Üdvözöljük a

EU adatvédelmi rendelet, jelentősen szigorodó szabályok | Pécs-Baranyai Kereskedelmi és Iparkamara

honlapján!

-

EU adatvédelmi rendelet, jelentősen szigorodó szabályok

Szerző: DDG | 2017. október 11.

Ha a hazai törvényhozás megszavazza, minden idők legszigorúbb szabályai léphetnek életbe jövőre a személyes adatok védelmével kapcsolatban. Az Európai Unió még 2011-ben készített egy iránymutatást arra vonatkozóan, hogy miként kell biztonságosan kezelniük a cégeknek az ügyfeleik és a munkavállalóik személyes adatait. A General Data Protection Regulation, azaz röviden GDPR jelenleg csupán iránymutatás a tagországok számára, de hamarosan minden államnak meg kell hoznia a saját törvényeit e területhez kapcsolódóan. Hazánkban várhatóan decemberben kerül a Parlament elé ez a törvényjavaslat, amely elfogadása után nemcsak a vállalkozásoknak, hanem mindenkinek, aki személyes adatokat kezel, alaposan át kell alakítania az eddig használt rendszerét. Ellenkező esetben a globális árbevételének 2-4%-áig büntethetik meg őket.

- A szigorítás hátterében az áll, hogy sok cég nem vigyázott kellőképpen az ügyfelei adataira és ezek az adatok nem egy esetben illetéktelen kezekbe kerülhettek. A rengeteg visszaélés miatt úgy döntött tavaly az EU, hogy 2018. május 25-től minden olyan szervezet számára kötelezővé teszi az iránymutatását, amelynek legalább egy európai uniós munkavállalója vagy ügyfele van – ismerteti Gilincsek Szabolcs ICT szakértő, hogy mi indokolja az új szabályozást.

 

- Mivel Magyarország EU-tag, ezért minden magyar szervezetet, így nemcsak a vállalatokat, hanem az önkormányzatokat, intézményeket, civil szervezeteket, köztestületeket is érintik a változások. Augusztus 29-én a Nemzeti Adatvédelmi és Információszabadság Hatóság benyújtotta a törvénytervezetét az Igazságügyi Minisztériumhoz, amely felterjesztette a Parlamentbe, és a várhatóan sok vitát követően decemberben születik meg a magyar törvény. Az EU álláspontja az, hogy megengedőbb nem lehet, csak szigorúbb az adott országban lévő implementáció.

 

- Kicsit megfoghatatlannak tűnik ez a téma. Mondana néhány példát, hogy mire gondoljanak az érintettek a személyes adatkezeléssel kapcsolatban?
- Ez lesz az első olyan igazi törvény, ahol az informatika és a joggyakorlat találkozik, ezért nehéz és megfoghatatlan mind a cégek, mind a jogászok és az informatikusok számára is. A jogász ugyan tudja értelmezni, hogy minek kell megfelelni az adatkezelésnek a jog szempontjából, de azt, hogy miként védje meg a külső vagy éppen belső támadásoktól az adatokat, az már az informatikus dolga. Azt látjuk, hogy egy nagyobb (500 fő feletti) cégnek kb. 6-8 hónap felkészülési idő kell a születendő törvény előírásainak betartásához.


Mondok egy példát, hogy mire is kell gondolni. Minden cégnél van egyfajta HR-tevékenység, mert mindenhol dolgozik munkavállaló. A HR-esek adott pozícióra önéletrajzokat gyűjtenek, amiket valahol eltárolnak. Ha nem veszik fel a jelentkezőt az állásra, akkor esetleg értesítik őt, hogy megtartják az önéletrajzát későbbi felhasználásra. Ez ellen nem szoktak tiltakozni a jelentkezők. A GDPR szempontjából ez úgy fog változni, hogy a HR-es csak abban az esetben tárolhatja az önéletrajzot, bármilyen formában, ha a jelentkező kifejezetten hozzájárul ehhez. Ez egy új joga a személyes adatok tulajdonosának, a törvénynek éppen ez az egyik legnagyobb változása, hogy jogokat ad a személyes adatok tulajdonosainak a kezébe.


- A cégek miként készülhetnek a törvényi kötelezettségeik teljesítésére?
- Az egyik fontos kötelezettség a hozzáférhetőséghez tartozik, azaz minden cégnek meg kell tudnia mutatni az érintetteknek, hogy milyen személyes adatokat tárolnak az ügyfeleikről vagy a munkavállalóikról. Ez már önmagában kihívást jelent, mert egyelőre nem sok cégnél létezik ilyen publikus adatbázis.  Emellett minden esetben be kell tudnia bizonyítani, hogy hol és miként járult hozzá az ügyfél, hogy tárolják az ő személyes adatait. Ha ezt nem tudja igazolni, akkor büntetésre számíthat. És éppen emiatt félnek nagyon a cégek. A NAIH ugyanis eddig Magyarországon max. 20 millió forintra büntethetett meg egy vállalkozást, viszont most a büntetési tételek a globális árbevétel 2-4%-áig terjedhetnek. A globális azért fontos fogalom, mert ha nemzetközi cégről van szó, és egy adott országban lévő telephelyét büntetik meg, akkor is a globális árbevételt veszik alapul. Így a büntetés akár többezer milliárdos tétel is lehet egy-egy világcég esetén.

 

- Miért lesz ennyire szigorú a törvénykezés?
- Mert ezt már komolyan veszik a cégek. Korábban világcégek is követtek el tudatosan kisebb-nagyobb jogsértéseket, amiért ha megbüntették őket, nem volt számukra számottevő a büntetési tétel. Ezek azonban már olyan nagyságrendek, amelyeket nem fognak vállalni a cégek azért, hogy jogsértést kövessenek el.

 

- Mit érdemes átnézniük saját adatvédelmi rendszerükben a vállalkozásoknak?
- Át kell gondolniuk, hogy miért és hogyan kezelnek személyes adatokat, azokra egyáltalán szükség van-e. Arra szeretnénk ösztönözni a cégeket, hogy minimalizálják azoknak az adatoknak a mennyiségét, amit tárolnak. Érdemes azt is végiggondolni, hogy van-e adatvédelmi felelős, adatvédelmi szabályzat a vállalatnál, kik az adatgazdák, akik közel kerülnek munkakörükből eredendően a személyes adatokhoz, milyen informatikai rendszer működik, mit kezelnek abban. A törvény bizonyos cégeknél kötelezővé teszi adatvédelmi tisztviselő foglalkoztatását, akinek minden személyes adattal való visszaélést 72 órán belül jeleznie kell az illetékes hivatal felé. Ezt a szolgáltatást „bérelni” is lehet, most szervezzük a pécsi akkreditált képzést. A kamarában is tervezünk szakmai rendezvényt a GDPR-rel kapcsolatban, és érdemes megfontolni szakértő tanácsadók felkérését is.