Az én cégemre nem vonatkozik

Számos cégvezető abba a hitbe ringathatja magát, hogy mivel a törvény 250 alkalmazott feletti cégekre vonatkozik, ő nyugodtan hátradőlhet. Ez azonban tévedés. Tulajdonképpen létszámtól függetlenül minden cég kezel személyes adatokat, mivel az alkalmazottai adatai nála vannak, s a legtöbb esetben az ügyfelek adatai úgyszintén. "Minden hírlevelet kiküldő cég, minden munkáltató személyes adatot kezelő jogi személy", tehát vonatkozik rá a GDPR, mondta Dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda ügyvédje a Piac & Profit GDPR - finisben című konferenciáján.

Majd a biztosító fedezi a bírságot

Tévhit, hogy a felelősségbiztosítás helyettesítheti a jogszabálynak való megfelelést. "A biztosítók ugyan megkötik a biztosítást, de amikor adatvédelmi incidens után elvégzik a felülvizsgálatot, és azt látják, hogy a cég csak a biztosítással akart megfelelni a törvénynek, akkor elállhatnak a károk fedezésétől", hangsúlyozta Czinege Balázs, a a Crosssec Solutions Kft. kontrollerje, GDPR Managerje. Ugyanezt hangsúlyozta Kiss Viktor is, a Dr. Risk Kft. ügyvezető igazgatója: "A szerződéskötéskor a biztosító még nem ellenőriz, de ha káreset van, biztosan megteszi. És ha nem tette meg a cég a szükséges teendőket arra, hogy megfeleljen a GDPR-nek, nem fizet." A biztosító megtérítheti a vizsgálati költséget, az önrészen felüli kárrészt, a proaktív szakértői szolgáltatást (ilyen például az incidens kommunikálása PR-os igénybe vételével), vagy a jogi költségeket is.

A Piac & Profit a témával kapcsolatos cikkeinek gyűjteményét itt találja!

Mindegy, hogyan érthetetlen a honlapra kitett adathasználati tájékoztató

Nem mindegy. Fontos alapelv a közérthetőség. Az ügyvédek tanácsolhatják ugyan azt, hogy rakjunk ki blikkfangos-cirkalmas jogi nyelvezettel megírt szöveget, több oldalasat, de nem ésszerű elvárás, hogy a felhasználó ezt értelmezni is tudja. Kötelező hát az egyszerűsítés, tömörítés és közérthetővé tétel. A legkézenfekvőbb a "nagynéni teszt", mondta Dr. Kemény Edmond, az act legal Bán és Karika Ügyvédi Társulás jogásza. Magyarázzuk el egy nyugdíjaskorú néninek köznapi nyelven az adatkezelési tájékoztatót. Ha nagyon nem érti, akkor baj van.

Kemény szerint érdemes az angolszász mintát követni, ahol párbeszédszerűen ismertetik a tudnivalókat a felhasználókkal, körülbelül ilyen felütéssel: "Szia, kezeljük az adataikat. Hozzjárulsz-e ahhoz, hogy...". Az Y és Z generáció már eleve ahhoz van hozzászokva, hogy ilyen közvetlen hangot ütnek meg vele. "Fel kell tüntetni az adatfeldolgozókat is. Ha szerződést kötünk, új rendszert használunk, azt is jelezni kell. A McDonald's-nak nagyon jó adatkezelési tájékoztatója van", mondta Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője. "Az adatfeldolgozó nem minősítheti át az adatot más adatkezelési célra, ha ezt megteszi, az incidensnek fog minősülni", mondta Sándor Zsolt.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) kimondta, hogy a adatkezelési hozzájárulás pontjainak beikszeltetésénél vagy kipipálásánál az előre kipipált vagy beikszelt négyzeteket tartalmazó nyilatkozat készítése, hogy a felhasználó csak a szöveg alján nyomja meg az "elfogadom" ikont "nem helyes" eljárás, mondta Dr. Detrekői Zsuzsa, a DIMSZ ügyvédje.

A felhasználónak aktívan rá kell klikkelnie az egyes pontoknál a négyzetekre, hogy ő hozza létre a pipát. "Csak akkor lehet regisztrálni valakit, ha a megnyitott tájékoztatónál kötelező a legörgetés. Úgysem fogja elolvasni, de ez akkor is számít", mondta Dr. Kemény Edmond.

Nem érdekel, úgysem az EU-ban van a szerverem

A GDPR mindazokat érinti, akik "európai földön tartózkodnak, amikor megosztják az adatokat". Tehát az amerikai multik éppúgy érintettek, hiszen vannak európai ügyfeleik, vásárlóik. Akárcsak a hazai cégek, melyeknek az EU-n kívül lévő szerveren bérelnek tárhelyet. A felhő-alapú adattárolás helyét illetően "javasoljuk az egyeztetést a hatósággal, mielőtt kiszolgáltatjuk az adatokat például Kínába vagy Oroszországba", mondta Czinege Balázs.

Érdemes utánanézni, hogy az adott ország -ahol a szerver van- része-e az úgynevezett privacy shieldnek. Az EU minősíti az adatbiztonság szempontjából az unión kívüli államokat, s az USA-t például "nem biztonságosnak minősíti", mondta Dr. Horváth Katalin. A nagy szolgáltatók (Google, Facebook stb) vállalták, hogy megfelelnek a GDPR kitételeinek, mivel felhasználóik egy része uniós polgár. De érdemes e listát ellenőrizni.

Csak külsős lehet az adatvédelmi felelős (DPO, data protection officer). Sok cégvezetőben felmerülhet a gondolat, hogy kiszervezi az adatvédelmet az adatvédelmi felelősnek, ez azonban nem lehetséges "összeférhetetlenség miatt, ő ugyanis nem végezheti el azokat az adatkezelési folyamatokat, amelyeket felügyelnie kell. Nem végezhet tehát semmilyen adatkezelést", mondta Czinege Balázs.

"Jogi és IT-vezető nem lehet DPO, mert ez összeférhetetlen. Tanácsadó szerepet tölt be, ellenőriz és nyomon követ. Nem szankcionálható és nem bocsátható el. Nem vonható el tőle fizetés sem" - mondta Dr. Párkányi Rita,a KCG Partners Ügyvédi Társulás ügyvédje. Egy kisebb webáruháznál vagy egy nagy banknál nem ugyanazok az igények, az adatvédelmi tisztségviselőnek ehhez mérten kell a megfelelő képzettséggel rendelkeznie.

A fénykép nem számít

Ez féligazság. A fénykép "nem minősül különleges adatnak, de az igen, amelyik biometrikus letapogatásra alkalmas," s mint ilyen a GDPR hatálya alá tartozik, mondta Kemény Edmond.