Már lakásszövetkezeteket is büntet a NAIH!

Az első magyar, lakásszövetkezetet érintő GDPR bírságról: A Hatóság vizsgálata egy Érintetti bejelentés alapján indult. A bejelentő több alkalommal kért tájékoztatást az elmarasztalttól arról, hogy miként kezelik a személyes adatait. Az eset érdekessége, hogy a bírsággal sújtott szövetkezet tett ugyan erőfeszítéseket a megfelelés érdekében, de ez nem volt elégséges. 

Mi volt a probléma?

A Lakásszövetkezet több hibát is elkövetett.  A probléma forrása az volt, hogy változtatás nélkül vett át szabályzat- és más iratmintát egy szervezettől, ez a figyelmetlensége súlyos következményhez vezetett. A jogsértések miatt a NAIH 200.000 Ft bírságot szabott ki.

A Hatóság megállapította, hogy a Lakásszövetkezet olyan személyes adatok (telefonszám, e-mail cím) megadására is kötelezte az érintetteket és a bejelentőt, amelyeket csak az érintettek hozzájárulása alapján kezelhet, megsértve ezzel az általános adatvédelmi rendelet 6. cikkét.
Ez a bekezdés rendelkezik az adatkezelés jogszerűségéről és meghatározza a személyes adatok kezelésének hat jogalapját.

Továbbá a Lakásszövetkezet adatkezelési tájékoztatói nem feleltek meg az átláthatóság követelményének sem, a Hatóság megállapította, hogy ezzel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontját.
Ez a bekezdés rendelkezik az adatkezelés jogszerűségéről, tisztességes eljárásról és átláthatóságról.

A Hatóság továbbá megállapította azt is, hogy a Lakásszövetkezet megsértette az általános adatvédelmi rendelet 15. cikkét azzal, hogy nem teljesítette a Panaszt tevő személyes adataihoz való hozzáférésre irányuló kérelmét, amelyet több alkalommal, írásban nyújtott be.
A rendelet 15. cikke rendelkezik az érintett hozzáférési jogáról.

A tájékoztató olyan nyilvános dokumentum, amelynek részletesen kell tartalmaznia a személyes adatok kezelésének gyakorlatát: ki kezeli, hol tárolják, meddig őrzik meg, hogyan selejtezik, milyen biztonsági intézkedéseket tesznek az adatok sérthetetlensége, rendelkezésre állása érdekében, hogyan védekeznek az illetéktelen kezekbe való kerüléstől.  Fontos szabály, hogy az Érintettek tájékoztatása az adatkezelés megkezdése előtt meg kell történjen, méghozzá könnyen érthető formában.

Az Érintettnek joga van megismerni a személyes adatainak kezelését, valamint élhet a GDPR rendelet adta jogaival, így kérelme vonatkozhat akár adathordozásra, adattörlésre, informálódásra az adatkezelést illetően. A kérelmet regisztrálni kell, és legfeljebb 30 napos határidővel kötelező reagálni rá. 

Az esetnek több tanulsága is van 

A GDPR rendeletnek történő megfelelésre sokan még ma is úgy gondolnak, mint a kötelező “rosszra”, egy “flancos új elvárásra”, amit elegendő csak egy-két weboldalon elhelyezett tájékoztatóval, felugró ablakkal lekezelni. A vállalkozók egy része keresi az olcsó megoldásokat, de az internetről letöltött sablonok, iratminták csak akkor megfelelőek, ha azokat  cégspecifikus adattartalommal látják el.

Léteznek a piacon olyan szakszerűen kidolgozott sablonok, amelyeket odafigyeléssel és módszeresen elvégzett munkával az adott szervezetre szabhatunk. Persze az is fontos, hogy egy munkatárs, vagy külső megbízott szakavatott szemmel ki tudja választani, hogy milyen sablonokra van szükség ahhoz, hogy teljeskörűen fel tudjuk építeni és működtetni azt a dokumentációs rendszert, amely megfelel a rendeletnek.

Gyakran ott követnek el a társaságok hibát, hogy azt gondolják, hogy vettek néhány jó sablont, azokat ki is töltötték, kipipálhatják a feladatot, ezzel többet nem kell foglalkozni. Ez azonban koránt sincs így.

A GDPR-nak való megfelelés ugyanis folyamatos tevékenység. A szabályzatokat át kell ültetni a gyakorlatba, biztosítani kell a megfelelő infrastruktúrát, erőforrásokat annak érdekében, hogy az adatok biztonságos, szabályos kezelése folyamatosan megvalósuljon. Ráadásul, ahogy a cégek működése sem egy állandó, statikus dolog, így az adatkezelése sem az. A működésben bekövetkezett változásokat le kell követni annak érdekében, hogy a GDPR előírásainak a mindenkori adatkezelés megfeleljen.

Óva intenénk mindenkit attól is, hogy másik, hasonló profilú cég adatkezelési dokumentumait használja fel, hiszen igen csekély a valószínűsége, hogy a két cégben megegyeznek az adatbiztonsági intézkedések, az adatfeldolgozók, vagy például a weboldalon elhelyezett cookiek.  Tanácsadóként olyan esetet is láttam, ahol még a cégnevet sem írták át, vagy az ügyfél a weboldal szolgáltatójától kapta a GDPR dokumentumokat, de nem ellenőrizte le annak tartalmát.

Egy kisebb vállalkozás jó sablonokkal, megfelelő iránymutatással képes lehet  a saját adatvédelmi rendszerének elkészítésére, azonban, ha a társaság nagy számban kezel személyes adatot, például webshopot üzemeltet, vagy különleges, például egészségi állapotra vonatkozó adatokat kezel, tanácsosabb adatvédelmi szakember segítségét kérni.

Egyre inkább bebizonyosodik, hogy a 2018 májusa óta Magyarországon is kötelező GDPR szabályainak betartása elkerülhetetlen a cégek, szervezetek, így a társasházak, lakásszövetkezetek számára is. Törekedni kell arra, hogy élhető, könnyen karbantartható, az adatkezelési folyamatokban résztvevő munkatársak által is ismert rendszer kerüljön kialakításra, és a megfelelő adatvédelmi tudatosság kialakításával ezek a folyamatok és kapcsolódó dokumentációk is folyamatosan naprakészek legyenek. 

A lakosság egyre inkább tudatában van annak, hogy milyen jogok illetik meg a személyes adataikat illetően, és egyre többen fognak szót emelni a jogaik érvényesítése érdekében. Erre érdemes alaposan felkészülni, mert egy elégedetlen ügyfél - mint azt a jelen eset is mutatja – a hatósághoz fordulhat és a vizsgálat komolyabb bírságtételt is eredményezhet.

Egyéni és mikrovállalkozói csomagjaink között mi is kínálunk többek között kifejezetten közös képviselők, társasházkezelők számára összeállított megfizethető szolgáltatáscsomagot.

Forduljon hozzánk bizalommal, kattintson ide és kérjen ajánlatot még ma!

Rovat:
Gátos Eszter - Crosssec Blog
Szerző:
Gátos Eszter
Gátos Eszter adatvédelmi tanácsadóként segíti az ügyfelek GDPR-megfelelőségét a Crosssecnél. 16 éves minőségirányítási, 10 éves információbiztonsági és katonai minőségirányítási tapasztalatát 2 éve DPO-vizsgával egészítette ki. Az adatok biztonságát komplexen kezeli, a vállalkozásoknál kiépített mechanikus, elektronikus és humánerőforrásbeli védelmi megoldások széles körű ismeretével. Hitvallása az ügyfelek szolgálata.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram