Nagyon  kevés az idő és nagyon sok a teendő! Azonnal át kell világítani az adatkezelési, adatbiztonsági gyakorlatunkat és szabályzatok tömegét kell gyártanunk. 2018. május 25-én, a GDPR (General Data Protection Regulation), azaz az EU általános adatvédelmi rendelete életbe lépésének pillanatában már készen kell állnunk. Egyetlen hiba, s a hatóságok keményen, az eddigiek többszörösével  szakcionálnak, az adattal rendelkezők pedig tömegesen perelhetnek. A GDPR minden céget érint, ahol  személyes adatokat kezelnek (munkavállalóké is az), online tevékenységet folytatnak, bármilyen céllal adatbázisokkal dolgoznak. A papíron levő adatok is ide tartoznak - figyelmeztettek a szakértők a Piac & Profit által rendezett GDPR-EU-adatvédelmi rendelet című konferencián.

Óriási volt az érdeklődés a Piac & Profit konferenciáján

"Kötelező lesz a hatásvizsgálat, s ha ebben a fennmaradó kockázatokra is rávilágítanak, amiket nem tud a cég mérsékelni, a hatósághoz fordulhat konzultációra. Ez viszonylag kevésbé lesz formalizálva a hatóságnál", mondta Dr. Árvay Viktor, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) osztályvezetője.

Ugyanakkor sok tekintetben még le vannak maradva a jogalkotók: "szükséges lesz a hazai ágazati jogszabályok deregulációjára," mert azok több ponton ütköznek a GDPR-rendelettel, mondta Bártfai Zsolt, az OTP Bank compliance szakértője. Márpedig ha hatósági ellenőrzésre kerül sor, akkor  "nem elég tisztességesnek lenni, annak is kell látszani. Ha a hatóság ellenőrzést végez, ezt demonstrálni is tudni kell", hangsúlyozta Dr. Csenterics András, a PwC Legal LL.M adatvédelmi és adatbiztonsági szakjogásza.

"Nemcsak a hatósági ellenőrzés lehet szigorú. Egyre szofisztikáltabbak a bejelentések, tudatosabbakká váltunk, tudatosabbak a fogyasztók, az ügyfelek is" - hívta fel a figyelmet Hámor Endre, a Kürt Zrt. Adatvédelmi Kompetencia Központ vezetője. "Ugyanakkor informatikai oldalon igazán újdonságot nem tartalmaz a GDPR, az adatvédelmi módszerek már rendelkezésre állnak", szögezte le Hirsch Gábor, az IVSZ IT-biztonsági munkacsoportjának vezetője.

Európa-szerte több tízezer adatvédelmi felelőst (DPO-t) fognak szerződtetni. "Ha a DPO aggályt jelez, de másként dönt a cég, azt is dokumentálni kell", mondta Dr. Párkányi Rita ügyvéd a KCG Partners Ügyvédi Társulástól. Persze az is kérdés, hogyan válasszák ki a vállalatok az adatvédelmi tisztviselőt: "Jogász vagy informatikus legyen az adatvédelmi tisztviselő? Ezt is el kell majd dönteniük a cégeknek", figyelmeztetett Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője.

Márpedig nagy szükség lenne az adatok megfelelő védelmére. "Egy kisvállalkozásnál átlagosan 50 dokumentum keletkezik naponta. De csak a cégek 3 százalékánál van olyan dokumentumkezelő szoftver, ami ezek megosztását menedzselné", mondta Gilincsek Szabolcs, az Euro-Profil Kft. GDPR tanácsadója, auditora. "A szeméttelepen szúrópróbaszerűen 169 kilogramm céges dokumentumot találtunk, ebből 135 kilogramm 9 cégtől származott," - hangsúlyozta Kreutz László, a Fellowes Hungary Kft. ügyvezetője, aki szerint minden irodában kell lennie iratmegsemmisítő gépnek, akár több sarokban is, mert ha a munkatársak otthagyják mellette a papírt azzal, hogy majd a titkárnő elvégzi a bedarálást, a dokumentumokat végül a takarítószemélyzet fogja érintetlenül kidobni a kommunális hulladékba. Ez is adatvédelmi incidensnek számít, amit jelenteni kell.

Ugyanakkor nem csak a már meglévő adatok védelmére kell ügyelni, a marketingtevékenység is nehezebbé válik. "A profilgyűjtés az egyik legfontosabb marketingtevékenység. Nem lesz ritkaság, hogy akár 28 beikszelhető részt is beiktatnak majd, amikor engedélyt kérnek a fogyasztótól, hogy marketingajánlatokat küldhessenek neki", mondta Keszey Gábor, a Dr. Hatházi Vera Ügyvédi Iroda adatvédelmi szakértője. Ugyanakkor érvényesülni fog a "jogos érdek" elve is, vagyis "Magyarországon a hozzájárulási fixáció enyhülni fog, és egy opt-in szabályozásból egy opt-out-rendszerbe lépünk át, ahol az utólagos tiltakozásnak van helye. Ehhez meg kell oldani, hogy a leiratkozás egyszerű és téritésmentes legyen", mondta Dr. Halász Bálint ügyvéd a DIMSZ Adatvezérelt Marketing Szövetségtől.

"Az IT kezd átalakulni end-to-end élmény-nyújtó szolgáltatásokká. Nem az a acél, hogy az emberek manuálisan dolgozzák fel azt a sok adatot, amik ebből a sok okos eszközből keletkeznek. Az automatizálás is fontos lesz," mondta Angyal Adrián, a Capgemini Kft. biztonsági és adatvédelmi felelőse.

A hackerek "gyakran kis cégeken, alvállalkozókon keresztül jutnak be a nagy ügyfélrendszerekbe. fel kell készülni ezekre a támadásokra, elég egyetlen figyelmetlen alkalmazott, hogy meglegyen a baj" - figyelmeztetett Kiss Viktor, a Dr. Risk Kft. ügyvezető igazgatója.

Az adatvédelmi incidenseknek, az adatlopásoknak "kemény reputációs vonatkozása van, az adatkezelési auditnak ezért nem csak az informatikai és a jogi munkatársakra kell vonatkoznia, hanem a HR-nek és a pénzügynek is köze kell legyen hozzá", hívta fel a figyelmet Szaniszló András, az MPRSZ alelnöke.