Billingo.hu A Billingo online számlázó blogja. Gyors és élvezetes elektronikus számlázás.
Blog / Tippek / GDPR: Hasznos tanácsok Billing…
Tippek - 2020.04.07. - 5 p. olvasás

GDPR: Hasznos tanácsok Billingósoknak az adatvédelmi felkészüléshez

Figyelem

A cikk több mint 2 éve frissült utoljára. Bár folyamatosan dolgozunk az aktualizáláson, előfordulhat, hogy itt most kihagytunk valamit. Ha elévültnek vélt tartalmat találsz, kérjük, szólj nekünk, és igyekezz több forrásból is tájékozódni. Ebben mi is segíthetünk más fórumon, keress minket!

2016. május 24-én lépett hatályba az EU Általános Adatvédelmi rendelete (GDPR). Sőt, azóta már a két éves felkészülési időszak is letelt és 2018. május 25-től közvetlenül kötelező alkalmazni. Dr. Rák Balázs a Sziklai és Andrejszki Ügyvédi Iroda adatbiztonsággal és adatvédelemmel foglalkozó ügyvédje szakértői cikkével most azoknak segít, akik eddig még nem tudták felkészíteni vállalkozásukat a GDPR megfelelősségre.

GDPR: Hasznos tanácsok Billingósoknak az adatvédelmi felkészüléshez

Az EU Általános Adatvédelmi Rendelete - közismertebb nevén a GDPR - már 2016. május 24-én hatályba lépett, azonban két éves felkészülési időszakot kaptak a tagállamok vállalkozásai arra, hogy a rendelkezéseit bevezessék, ezért ténylegesen csupán 2018. május 25-től alkalmazandó közvetlenül.

A felkészülési idő tehát már lejárt, azonban ha esetleg még nem tette meg, úgy - jobb később, mint soha – kezdje el most a vállalkozása felkészítését a GDPR megfelelőségre.

Az alábbi cikkben három főbb szakaszban végig nézzük a felkészülés lépéseit.

1. Felmérési szakasz

A szakmai felkészülés

Javasolt a vállalkozáson belül kijelölni egy munkavállalót (illetve nagyon vállalkozások esetén akár egy csoportot is) akinek biztosítjuk a megfelelő szakmai felkészülését.

Dönthetünk úgy, hogy a kijelölt munkavállalónk képzéseken, konferenciákon, tanfolyamokon vesz részt és ott sajátítja el a szakmai ismereteket, majd pedig a tanultakat átülteti a vállalkozás folyamataiba.

Dönthetünk azonban úgy is, hogy megbízunk egy szakértőt, hogy kifejezetten a cégünkre szabva segítsen az elméleti felkészülésben, együtt tekintsük át a vállalkozás adatkezeléseit, segítsen az adatkezeléssel összefüggő döntések meghozatalában, a szükséges dokumentációk elkészítésében, és a helyes gyakorlatok kialakításában.

Fontos, hogy az adatkezeléssel kapcsolatban nem csak a GDPR-ban és az Info. törvényben találunk szabályokat, hanem esetleg a vállalkozásunk működésére vonatkozó ágazati jogszabályokban is, ezért ezeket is figyelembe kell vennünk.

A személyes adatkezeléssel járó tevékenységek számbavétele

Tekintsük át a cégünk teljes tevékenységét, de már a GDPR szemüvegén keresztül.

  • Az egyes tevékenységek járnak-e személyes adatok kezelésével?
  • Ha igen, akkor milyen személyes adatokat kezelünk?
  • Milyen a célból kezeljük az adatokat?
  • Találunk az adatkezelésre megfelelő jogalapot?
  • Mi az adatkezelés időtartama?
  • Kövessük és rögzítsük az adatok sorsát?
  • Kik férnek hozzá?
  • Hol tároljuk őket?
  • Milyen biztonsági intézkedéseket alkalmazunk a tárolás során?
  • Kinek küldjük tovább őket?

Ezeket a kérdéseket mind fel kell tennünk ahhoz, hogy biztosítani tudjuk a jogszerű adatkezelést vagy adatfeldolgozást. A kérdéseket természetesen nem elég feltenni, ezért amennyiben az azokra érkezett válaszaink nem a GDPR szabályainak, alapelveinek megfelelőek, akkor cselekednünk kell.

Megvalósítási szakasz

Az érintettek tájékoztatása

Biztosítanunk kell az érintettek tájékoztatáshoz fűződő jogainak az érvényesülését. Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, úgy kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezeléshez az érintett hozzájárult. Az átláthatóság alapelve megköveteli, hogy a tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint azt, hogy világos és közérthető nyelven fogalmazzák meg, sőt (gondoljunk csak a kamerafelvétel készítésére) szükség esetén vizuálisan is megjelenítsék. A tisztességes és átlátható adatkezelés elve megköveteli azt is, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, jogalapjáról és az időtartamáról. Az adatkezelési tájékoztató elkészítésével kapcsolatban EBBEN a korábbi cikkünkben adtunk tippeket a Billingósoknak.

Fontos látnunk azonban – ahogyan a korábbi cikkemben is említettem – hogy a GDPR-nak való megfelelés nem egyetlen dokumentumból áll, tehát a kötelezettségeinknek egy adatvédelmi tájékoztató elkészítésével még nem tettünk eleget.

A hozzájárulás kérdése

Amennyiben az adatkezelés jogalapja az érintett önkéntes hozzájárulása, úgy vizsgáljuk meg, hogy a hozzájárulást utólag bizonyíthatóan megkaptuk-e. A hozzájárulás akkor elfogadható, ha megvalósul az önkéntesség, az egyértelműség és a tájékozottságot is. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Ha az adatkezelés az érintett hozzájárulásán alapul, kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult. A hozzájárulás megszerzésére mind online, mind offline megvannak a megfelelő megoldások, de legyünk arra figyelemmel, hogy a szóbeli hozzájárulás utólag nem minden esetben bizonyítható (sőt!).


Eljárásrend az adatvédelmi incidensek kezelésére

A GDPR alapján a személyes adatok jogellenes kezelése vagy feldolgozása esetén adatkezelőként bejelentési kötelezettségünk keletkezik a NAIH felé. Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával a tudomásszerzést követően meg kell tennie a bejelentést, kivéve abban az esetben, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve. Fontos, hogy a be nem jelentett adatvédelmi incidenseket is rögzítsük az incidensek nyilvántartásában (jegyzőkönyvében)

Belső protokoll alkalmazása

Ugyan nem kötelező dokumentum, de rendkívül hasznosnak tartom, ha a vállalkozás egy adatvédelmi protokollt (nevezhetjük eljárásrendnek is, vagy akár belső szabályzatnak) készít, amelyben összefoglalja az adatvédelemmel kapcsolatos tudnivalókat, eljárásrendeket azon munkavállalók részére, akik a személyes adatok kezelését végzik. 

3. Ellenőrzési és oktatási szakasz

Az adatvédelmi tisztviselő kinevezése

A GDPR pontosan meghatározza azt a három esetet, amikor a vállalkozásoknak adatvédelmi tisztviselőt kötelezően ki kell kinevezniük, de ezzel természetesen bármelyik másik vállalkozás is élhet.

Az adatvédelmi tisztviselő feladatai legalább a következők:

  • tájékoztat és szakmai tanácsot ad az adatkezelő és az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR szerinti kötelezettségeikkel kapcsolatban,
  • ellenőrzi a GDPR-nak, valamint a vonatkozó tagállami jognak való megfelelést (információgyűjtés, adatkezelési tevékenységek elemzése, ajánlások megfogalmazása),
  • együttműködik a felügyeleti hatósággal, és kapcsolattartó pontként szolgál felé az adatkezeléssel összefüggő ügyekben, valamint adott esetben konzultációt folytat vele.

Fontos, hogy a vezető tisztségviselői pozícióval összeférhetetlen. El lehet látni a pozíciót egyéni vállalkozóként, illetve cégként is úgy, hogy konkrét személyt jelölünk ki a feladat elvégzésére. 

Egyrészt az érintettekkel (az adatvédelmi tájékoztatóban megjelölve), másrészt pedig a hatóságokkal (NAIH weboldalán való bejelentéssel) is tudatnunk kell az adatvédelmi tisztviselő elérhetőségét.

Oktatás

Természetesen semmit nem ér a cégünk felkészítése akkor, ha a munkavállalóink a napi tevékenységük során nem tartják be az adatvédelmi szabályokat. Fontos, hogy megkapják a megfelelő és rendszeres elméleti és gyakorlati oktatást, különös figyelemmel az esetleges jogszabályváltozásokra. 

Címkék

Blog cikk értesítő

Blog cikk értesítő

Iratkozz fel, ha szeretnél tudni a számlázással kapcsolatos legfrissebb hírekről és érdekelnek az akciók.

Back to Top
online számlázás vállalkozás NAV nav online számla KATA adózás könyvelés webáruház kéziszámla marketing integráció koronavírus szakértői cikk számlasablon biztonság számlázó program váltás pályázat digitális archiválás átalányadó Billingo ajánlói rendszer fintech áfa pénztárgép API ügyfélszolgálat devizás számlázás online fizetés GDPR kiva bankszámlaszám adóváltozás 2023 adózás tao webshop létrehozás digitalizáció övtj napelem-pályáza napelem pályázat napelem napkollektor pályázati kiírás tender pályázati feltételek shopify patreon etsy weboldal digitalizálás költségcsökkentés egyéni vállalkozás hipa biztosítás egészségbiztosítás vállalati egészségbiztosítás adathalászat kiégés burnout számla kelte számla teljesítés fordított áfa fordított adózás teszor teáor prémium magyar állampapír infláció inflációkövetés inflációkövető PMÁP befektetés helyi iparűzési adó iparűzési adó adókártya adóazonosító jel adóazonosító őstermelő őstermelők őstermelő adózás kiegészítő őstermelői tevékenység ingatlan bérbeadás vállalkozóként ingatlan bérbeadás lakás kiadás katásként átalányadózó lakáskiadás kiadó ház adókonferencia adózás 2023 adótörvény digitális névjegykártya beszállító beszállítás áremelés munka törvénykönyve mtk. munkajog változások minimálbér garantált bérminimum teljesítménybér szocho 30 év alatti anyák kedvezménye adómentes adóalap összeghatár