Az 5 leggyakoribb GDPR-tévhit: Ön ne dőljön be!

A bevezetése óta eltelt négy év, a Dunát rekesztő mennyiségű információ, a hatalmas bírságok nyilvánossága okán egyre jobban csodálkozunk rajta, de még mindig hallunk olyan GDPR félreértésekről, amelyek indokolttá teszik, hogy az öt leggyakoribbat újra csokorba gyűjtsük – és gyorsan eloszlassuk. (Korábban készítettünk már egy részletesebb cikket is e témakörben, ezúttal főként az ismételt figyelemfelhívás és a rövid, gyakorlati magyarázat a célunk.) Se megszokásból, se kényelemből Ön – se a cége – ne dőljön be ezeknek, vagy ezek miatt; sőt, higgye el, az adatvédelmi megfeleltetés okán alaposan újra feltérképezett és -értékelt teljes vállalati folyamat az egész üzletmenetre jótékony hatást gyakorol majd!

1. Kezdjük akkor a gyakran „ha nincs más ötletem, ez biztos jó lesz” jogos érdekkel.

Sokan gondolják, hogy erre hivatkozva az adatkezelés automatikusan jogszerű, szabályos, és nincs is vele további teendő. Pedig nem, illetve van! A jogos érdek nem egy jolly joker jogalap, csak szigorú szabályok mentén hivatkozhatunk rá. Amikor pedig valójában más lenne a valódi jogalap (hozzájárulás, szerződés, jogszabályi előírás stb), akkor semmiképp. Ráadásul mindig nekünk, adatkezelőnek kell tudnunk igazolni, hogy a saját jogos érdekünk előnyt élvez az érintett jogaival, szabadságaival szemben. (A jogos érdekről, illetve a hozzá kapcsolódó érdekmérlegelés kötelezettségéről itt írtunk önálló cikkben bővebben.)

2. „Tájékoztatom a weboldalam látogatóit a cookie-használatról, ez elég.”

Nos, a cookie-k vagy sütik önmagukban is számos hibaforrást jelenthetnek, amelyeket ez a szemléletmód csak tovább bővít. Ha alkalmazzuk őket (mindenki alkalmazza), természetesen tájékoztatni kell az oldal látogatóit – megfelelő jogosítványokkal, hogy szabadon dönthessen a látogatás folytatásról (például, ha a marketing célú cookie-k el nem fogadása esetén nem léphet tovább, sérül az önkéntesség elve.) És ha csak a honlapot (és az ehhez kapcsoló közössági médiát) tekintjük, a cookie-kezelés mellett számos más terület is előkerülhet: hírlevél-feliratkozás; regisztráció, ehhez adatok, jelszavak megadása; űrlapok, ezekhez kötődően checkboxok elhelyezése; és magának az oldalnak a biztonságos adatkezelése is ide tartozik.

3. „A jogászom/könyvelőm segített az adatvédelmi dokumentumok elkészítésében, nekem már nincs más dolgom vele.” 

Jogászunk, ügyvédünk természetesen sok jó tanáccsal szolgálhat e téren is, ám egy mindenre kiterjedő GDPR-megfeleltetés még az ő hatáskörükön is bőven túlmutat. Hiszen egyrészt a paragrafusok a kötelezettségeinket megmutatják, de a teljesítésükhöz vezető utat már nem. Másrészt ez nemcsak jog, hanem folyamatszemlélet, cégirányítás, a teljes körű, személyes felmérést követően olyan gazdasági és szervezeti döntések sora, amelyekben olykor még a jogászok is külső segítségre, tanácsra szorulnak; vagy éppenséggel nem is találkoznak ezekkel a kérdésekkel a munkájuk során. Nem beszélve a munkatársak betanításáról, a nyomonkövetésről, gyakorlati tanácsokról; sőt, az adatok fizikai és informatikai biztonságáról, mint ugyancsak elengedhetetlen részterületekről.

4. „Egyéni vállalkozó vagy kis cég vagyok, rám nem vonatkozik.”

Tucatnyiszor leírtuk, még többször elmondtuk: a GDPR nem „méretfüggő”! Másképpen: nem attól függ, hogy ki, hanem, hogy mit csinál. Ha bárhogyan is, de kezel akár egyetlen egy személyes adatot, akkor mindegy, hogy egyéni vállalkozó vagy óriás multicég. Bár az elvárások, megoldások, módszerek, természetesen függnek a cégméretből nyilvánvalóan következő adatmennyiségtől és a velük végzett feladatok összetettségétől, de önmagában az adatvédelmi rendelet egyformán vonatkozik mindenkire! És tudjuk: a NAIH sem tesz kivételt csak azért, mert kicsik vagyunk…

5. „Nincs weboldalam, így nem is végzek adatkezelést.”

Ugyancsak gyakori kifogás a saját weboldal hiánya. De biztos, hogy nincs facebook oldala sem, nem alkalmaz google levelezőt, soha nem kap-küld maileket, papír alapon sem kezel sehol semmiféle adatot? Nincs alkalmazottja, érdeklődője, megrendelője, beszállítója, ügyfele, akinek felírta akár csak nevét, címét, telefonszámát?
Elméletben elképzelhető – a hétköznapi gyakorlatban sokkal kevésbé, és csak rendkívül szűk körben; napjainkban már a legkisebb, elszigetelt háttérvállalkozások is szinte biztosan valamiféle személyes adatok birtokába jutnak – hogy a 2. pontra is visszautaljunk –, és már itt is a GDPR-kötelezettség!

Mivel az a tapasztalatunk, hogy a felsorolt, illetve hasonló tévhitek, illetve az adatvédelmi rendelet hiányosabb ismerete a kisebb vállalkozások, egyéni vállalkozók között gyakoribb, így elsősorban az ő figyelmükbe ajánljuk a kimondottan mikrovállalkozásokra optimalizált új szolgáltatásunkat. A fenti gombra kattintva tájékozódhat többféle tevékenységre szabott rugalmas megoldásunkról, amelyekkel az Ön vállalkozása is gyorsan és költséghatékonyan, mégis magas minőségben tehet eleget a rendelet előírásainak.

Jól akarom kezelni a GDPR ügyeket!

Hasonló tartalmakért kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük!

Rovat:
Szűcs Zsolt - Crosssec Blog
Szerző:
Szűcs Zsolt
Kommunikációs menedzserként a nyelvi kiválóság elkötelezett híve – saját megfogalmazásával ő felel azért, hogy írásainkban a betűk mindig az ideális összetételben és sorrendben kövessék egymást. Hogy cikkeink, blogjaink tartalma legyen bár mindig lexikális alaposságú, a formájuk maradjon mégis érdekes, színes, olvasmányos.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram