GDPR: bejelentem az incidenst, és fizetek, vagy sunnyogok?

2018. május 08. kedd - 07:30 / Kriston László
  •    

Korlátozni kell a hozzáféréseket az ügyfelek személyes adataihoz a munkatársak körében. Lejárt annak az ideje, amikor mindenki bányászhatott a cégnél mindenféle belső adatbázisban. Az adatfeldolgozó alvállalkozókkal való viszonyt is szerződésben kell szabályozni. Többféle módszerrel is védekezhetünk a nagy bírságok veszélye ellen.

„Ennek a rendeletnek megfelelni nem lehet, vannak jogi anomáliák benne, amiknek nem lehet megfelelni” – mondta Sándor Zsolt András, a Gill & Murry Kft. ügyvezetője a Piac & Profit GDPR – finisben című konferenciáján 2018 áprilisában.

A Piac & Profit a témával kapcsolatos cikkeinek gyűjteményét itt találja!

A bírság mértéke

A Magyarországon 2018. május 25-től életbe lépő uniós adatvédelmi irányelv (GDPR)  „a hatóságoknak nagyobb autoritást ad a kezükbe” – vélekedett Czinege Balázs, a Crosssec Solutions Kft kontrollerje, GDPR Managerje. A törvény betartatásáért felelős és a szankcionálást felügyelő adatvédelmi biztosnak, Péterfalvi Attilának „nem lesz meg az a jogosítványa, hogy kétszer figyelmeztet, hanem súlyos adatincidensnél azonnal bírságolnia kell” – mondta Kiss Viktor, a Dr. Risk Kft. ügyvezető igazgatója. „Tervben van, hogy egységesek legyenek a büntetési tételek” – mondta Czinege Balázs. A bírság súlyozása várhatóan a következő szempontok szerint fog történni:

  • Szándékosan, tudatosan követték-e el az adatvédelmi vétséget?
  • Tudja-e bizonyítani, hogy mindent megtett a jogszerű adatkezelésért?

Hatékony megoldás tud lenni, ha tanúsító céghez fordulunk. „Ugyanis ha a vállalkozásunk igazolni tudja tanúsítvánnyal, hogy mindent megtett a törvényi előírások betartása érdekében, akkor nagy valószínűséggel a bírság mértéke a töredékére csökkenhet” – vélekedett Kelemen Viktor, a Bureau Veritas ügyvezetője.

Kép: Pixabay

Kép: Pixabay

Érintett cégek köre
  • 665 000 aktív vállalkozás
  • 73 százalék nem hallott a GDPR-ról
  • 90 százalék nem rendelkezik alapszintű vagy közepes ismerettel róla
Forrás: Cságoly Zoltán/Adatsólyom/PP konferencia

Mi fizetünk az alvállalkozó mulasztásáért is

A sajtó természetesen meglovagolta az elmúlt hónapokban, hogy súlyos adatvédelmi incidensnél a bírság az éves árbevétel 2 százaléka is lehet, s ez a nagy világvállalatoknál óriási összeg.

Ha az alvállalkozó – például egy könyvelő vagy bérszámfejtő cég – kiszivárogtat adatokat, akkor is „az a cég kapja a bírságot, amelynek bedolgozik a gondatlan adatfeldolgozó” – mondta Czinege Balázs.

Dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda partnere azonban másképp látja ezt. Szerinte „adatfeldolgozókat is fognak bírságolni”. Az adatfeldolgozó nem juthat csak úgy hozzá a személyes adatokhoz, alvállalkozóként „adatfeldolgozási szerződést kell kötnie az adatkezelővel” – mondta dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda ügyvédje.

Sokféle cég minősül kiszervezett adatfeldolgozónak, például az, amelyik IT-támogatást, a követelésbehajtást, PR-ügynökségi munkát, hírlevélkiküldést, webhostingot vagy könyvelést végez.

Az ügyfél is megbüntethet minket

A céges ügyfelünknek is fizethetünk, ha olyan szerződésünk van vele, hogy követelhet rajtunk kártérítést a személyes adatok kezelésében történt adatvédelmi incidensért. „Nem biztos, hogy onnan jön az első pofon, hogy Péterfalvi kirohan, hanem hogy az ügyfél mit mond, kell-e neki szerződésszegésért kártérítést fizetnünk” – mondta Babos János, a Process Solutions ügyvezető partnere, aki konferencia-előadásában bevallotta, hogy cége már a GDPR életbe lépése előtt is kénytelen volt pénzt fizetni egyik ügyfelének egy ilyen ügyben.

Sok minden számít adatvédelmi incidensnek

Az adatvédelmi incidens lehet külső támadás, belső (szándékolatlan) hiba vagy belső munkatárs rosszindulatú magatartása (szándékos kiszivárogtatás). „Magyarország az EU-országokban utolsó helyen van az IT-biztonság tekintetében. A GDPR minden bizonnyal felhúz minket a középmezőnybe” – adott hangot optimizmusának Kiss Viktor.

Korlátozott jogosultságok és hozzáférések

„Gyakori hiba, hogy túl széles körben adnak hozzáférést adatokhoz, olyan munkatársaknak is, akiknek a munkavégzéséhez azok az adatok nem szükségesek” – mondta dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda partnere. Az adatvédelmi incidensek kockázatának és előfordulásának csökkentése érdekében mindenképpen célszerű korlátozni a hozzáféréseket. A munkahelyen ne férjen mindenki hozzá mindenhez. „A minimális jogosultságelv alapján kell kiosztani a hozzáféréseket és beléptetéseket – mondta Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője. – Aki nem CRM-es és értékesítési munkatárs, az ne bányásszon a CRM-rendszerben.”

SSL-tanúsítvány

Azoknál a honlapoknál, melyek rendelkeznek SSL-tanúsítvánnyal, az url link https-sel kezdődik (nem http-vel), s „az adatforgalom és kommunikáció titkosított csatornán keresztül történik – mondta Bende Kata, a ZK Design szakértője. – Jellemzően egyéves a lejárati idő, utána meg kell újítani”. A SSL etalonná válik, s keresőoptimalizálás szempontjából is fontos, hiszen az ezzel nem rendelkező oldalakat 2017 októberétől hátrébb sorolja a Google a keresési találatoknál, aminek „konverziócsökkentő vagy kosárelhagyó hatása is van” – tette hozzá Bende.

Cégvezetői mérlegelés: sunnyogok vagy nem?

Vélhetően sokan magukhoz ragadják majd annak mérlegelését, hogy szükséges-e az adatvédelmi incidenst jelenteni. „Cégvezetőként elvárom, hogy az IT-munkatárs először nekem jelentse, ha adatvédelmi incidens történt, ne a hatóságnak, és én eldöntöm, hogy jelentem-e a hatóságnak vagy nem, és inkább megpróbálok sunnyogni. Ez  üzleti kockázat lesz” – mondta Sándor Zsolt András.

Sürgős teendők
Akármilyen kis cégről is van szó, a folyamatok és az elvégzendő teendők listázása nélkül nem megy a vállalkozásunk GDPR-kompatibilissá tétele. Néhány alapvető teendő:
  • Adatvédelmi tisztviselő szerződtetése.
  • Folyamatok beazonosítása (mit, hol, meddig, határidőkkel)
  • Adatfeldolgozás feltérképezése.
  • Automata döntéshozatal beazonosítása. (Dolgozunk-e algoritmusokkal? A hírlevél is automatizmuson alapul.)
  • Másik ország érintett-e? (Felhő alapú adattárolással.)
  • Adatleltár készítése.
  • Jogalapok megállapítása. (Jogos érdek? Törvényi kötelezettség?)
  • Érintettek jogainak tisztázása. (Tiltakozott? Hozzájárult?)
  • GAP-analízis: 30-40 oldalas dokumentum a hiányosságokról. (A jogszabály mely pontjainál lettek feltárva?)
  • Adatkezelési tájékoztató készítése. (Kirakni a weboldalra.)
  • Régi adatbázisok átvizsgálása. (GDPR-nak megfelelnek-e?)
  • Operatív folyamat. (Jogalapváltoztatási esetek. Incidenskezelő mechanizmusok kidolgozása.)
  • Adatvédelmi szabályzat megfogalmazása.

Forrás: Czinege Balázs, Kelemen Viktor/PP konferencia

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek