Az adat a legfontosabb vagyona – 2018. május 25-től közvetlenül kell alkalmazni a GDPR rendeletet

Mi alapján döntsük el, hogy adatkezelőnek minősülünk-e? Kezdjük egy egyszerű  kérdéssel:

Szolgáltatást nyújt és szokott e-mailt kapni?

Nos akkor kezel adatot, és a GDPR rendeletnek megfelelően adatvédelmi szabályzatot kell csinálnia. Bizony, még az e-mail cím, az abban található név is adat, és azzal, hogy megkapja az üzenetet már kezelte az adatokat.

 A magyar cégek fele azt sem tudja, vonatkoznak-e rá a GDPR kötelező érvényű, jelentős bírságot maga után vonó előírásai, nem tudják, hogy milyen adatok vannak náluk, így a legtöbbjüknek semmiféle terve sincs arra, hogyan feleljen meg ezeknek a szabályoknak.

Tisztázzuk: a GDPR minden olyan szervezetre vonatkozik (bármilyen formában működik, ideértve az egyéni vállalkozókat is), amely itthon vagy az EU területén fejt ki tevékenységet vagy valamilyen terméket vagy szolgáltatást nyújt uniós állampolgároknak: a saját munkavállalói adatait kezelő vállalkozás; a beküldött önéletrajzok kezelése; szépségszalon, mely a vendégek időpontfoglalásait nyilvántartja; cég amely webáruházat, honlapot/Facebook oldalt üzemeltet, hírlevelet, eDM-et küld; hűségprogramot működtető cég; szállásfoglalás; beléptetőrendszer; kamerák …

Azaz mindenkire vonatkozik a GDPR, aki személyes adatot kezel, aki az EU területén ügyintézési hellyel rendelkezik.

Fordítsa a szigorú szabályozást az előnyére!

Azaz a tudatos adatvezérelt működésben rejlő üzleti lehetőség

A cég mindennapi működésében, úgy, mint: üzemeltetés (recepció, őrzés, takarítás), HR, IT, beszerzés, jog, compliance, kommunikáció/marketing, közös termékfejlesztés-értékesítés, sales… fontos a folyamatok, szabályzatok, kockázatok felmérése, az eltérések feltárása.

A következő lépés az eltérések és a kockázatok kezelése, ezekre megoldások kidolgozása. A megoldások gyakorlati tesztelése, a munkavállalók képzése az új struktúrában, a szükséges szabályzatok, hozzájáruló nyilatkozatok elkészítése lehet az a pont, amikor a cég GDPR-konform kialakítása jó úton halad.

Fel kell készülni az esetleges hatósági vizsgálatra is: az IT rendszer működésébe betekintést kell tudni adni hatósági vizsgálat esetén, de azzal is tisztában kell lenni, hogy ügyfél számára mit adhatok ki, amennyiben az adatkezeléssel kapcsolatban kér tájékoztatást.

Fontos változás, hogy hatósági vizsgálat esetén megfordul a bizonyítási teher: az érintett cégnek kell bizonyítani, hogy betartja az adatvédelmi szabályokat, nem pedig a hatóságnak a szabályok megsértését.

Bizonyos jogsértésekről 72 órán belül tájékoztatási kötelezettsége van a cégnek a hatóság és az érintettek részére. Elengedhetetlen:

  • kommunikációs stratégia kidolgozása
  • fel kell mérni, hogy: kiket érint pontosan? hogyan tudom egyedileg értesíteni az érintettet?

 A magyar szabályozás a 20 millió forintos bírságmaximummal eddig sem volt könnyen teljesíthető a KKV szektornak, a nagyvállalatok azonban gyakran bekalkulálták azt az éves budget-be. Az új uniós rendelet fő szigorításai elsősorban ennek megakadályozását célozzák és eredményezik:

  • az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió euróra, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír. Magasabb bírságok várhatóak például az az adattakarékosság elvének, az egészségügyi adatok kezelésének megsértése esetén és a személyes adatok 3. országba történő továbbítása esetén is.
  • az adatvédelmi felelős alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok nagy számban történő kezelését foglalja magában.
  • általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást – amely azonban az automatikus adatkezelésről szóló szabályok közt részben helyet kapott már eddig is a magyar jogszabályban.
  • újdonság az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.

Nem elegendő a cégeknek az új rendelet szövegének megfelelni, figyelemmel kell kísérni a magyar jogalkotást is.

Azok a cégek, amelyek eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a hatóság (NAIH) előírásainak, az új rendelet hatályba lépésével nem kényszerülnek alapvető változtatásokra. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, nagy újdonságokkal találkozhatnak, mivel 2018.05.25-től egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek.

A GDPR tanúsítás: tagállami hatáskör, de fontos, hogy újra át kell vizsgálni: új termék, új piacra lépés, új személyes adatok kezelése esetén.

Milyen adat kell? Meddig? Kell-e közölni az érintettel? Információk felhőben, számítógépen és papír alapon… Csupa olyan kérdés, amiről csak kevesen gondolkoznak akkor, amikor adatkezelőként vagy adatfeldolgozóként végzik minden nap tevékenységüket.

Pedig a megszokott ügyvitelen is változtatni kell: például KKV 250 munkavállaló felett nyilvántartást köteles készíteni az adatkezeléseivel kapcsolatosan.

Teendők a hátra lévő 2 hónapban, melyben szakértői segítséget tudunk nyújtani:

  • A jelenlegi adatvédelmi színvonal felmérése, (adatregiszter és adattérképek)
  • Adatkezelési tevékenység nyilvántartása, adatvédelmi hatásvizsgálatok elvégzése,
  • Az EU-ban lévő, személyes adatokat kezelő tevékenységi helyek feltérképezése (Európán kívüli adatkezelők esetén annak megállapítása, hogy áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek esetén milyen adatkezelés történik)
  • Adatvédelmi intézkedések, szabályzatok, folyamatok felülvizsgálata, vagy létrehozása,
  • Adatok osztályozása, és védelmi kategóriákba történő sorolása,
  • Adatvédelmi technológiai megoldások felmérése és értékelése,
  • Hiányzó védelmi megoldások bevezetésének támogatása,
  • Annak meghatározása, hogy az adatkezelés adatkezelőként vagy adatfeldolgozóként történik
  • Annak eldöntése, hogy szükséges-e DPO, azaz adatvédelmi tisztviselő megbízása

Elengedhetetlen még, melyben szintén szakértői segítséget nyújtunk:

  1. az adatkezelések jogalapjának vizsgálata
  2. annak felülvizsgálata, hogy az érintett hozzájárulása érthető, könnyen hozzáférhető formában, világos és egyszerű nyelvezettel történik-e
  3. érdekmérlegelési teszt elvégzése, ha a jogos érdek az adatkezelés jogalapja
  4. az eredeti céltól eltérő, egyéb cél esetén dokumentálni az adatkezelés indokát

Ahogyan a bevezetőben is kiemeltük: a GDPR minden olyan szervezetre vonatkozik (bármilyen formában működik, ideértve az egyéni vállalkozókat is), amely itthon vagy az EU területén fejt ki tevékenységet, vagy valamilyen terméket vagy szolgáltatást nyújt uniós állampolgároknak, azaz mindenkire vonatkozik a GDPR, aki személyes adatot kezel, aki az EU területén ügyintézési hellyel rendelkezik.

Ne feledje, hogy az eddigi 20 millió forintos felső bírságlimit 2018.05.25-től kisebb súlyú jogsértés esetén 10 millió euró, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén 20 millió euróra és 4%-ra módosul.

Amennyiben fentiekben szakértői segítségre van szüksége, keresse

Dr. Dobozy Lilla ügyvédet, adatvédelmi tisztviselőt!

https://www.drdobozylilla.hu/

[email protected]