Kockázatos, ha egy cég figyelmen kívül hagyja az Európai Unió egységes, 2018. május 25-étől minden tagországra kötelező érvényű adatvédelmi rendeletét. Az előírások be nem tartása esetén kiszabható tetemes bírság érzékenyen érintheti a vállalkozást.
- A GDPR erősíti az adatbiztonságot, és tágítja az állampolgárok önrendelkezési lehetőségeit saját adataikkal kapcsolatban. Hatékonyabban lehet például fellépni akkor, ha valaki tudni szeretné, hogy egy cég vagy közintézmény milyen adatokat tárol róla, kinek adja ki azokat, vagy töröltetni szeretné magát egy adatbázisból, egy e-mail-listáról. A jövőben az adatok biztonságosabb őrzésében is jobban lehet majd bízni. Összességében az adatkezelés körülményei szabályozottabbak, számon kérhetőbbek és szankcionálhatóbbak lesznek - tájékoztat Varga Viktor adatbiztonsággal foglalkozó szakember, a NetLock üzemeltetési vezetője.
Egyrészt minden magyar állampolgárt érint a GDPR, másrészt akár az egészen kis cégek működésére is hatással lehet. Ha például egy szépségszalon, egy varroda vagy egy kertészeti vállalkozás nyilvántartást vezet ügyfeleiről, adatbázisát fel kell készítenie, hogy az biztonságosan megfeleljen az új törvény előírásainak.
Megelőzendő a súlyos következményeket - kezdeti lépésként - segítünk bepillantani a bonyolult adatvédelmi rendelet főbb pontjaiba.
Új jogok a magánszemélyeknek
Miközben a GDPR nagyobb biztonságot és hatékonyabb számon kérhetőséget jelent az állampolgárok számára, sok munkát ad az IT-szakembereknek, dolgozzanak azok akár kormányzati szervezetnek, akár vállalatnak.
A rendelet pontosítja, mi számít személyes adatnak, illetve kibővíti a személyes adatok definícióját. Eszerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül (az adat tartalmából), vagy közvetett módon (az adatot más adattal kiegészítve). Vagyis személyes adat például a név, a cím, az adó- és TB-szám, az igazolványok adatai, továbbá az egészségügyi vagy ideológiai meggyőződésre utaló adatok. Ugyanígy személyes adatnak minősülnek az illető telefonszámai, online adatai és e-mail-címei, sőt a mozgására vonatkozó adatok is.
Új jogokat ad a magánszemélyek kezébe a GDPR, és pontosítja, szabályozza a korábbi lehetőségeket saját személyes adataik kezelésével kapcsolatban. Itt van például az előzetes tájékozódáshoz való jog, amelynek értelmében az adatok bekérése előtt érthető és pontos tájékoztatást kell kapnia az ügyfélnek arról, hogy mi az adatkezelés célja, és hogy az adott intézmény miként kezeli az adatokat (például kik férhetnek hozzá az információhoz).
Kiemelten biztosítja a GDPR a hozzáféréshez való jogot. Eszerint az ügyfélnek joga van, hogy megismerhesse, bármikor kikérje az adott szervezet által tárolt személyes adatait és a kezelésükkel kapcsolatos információkat illetve ellenőrizze, hogy egy szervezet milyen adatot tart nyilván róla. Egy átlagos adatigénylés esetén a tájékoztatásért az adatkezelő nem számolhat fel semmilyen külön díjat. Mit is jelenthet ez a gyakorlatban? Például azt, hogy ha valaki e-mail-szolgáltatót vált, a szolgáltató köteles kiadni távozó ügyfele teljes addigi levelezését.
A helyesbítéshez való jogot úgy pontosítja a GDPR, hogy az érintett kérésére az adatkezelőnek - indokolatlan késedelem nélkül - helyesbítenie kell a kérelmezőre vonatkozó pontatlan személyes adatokat.
Az adatkezelés korlátozásához való jog lényege, hogy az ügyfél korlátozhatja saját személyes adatainak felhasználását. Ennek megfelelően például megszabhatja, hogy adataihoz ki, milyen körülmények között férhet hozzá.
Rendkívül fontos pontja a rendeletnek a törlési jog. Ezzel élve az ügyfél bármilyen adatbázisból töröltetheti személyes adatait, így például e-mail-címét. Ennek elmaradását az eddigieknél szigorúbban lehet majd számon kérni. A törvény ezen előírásának be nem tartása esetén is súlyos szankciókra számíthat a cég.
Kötelező a biztonságosabb adatkezelés
Súlyos bírságokkal kényszeríti ki az új jogszabály a biztonságos adatkezelést, vagyis azt, hogy a személyes adatokhoz illetéktelenek ne férhessenek hozzá. Jóllehet, a bírói gyakorlat még hiányzik, a bírság elérheti akár a 20 millió eurót vagy az éves árbevétel 4 százalékát.
Részletesebben foglalkozik az új törvény az adatvédelmi incidensekkel is. Kimondja, hogy mi számít jogi értelemben a személyiségi jog sérülésének. A definíció viszonylag egyszerű: bármilyen eset annak minősül, ha a korábban említett jogok - az előzetes tájékozódáshoz, a hozzáféréshez, a helyesbítéshez, az adatkezelés korlátozásához vagy a törléshez való jog - egyike nem teljesül vagy sérül.
Olyan eseteket is szabályoz és szankcionál a rendelkezés, amikor például egy hackertámadás következtében a személyes adatok kikerülnek az adatkezelő rendszeréből, ellopják azokat, vagy ha rendszerhiba miatt megsemmisülnek. Nagyobb lesz tehát az adatkezelők felelőssége egy-egy incidens kapcsán, azaz a bírságot elkerülendő célszerű már most felkészíteni, biztonságosabbá tenni az adatkezelő-rendszereket.
Számon kérhetőbb adatkezelők
Határidőt rendel az új uniós jogszabály a jogorvoslati eljárások lefolytatására, ha az állampolgár adataival kapcsolatban igénnyel lép fel vagy panaszt fogalmaz meg, illetve ha a jogai sérülnek (legyen szó adatvédelmi incidensről vagy csak a kért törlés elmaradásáról). Amennyiben a magánszemély bármilyen problémát tapasztal, és azt jelzi, az adatkezelőnek a bejelentést követően 25 napja van arra, hogy a kérdést elbírálja, és választ adjon rá. Ha a személyiségi jog sérülése ezek után is fennáll, az ügyfelet sérelemdíj illeti meg.
Jó cél, megkérdőjelezhető eszközök
A Szallas.hu-nál tavaly október elején kezdték el a GDPR-ra való felkészülést. Először alaposan körbejárták a témát, értelmezték a rendeletet, majd felmérték, hogy a cég működésének mely területeit érinti a jogszabály. Feladatlistát készítettek, majd kiírtak egy tendert. Az események gyorsan pörögtek, idén januárban már ki is választották azt a csapatot, amellyel közösen - jogi oldalról - el tudták indítani a folyamatokat. A technikai megvalósítás már javában zajlik.
- Nagy szerencsénk, hogy saját technológiával dolgozunk, és a fejlesztés házon belül folyik. Olyan jogi és technikai szakértőkre volt tehát csak szükségünk, akik fel tudják készíteni technológiai gárdánkat a szükséges lépések megtételére. Ez lényegesen megkönnyíti a dolgunkat, erről az oldalról nem látunk problémát. Azt viszont már most tudjuk, hogy a projekt, hiába van fix határideje, nem zárul le május 25-én. Olyan folyamatokat és rendszereket kell kialakítanunk, amelyek a későbbiekben, bármiféle változást követően is megfelelnek a törvényi előírásoknak - fogalmaz Szigetvári József, a Szallas.hu ügyvezető igazgatója.
Az online szállásközvetítő számára a GDPR-ral kapcsolatban jelenleg az jelenti a legfőbb problémát, hogy nem találkoztak még valós esetekre adott best practice-megoldásokkal. A felkészülés során sok olyan kérdéssel találják szemben magukat, amelyeket meg kell vizsgálniuk: fel kell mérniük, hogy az üzleti célszerűség, a fejleszthetőség és az innováció szempontjából meddig lehet és kell elmenniük.
Új kihívást jelent számukra az adatvédelmi felelős szerepkörének kialakítása, elhelyezése a vállalati struktúrában. Ez alapvetően szervezeti kihívás, hiszen az egész szervezetnek tisztában kell lennie az új feladatkör lényegével, az adatvédelmi felelős jogaival és kötelezettségeivel. Ez leginkább a szervezeten belüli, mindenkire kiterjedő edukálással érhető el.
- Óriási szerencsénk, hogy saját IT-rendszereink vannak, és az adatvédelem szempontjából már jó néhány éve azt az irányt követjük, amit a GDPR előír. A kormánykereket tehát nem kell elforgatnunk, a következő lépések gyakorlatilag adják magukat. Azon cégek, amelyek nem így jártak el, vagy nagy külső szállítói rendszerekkel dolgoznak, sokkal nehezebb helyzetben vannak. Mindazonáltal mi sem vagyunk maradéktalanul elégedettek a kötelező GDPR-t követő világgal. Jóllehet, 120 munkatársunkkal, 600-700 ezer hírlevél-fogadónkkal és évi 500 ezer tranzakciónkkal közepes méretű vállalatnak tűnhetünk, pénzügyileg a kisvállalati kategóriába tartozunk. A törvény által kiszabható tetemes bírságok tehát rendkívül érzékenyen érinthetnek minket.
Igaz, egyelőre még nem tudható biztosan, hogy a hatóság első lépésben figyelmeztet-e, vagy rögtön kiszabja a bírságot, de a dolgok jelenlegi állása szerint az azonnali bírság a valószínűbb. Természetesen szeretnénk betartani a törvényt, fontosnak tartjuk az adatvédelmet, de egyszerűen nincs annyi erőforrásunk, mint például egy nemzetközi vállalatcsoportnak. Ha energiáink nagy részét a GDPR-nak megfelelésre fordítjuk, versenyhátrányba kerülünk a nagyokkal szemben. Az Európai Uniónak ezt is szem előtt kellene tartania. Hagynia kellene kibontakozni a kisvállalatokat, teret kellene engednie az innovációnak. Ha ez nem valósul meg, akkor lesz ugyan egy kiváló, személyi adatokat védő törvényünk, de visszaszorul az innováció, illetve számos kis cég működése veszélybe kerül. Így az amerikai vállalatok - főleg a digitális iparágban - tovább növelhetik előnyüket az európaiakkal szemben - mutat rá Szigetvári József.
A Szallas.hu számításai szerint a felkészülés a GDPR-ra mint jogi projekt költségesebb egy akvizíció lebonyolításánál. Többet kell tehát áldozni a jogszabályi megfelelésre, mint a növekedés lehetőségeinek kihasználására.
