Példátlan érdeklődés övezte a Piac & Profit április 19-ei GDPR-Finisben konferenciáját, nem véletlenül regisztrált mintegy négyszáz érdeklődő, hiszen vészesen közeledik az uniós adatvédelmi rendelet hatályba lépésének ideje: május 25-e és az adatvédelmi hatóság elnöke, Péterfalvi Attila arra figyelmeztette a Piac & Profit olvasóit, hogy nem lesz elnézés az ellenőrzéseknél.
Fel kell tennünk a kérdést: átnéztük az adatbázisainkat, átalakítottuk az informatikai hátteret, adatbiztonsági rendszereinket? Minden alapdokumentumot elkészítettünk? Átalakítottuk hírleveles, adatbázison alapuló marketinggyakorlatunkat? Megtettünk mindent a papír alapú dokumentumokban szereplő adatok biztonságba helyezése érdekében? Weboldalunk, hírleveleink, adatbázisaink, social media felületeink adatbiztosak?
Egyetlen hiba, s a hatóságok keményen, az eddigiek többszörösével szankcionálnak, az adattal rendelkezők pedig tömegesen perelhetnek - figyelmeztettek a konferencián előadó szakemberek.
"Mindig előre kell tájékoztatni az ügyfelet, hogy mi fog történni az adataival, még a regisztrálás vagy a szerződéskötés előtt", hangsúlyozta Czinege Balázs, a a Crosssec Solutions Kft. kontrollerje, GDPR Managere.
"Az azonosíthatóság elve nem feltétlenül jelent névszerűséget. Aki egyvalakít beazonosít, lehet ez egy személyes kód egy applikációban, az ugyanolyan személyes adatot kezel, mint a név vagy telefonszám. De ugyanúgy személyes adatok a GPS-koordináták, a testi jellemzők vagy a gazdasági és kulturális preferenciák" - hívta fel a figyelmet Dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda ügyvédje.
"Nem biztos, hogy onnan jön az első pofon, hogy Péterfalvi kirohan és büntet. Ha adatfeldolgozók vagyunk, a saját ügyfeleink ellen is véthetünk, ami pénzbírságot is vonhat maga után, ha a szerződésünk úgy van megkötve vele" - hangsúlyozta Babos János, a Process Solutions ügyvezető-partnere.
"Ebben a rendeletben vannak jogi anomáliák, amiknek nem lehet megfelelni. Nyilván elvárjuk, hogy az IT-s először nekünk cégvezetőknek jelentse az adatvédelmi incidenst, és cégvezetőként eldöntjük, hogy jelentsük-e a hatóságnak, vagy nem, és megpróbálunk sunnyogni" - vázolta a jövőbeli eshetőségeket Sándor Zsolt, a Gill & Murry Kft. ügyvezetője.
"Gyakori hiba a cégeknél, hogy túl széles körben adnak hozzáférést adatokhoz, olyan munkatársaknak is, akiknek a munkavégzéséhez azok az adatok nem szükségesek" - vélte Dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda partnere.
"A direkt marketing-megkeresésekhez tényleges hozzájárulás szükséges nálunk a reklámtörvény alapján, holott az európai jog ezt nem feltétlenül követelné meg" - magyarázta Dr. Detrekői Zsuzsa, a DIMSZ ügyvédje.
"Az érintetteket kategóriánként érdemes tájékoztatni, mindenkinek a releváns tájékoztatót kell elküldeni, az ügyfelet nem érdekli példálul az alkalmazottak adatainak kezeléséről szóló részletek", mondta Mátyus Lilla, a Crosssec Solutions MIR-vezetője, ISO belső auditora.
"Magyarországon nagyjából 200 szakember működik, akik 2-2,5 hónap alatt tudnak átvilágítani egy céget. Ezért a 665 000 KKV részére a megoldás a csomagszerű, automatizáltabb online átvilágítás" - mondta Cságoly Zoltán, az Adatsólyom Key Account Managere.
"A névből képzett emailcím személyes adat, az info@ viszont nem. A fénykép nem minősül különleges adatnak, csak az, ami biometrikus letapogatásra alkalmas" - hangsúlyozta Dr. Kerényi Edmond, az act legal Bán és Karika Ügyvédi Társulás jogásza.
"A biztosító az adatvédelmi biztosításnál 13-15 pontos checklistet ad, nem ellenőrzi, hogy e teendőket elvégezték-e, az ügyfél cég jelenti ki, hogy igen. De ha káreset van, a biztosító akkor már ellenőrzi, és ha nem végezték el, akkor nem fizet" - mondta Kiss Viktor, a Dr. Risk Kft. ügyvezető igazgatója.
"Mindig egy jogalapnak kell érvényesnek lennie a szóban forgó adatra, a jogalapok egyenrangúak, ha egy megvan, az önmagában elegendő" - figyelmeztetett Dr. Csenterics András, az L.L.M. Réti, Antall, Várszegi és Társai Ügyvédi Irodától.
"A bírság súlyozása attól függ, hogy szándékosan, tudatosan követte-e el a cég a kihágást, vagy tudja-e bizonyítani, hogy mindent megtett a jogszerű adatkezelésért: erre megoldás a független tanúsítócég tanúsítványa, amivel a bírság mértéke a töredékére csökkenhet" - hangsúlyozta Kelemen Viktor, a Bureau Veritas ügyvezetője.
"Adatvédelmi incidens kapcsán mindenkinek az elektronikus adatok ugranak be, pedig a papírlapon éppúgy kialakulhat adatvédelmi incidens" mondta Kreutz László, a Fellows Hungary Kereskedelmi Kft. ügyvezetője.
"Az adatvédelem szisztematikus, folyamatos és rendszeres, és időnként felül kell vizsgálni, mit teszünk e téren" - emelte ki Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője.
"Egy banknak vagy egy kisebb webáruháznak mások a kockázatai, ezekhez képest kell megválasztani az adatvédelmi tisztviselőt, aki nem szankcionálható, nem bocsátható el. A cég IT-vezetője nem lehet adatvédelmi tisztviselő (DPO), mert akkor saját munkáját bírálná felül, ami összeférhetetlenséget jelent" - mondta Dr. Párkányi Rita,a KCG Partners Ügyvédi Társulás ügyvédje.
"Az a honlap, mely SSL-tanúsítvánnyal rendelkezik, annál titkosított csatornán történik az adatforgalom és a kommunikáció. Ezek url-je https-sel kezdődik, ami keresőoptimalizálás miatt is fontos, mert a Google már hátrébb sorolja azokat, melyek nem ilyenek" - hangsúlyozta Bende Kata, a ZK Design szakértője.
Adatvédelmi incidens: mit tanulhatunk a Facebook-botrányból?
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodószervezetet, közintézményt érint, a világsajtóban végigsöprő Facebook–Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.
