Bár 2016 májusában már életbe lépett az Európai Unió általános adatvédelmi reformja (GDPR), kötelezően csak 2018. május 25-től kell majd alkalmazni a természetes személyek adatainak védelmére vonatkozó rendeletet. A rendelet minden olyan vállalkozásra vonatkozik, amelynek az EU területén ügyintézési helye van és akár ügyfelek, akár munkavállalók személyes adatait kezeli.
„A GDPR lényegében minden, az Európai Unióban tevékenységet végző céget érint, nem csak azokat, amelyek közvetlenül szolgálnak ki magánszemélyeket, vagy 250 főnél több munkatárssal rendelkeznek. Egy jóval kisebb vállalkozásnak is foglalkoznia kell a kérdéssel, elég csak arra gondolni, hogy az új munkatársak toborzásakor beküldött önéletrajzokban is vannak személyes adatok, és azokat is megfelelően kell kezelni” - mondta el Márkus Csaba, a Deloitte adó- és jogi osztályának partnere, aki a Deloitte-on belül a GDPR szolgáltatásokat nyújtó munkacsoport vezetője.
A Deloitte-nál évekkel ezelőtt megkezdték a felkészülést annak érdekében, hogy segíteni tudják ügyfeleiket, hogy megfeleljenek a GDPR előírásainak, és már számos projektet valósítottak meg. A tapasztalatok azt mutatják, hogy a hazai vállalkozások többsége nincs tisztában azzal, hogy a céges működés milyen sok területét érinti az átállás, és kizárólag jogi, vagy esetleg kizárólag informatikai projektként közelítik meg a feladatot.
„Amikor elkezdünk együtt dolgozni, a legtöbb cégnél megdöbbennek azon, hogy milyen széles körét érinti a vállalati funkcióknak a GDPR-nak történő megfelelés. Az információbiztonság, a jog csak a legnyilvánvalóbb és leginkább érintett területek, de ezek mellett befolyásolja a back office tevékenységeket, az üzemeltetést, de még az olyan külső szereplőkkel való kapcsolatot is, mint az őrző-védő szolgáltatás, vagy a takarítás” - tette hozzá Márkus Csaba.
„Az első feladat az eltérések elemzése, vagyis fel kell mérni, hogy milyen területeken nem felel meg egy cég a GDPR-nak. Ezt követően pedig kezelni kell az eltéréseket, ami jelentheti a belső folyamatok átalakítását, a céges működési szabályzat módosítását, de akár komoly informatikai fejlesztéssel is járhat. Ebből a szempontból is fontos, hogy minél gyorsabban elkezdje egy vállalkozás a felkészülést, hiszen ha már nagyon szorít a határidő, előfordulhat, hogy csak jóval drágábban tudja megvalósítani a szükséges fejlesztést, mintha lett volna elegendő idő az előkészítésre” - hangsúlyozta Márkus Csaba.
A GDPR kapcsán érdemes kiemelni, hogy a vállalkozásokon van a bizonyítás terhe, vagyis egy vizsgálat során nekik kell bizonyítaniuk, hogy mindenben megfeleltek a GDPR előírásainak. Ha ez nem sikerül, komoly büntetésre lehet számítani, aminek felső határa akár az előző éves globális árbevétel 4 százaléka avagy maximum 20 millió euró is lehet.
A Deloitte Magyarország GDPR-ról szóló sorozatának következő részében bemutatjuk, hogy milyen alapelvekre kell figyelmet fordítani a felkészülés során, milyen kihívásokat jelent a „felejtés joga” és milyen ellenőrzésekre számíthatnak a hazai vállalkozások.