GDPR: még bőven van tennivaló májusig

2017. december 08. péntek - 10:01 / Kriston László
  •    

Az új uniós adatvédelmi szabályozás magyar cégekre vonatkozó kötelezetettségeiről, az eddigi hazai adatvédelmi joggyakorlat változásairól beszéltek az előadók a Piac & Profit GDRP - EU-adatvédelmi rendelet című konferenciáján.

Nagyon  kevés az idő és nagyon sok a teendő! Azonnal át kell világítani az adatkezelési, adatbiztonsági gyakorlatunkat és szabályzatok tömegét kell gyártanunk. 2018. május 25-én, a GDPR (General Data Protection Regulation), azaz az EU általános adatvédelmi rendelete életbe lépésének pillanatában már készen kell állnunk. Egyetlen hiba, s a hatóságok keményen, az eddigiek többszörösével  szakcionálnak, az adattal rendelkezők pedig tömegesen perelhetnek. A GDPR minden céget érint, ahol  személyes adatokat kezelnek (munkavállalóké is az), online tevékenységet folytatnak, bármilyen céllal adatbázisokkal dolgoznak. A papíron levő adatok is ide tartoznak – figyelmeztettek a szakértők a Piac & Profit által rendezett GDPR-EU-adatvédelmi rendelet című konferencián.

Óriási volt az érdeklődés a Piac & Profit konferenciáján

Óriási volt az érdeklődés a Piac & Profit konferenciáján

“Kötelező lesz a hatásvizsgálat, s ha ebben a fennmaradó kockázatokra is rávilágítanak, amiket nem tud a cég mérsékelni, a hatósághoz fordulhat konzultációra. Ez viszonylag kevésbé lesz formalizálva a hatóságnál”, mondta Dr. Árvay Viktor, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) osztályvezetője.

GDPR: Hogyan induljunk el, és mit lépjünk meg a májusi határidőig?
Már csak alig fél éve maradt a vállalakozásoknak a felkészülésre, mielőtt már élesben is alkalmazni kell az uniós adatvédelmi irányelvet (GDPR). Még most sincs késő nekiállni a felkészülésnek, szakértőnk segítségével bemutatjuk, hogy milyen lépéseket kell megtennie annak, aki nem akar milliárdos bírságot kockáztatni!

Ugyanakkor sok tekintetben még le vannak maradva a jogalkotók: “szükséges lesz a hazai ágazati jogszabályok deregulációjára,” mert azok több ponton ütköznek a GDPR-rendelettel, mondta Bártfai Zsolt, az OTP Bank compliance szakértője. Márpedig ha hatósági ellenőrzésre kerül sor, akkor  “nem elég tisztességesnek lenni, annak is kell látszani. Ha a hatóság ellenőrzést végez, ezt demonstrálni is tudni kell”, hangsúlyozta Dr. Csenterics András, a PwC Legal LL.M adatvédelmi és adatbiztonsági szakjogásza.

“Nemcsak a hatósági ellenőrzés lehet szigorú. Egyre szofisztikáltabbak a bejelentések, tudatosabbakká váltunk, tudatosabbak a fogyasztók, az ügyfelek is” – hívta fel a figyelmet Hámor Endre, a Kürt Zrt. Adatvédelmi Kompetencia Központ vezetője. “Ugyanakkor informatikai oldalon igazán újdonságot nem tartalmaz a GDPR, az adatvédelmi módszerek már rendelkezésre állnak”, szögezte le Hirsch Gábor, az IVSZ IT-biztonsági munkacsoportjának vezetője.

Európa-szerte több tízezer adatvédelmi felelőst (DPO-t) fognak szerződtetni. “Ha a DPO aggályt jelez, de másként dönt a cég, azt is dokumentálni kell”, mondta Dr. Párkányi Rita ügyvéd a KCG Partners Ügyvédi Társulástól. Persze az is kérdés, hogyan válasszák ki a vállalatok az adatvédelmi tisztviselőt: “Jogász vagy informatikus legyen az adatvédelmi tisztviselő? Ezt is el kell majd dönteniük a cégeknek”, figyelmeztetett Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője.

Adatvédelmi hajrá: alig fél év maradt a felkészülésre
A deadline: 2018. május 25. Sok cég számára ismerős a dátum. Ugyanakkor az is biztos, hogy kevesebben számolunk vele, mint amennyiünket ténylegesen érint. Ha jól ütemezzük a hátralévő hónapokat, még a határidőn belül felkészíthetjük vállalkozásunkat az adatvédelmi rendelet alkalmazására.

Márpedig nagy szükség lenne az adatok megfelelő védelmére. “Egy kisvállalkozásnál átlagosan 50 dokumentum keletkezik naponta. De csak a cégek 3 százalékánál van olyan dokumentumkezelő szoftver, ami ezek megosztását menedzselné”, mondta Gilincsek Szabolcs, az Euro-Profil Kft. GDPR tanácsadója, auditora. “A szeméttelepen szúrópróbaszerűen 169 kilogramm céges dokumentumot találtunk, ebből 135 kilogramm 9 cégtől származott,” – hangsúlyozta Kreutz László, a Fellowes Hungary Kft. ügyvezetője, aki szerint minden irodában kell lennie iratmegsemmisítő gépnek, akár több sarokban is, mert ha a munkatársak otthagyják mellette a papírt azzal, hogy majd a titkárnő elvégzi a bedarálást, a dokumentumokat végül a takarítószemélyzet fogja érintetlenül kidobni a kommunális hulladékba. Ez is adatvédelmi incidensnek számít, amit jelenteni kell.

Ugyanakkor nem csak a már meglévő adatok védelmére kell ügyelni, a marketingtevékenység is nehezebbé válik. “A profilgyűjtés az egyik legfontosabb marketingtevékenység. Nem lesz ritkaság, hogy akár 28 beikszelhető részt is beiktatnak majd, amikor engedélyt kérnek a fogyasztótól, hogy marketingajánlatokat küldhessenek neki”, mondta Keszey Gábor, a Dr. Hatházi Vera Ügyvédi Iroda adatvédelmi szakértője. Ugyanakkor érvényesülni fog a “jogos érdek” elve is, vagyis “Magyarországon a hozzájárulási fixáció enyhülni fog, és egy opt-in szabályozásból egy opt-out-rendszerbe lépünk át, ahol az utólagos tiltakozásnak van helye. Ehhez meg kell oldani, hogy a leiratkozás egyszerű és téritésmentes legyen”, mondta Dr. Halász Bálint ügyvéd a DIMSZ Adatvezérelt Marketing Szövetségtől.

A vállalatvezetők könnyebben adnak ki szenzitív adatokat
Van olyan közmondás, miszerint „üzletet nem érdemes a szórakozással keverni”, azonban a Kaspersky Lab legfrissebb kutatása rávilágít, hogy sajnos jogosan tarthatnak a kiberveszélyektől a vállalatvezetők, hiszen sokan – köztük maguk a cégvezetők is – a munkahelyi számítógépeiket, készülékeiket is használják az online társkeresés során.

“Az IT kezd átalakulni end-to-end élmény-nyújtó szolgáltatásokká. Nem az a acél, hogy az emberek manuálisan dolgozzák fel azt a sok adatot, amik ebből a sok okos eszközből keletkeznek. Az automatizálás is fontos lesz,” mondta Angyal Adrián, a Capgemini Kft. biztonsági és adatvédelmi felelőse.

A hackerek “gyakran kis cégeken, alvállalkozókon keresztül jutnak be a nagy ügyfélrendszerekbe. fel kell készülni ezekre a támadásokra, elég egyetlen figyelmetlen alkalmazott, hogy meglegyen a baj” – figyelmeztetett Kiss Viktor, a Dr. Risk Kft. ügyvezető igazgatója.

Az adatvédelmi incidenseknek, az adatlopásoknak “kemény reputációs vonatkozása van, az adatkezelési auditnak ezért nem csak az informatikai és a jogi munkatársakra kell vonatkoznia, hanem a HR-nek és a pénzügynek is köze kell legyen hozzá”, hívta fel a figyelmet Szaniszló András, az MPRSZ alelnöke.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor