A GDPR (General Data Protection Regulation), az Európai Unió általános adatvédelmi rendelete 2018. május 25-én Magyarországon is hatályba lép, ennek mindenki – az egyéni vállalkozóktól a nagyvállalatokig – köteles megfelelni. Az infótörvény (2011. évi CXII. tv.) eddigi adatvédelemmel kapcsolatos előírásait most módosítani kell. „Új törvény még nincs, azonban a rendelet e nélkül is hatályosul. Meg nem felelés esetén a bírság felső határa 20 millió euró, azaz 6 milliárd forint. Vállalkozások esetében, ha az a nagyobb összeg, az infótörvény jelenlegi 20 millió forintos maximális bírságával szemben az egész világon mért forgalom 2-4 százaléka” – írja Erdős Gabriella, a TaxMind Kft. vezető cégtársa és Csatári József adatvédelmi szakértő a SZAKma magazin márciusi lapszámában. A hazai törvényjavaslat a kisvállalkozásokra (kkv) nézve semmilyen könnyítést nem tartalmaz. A felkészülés során ezért az összes folyamatra, szabályzatra vonatkozó rendelkezést be kell vezetniük a kkv-knak is. Különösen fontos, hogy igazolható legyen a célhoz kötöttség és a jogalap. A felhasználásnál nem kizárt a marketingcél, de ebben az esetben nagyon ügyelni kell az érintett törvényes jogainak a biztosítására. Erdős Gabriella szerint ráadásul a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jelentős létszámbővítéssel készül a jövőbeli ellenőrzésekre. Érdemes tehát komolyan venni a felkészülést.
„Tekintettel az adatkezelés komplexitására, szigorúságára és a kiemelkedően magas büntetési tételekre, a kisebb vállalkozásoknak is érdemes megfontolni adatvédelmi szakember bevonását az új rendszer megtervezésébe és bevezetésébe, sőt adatvédelmi tisztviselő kinevezésén gondolkodni a struktúra megfelelő működtetése érdekében” – mondja a nemzetközi adószakértő.
A GDPR-RÓL DIÓHÉJBAN
A rendelet a személyes adatok (a természetes személy azonosítására részben is alkalmas) kezelését (az ezekkel végzett bármilyen művelet), védelmét és áramlását szabályozza. Az adatok kezelését jogszerűen, tisztességesen és az érintett számára átlátható módon kell végezni. Az információ gyűjtésének célhoz kötöttnek és biztonságosnak kell lennie. Adatkezelő az, aki a személyes adatok kezelésének a célját meghatározhatja, és erről érdemi döntéseket hozhat (ki férhet hozzá az információkhoz, ki és hová továbbíthatja azokat). Az adatfeldolgozó más adatkezelő nevében kezel személyes adatokat. Ezért általában minden vállalkozás adatkezelő, és más vonatkozásban -feldolgozó is. Például a könyvelő kezelő az ügyfelei vonatkozásában és feldolgozó a klienstől bérszámfejtésre megkapott munkavállalói személyes információk tekintetében.
A legnagyobb változás, hogy az adatkezelés ezen túlmenően az érintett aktív hozzájárulásán alapul (azt bármikor visszavonhatja, adatait töröltetheti). Az adatkezelőnek ezt igazolnia kell, s önmagáról, az adatkezelés céljáról és jogalapjáról kötelezően tájékoztatnia szükséges az érintettet. Az adatkezelőnek és -feldolgozónak a közöttük létrejött írásos szerződés alapján meg kell teremtenie és biztosítania szükséges a rendeletnek megfelelő adatvédelmi folyamatokat. A vállalkozásnál felmért üzleti ügymenetek alapján megállapíthatók az adatgyűjtési, -tárolási, -továbbítási elemek, a kapcsolódó személyi, tárgyi feltételek és felelősségi körök. Ha sok az érzékeny információ s feltehetően nagy kockázatú az adatkezelés, akkor adatvédelmi hatásvizsgálatot is kell végezni. A kkv-knak csak akkor szükséges nyilvántartást készíteniük, ha az adatkezelés kockázattal jár, nem alkalmi jellegű, vagy érzékeny adatokat használnak. Ha a vállalkozás fő tevékenysége olyan műveleteket igényel, amelyek az érintettek rendszeres, szisztematikus megfigyelését és különleges adatok (például etnikai hovatartozás, szakszervezeti tagság, bűncselekményre vonatkozó információk) kezelését teszik szükségessé, adatvédelmi tisztviselőt is ki kell nevezni, aki naprakészen tartja a belső szabályozást, valamint fenntartja a törvényes rendet.
FELKÉSZÜLNI NEM KÖNNYŰ
Az új határozatra nem mindenki áll készen: becslések szerint a hazai cégek és szervezetek 30 százaléka sohasem hallott még a szabályozásról, a maradék 70 százaléknak több mint a fele pedig hallott ugyan róla, de fogalma sincs, mihez kellene kezdeni vele – vélik a Quadron Kibervédelmi Kft. szakértői. Vannak persze, akik már most készülnek: az Auchan Magyarországnál például a törzskártyabirtokosoknak újra meg kell adniuk az adataikat. A pénztárosok szórólapot osztanak, amelyet április 25-i határidővel kitöltve, az ügyfélszolgálaton újra le kell adni. Novoszádi Richárd, az S.P.C. Kft. ügyvezetője úgy látja, hogy a jó példák ellenére a vállalkozások általános adatvédelmi felkészültsége és tudatossága messze elmarad attól, amit a GDPR irányelvei kötelezően elvárnak – alig két hónapon belül. „A szemléleti felkészületlenség miatt tréningekkel és képzéssel szükséges végigkísérni a GDPR-implementálás folyamatát” – mondja a tízéves informatikai és projektmenedzsmenti tapasztalatot szerzett cég vezetője. Fazekas László adatvédelmi szakértő a jelenleg is folyó GDPR- és adatbiztonsági auditálások tapasztalata alapján úgy véli: iparági összefogásokra van szükség. „A szabályozás ugyanis lehetővé teszi olyan iparági magatartási kódexek megalkotását és alkalmazását, amelyek révén a vállalkozások gazdasági érdekei is érvényesíthetők” – véli a szakember.
Kiemelendő, hogy a személyes adatok és a szervezet egyéb információs vagyonának védelme nem az IT-részleg feladata.
„A szervereken lévő adatokat, információkat és fájlokat nem az informatikusok teszik oda, és nem is ők használják azokat, hanem szervezeti folyamatokon keresztül a teljes cég. Az adatkezelő felel az adatokért, s ő dönt arról, hogy egy üzleti folyamatot támogató rendszer milyen funkciókkal és adatokkal működjön. Az informatikus vagy programozó csupán adatfeldolgozó” – magyarázza Solymos Ákos, a Quadron Kibervédelmi Kft. szakértője. Mint kifejtette, az adatok és információk védelmének a teljes szervezetet át kell járniuk. „Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is” – véli a szakértő, aki szerint az adatvédelmi tisztviselői szerepkör mellett a vállalatoknak információvédelmi felelőst is ki kellene nevezniük.
NEM MINDEGY, KI SEGÍT
Az elmúlt évben a GDPR-tanácsadói piac rendkívüli mértékben kibővült, míg a jártas tanácsadók száma nem nőtt ilyen ütemben – hívja fel a figyelmet Jóri András ügyvéd, volt adatvédelmi biztos tanácsadással foglalkozó cégének a weboldalán. „A GDPR nem gyökeresen új, előzményekkel nem rendelkező joganyag. Az adatvédelmi jognak fél évszázados múltja van Európában, és több évtizedes Magyarországon is. A GDPR az 1995-ben alkotott európai adatvédelmi irányelv intézményeire épít, azokat részletezi, korrigálja – de nem alkotja az alapoktól újra” – magyarázza a szakértő, azt javasolva a cégeknek, hogy olyan tanácsadót válasszanak, aki tud referenciát mutatni adatvédelmi jogi ismereteiről.