GDPR

Adatvédelem mindenkinek / Data protection for everyone

Aki nem lép egyszerre....

2017. június 08. 11:30 - poklaszlo

A KKV-k és a GDPR

Érdekes felmérést közölt az ír adatvédelmi biztos (Data Protection Commissioner) az ír KKV-k felkészültségéről az új adatvédelmi rendelet (GDPR) alkalmazására. Ha röviden akarnánk összegezni: a helyzet eléggé lesújtó. Egy évvel azelőtt, hogy a GDPR-t élesben alkalmazni kellene, az ír KKV-k kevesebb, mint egyharmada van tudatában annak, hogy 2018. májusától nekik is alkalmazniuk kell a Rendeletet (a KKV-k kétharmada hallott egyáltalán magáról a GDPR-ról). (A felmérést az Amárach Reserach készítette 500 ír KKV megkérdezésével, 2017. április 24. és 2017. május 10. között.)

Ha egy kicsit mélyebbre ásunk, akkor azt láthatjuk, hogy az ír kisvállalkozások kevesebb, mint 20%-a tudott megnevezni legalább egy konkrét változást, amelyre fel kell készülnie. Ennek megfelelően a kisvállalkozások négyötöde nem is azonosított semmilyen tennivalót a GDPR-nak való megfelelés érdekében. Természetesen a KKV-k között a méret növekedésével növekszik a tudatosság is, az 50-249 főt foglalkoztató középvállalkozások esetében jobb eredmények születtek, mint a 49 főnél kevesebb munkavállalót foglalkoztató társaiknál.

Bár hasonló magyarországi felmérésről nincs tudomásunk, feltételezhető, hogy a KKV-k GDPR-tudatossága tekintetében Magyarországon semmivel sem jobb a helyzet.

Miért kell a KKV-knak is foglalkozniuk a GDPR-ral?

Elsősorban azért, mert a GDPR - ahogy a jelenlegi hatályos adatvédelmi szabályozás is - főszabály szerint minden adatkezelőre és adatfeldolgozóra vonatkozik, így a kisvállalkozások által folytatott adatkezelési tevékenységekre is kiterjed.

Bár a Rendelet rögzíti a preambulumában (13. pont), hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit” és maga a Rendelet is - bizonyos feltételek fennállása esetén - megállapít könnyítést a KKV-k számára (pl. nyilvántartás vezetési kötelezettség tekintetében), ugyanakkor a kötelezettségek jelentős része valamilyen formában a kisebb társaságokat is érinti.

Mit tekinthetünk KKV-nak?

Bizottság 2003/361/EK ajánlása (2003. május 6.) határozza meg a mikro-, kis- és középvállalkozások fogalmát. Ezzel az ajánlással összhangban került meghatározásra a fogalom a magyar jogban is (2004. évi XXXIV. törvény a kis- és középvállalkozásokról, fejlődésük támogatásáról, "KKV törvény"). Eszerint:  

KKV-nak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 250 főnél kevesebb, és

b) éves nettó árbevétele legfeljebb 50 millió eurónak megfelelő forintösszeg, vagy mérlegfőösszege legfeljebb 43 millió eurónak megfelelő forintösszeg.

A KKV kategórián belül kisvállalkozásnak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 50 főnél kevesebb, és

b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió eurónak megfelelő forintösszeg.

A KKV kategórián belül mikrovállalkozásnak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 10 főnél kevesebb, és

b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 2 millió eurónak megfelelő forintösszeg.

A fentiekből látszik, hogy a KKV kategórián belül - különösen magyar viszonylatban - olyan társaságok is szerepelnek, amelyek méretük és piaci súlyuk alapján jelentősnek mondhatók.

Mit kell a KKV-knak tenniük a GDPR-nak való megfelelés érdekében?

Az adatvédelmi szabályoknak való megfelelőség érdekében a KKV-knak is - hasonlóan más kategóriába eső vállalkozásokhoz - meg kell tenniük a szükséges szervezeti-, adminisztratív- és technikai intézkedéseket, ha személyes adatokat kezelnek.

Az elszámoltathatóság elvéből kiindulva pedig a KKV-knak azon túl, hogy meg kell felelniük a vonatkozó adatvédelmi szabályoknak, arra is képesnek kell lenniük, hogy a megfelelést - szükség esetén - igazolni tudják (pl. megfelelően dokumentálniuk kell az adatvédelmi intézkedéseket és azt is, ha élve valamely rájuk vonatkozó könnyítéssel, az általánosnál enyhébb kötelezettségeknek tesznek eleget).

Első lépésben célszerű áttekinteni és felmérni, hogy milyen adatkezelések történnek az adott társaságnál, milyen célból és milyen személyes adatok tekintetében. Fontos, hogy az egész szervezetben tudatosodjon, ha személyes adatok kezelésére kerül sor.

Az adatkezelések feltérképezését követően kerülhet sor annak a vizsgálatára, hogy pontosan milyen kötelezettségeknek kell megfelelni a különböző célból és jogalappal folytatott adatkezelések esetében. Itt vizsgálható az is, hogy egyes kötelezettségek tekintetében élveznek-e a KKV-k valamilyen könnyítést. 

Ha ez is megtörtént, akkor kerülhet sor a meglévő adatkezelési szabályzatok, tájékoztatók, adatfeldolgozókkal kötött szerződések és egyéb dokumentumok felülvizsgálatára annak érdekében, hogy ezek megfeleljenek a követelményeknek.

Milyen kötelezettségek vonatkoznak a KKV-kra (is)? 

A Rendelet lényegében minden előírása vonatkozik a kis- és középvállalkozásokra is. Talán jobban megfogható úgy a kérdés, hogy hol nem alkalmazandóak a Rendelet előírásai vagy hol találhatunk a KKV-kat érintő könnyítéseket.

A Rendelet konkrét könnyítést tartalmaz a KKV-ra nézve a nyilvántartási kötelezettséggel kapcsolatban. A Rendelet 30. cikke szerint a nyilvántartás vezetésére irányuló kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak (9. cikk (1) bekezdés) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak (10. cikk) a kezelésére.

Látható, hogy a könnyítéssel kapcsolatban is óvatosan kell eljárni, mert több kivétel is meghatározásra került, amelyek bekövetkezése esetén a főszabály érvényesül, azaz eleget kell tenni a nyilvántartási kötelezettségeknek. A különleges, illetve bűnügyi személyes adatok kezelésével kapcsolatos kivétel viszonylag egyértelmű, ugyanakkor egyelőre kérdéses, hogy a gyakorlatban mikor nem lehet majd kockázatot megállapítani az adatkezeléssel kapcsolatban, illetve mikor tekinthető az adatkezelés alkalmi jellegűnek. (A kockázatok kapcsán a WP29 iránymutatása az adatvédelmi hatásvizsgálatról tartalmaz néhány figyelembe vehető szempontot, igaz inkább atekintetben, hogy mikor beszélhetünk "valószínűsíthetően magas kockázatról".)

A Rendelet a magatartási kódexek (40. cikk) és a tanúsítás (42. cikk) kapcsán tesz említést még a mikro-, kis- és középvállalkozásokról, miszerint ezen cégek sajátos igényeit figyelembe kell venni  a magatartási kódexek kidolgozása, illetve az adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozása során.

A KKV-k tekintetében tehát a tagállami szabályok, illetve a magatartási kódexek és a tanúsítási mechanizmusok megjelenése még hozhat több, az általánostól eltérő szabályt.

Kell-e a KKV-knak bírságot fizetniük a GDPR alapján? 

E tekintetben a Rendelet semmilyen az általánostól eltérő szabályt nem tartalmaz, azaz a bírságolással kapcsolatos szabályok alkalmazandóak a mikro-, kis- és középvállalkozásokra, beleértve a kiszabható bírság összegére vonatkozó szabályokat is.     

Magyarországon a helyzet azért különösen érdekes, mert a KKV törvény egyik rendelkezése (12/A. §) szerint a hatósági ellenőrzést végző szervek kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén (az adó- és vámhatósági eljárást és a felnőttképzési tevékenységet folytató intézmények ellenőrzésére irányuló eljárást kivéve) bírság kiszabása helyett figyelmeztetést alkalmaznak. Egy 2016-os kúriai ítélet megerősítette, hogy ez a rendelkezés az adatvédelmi bírságra is vonatkozik. (A 12/A. § (2) bekezdése meghatároz néhány olyan súlyos jogsértést, amikor nincs lehetőség a bírságtól való eltekintésre. Ilyen eset például, ha a 18. életévüket be nem töltött személyek védelmét célzó jogszabályi rendelkezés megsértésére került sor,)    

Kérdés tehát, hogy a KKV törvény 12/A. §-a alkalmazandó lesz-e a Rendelet szerint folytatott eljárásokban, azaz első alkalommal 2018. május 25-ét követően sem lesznek-e bírságolhatók a KKV-k az adatvédelmi hatóság által vagy ez a Rendelet alapján megváltozik?

A Rendelet preambuluma szerint, „az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén a felügyeleti hatóság által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.” (Preambulum 148-as pont)

A bírság mellőzése kapcsán tehát nincs utalás a KKV-kra, csak a természetes személyekre, illetve általánosságban a kisebb súlyú jogsértésekre, függetlenül attól, hogy azt ki követte el.

A Rendelet szerint a „tagállamokra kell bízni annak eldöntését, hogy a közhatalmi szervekkel szemben alkalmazható legyen-e közigazgatási bírság, és ha igen, milyen mértékben.” (Preambulum, 150. pont; 83. cikk (7) bekezdés) Az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervek tekintetében tehát minden további nélkül elfogadhatnak a tagállamok kivételeket, azonban a Rendelet nem biztosít felhatalmazást arra, hogy a tagállamok a bírságolás tekintetében a KKV-ra nézve kivételeket fogadjanak el.

A fentieken túlmenően a bírságolás kapcsán mérlegelendő körülmények (83. Cikk (2) bekezdés) között sem szerepel a KKV státusz. (A Preambulum 150. pontja rögzíti: „Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre.”)

A NAIH - jelenleg ismert - értelmezése szerint a Rendelet alapján folytatott eljárásokban nem lesz lehetőség a KKV törvény 12/A. § alkalmazására, azaz első alkalommal előforduló jogsértések esetén is lehetőség lesz a KKV-k bírságolására. 

Teljesen egyértelmű helyzetet nyilván az teremtene, ha a jogalkotó - a KKV törvény 12/A. §-ának megfelelő módosításával - kifejezetten rendezné a kérdést.

13 komment
Címkék: bírság felkészülés portfolioblogger Magyarország Írország KKV HU Rendelet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr912552145

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Kniight 2017.06.09. 14:29:15

Ettől sem lettünk sokkal okosabbak...
Válasz erre 

Gyűrött Papír 2017.06.09. 14:48:58

@Kniight: A feléig olvastam, aztán beletekertem. Ugyanezt mondanám én is. Ez nem feltétlenül a szerző hibája, de olyan száraz lett, mint a prézlis fahéj.
Válasz erre 

poklaszlo 2017.06.09. 14:52:04

@Kniight: Köszönöm a visszajelzést! Sajnos a téma rendkívül szerteágazó és egy rövid blogposzt keretében általánosságban nehéz nagyon kézzel fogható válaszokat adni. A poszt legfőbb célja az volt, hogy felhívja a KKV-k figyelmét arra, hogy nekik is van tennivalójuk az adatvédelem területén. Az, hogy egy-egy társaságnak pontosan mit kell tennie nyilván nem derülhet ki egy általános blogposztból, hiszen csak a konkrét adatkezelés részleteinek ismeretében lehet bármilyen teendőt azonosítani. Abban bízom azért, hogy néhányan, a posztot elolvasva elkezdenek foglalkozni a témával, és akkor már nem volt hiábavaló az írás. Van esetleg valami olyan konkrét kérdés, amelyre választ keresett a témával kapcsolatban és amelyet a poszt nem érintett?
Válasz erre 

poklaszlo 2017.06.09. 14:59:28

@Gyűrött Papír: Önnek is köszönöm a visszajelzést! Sajnálom, ha száraznak tűnik az írás. Ahogy egy korábbi kommentre válaszul is írtam, ez a poszt egy általános figyelemfelhívás arra, hogy a KKV-knak is van teendőjük az adatvédelem területén. A jövőben olyan gyakorlatiasabb témák is terítékre kerülnek majd, amelyek - reményeim szerint - sokkal olvasmányosabbak lesznek!
Válasz erre 

5perc 2017.06.09. 15:32:39

A következő kérdések merültek fel bennem, amikre nem találtam választ:
- Ha van egy rádiós műsorszóró vállalkozásom és a rendszeres betelefonálók közt vannak nemkívánatosak, azoknak a telefonszámát nyilvántarthatom-e? Gondolom taxis diszpécsercégre is ugyanez vonatkozik, ahol a címre kiálló gépkocsivezető számára elérhetetlen a megrendelő.

- Valamelyik posztban vagy rendeletben a jogi személyek személyes adatainak véldelméről olvastam. Ha az e-mailcím személyes adat és én spamleveleket szűrő cég vagyok, kezelhetek-e blacklistet, ami bizonyos létező jogi személyek küldő e-mailcímeit spamlistára tesz? Megtehetem-e ezt előzetesen, pl egy cégtárstól veszek ilyen jellegű információt.
Vagy ügyvezető vagyok egy cégnél és a rendszeresen marketing célból hívó vállalkozások összes, interneten, szabadon elérhető telefonszámát szeretném tiltani valamilyen módszerrel. Tegyük fel, hogy egy teljes vállakozás épül ilyen, nem alkalmi szolgáltatásra? Legális lehet?
Válasz erre 

lionking 2017.06.09. 19:38:51

Kamerarendszereket (is) szerelünk mint cég, elképesztő az, ami az úgynevezett adatvédelem címszó kapcsán törvénybe került.
Szerintem a hülyeségek széles tárháza de a kérdésem, hogy a cikket végigolvasva sem jutottam el oda, hogy ez miben érinti a hazai kis közép mikró vagy makro vállalkozásokat?
Engem tudom a szakmai részt tekintve.
A másik, hogy hol marad az adatvédelem (tudom itt költői a kérdés) mikor napi szinten 50-60 emailt kapok a céges fiókomba (az ugyanazona domain-en regisztrál sajátneves címre egyet sem) amit olvasatlanul dobok a kukába.
A másik, hogy napi szinten vannak telefonhívásaim, amik arról szólnak, hogy adománnyozzak ennek vagy annak az alapítványnak, a Heim Pál kórháznak (itt a név cserélhető bármelyik másikra) beteg gyereknek, a mentősöknek, a másik meg hogy fektessek be náluk általuk tőzsdézzek az értékpapírjaimat hozzájuk vigyem náluk legyen , vagy ilyen olyan biztosítás vagy banki hitel és épp ami szembe jön.
Na itt hol az én adataim védelme?

És még egy.
A kamerarendszer telepítésnél kell(ene) egy adatvédelmi szabályzatot készíteni mondjuk üzlet esetén.
Ami ott kint kell legyen hogy aki szeretné az el tudja olvasni.
Na igen de!!
Ha addig nem akar valaki bemenni míg nem olvasta, de hogy olvashassa előtte be kéne mégis csak menni a megfigyelt területre, ez kb tisztára a 22-es csapdája c. könyv kicsi magyarban.
A másik, hogy ebben a szabályzatban meg az adatkezelő (sok esetben pl én meg a cégem) összes adata ott van
Kérdés: az én adataimat ki védi meg?
Válasz erre 

Duplaxiii 2017.06.09. 19:39:26

Tisztázzunk valamit!
A KKV szektor a legtrehányabb a korszerű modszerekkel kapcsolatban.
Az előírtak gyakorlatilag a törvény nélkül is alapnak kellene hogy legyenek, de ma ez a társasági halmaz az, amely 1 forintot nem áldosz sem az adatbiztonságra, sem a tudatos adatkezelésre.
Mi egy olyan megoldást kíbálunk két éve, ami megakadályoz minde illegális hozzáférést a cég adataihoz, akár a TEK és a NAV is rátörhet ökotársos stílusban egy cégre, csak azt találja, amit a törvény előír. Elvihet bármit, a munka perveken belül folyatódhat.
Hogy ez a biztonság teljesüljön, alap az adatkezelési szabályok kidolgozása és bevezetése.
Értelemszerűen gyakorlatilag senkit nem érdekel, hiszen mennyivel jobb kétszeres áron a szart használni, majd egy NAV ellenőrzéskor akár napokra, hetekre leállni?
Válasz erre 

A teremőr 2017.06.09. 19:39:33

@poklaszlo: A bírság mértékét kár volt kihagyni a cikkből, mert az igazán megrázó tud lenni.

Az ügy típusától függően az előző évi konszolidált nettó árbevétel 2 vagy 4 százaléka. Ez egy kis vagy mikró vállalkozást könnyen padlóra tud tenni, ha rosszkor lesz esedékes.
Válasz erre 

A teremőr 2017.06.09. 19:39:36

Egy kiegészítés a bloghoz, ha már emlegette a bírságot. A bírság mértéke horrorisztikus összeg lehet, mivel az az előző évi konszolidált árbevétel 2 vagy 4 százaléka az ügy típusától függően.

Ezzel egy KKV-t, de legfőképp egy mikró vagy kis vállalkozást padlóra lehet küldeni, ha mondjuk év elejére jön ki a fizetési kötelezettsége.

Tudom, hogy alapvetően a multinacionális cégek megrendszabályozása volt a fő csapás iránya, de ha ezt a magyar parlament nem kezeli akkor nagy anyázások jöhetnek.
Válasz erre 

poklaszlo 2017.06.09. 19:47:16

@A teremőr: Köszönöm a kiegészítést! A bírság témája megérdemel majd egy külön posztot vagy akár több posztot is. Egyébként a bírság összege 10 millió euró, illetve az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-a lehet (a magasabb összeg alkalmazandó), illetve súlyosabb jogsértés esetén akár 20 millió euró vagy előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %--a is lehet (szintén a magasabb összeget kell alkalmazni).

Tekintettel arra, hogy rendeletről van szó, amely a tagállamok területén közvetlenül alkalmazandó, így a bírság összege tekintetében a magyar jogalkotó nem hozhat eltérő szabályokat.
Válasz erre 

5perc 2017.06.11. 01:39:34

Tudom, ez nem egy szolgáltatás, de ha tud, kérem mégis segítsen akár egy-két konkrét kereső címszóval: internetes mikro vállalkozást indítanék. Milyen szabályok vonaltoknak az üzleti érdekből való utólagos, vagy akár előzetes kizárásra,? Tiltó listát szeretnék kezelni. Ehhez ezektől a nem "ügyfelektől" biztosan nem kapok hozzájárulást, viszont a - valós üzleti kockázat - szolgáltatásom minőségét veszélyeztető, konkurensek által okozott szándékos károkozás miatt kénytelen lennék kezelni őket. A fentebb említett példák hasonó, analóg, létező esetek. A lehető legminimálisabb, nyilvánosan, weboldalakról hozzáférhető adatokat, a jogi személyek üzletkötőinek "hivatalos" telefonszámait szeretném listázni egy adatbázisban, ami a szerződési feltételek inputjaként jelenne meg.
A másik dolog, ami nem tiszta: ha a BM 41/2015 (net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=a1500041.bm) szerint járok el, az nagyjából lefedi az eu-s adatkezelési kockázatok kezelési szabályait? Feltételezve, hogy magán és jogi személyek személyes, de nem hiperérzékeny adatait kezelem rendszer-szerűen, nagy mennyiségben, tehát 4-es osztályba sorolom magam.
Az adatkezelés tényét és fajtáit az eu-s rendelet alapján is elég a naih-hoz bejelenteni?
Ha 27001-es auditot szeretnék, van lehetőségem, hogy a vállalkozásom bizonyos szerződéseit kizárjam a vizsgálatból? Nem szeretném az egyszerűbb adatakezelésekre is rendszerszerűen ráhúzni a szigorúbb szabályokat - pl a fejlesztőgépek zárt hálózatú, internet hozzáférés nélküli bekötését - , mivel teljesen eltérő
szolgáltatások.
És ugye ott van, hogy a személyes adatokat két lépcsős bejelentkezésen keresztül kellene üzemeltetni, miközben az internetről bejelentkező ügyfelek egymás adatait korlátozottan a saját accountjukkal egyszerűen elérhetik.
Bizonyos szolgáltalások megkövetelik a kétlépcsős bejelentkezést. Ehhez elég ha sms kódot kérek, vagy más technikai eszköz is szükséges.
Válasz erre 

poklaszlo 2017.06.13. 14:51:36

@5perc: A felvetett kérdésekkel kapcsolatban konkrét választ csak az eset összes körülményének ismeretében, a tervezett adatkezelés alapos elemzésével lehet adni. Mindenképpen azt javaslom, hogy az adatkezelés megkezdése előtt konzultáljon szakemberrel, hogy az adatkezelés megfeleljen a jelenleg hatályos és alkalmazandó Infotv. (2011. évi CxII. törvény) rendelkezéseinek, illetve 2018. május 25-ét követően az európai adatvédelmi rendeletnek (GDPR).

Általánosságban elmondható, hogy az adatkezelés tekintetében meg kell határozni egy jogszerű célt és biztosítani kell, hogy az adatkezelés törvényes és tisztességes legyen, továbbá, hogy csak azokat az adatokat kezeljék, amelyek a cél eléréséhez elengedhetetlenül szükségesek. Vizsgálni kell azt is, hogy milyen jogalapon kerülhet sor az adatkezelésre. Az adatkezelés tekintetében mindenképpen gondoskodni kell a megfelelő jogalap meglétéről.

Felhívom a figyelmet arra is, hogy a jelenleg hatályos és alkalmazandó Infotv. alapján az adatkezelőt - meghatározott kivételektől eltekintve - az adatkezelés megkezdése előtt az adatvédelmi hatóság (NAIH) felé bejelentési kötelezettség is terheli (adatvédelmi nyilvántartás).

Korábbi kommentjéhez kapcsolódóan azt fontos jelezni, hogy jogi személyek tekintetében nem beszélhetünk személyes adatokról. Egy központi telefonszám vagy email cím, amely nem kapcsolódik egy természetes személyhez, főszabály szerint nem minősül személyes adatnak. Ugyanakkor egy üzletkötő személyes telefonszáma, illetve email címe már igen.

Az Ön által hivatkozott BM Rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényhez kapcsolódóan rendez részletszabályokat. Ugyanakkor ez a BM rendelet, és a 2013. évi L. törvény az az állami és önkormányzati szervek elektronikus információbiztonságára vonatkozik, ezen szervek tekintetében állapít meg kötelezettségeket. Azon szervezetek, cégek stb., amelyek nem tartoznak ebbe a körbe, nem kell, hogy alkalmazzák magukra nézve a 2013. évi L. törvény és a BM rendelet előírásait. Ettől függetlenül természetesen lehet "meríteni" az ezekben foglalt intézkedések közül annak érdekében, hogy az adatkezelő megfeleljen a rá egyébként irányadó adatvédelmi és adatbiztonsági követelményeknek.
Válasz erre 

5perc 2017.06.13. 16:52:31

@poklaszlo:
Köszönöm a válaszát, szavanként fogjuk értelmezni :)
Válasz erre 
süti beállítások módosítása