Adatvédelmi hajrá: alig fél év maradt a felkészülésre

Első ránézésre úgy hat, mintha egy újabb közgazdaságtani rövidítéssel lenne dolgunk. A GDPR azonban a General Data Protection Regulation mozaikszava, és az Európai Unió általános adatvédelmi rendeletét jelöli. Vagyis mint uniós szabályozás, Magyarországra is vonatkozik. A rendelet kidolgozása már 2012-ben elindult, és 2016 májusában jelent meg. A felkészülésre két évet kaptunk, így 2018. május 25-ig kell a hatóságoknak, szervezeteknek, vállalkozásoknak megtenni a szükséges lépéseket.

Az adatvédelem ma már mindannyiunk számára fontos elvárás. Nap mint nap adunk meg személyes adatokat azért, hogy információhoz jussunk, eladjunk vagy vásároljunk, hozzáférjünk alkalmazásokhoz, vagy egyszerűen csak belépjünk internetes felületekre. Közben pedig ugyanúgy naponta hallunk visszaélésekről, károsultakról, feltört fiókokról, blokkolt rendszerekről. Ezek azonban szerintünk mindig másokkal történnek. Alapvető igényünk, hogy a számunkra fontos dolgok megfelelő védelmet kapjanak: az otthonunk, a családtagjaink, a vagyonunk és mindehhez kapcsolódva a személyes adataink is.

Az országokon belül mozgó és a határokon átívelő adatmennyiség folyamatosan növekszik. Az Európai Unión belül valamennyi tagország rendelkezett saját szabályozással, de ezek mind különbözőek voltak. A kétezres években egyre sürgetőbbé vált, hogy a jogalkotók tető alá hozzanak egy közös, egységes rendeletet – így született meg a GDPR.

Enyém, tiéd, övé

Fontos, hogy tisztázzuk, milyen adatokra vonatkozik a rendelet. A GDPR az egyén adatainak biztonságára koncentrál, vagyis kizárólag személyes adatokra vonatkozik. Egész pontosan így fogalmaz: „azonosított és azonosítható természetes személyek adataira”. Személyes adatnak számít tehát minden olyan információ, amely alapján egy adott személy azonosított vagy azonosítható. Ez pedig a néven túl lehet szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egyéni jellemző.

Kidobhatjuk az infotörvényt?

Az Igazságügyi Minisztérium 2017. augusztus 29-én bocsátotta társadalmi egyeztetésre a jelenlegi magyar adatvédelmi törvény, azaz az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) módosításáról szóló tervezetét. A módosítást az indokolja, hogy a magyar adatvédelmi jogot, így többek között az Infotv.-t is összhangba kell hozni az EU általános adatvédelmi rendeletével (GDPR). Mivel 2018. május 25-étől a GDPR közvetlenül alkalmazandó lesz az EU tagállamaiban, így Magyarországon is, ezért az Infotv. adatvédelmi rendelkezéseinek jelentős része feleslegessé válik.

De kit szabályoz?

Saját szemszögünkből nézve mindenkit, aki a személyes adatainkkal dolgozik. Jogilag és gazdaságilag pedig minden olyan intézményt, szervezetet, vállalkozást, aki adatot kezel, online tevékenységet folytat, bármilyen szintű adatbázisokkal dolgozik. Így tehát a munkavállalói adatkezelésünk is idetartozik, de ha az ügyfeleink adatait használva bármilyen online tranzakciót, akciót, kampányt végzünk, mindenképpen a rendelet hatálya esünk.

Checklistát, de gyorsan!

Jó, ha tudjuk, hogy 250 fő alatt nem kell adatkezelési nyilvántartást vezetnünk, de ez nem mentesít egyéb jogszabályi kötelezettségek teljesítése alól. Hogy kezdjünk neki a felkészülésnek?

Célszerű készíteni egy „Itt állunk most” pillanatképet a vállalkozás, szervezet tevékenységéről a fő kérdések mentén:

Milyen adatokat tárolunk és dolgozunk fel?
Mi az adatkezelés célja és jogalapja?
Hol és mennyi ideig tároljuk az adatokat (pl. szerveren, felhőben)?
Ki férhet hozzá az adatokhoz? Ki férhet hozzájuk házon belül és kívül?
Milyen hozzájárulások állnak rendelkezésre?

Ez utóbbi kérdés azért nagyon fontos, mert az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Meghatározott esetekben, például különleges személyes adatok kezelése során hatásvizsgálat minimum háromévente, időközben pedig minden nagyobb változásnál kötelező lesz.

Jövő májusig még van időnk, de érdemes minél előbb elvégezni egy adatkezelési felmérést a saját tevékenységeinkre. Itt fog kiderülni, hogy a munkavállalói adatbázison túl hol kezelünk még személyes adatokat, és ha alaposan végiggondoljuk, valószínűleg lesznek ilyenek. A megfelelés érdekében pedig mindig van további teendő.

Véget ér a türelem – milliárdos is lehet a bírság

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít lehetőséget a munkáltatóknak arra, hogy adatkezelésüket megfelelően alakítsák át. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk.

Pánikgomb helyett

Biztosan sok kérdés felmerül menet közben, és belülről nézve nem mindig egyértelmű, hogy mi a teendőnk. Érdemes már a felméréshez is külső szakértő segítségét kérni, aki segít végiggondolni, hogy hol milyen adattal dolgozunk, miért van szükségünk rájuk, és milyen módon kezeljük őket. Megmutatja, melyek számítanak fokozott ellenőrzést igénylő személyes adatnak. Segít megállapítani, mely kötelezettségek (pl. adatvédelmi tisztségviselő kinevezése, adatvédelmi hatásvizsgálat végrehajtása, adatvédelmi incidensek kezelése) vonatkoznak ránk. Így már a felméréssel megalapozzuk a további belső szabályozást.

Másokéra vigyázva védjük a magunkét

Az elszámoltathatóság elve alapján azon túl, hogy meg kell felelniük a vonatkozó adatvédelmi szabályoknak, a vállalkozásoknak (még akár a legkisebbeknek is) szükség esetén igazolni szükséges az adatvédelmi megfelelésüket. Jó, ha már előre bebiztosítjuk magunkat az elkészült szabályozással. Kis befektetéssel komoly fájdalomtól óvhatjuk így meg a cégünket, hiszen a jövő évi határidő után a bírság a jogsértés mértékétől függően akár a teljes éves (világ)piaci bevételünk 4 százaléka is lehet, 20 millió euróig, azaz hatmilliárd forintig terjedően. Nem kell sokat ecsetelni, hogy egy ilyen bírság csődbe is vihet egy vállalatot.

Érdemes tehát mindent dokumentálni, ami az előzetes felmérésnél az adatvédelmi feladatlistánkra került. Ha hosszabb távú tevékenység esetén még csak az út felénél járunk, akkor is fontos az eddig megtett lépések adminisztrálása. Ügyfélként is elvárjuk, hogy az adatainkat bizalmasan kezeljék. Ha mi vagyunk az adatkezelő, az adatok mögött élő személyeken túl a saját elvárásainknak is tartozunk ezzel a biztonsággal.

Szerző:

A p2m Informatika Kft. szakértői csapata

A p2m-ről

A p2m vállalkozások számára nyújt szakmai támogatást olyan menedzsmenteszközökkel, mint a stratégiaalkotás, folyamatok modellezése, fejlesztése, teljesítménymérés, hogy saját működésükből és meglévő erőforrásaikból a lehető legjobb eredményt hozzák ki. A különböző követelményrendszereket lefordítják hétköznapi használatra, a szabványoknak való megfelelést is támogatva ezzel. Adatvédelmi felkészítés, információbiztonsági tanácsadás és számos egyéb szolgáltatásuk révén a jogszabályi megfelelés támogatásában is hatékony segítséget nyújtanak.