Érvényes egy „kis” kozmetikusra is a GDPR?

Szerző: Angyal Krisztina szakközgazdász, regisztrált mérlegképes könyvelő, gazdasági tanácsadó

A rendelettel érintett személyes adatok köre rendkívül tág, a természetes személyre vonatkozó bármely információ ide tartozik. Például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi jellemzője, de a képmása vagy az egészségi állapota is. Tág az adatkezeléssel érintettek köre is. Az ügyfeleken túl ide tartoznak a munkavállalók és általában mindazon természetes személyek, akikről a vállalkozás bármilyen alapon és módon személyes adatot tud meg és tart nyilván. Nemcsak meg kell felelni a rendeletnek, de ezt a megfelelést ellenőrzés esetén igazolni is tudni kell.

A GDPR alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, azaz a GDPR nemcsak a nagyvállalatokat és a közintézményeket érinti, hanem minden személyes adatot kezelő magánszemélyt vagy vállalkozást, legyen az akár egyéni vállalkozó, akár kis- és középvállalkozás (kkv).

A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.

Alapvető fogalmak

A GDPR rendelet, valamint a cikkben használt kifejezések megfelelő értelmezéséhez nem árt az alapvető fogalmak tisztázása:
– Érintett: egy adott gazdasági társasággal kapcsolatba kerülő, bármely információ alapján azonosítható természetes személy.
– Személyes adat: az érintettre vonatkozó bármilyen információ.
– Adatkezelés: bármely személyes adat gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, törlése és megsemmisítése.
– Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelésre vonatkozó döntéseket meghozza, majd végrehajtja, vagy végrehajtatja.
– Adatfeldolgozó: az adatkezelő megbízásából adatkezelést végző harmadik fél.
– Adatvédelmi tájékoztató: olyan írott szöveg, amely megfelelően tájékoztatja az érintetteket személyes adataik kezeléséről, beleértve a jogalapot, célt, az adatkezelés idejét, és az érintettek jogait.
– Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, avagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Kiket érint a jogszabály?

A szépségipari szolgáltatók, akik jellemzően egyéni vállalkozóként vagy egyéb vállalkozási formában végzik a tevékenységüket, gyakran csak „a másik oldalon”, magánszemélyként találkoznak az egységes európai adatvédelmi rendelet (GDPR) elvárásaival: amikor érintettként adatkezelési tájékoztatókat fogadnak el, adatkezelési nyilatkozatokat tesznek, hozzájárulásokat adnak.

A rendelettel érintett személyes adatok köre rendkívül széles, a természetes személyre vonatkozó bármely információ ide tartozik, például név, szám, cím, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi jellemzője, de a képmása vagy az egészségi állapota is. Széles az adatkezeléssel érintettek köre is, az ügyfeleken túl ide tartoznak a munkavállalók, és általában mindazon természetes személyek, akikről a vállalkozás bármilyen alapon és módon személyes adatot tud meg és tart nyilván.

A rendeletnek nem csak megfelelni kell tudni, de ezt a megfelelést ellenőrzés esetén igazolni is tudni kell.

A rendelet részletesen szabályozza az adatkezelők kötelességeit, a nyilvántartás módját, az adatkezelés jogszerűségét, az esetleges jogosulatlan hozzáférés, adatvédelmi incidens esetén teendő intézkedéseket. Emellett szabályozza az érintett természetes személyek jogait, egyebek mellett a tájékoztatás és a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez, az adatkezelés korlátozásához vagy a törléshez való jogot.

A leggyakoribb céges adatkezelési tevékenységek

Ide tartoznak többek között az alábbiak:

• Szerződéses partnerek (szállítók, vevők) adatainak kezelése.
• Törzsvásárlói listák.
• Jogi személyek, ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai.
• Direkt marketing tevékenységgel kapcsolatos adatkezelés,
• Nyereményjátékok szervezése,
• Látogatás, regisztráció a cég honlapján,
• Hírlevél szolgáltatás,
• Webáruházas értékesítés.
• Munkaügyi, személyzeti nyilvántartás, a munkavállalók személyes adatainak kezelése.
• Munkára jelentkezők, pályázók adatainak kezelése.
• Munkaköri alkalmassági vizsgálatokkal kapcsolatos adatkezelés.
• Munkahelyi be- és kiléptetéssel kapcsolatos adatkezelés,
• Könyvelési, adózási (bérszámfejtés) célú adatkezelés.
• Munkahelyi kamerás megfigyelése,
• Munkáltató által biztosított eszközök (mobiltelefon, laptop, gépkocsi) használatának ellenőrzésével kapcsolatos adatkezelés.

Mint látható az egyéni vállalkozások/kisvállalkozások is adatkezelőkké válhatnak. Mint azt már említettem, ide tartozik az időpontfoglalás, a kapcsolattartás, a referenciafotók vagy a vendégvélemények posztolása – adott esetben a biztonsági kamerák felvételei a szalonban, és akár az egészségügyi, vagyis a különleges adatok kezelése bizonyos szépészeti kezelések kapcsán. Nem is beszélve arról, ha a vállalkozások még alkalmazottakat is foglalkoztatnak.

Egészségügyi adatok tárolása

A fentieken túl talán a legérdekesebb az egészségügyi adatok tárolása. Napjainkban sajnos számtalan allergia, intolerancia alakult ki, akár egyes alapanyagokkal szemben. A kezelések esetében számos betegség jelenthet korlátozást az alkalmazható szolgáltatásokra: daganatok, csontritkulás, trombózis vagy akár mentális problémák. Az egészségügyi adatok pedig kizárólag akkor kezelhetők, ha az érintett kifejezett hozzájárult.

Adatvédelmi incidensek

Rendelet szerint „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (4. cikk 12.)
Példa a leggyakoribb, jelentett incidensekre: a laptop vagy mobil telefon elvesztése, a személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő-partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

Az adatvédelmi szabályzat az adatkezelő belső dokumentuma, célja a megfelelőség biztosítása érdekében az adatkezelés kockázatainak mérséklése belső (technikai és szervezési) szabályok lefektetésével. Mindez azt jelenti, hogy az adatvédelmi szabályzat befelé irányuló „hatállyal” kell, hogy rendelkezzen, és az adatkezelő belső tevékenységét érintően kell, hogy hatását kifejtse.
Mint látható, még a minimális személyes adatkezelésre is érdemes, sőt kötelező odafigyelni. El lehet önállóan is készíteni a kapcsolódó tájékoztatást és a szükséges nyilatkozatokat, egyéb dokumentumokat, de összetettebb esetben már érdemes szakemberhez fordulni.