Az Európai Unió új adatvédelmi irányelve sok kérdést vet fel a legkisebb vállalkozásoktól kezdve a legnagyobbakig.
Sok cikk jelenik meg a témában, azonban az információk az idő előrehaladtával egyre jobban eltorzulnak, vagy akár specializálódnak. Arra vállalkoztunk, hogy Dr. Óváry-Papp Nórával, a CLV Partners Ügyvédi Iroda ügyvédjének és a Jalsovszky Ügyvédi Iroda szakértőjének segítségével körbe járjuk a GDPR legfontosabb kérdéseit.
Mindenhonnan azt halljuk, hogy a GDPR-nak való megfelelés óriási terhet ró a vállalkozásokra.
Mi is ez valójában? Kiket érint?
2016. május 24-én lépett hatályba az Európai Unió adatvédelmi rendelete („GDPR” vagy „Rendelet”), amely a személyes adatok kezelésére vonatkozó előírásokat tartalmazza. A Rendeletet 2018. május 25. napjától minden olyan természetes és jogi személynek alkalmaznia kell, amely személyes adatot kezel az EU-ban vagy olyan magánszemélyek adatait kezeli, akik az Unióban tartózkodnak. A Rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik.
A vállalkozásoknak úgy kell kezelniük a tevékenységük során hozzájuk került személyes adatokat, hogy azokhoz csak olyanok férjenek hozzá, akiknek erre joguk van és pontosan tudják, hogy milyen célból, milyen terjedelemben használhatják fel a személyes adatokat.
A NAIH 2018. május 25. napjától széles körben fog ellenőrzéseket végezni. A Rendelet be nem tartása esetén legfeljebb 20.000.000.EUR összegű közigazgatási bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő bírság szabható ki, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.
A vállalkozások üzleti, jó hírnevén is csorba eshet, ha napvilágra kerül, hogy nem tartják be az adatvédelmi szabályokat, mivel a GDPR szerint az adatvédelmi hatóság vizsgálata során többek között elrendelheti, hogy a marasztaló határozatot tegye közzé.
A magyar Infotv. eddig is az egyik legszigorúbb volt az EU-ban. Mi változik ezután? Még szigorúbb lesz?
A Rendelet minden EU tagállamban közvetlenül és kötelezően alkalmazandó. Nem lesz külön „GDPR” törvény Magyarországon. Elsődlegesen a Rendeletet kell majd alkalmazni, amely csak néhány ponton ad lehetőséget arra, hogy a tagállamok eltérő szabályokat állapítsanak meg. A magyar Infotv. ennek megfelelően várhatóan módosulni fog, de a módosításra vonatkozó törvényjavaslatot még nem ismerjük.
A GDPR valóban tartalmaz újdonságokat és többletkövetelményeket, de az igazsághoz hozzátartozik, hogy a személyes adatok kezelésére jelenleg hatályban lévő Infotv. a GDPR előírásait már nagyrészt tartalmazta.
Azok a vállalkozások, amelyek eddig is figyelmet fordítottak az adatvédelemre és betartották a hatályos szabályozást, nagy valószínűséggel kisebb idő és pénzráfordítással teljesíteni tudják a GDPR-nak való megfelelést.
A Rendelet azokra a vállalkozásokra ró nagy terhet, amelyek eddig nem foglalkoztak az adatvédelemmel és most kell minden biztonsági intézkedést az alapoktól megszervezni és kialakítani.
Hogyan kezdjünk neki cégünk megfeleltetésének? Érdemes segítséget kérni?
Ahhoz, hogy a társaság tudja, hogy minek kell megfelelnie, ismernie kell a jogi követelményeket. Ehhez mindenképpen érdemes adatvédelemben jártas szakemberrel konzultálni, aki iránymutatást ad ahhoz, miként végezze el a társaság az adatkezelések feltérképezését.
Ezt követően kell elkészíteni a szabályzatokat, kiépíteni vagy modernizálni az IT védelmet, stb.
Adatvédelemben jártas ügyvédtől és IT szakembertől érdemes segítséget kérni.
Sok 1 vagy 2 napos képzés van már most is a piacon, amely elvégzésével már mi magunk is adatvédelmi felelősök lehetünk. Érdemes belevágni?
A képzések segítenek abban, hogy átfogó képet kapjunk az adatvédelmi követelményekről, ezért álláspontunk szerint hasznos, ha legalább egy ember a társaságnál részt vesz egy ilyen képzésen. Azt még nem lehet pontosan tudni, hogy milyen képzés lesz szükséges az adatvédelmi tisztviselő pozíció betöltéséhez azoknál a cégeknél, ahol kötelező lesz ilyen személyt kinevezni.
Hozzávetőlegesen mennyibe kerül a GDPR-nak való megfelelés egy kisebb cég számára, ha külső segítséget szeretnénk igénybe venni? Meglehet ezt előre becsülni?
Nehéz megbecsülni, hogy mekkora költséggel jár a GDPR-nak való megfelelés. Álláspontunk szerint arra kell készülni, hogy lesz egy egyszeri, kezdeti költség, ami a jogi munka (adatkezelések auditja, szabályzatok elkészítése, tréning tartása) és az IT munka (megfelelő informatikai megoldások kiépítése) díja, valamint a megfelelő adatkezelés fenntartásának költsége, ami egy folyamatos extra kiadás lehet a jövőben. Az IT fejlesztések nagyobb összeget is kitehetnek.
Ez mennyire jogi és mennyire IT feladat?
A GDPR-nak megfelelően el kell készíteni az adatkezelési kézikönyveket, a szabályzatokat, ami elsősorban jogi szakismeretet igényel; az IT megoldások kidolgozása viszont informatikai tudást igényel.
Kiemelkedő szerepe lesz a mechanikai védelmen túl a számítástechnikai eszközöknek, az informatikai védelmi rendszereknek. A GDPR egyik alapelve a beépített adatvédelem, azaz az adatkezelőknek úgy kell kialakítaniuk belső rendszereiket, hogy már az adatkezelést megelőzően a szoftver fejlesztése, vagy kiválasztása során szem előtt tartják a GDPR-ban lefektetett elveket.
Aki most szeretne nekiállni a megfeleltetésnek, elkésett már? Érdemes minél előbb elkezdeni a GDPR-ra való felkészülést.
Hogy mennyi időt vesz ez igénybe, az elsősorban attól függ, hogy hányféle adatkezelést végez a társaság, mennyi adatot kezel a működése során. Attól is függ természetesen, hogy jelenleg milyen szintű a társaságnál az adatvédelem, mennyire kell az alapokról kezdeni a védelem kiépítését. Erre tekintettel javasoljuk a vállalkozásoknak, hogy tekintsék át adatkezeléseiket, készítsenek ütemtervet és, amennyiben szükséges igazítsák azokat a Rendelet szabályaihoz. Ehhez érdemes adatvédelmi jogász és IT szakértő segítségét kérni.
Várhatóan mennyi ideig tart, mire mindenki alkalmazkodik?
Erre a kérdésre nagyon nehéz válaszolni. A tapasztalatunk az, hogy a kisebb vállalkozások, KKV-k nagyon komolyan veszik a felkészülést, mert félnek a bírságtól.
A nagyobb cégek, főleg, akik sok ügyféllel dolgoznak, a jó hírnevük, image-ük miatt törekednek a megfelelésre.
Tapasztalataink alapján általánosságban elmondható, hogy a vállalkozások többsége megkezdte a felkészülést és igyekszik, hogy a GDPR-nak megfeleljen.
A követelményekkel való megismerkedés, az adatkezelési folyamtok feltérképezése, a szabályzatok elkészítése, mindenhol elkezdődött. Hogy mennyi időt fog igénybe venni, mire minden vállalkozás kialakítja a megfelelő papíralapú és/vagy elektronikus rendszereit, a biztonsági megoldásait, azt nem tudjuk megjósolni.
NEW technology magazin