A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így egy cég életében is ezek védelme kiemelt szerepet kap. Emiatt vezetik be május 25-től a GDPR-t, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Mindenkit érint, aki adatokat kezel vagy felhasznál.
GDPR: május 25.
Elég sok helyen találkozhattál mostanában ezzel a kifejezéssel, illetve mi is írtunk róla cikket nemrég. A GDPR az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet (General Data Protection Regulation).
Az Unió elég hosszú felkészülési időt hagyott a GDPR-ral érintetteknek, hiszen ezt már 2016. májusában kihirdették, azóta érvényes és hatályos, így 2 év állt rendelkezésre. Május 25-től szankciók várhatóak, ha valaki nem tartja be az előírásokat... bár sokan nem állnak még készen.
Az új határozatra nem mindenki áll készen: becslések szerint a hazai cégek és szervezetek 30 százaléka soha nem hallott még a szabályozásról, a maradék 70 százalék több mint fele pedig halott ugyan róla, de fogalmuk sincs, mihez kellene kezdeniük vele.- állítja a 24.hu weboldal.
Nézzünk meg 5 fontos kérdést a cégek szemszögéből!
1. A GDPR a KKV szektorra is vonatkozik?
A GDPR minden adatkezelőre és adatfeldolgozóra vonatkozik, függetlenül a "méretüktől". Éppen a kisvállalkozások sem halogathatják a felkészülést. Sőt, a kisvállalkozásoknak arra is számítaniuk kell, hogy május 25-e után megszűnik az a KKV-kat illető kedvezmény, miszerint az első jogsértés alkalmával a NAIH nem bírságolhatta meg őket, csak figyelmeztetést alkalmazott. A Rendelet ugyanakkor ösztönözni kívánja, hogy a KKV-k helyzetét figyelembe vegyék a Rendelet alkalmazása során. Az viszont még nem látható, hogy erre milyen mértékben kerül sor a gyakorlatban. A Rendelet csak kevés tényleges eltérést, illetve könnyítést tartalmaz a KKV-kra nézve. Ilyen például, hogy a 250 főnél kevesebb főt foglalkoztató vállalkozásoknak főszabály szerint nem kell adatkezelési nyilvántartást vezetniük. (Érdemes elolvasni a NAIH frissen publikált állásfoglalását is ezzel kapcsolatban.)
GDPR blog (link)
Elkészült a hivatalos útmutató KKV-k számára sok hasznos és átlátható információval, érdemes átböngészni
2. Milyen bírság várható, hanem foglalkozik vele a cégem?
Ez esetben komoly bírságoknak teszed ki magadat és a cégedet. Azért javasolt mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe: a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e.
Dr. Holló Dóra Ügyvéd (link)
3. Mikor kell adatvédelmi tisztviselő egy cégnél?
Az alábbi esetekben mindenképpen szükséges:
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban;
- ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
Piac&Profit (link)
4. Kell információvédelmi felelős is?
Az információvédelem egy külön szakma, ami tanulható, viszont egy szervezet nem tud egy tollvonással a megfelelő információ- és adatvédelmi szintre eljutni. Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. Hasonlóan a DPO, vagyis adatvédelmi tisztviselő szerepköre mellett a vállalatoknak ki kell alakítaniuk egy információvédelmi felelősi szerepkört is. Ha ezt komolyan veszik, akkor ez előbb utóbb egy szervezetté fogja kinőni magát. A jövőben ezt mindenkinek szem előtt kell tartania, mert adatvédelmi incidens vagy a jogszabály megszegése esetén komoly büntetés várható.
Solymos Ákos, a Quadron Kibervédelmi Kft. szakértője (link).
5. Mikor nem kell adatvédelmi nyilvántartás vezetése?
A rendelet általános kötelezettségként írja elő az adatvédelmi szabályzat készítését, az adatkezelési nyilatkozat megfelelő alkalmazását, adatkezelési nyilvántartás vezetését, adatvédelmi tisztviselő megbízását, illetve hatásvizsgálat elvégzését, azonban kivételeket is megfogalmaz. A szakértők kiemelték, hogy az adatvédelmi nyilvántartás vezetése bizonyos esetekben nem kötelező: 250 fő foglalkoztatotti létszám alatt, amennyiben az adatkezelés nem jár valószínűsíthető kockázattal, alkalmi jellegű, illetve nem terjed ki különleges vagy büntetőjogi adatra.
Világgazdaság (link)
További ajánlott linkek a témában:
