Kis cég vagy multi, mindenkit érint a GDPR – Így alkosd meg a céged saját adatkezelési szabályzatát

Már nincs két hónap, május 25-e után ugyanis életbe lép a GDPR rendelet. Ez nem más, mint egy általános adatvédelmi szabály, ami ágazattól függetlenül szinte minden vállalkozásra vonatkozik. Úgyhogy ha azt gondolnád, hogy téged nem érint a dolog és nem kell foglalkoznod a témával, tévedsz. Szinte mindenki tárol adatokat a dolgozóiról, de ha weboldalt üzemeltetsz, akkor is érint az új rendelt. Amit nem ajánlatos fél várról venni, hiszen a be nem tartása esetén komoly bírságokra számíthatunk. A cég globális nettó árbevételének 4 százaléka vagy húszmillió eurót lehet a bírság – amelyik a nagyobb összeg. Ami azért még a nagyobb vállalatoknál is megterhelő összeg, nem egy kis cégnek.

De hogyan kell megalkotni a saját GDPR-szabályzatunkat? Mire kell figyelni? Ebben segít majd a Vas Megyei Kereskedelmi és Iparkamara soron következő eseménye. Részletek itt. De nagy vonalakban azért itt, a blogban is adunk tippeket. A Pwc tanácsai szerint például gyakorlatiasan kell megközelíteni a kérdést. Első lépésként azt javasolják, hogy mérjük fel az adatvagyont. A munkáltatónak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi.

Egy weboldal esetén minden bekért adat adatkezeléssel jár: kapcsolati űrlap, komment, értékelés. Ezt is tartsuk szem előtt. Ahogy azt is, hogy ezeket az irányelveket el kell fogadtatnunk a felhasználókkal az oldalunkon. Amihez nem csak jogi segítség kell, hanem technikai fejlesztésre is szükség lesz. A hírlevél feliratkozást is a korábbiaknál jóval körültekintőbben kell kezelni. Az anonim adatokra viszont nem vonatkozik a szabályzás.

A GDPR alapja az, hogy a munkáltató ezentúl csak olyan adatokat kezelhet, ami adott célhoz kötött. Ha nincs jogalap, az adatokat törölni kell.


Aztán nagyon fontos, hogy beazonosítsuk az adatokat. Ahogy a Pwc írja: tisztázni kell, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult hozzáférni a személyes adatokhoz.

Tudnod kell: az érintettek kérhetik, hogy az adataikat töröljék. Az egész szabályozásnak ugyanis az a lényege, hogy ne árucikként kezeljék az embert, és ne lehessen visszaélni az adatokkal.

Ezen felül arról is dönteni kell, hogy amennyiben a vállalkozásunk kezel adatokat, azokat meddig tárolja. Itt természetesen be kell azonosítani azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítani az adattárolás időtartamát – írják.

A HR-adatbázisokat is érinti a rendelet, amiket szintén a fent említettek szerint kell a továbbiakban fenntartani. Ha valóban szükség van ezekre.

Ezek alapján már nagyjából megalkotható a szabályozás alapja, aminek a részleteit nem árt szakértővel tisztázni és véglegesíteni.

Ha ezzel megvagyunk, még nem végeztünk a folyamattal. A jövőbeni adatkezelési szabályzatot ugyanis el kell fogadtatunk a munkavállalókkal. Természetesen úgy kell mindezt az érintettek elé tárni, hogy az számukra teljesen közérthető legyen.

Vagyis világosan le kell írni, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon, illetve meddig. Ezt akár egy oktatás keretében is ismertetheti a munkáltató a munkavállalókkal.

De azt is tudnia kell a munkavállalónak, hogy az adatok törlésével, illetve az adatok helytelen kezelésével kapcsolatosan milyen jogai lesznek – írja a Pwc.

És még egy praktikus tanácsot is adtak:

A munkaviszony az egyik legkomplexebb jogviszony, az akár évtizedeken átívelő munkaviszony miatt a munkáltató nagyon sok és eltérő típusú személyes adatot kezel. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást/szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi személyes adatához kapcsolódó keretszabályzatot készíteni. A keretszabályzatot ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használatához kapcsolódó adatkezelés, a GPS-rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

Ha adatszivárgás vagy bármilyen visszaélés történt – és tudunk róla -, 72 órán belül kötelességünk jelenteni azt.

A szakértők arra is felhívták a figyelmet, hogy a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezelésekkel kapcsolatosan.   

Ezek a legalapvetőbb tudnivalók. De ha többet tudnál meg, vegyél részt a Vas Megyei Kereskedelmi és Iparkamara e témát érintő rendezvényén! Erről minden részlet itt.

- HR, munkaügy, Vállalkozásfejlesztés

Szólj hozzá!

Muszáj bejelentkezned, hogy hozzászólhass!