A kicsi adatkezelők terhei
Gyakran visszatérő kérdés, hogy a kisvállalkozásokra is ugyanúgy vonatkozik-e a rendelet mint a nagyobbakra. Az egyikoldarlól az a kevésbé jó hír, hogy a GDPR nem tartalmaz különösebb könnyítéseket a kisvállalkozásoknak, de a másik oldalról elmondható, hogy a szerény adatkezelési portfólióval rendelkező cégeknek kevés dolgot kell tennie.
Azt kell elsősorban átgondolni, hogy milyen adatkezelésbe vesznek részt ezek a vállalkozások. Vegyünk például egy egyszemélyes vállalkozóként dolgozó villanyszerelőt. Neki nincs honlapja, csak egy telefonszáma, amin fel szokták hívni. A hívásra kimegy, elvégzi a munkát, számlát állít ki és ennyiben ki is merül a tevékenysége.
Adatkezelési szempontból a következő dolgokat teszi egy ilyen vállalkozó:
- Kezeli az ügyfél elérhetőségi adatait, hisz felírja, hogy kihez, mikor és hová menjen, milyen telefonszámon éri el az ügyfelet.
- A kiállított számlára az ügyfél neve, címe, a szolgáltatás leírása és ellenértéke kerül.
Az eddigi hatósági gyakorlatról elmondható, hogy ilyen jellegű súlytalan adatkezeléseket eddig nem elemeztek alaposabban, gyaníthatólag számukra sem tartozik a vizsgálandó esetek közé. Mi biztonságosnak ítéljük ilyen esetben azt is, ha a vállalkozó semmit nem tesz, hisz az adatkezelése teljesen jelentéktelen.
Ha maradéktalanul meg szeretnénk felelni a szabályoknak, akkor egy ilyen csekély mennyiségű adatkezelésnél a következő dolgokról kell gondoskodnia a vállalkozónak:
- Adatkezelési tájékoztató az ügyfelek részére. Ez egy darab A4-es lap, ami a fentieket leírja. Ezt tartsuk magunknál, be lehet mutatni a vevőknek, ha igényli. (Honlapunkon megtalálható a kapcsolódó sablon.)
- GDPR jogok biztosítása kapcsán valószínűleg nem sok megkeresés érkezik. Valaki kérheti, hogy töröljük az elérhetőségi adatait. Ekkor, ha esetleg eltároltuk, töröljük a telefonszámát, nevét, címét. (Számlát nem törlünk, nem semmisítünk meg ekkor sem.)
- Adatkezelési megállapodást írunk alá a könyvelővel. (Sablon a honlapunkon.)
- Adatkezelési nyilvántartást nem kell vezetnünk.
- A fenti adatok kapcsán nem elképzelhető olyan incidens, amit be kellene jelentenünk.
- Egyéb intézkedésre (technológia, informatikai, adatvédelmi) nincs szükség
A fenti egyszerű példa persze azonnal bonyolódik, ha már alkalmazottaink vannak. Akkor a részükre szóló adatkezelési tájékoztatóról is gondoskodnunk kell. Ugyancsak növekednek a terhek egy honlap üzemeltetésnél és más esetekben is. Ezeket a témákat az útmutató egyéb részein bemutatjuk.
Nem szabad, hogy megtévesszen minket a példa, a fentiek egy egyszerű adatkezeléssel működő vállalkozót mutatnak be. A hangsúly itt az adatok kockázatmentességén van, nem pedig a vállalkozás méretén. Ugyanis GDPR szempontjából mindig azt kell vizsgálnunk, hogy milyen érzékenységű adatokat kezel az adatkezelő. Hiába kicsi (akár egyszemélyes) a vállalkozás, ha nagy mennyiségben kezel különleges adatokat vagy más szempontból kockázatot jelent az adatkezelése az érintettek számára, a fenti rendelkezések nem lesznek elegendőek és a hatóság elnézésére sem számíthatunk.