GDPR | Az adatvédelem új korszaka

Jövő májusban életbe lép az EU új adatvédelmi rendelete, amely a nemzeti jogszabályokat felülírva egységesíti a tagállamok adatkezelési előírásait.

Az új, egységes európai adatvédelmi szabályozás (General Data Protection Regulation, GDPR) a magánszemélyeknek nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban, míg a cégek esetében a kötelezettségeket növeli, a mulasztásokat pedig minden eddiginél jelentősebb pénzbüntetéssel sújtja.

Már csak fél év a felkészülésre

A rendelet kötelezően 2018. május 25-én lép hatályba, s bár ez még távolinak tűnhet, a változások olyan sok mindenre kiterjednek, hogy ez a bő félév biztosan kell a cégeknek a felkészülésre. A szabályozás ugyanis nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás. Ráadásul a jogszabály nemcsak a digitálisan tárolt személyes adatokra vonatkozik, hanem a papíralapúakra is, amennyiben azok valamilyen nyilvántartási rendszer részét képezik.

A tapasztalatok azt mutatják, hogy a magyarországi cégek általában jogi, vagy informatikai projektként tekintenek a felkészülésre, pedig ennél jóval összetettebb feladatról van szó. A hazai helyzetet súlyosbítja, hogy a Fellowes cég megrendelése alapján készült reprezentatív kutatás szerint a magyar kkv-k egynegyedénél semmiféle iratkezelési előírás nincsen a bizalmas jellegű iratok kezelésére. Ezek után az sem meglepő, hogy szintén megközelítőleg egynegyedük (17 százalékuk) már szenvedett el versenyhátrányt adataikkal való visszaélés miatt.

A Deloitte Hungary tapasztalatai szerint az esetenként több százezer, vagy még több ügyféllel rendelkező közmű-, távközlési szolgáltatók és pénzintézetek esetében a GDPR-ra való felkészülés akár 12 hónapot igénybe vehet. Ám az egyéb területeken tevékenykedő társaságok esetében is 6-8 hónappal kell számolni.

Komoly büntetések

Az adatbiztonsági mulasztások kezelésében most az új uniós szabályozás komoly szigorítást hoz, mely szerint a cégek minden eddiginél szigorúbb pénzbüntetésre számíthatnak, ha nem felelnek meg az előírásoknak. Súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg is lehet (amelyik épp magasabb).

Az éves bevétel esetében ráadásul egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Mindez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg lényegesen nagyobb kockázatot jelent.

Kire vonatkozik?

A GDPR lényegében valamennyi, az Európai Unióban tevékenységet végző céget érinti, akár ügyfelek, akár munkavállalók személyes adatait kezelik, és nem csak azokat, amelyek közvetlenül szolgálnak ki magánszemélyeket, vagy 250 főnél több munkatárssal rendelkeznek. A jóval kisebb vállalkozásoknak is foglalkoznia kell a kérdéssel, elég csak arra gondolni, hogy az új munkatársak toborzásakor beküldött önéletrajzokban is vannak személyes adatok, és azokat is megfelelően kell kezelni.

Jellemzően egyébként csak a gyakorlat során derül ki, hogy a vállalati funkciók milyen széles körére terjed ki a megfelelési előírás. Az információbiztonság, a jog csak a legnyilvánvalóbb és leginkább érintett területek, de az új adatvédelmi szabályok vonatkoznak a back office tevékenységekre, az üzemeltetésre, de még az olyan külső szereplőkkel való kapcsolatokra is, mint az őrző-védő szolgáltatás, vagy a takarítás.

Hasznos tanácsok

A legfontosabb tanácsokat a Fellowes pontokba szedte, hogy ezzel is segítse a felkészülést:

  • csak olyan adatok legyenek a cégek birtokában, amelyekre bizonyíthatóan szükség van;
  • ezeket megfelelően kell tárolni és folyamatosan átnézni, hogy mire van még szükség, és mi az, amit meg kell semmisíteni;
  • az aktualitásukat vesztett adatokat, bizalmas információkat tartalmazó iratokat szakszerűen és biztonságosan kell megsemmisíteni, ehhez a megfelelő eszközöket időben be kell szerezni;
  • a magánszemélyeknek ezek után is joga lesz betekintést kérniük abba, hogy hol és hogyan tárolják a róluk szóló adatokat, hogyan mozgatják azokat, illetve kellő időben megsemmisítik-e azokat;
  • egy cégnél csak az erre kijelölt személyek férhetnek hozzá az adatokhoz;
    külön rendelkezni kell arról, hogy harmadik személynek milyen adatokat lehet átadni;
  • át kell nézni a szerződéseket, beleértve a munkaszerződéseket is, és meg kell vizsgálni, hogy azok megfelelnek-e az új előírásoknak, illetve azoknak megfelelő szerződésmintákat kell kidolgozni;
  • a személyes adatokhoz hozzáférő beszállítókkal, alvállalkozókkal a rendeletben foglalt előírásoknak megfelelő szerződést kell kötni;
  • a beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést, különösen az alapértelmezett adatvédelem (privacy by design) követelményének való megfelelést;
  • bizonyos feltételek teljesülése esetén ki kell nevezni egy adatvédelmi felelőst.

Megosztás: