GDPR: mire kell figyelni?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Jövő májusban életbe lép az Európai Unió új adatvédelmi rendelete (General Data Protection Regulation, GDPR), amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Az új szabályozás lényegét röviden úgy lehet összefoglalni, hogy a magánszemélyeknek nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban, ezzel párhuzamosan a cégek ez irányú kötelezettségeit növeli, a mulasztásokat pedig minden eddiginél nagyobb pénzbüntetéssel sújtja. 

Az új, egységes európai szabályozás jövő év május 25-én lép hatályba, s bár ez még távolinak tűnhet, a változások olyan sok mindenre kiterjednek, hogy ez a bő félév biztosan kell a felkészülésre, amit ideje a cégeknek haladéktalanul elkezdeni! A rendelet ugyanis nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás.

Ráadásul a rendelet nemcsak a digitálisan tárolt személyes adatokra vonatkozik, hanem a papíralapúakra is, amennyiben azok valamilyen nyilvántartási rendszer részét képezik vagy fogják képezni. Mivel a nyilvántartási rendszer nem jelent mást, mint meghatározott ismérvek alapján hozzáférhető adatokat, ezért nagy az esélye, hogy az iratkezelések túlnyomó többsége a rendelet hatálya alá esik, így azokra ugyanolyan szigorúan szabályozás fog vonatkozni a kezeléstől a tároláson át a szakszerű iratmegsemmisítésig, mint a digitálisan tárolt személyes adatokra. 

[htmlbox eu_jog_alkalmazasa]

 

A hazai helyzetet súlyosbítja, hogy egy páréves reprezentatív kutatás szerint a magyar kkv-k egynegyedénél semmiféle iratkezelési előírás nincsen. A kétszáz hazai kis- és középvállalkozás adatvédelmi és iratmegsemmisítési szokásait felmérő kutatást a papíralapú adatvédelemmel foglalkozó Fellowes cég rendelte meg, amiből kiderült, bár a hazai kkv-k 90 %-ánál vannak bizalmas jellegű iratok, 25 %-uknál egyáltalán nincs semmiféle előírás ezek kezelésére. Ezek után az sem meglepő, hogy szintén majdnem egynegyedük (17%) már szenvedett el versenyhátrányt adataikkal való visszaélés miatt. Ehhez most az új uniós szabályozás értelmében az is hozzáadódik, hogy a cégek minden eddiginél szigorúbb pénzbüntetésre számíthatnak, ha nem felelnek meg az előírásoknak.

„Súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg – ismerteti a szankció mértékét dr. Halász Bálint, a Bird & Bird ügyvédje. – Az éves bevételnél ráadásul egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Azt is fontos észben tartani, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.”   

A legfontosabb tanácsokat a Fellowes pontokba szedte, hogy ezzel is segítse a felkészülést:

• csak olyan adatok legyenek a cégek birtokában, amelyekre bizonyíthatóan szükség van;
• ezeket megfelelően kell tárolni és folyamatosan átnézni, hogy mire van még szükség, és mi az, amit meg kell semmisíteni; 
• az aktualitásukat vesztett adatokat, bizalmas információkat tartalmazó iratokat szakszerűen és biztonságosan kell megsemmisíteni, ehhez a megfelelő eszközöket időben be kell szerezni, legyen szó papíralapú dokumentumok vagy elektronikus adatok megsemmisítéséről;
• a magánszemélyeknek ezek után is joga lesz betekintést kérniük abba, hogy hol és hogyan tárolják a róluk szóló adatokat, hogyan mozgatják azokat, illetve hogy kellő időben megsemmisítik-e;
• egy cégnél csak az erre kijelölt személyek férhetnek hozzá az adatokhoz; 
• külön rendelkezni kell, hogy harmadik személynek milyen adatokat lehet átadni;
• át kell nézni a szerződéseket, beleértve a munkaszerződéseket is, és meg kell vizsgálni, hogy azok megfelelnek-e az új előírásoknak, illetve azoknak megfelelő szerződésmintákat kell kidolgozni;
• a személyes adatokhoz hozzáférő beszállítókkal, alvállalkozókkal a rendeletben foglalt előírásoknak megfelelő szerződést kell kötni;
• a beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést, különösen pedig az alapértelmezett adatvédelem (privacy by design) követelményének való megfelelést;
• bizonyos feltételek teljesülése esetén ki kell nevezni egy adatvédelmi felelőst.

„Alapvetően a cégeknek jövő májustól egy egészen másfajta kommunikációra kell felkészülniük az ügyfelekkel, munkavállalókkal, partnerekkel, beszállítókkal, amikor az üzletmenet szempontjából szükséges adataikat elkérik tőlük és azokat tárolják – teszi hozzá Kreutz László, a Fellowes Hungary Kft. ügyvezetője. – Nem utolsó sorban pedig jövő májusig el kell végezni a selejtezést, és gondoskodni kell a fölöslegessé vált iratok szakszerű, biztonságos megsemmisítéséről, amit aztán a jövőben is folyamatosan meg kell tenni.”

---