése azonban mind az ügyfelek mind a munkavállalók személyes adatainak kezelését vonja maga után, ezért ilyen rendszerek működtetése esetén a cégeknek megfelelő adatkezelési tájékoztatóval kell rendelkezniük, és az adatvédelmi nyilvántartásba történő bejelentkezés is kötelező lehet számukra. A nyilvántartásba vétel elmulasztásának következményei Amennyiben az Infotv. alapján adatvédelmi nyilvántartásba vételre kötelezett cég elmulasztja a regisztrációt, annak az adatkezelő vállalkozásra nézve súlyos reputációs és anyagi következményei lehetnek. az adatkezelő vállalkozásra nézve súlyos reputációs és anyagi következményei lehetnek Az Infotv. alapján a Hatóság személyes adatok kezelésével kapcsolatos jogsértés esetén hatósági vizsgálatot, illetve hatósági eljárást indíthat a jogsértő adatkezelővel szemben, melyben az eset összes körülményét mérlegelve akár 10 millió forintig terjedő bírsággal sújthatja az adatkezelőt. A bírságnál azonban gyakran nagyobb veszteséget okozhat egy vállalkozás életében egy esetleges jogellenes adatkezelés miatti fogyasztói bizalomvesztés. Figyelemmel arra, hogy az emberek egyre tudatosabb magatartást tanúsítanak a személyes adataik védelme érdekében és egyre érzékenyebbek az adataikkal való visszaélésekre, a vállalkozásoknak tevékenységük során figyelembe kell venniük a jogellenes adatkezelés okozta reputációs kockázatot is. Jogszerűvé válik az adatfeldolgozás kiszervezése, azaz az adatfeldolgozói láncolat Az adatfeldolgozás az adatkezeléshez kapcsolódó járulékos tevékenységeket foglalja magában, pl. borítékolás, postázás, hírlevél küldés, adatbázis-üzemeltetés, szerverüzemeltetés, informatikai háttér biztosítása, ügynöki tevékenység, közvélemény-kutatás, stb., melyek során az adatfeldolgozó az adatkezelő megbízásából végzett tevékenysége során az adatkezelő által kezelt személyes adatok birtokába jut. Az Infotv. jelenleg hatályos rendelkezése szerint az adatfeldolgozó a tevékenysége ellátása során további adatfeldolgozót nem vehet igénybe. A rendelkezés azt a célt szolgálja, hogy a személyes adatok végig az adatkezelő ellenőrzése alatt maradjanak és csak olyan adatfeldolgozóhoz kerülhessenek, melyet közvetlenül az adatkezelő vállalkozás bízott meg. A gyakorlatban ez azt jelenti, hogy amennyiben egy munkáltató olyan külsős könyvelőnek szervezi ki a bérszámfejtési tevékenységét, amely a munkavállalók személyes adatait egy adatfelhőben tárolja, a munkáltatónak adatfeldolgozási szerződést kell kötnie a felhőszolgáltatást nyújtó szolgáltatóval is, holott semmilyen üzleti kapcsolat nincs a vállalkozások között.
A vonatkozó rendelkezés meglehetősen merev és az üzleti életben nehezen teljesíthető kötelezettséget ró az adatkezelőkre. Könnyen belátható, hogy a modern üzleti életben szinte lehetetlen megfelelni ennek a jogszabályi követelménynek, különös figyelemmel arra, hogy a vállalatok a költséghatékony működés érdekében jellemzően kiszervezik egyes üzleti folyamataikat valamely, az adott területen professzionális szolgáltatást nyújtó piaci szereplőnek. az Infotv. a jövőben lehetővé teszi, hogy az adatfeldolgozó tevékenysége során további adatfeldolgozót vegyen igénybe A 2013. július 1-jén hatályba lépő módosítás értelmében az Infotv. a jövőben lehetővé teszi, hogy az adatkezelő előzetes hozzájárulása alapján az adatfeldolgozó tevékenysége során további adatfeldolgozót vegyen igénybe, azaz egyes adatfeldolgozási részfeladatok elvégzésével további vállalkozást bízzon meg. Fontos hangsúlyozni, hogy az új rendelkezés értelmében ehhez mindenképpen szükséges az adatkezelő előzetes beleegyezése, ezért ezt a kérdést már az adatfeldolgozási szerződés megkötése előtt érdemes tisztázni, és az erre vonatkozó rendelkezést az adatfeldolgozási szerződésbe belefoglalni. Az Infotv. új rendelkezése megteremti a lehetőséget a vállalkozások számára, hogy annak hatályba lépését követően teljes mértékben megfeleljenek az adatvédelmi előírásoknak, azonban figyelemmel kell lenni arra is, hogy ehhez a hatályban lévő adatfeldolgozói és informatikai üzemeltetési szerződések módosítása szükséges. Amennyiben az adatvédelmi nyilvántartásba vétellel vagy egyes üzleti folyamatok kiszervezésével kapcsolatos adatvédelmi kérdései merültek fel, forduljanak hozzánk bizalommal.
Elérhetőség Amennyiben a fentiekkel kapcsolatban bármilyen észrevétele, hozzáfűzni valója van, kérjük, vegye fel a kapcsolatot szakértőinkkel az alábbi elérhetőségeken: Dr. Kövesdy Attila Vezető Partner, Adótanácsadás Deloitte Zrt. Tel : +36-1-428-6800 Email : akovesdy@deloittece.com Dr. Szarvas Júlia Ügyvéd Partner Associate Szarvas, Falcsik és Társai Ügyvédi Iroda Tel : +36-1-428-6465 Email :jszarvas@deloittece.com Dr. Papp Anna Katalin Ügyvéd Senior Associate Szarvas, Falcsik és Társai Ügyvédi Iroda Tel : +36-1-428-6736 Email : apapp@deloittece.com
A jelen dokumentum és a benne foglalt valamennyi információ a Deloitte Magyarország társaságaitól származik és célja, hogy bizonyos témakör(ök)ben általános információkkal szolgáljon, de nem tárgyalja az adott témakör(öke)t annak teljességében. A jelen dokumentumban megadott információk nem minősülnek számviteli, adóügyi, jogi, befektetési, tanácsadási illetve egyéb szakmai szolgáltatásnak. Ezek az információk nem képezhetik ügyfeleink üzleti döntéseinek kizárólagos alapját. Ügyfeleinket arra kérjük, hogy pénzügyeiket vagy üzletvitelüket befolyásoló bármely döntésük meghozatala, vagy a döntés szerint történő lépés megtétele előtt kérjék képzett szakmai tanácsadóink véleményét. A jelen dokumentum és a benne foglalt információk tájékoztató jellegűek és társaságaink aktuális helyzetét tükrözik, de nem szolgálnak a Deloitte Magyarország cégei által tett jognyilatkozatként és társaságaink nem vállalnak felelősséget sem a jelen dokumentummal sem a benne foglalt információkkal, illetőleg semminemű teljesítési vagy minőségi megfeleléssel kapcsolatban. A Deloitte Magyarország cégei nem felelnek a szolgáltatásaik piacképességére, vagy adott célra való alkalmassága, jogtisztasága, versenyképessége, biztonsága és pontossága vonatkozásában. Ügyfelünk a jelen dokumentumot és a benne foglalt információkat a saját felelősségére használja, és teljes mértékben felelősséget vállal a jelen dokumentum és a benne foglalt információk használatából eredő következményekért, esetleges veszteségekért. A Deloitte Magyarország cégei nem vonhatók felelősségre jelen dokumentum, vagy a benne foglalt információk felhasználásával kapcsolatosan felmerülő sem közvetlen sem közvetett károkért, egyéb veszteségekért. Ha a fenti rendelkezések bármelyike bármilyen okból nem érvényesíthető, a többi rendelkezés továbbra is hatályban marad és alkalmazandó. A Deloitte számos iparágban nyújt könyvvizsgálati, valamint adó-, vezetési, pénzügyi tanácsadási és jogi szolgáltatásokat (ügyfeleinknek együttműködő ügyvédi irodánk, a Szarvas, Falcsik és Társai Ügyvédi Iroda nyújtja a jogi tanácsadási szolgáltatásokat) állami és magáncégek részére egyaránt. Több mint 150 országban jelen lévő hálózatán keresztül a Deloitte világszínvonalú szakértelemével és minőségi szolgáltatásaival segíti ügyfeleit abban, hogy megfeleljenek az előttük álló üzleti kihívásoknak. A Deloitte mintegy 200 000 szakértője egytől egyig arra törekszik, hogy a kiválóság mércéjévé váljon. A Deloitte név az Egyesült Királyságban company limited by guarantee formában alapított Deloitte Touche Tohmatsu Limited társaságra és tagvállalatainak hálózatára utal, melyek mindegyike önálló, egymástól elkülönülő jogi személy. A Deloitte Touche Tohmatsu Limited és tagvállalatai jogi struktúrájának részletes bemutatását a következő link alatt találja: www.deloitte.hu/magunkrol. 2013 Deloitte Magyarország.