Nincsenek könnyű helyzetben azok a vállalkozások, amelyek még nem kezdtek el foglalkozni a 2018. május 25-étől kötelező érvényű (már 2016 májusában életbe lépett), új európai uniós általános adatvédelmi rendelettel (GDPR), a felkészülés a megfelelésre ugyanis optimális esetben is eltarthat 6-8 hónapig.
A Deloitte tapasztalatai szerint a nagy, több százezer vagy még több ügyféllel rendelkező közmű- és távközlési szolgáltatók, valamint pénzintézetek esetében a felkészülés a GDPR-ra akár 12 hónapot is igénybe vehet. A késlekedésen kívül további probléma, hogy a hazai cégek általában jogi vagy informatikai projektként tekintenek a felkészülésre, holott ennél lényegesen összetettebb feladatról van szó. A cégvezetők többsége nincs tisztában a kérdés lényegével és súlyosságával, továbbá nem látja át, hogy a vállalat működésének mely területeit érinti a felkészülés, illetve az átállás. Az információbiztonság és a jog csak a legnyilvánvalóbb és leginkább érintett területek, de ezek mellett a GDPR befolyásolja a back office tevékenységeket, az üzemeltetést, sőt az olyan külső szereplőkkel tartott kapcsolatot is, mint az őrző-védő szolgáltatás vagy a takarítás.
- A természetes személyek adatainak védelmére vonatkozó rendelet lényegében minden olyan vállalkozásra vonatkozik, amely az Európai Unióban végez tevékenységet, és akár ügyfelek, akár munkavállalók személyes adatait kezeli. A GDPR tehát nem csupán azokat a cégeket érinti, amelyek közvetlenül szolgálnak ki magánszemélyeket, vagy 250 főnél több munkatársat alkalmaznak. Egy jóval kisebb vállalkozásnak is foglalkoznia kell a kérdéssel, hiszen például az új munkatársak toborzásakor beküldött önéletrajzokban is vannak személyes adatok, amelyeket szintén megfelelően kell kezelni - fogalmaz Márkus Csaba, a Deloitte adó- és jogi osztályának partnere, a GDPR-szolgáltatásokat nyújtó munkacsoport vezetője.
Időzavarban
Az első feladat az eltérések elemzése, vagyis fel kell mérni, milyen területeken nem felel meg egy cég a GDPR-nak. Ezt követően kezelni kell az eltéréseket, ami jelentheti a belső folyamatok átalakítását, a céges működési szabályzat módosítását, de akár komoly informatikai fejlesztéssel is járhat. Mindebből jól látszik, mennyire fontos az időtényező. Ha ugyanis egy vállalat az utolsó pillanatban indítja el a projektet, előfordulhat, hogy csak jóval drágábban tudja megvalósítani a szükséges fejlesztést, mintha elegendő idő lett volna az előkészítésre.
A Deloitte felmérése szerint az Európai Unióban működő cégek nem optimisták az új általános adatvédelmi rendelettel kapcsolatban. A megkérdezett társaságoknak mindössze a 15 százaléka véli úgy, hogy május 25-ig teljesen felkészül a jogszabály betartására. A vállalkozások 62 százaléka a közelgő határidőre egy olyan szint elérését tűzte ki célul, amely ha nem is felel meg mindenben az elvárásoknak, egy esetleges vizsgálat során már védhető helyzetet teremt a számára. A fennmaradó 23 százaléknál azonban még rosszabb eredményre számítanak.
Nagyobb kihívás, több idő és pénz
A vállalatoktól kapott információkból kiderül, hogy szélsőséges értékek között mozog az az összeg, amit egy-egy cég a GDPR-megfelelésre költ. A megkérdezettek 39 százaléka 100 ezer eurónál kevesebbet fordít erre a célra, 15 százaléka azonban 5 millió eurónál is többet költ a felkészülésre. A kutatásban résztvevő cégek 54 százaléka vélte úgy, hogy a korábbi gyakorlathoz képest szokatlanul magas, akár 20 millió eurós büntetési tétel jelentősen befolyásolta felkészülésüket a GDPR-ra.
Mint arra a kutatás rámutatott, az érintett vállalatok jelentős része kedvezőtlen pozícióból indul az adatvédelmi rendelet előírásainak betartásához vezető úton. A megkérdezett cégek 45 százaléka dedikáltan foglalkozik az adatvédelemmel, 32 százalékánál valamilyen más területhez kapcsolódóan kezelik ezt a kérdést, míg 23 százaléka egyáltalán nem foglalkozik a problémával.
A GDPR több olyan elvet, illetve előírást tartalmaz, amelyek esetében informatikai, szemléletbeli kihívások nehezítik a felkészülést. A felejtéshez való jog (vagyis ha az ügyfél azt kívánja, hogy a róla tárolt összes személyes adatot töröljék) gyakran komoly szabályozási és informatikai kihívást jelent. Előfordul ugyanis, hogy a vállalkozásoknál használt informatikai rendszerek nem alkalmasak ezen elvárás teljesítésére. Megoldás természetesen mindig van, csak idő, szakértelem és pénz kell hozzá. Azt, hogy a felejtés joga mekkora kihívást jelent a cégeknek, jól mutatja a Deloitte felmérése is: a megkérdezett társaságok 64 százalékának becslése sincs arra vonatkozóan, hogy a jövőben ez mekkora feladatot jelent számára.
Új eljárásrend és gondolkodásmód
Bizonyos helyzetekben nehezen kezelhető elvárás az adattakarékosság elve, illetve annak bizonyítása, hogy az adott cég ezt figyelembe véve tevékenykedik. - A kérdés, hogyan tudja alátámasztani egy társaság, hogy a bekért és tárolt személyes adatok ténylegesen szükségesek arra a célra, amire a hozzájárulást kérte az ügyféltől. Tapasztalataink szerint sokszor előfordul, hogy cégen belül is küzdeni kell azért, hogy bizonyos információkat tényleg csak azok kapjanak meg, akik érdemi munkát végeznek velük, illetve csak addig férjenek hozzá ezekhez, amíg valóban szükséges. A GDPR előírásainak megfelelés nemcsak az eljárásrendek, az informatikai rendszerek szintjén kíván változásokat, hanem sok vállalatnál a gondolkodásmódot is át kell formálni - fűzte hozzá Márkus Csaba.
Jóllehet a felkészülés a GDPR-ra komoly ráfordításokat igényel, jelentős üzleti előnyökkel is járhat - mutatott rá a kutatás. A megkérdezett társaságok 61 százaléka számít arra, hogy a személyes adatok kezelésének új szintre emelése tényleges üzleti előnyöket hoz majd. Valamivel több mint ötödük úgy véli, jelentős hasznot hoz a GDPR-megfelelés, többek között a megítélésük javulásának, a versenytársakkal szembeni pozíciójuk erősödésének, illetve az új üzleti lehetőségeknek köszönhetően.
Finomságok
Bár a GDPR előírásai minden személyes adatkezelésre és minden adatkezelési tevékenységet végző személyre vonatkoznak (legyen az természetes vagy jogi személy), a vállalkozás mérete befolyásolhatja egyes kötelezettségek teljesítésének módját. Így például a 250 főnél nagyobb vállalatoknál kötelező az adatkezelési tevékenységekről nyilvántartást vezetni, miközben a kis- és középvállalatoknak csak akkor kell ezt megtenniük, ha az adatkezelés valószínűsíthetően kockázattal jár az érintett jogaira nézve (úgynevezett különleges adatok: egészségügyi adatok, szakszervezeti tagságra vonatkozó információ stb. esetén), illetve ha bűnügyi adatok kezelése merül fel. A vállalkozás méretétől függetlenül azonban minden adatkezelőnek/adatfeldolgozónak bármikor tudnia kell bizonyítani, hogy az adatokat a a GDPR előírásaival összhangban kezelik. Egy másik példa az adatvédelmi tisztviselő (DPO) kijelölésének kérdése. Ennek feltételeit a GDPR pontosan meghatározza. Az, hogy egy szervezetnél kötelező-e DPO-t kijelölni vagy sem, valamelyest összefüggésben állhat a szervezet méretével, a kapcsolat azonban nem szükségszerű.
Mivel a GDPR az adatkezelésre vonatkozó általános szabályokat állapít meg, és nem tartalmaz ágazati szabályokat, a felkészülésben az adatkezelő/adatfeldolgozó működési területe alapvetően nem releváns. Ugyanakkor a működési terület releváns lehet például a DPO kinevezési kötelezettsége esetében, mert vizsgálandó az adatkezelő/adatfeldolgozó adatkezelési tevékenységének terjedelme (rendszeres, szisztematikus, nagymértékű megfigyelés; szenzitív adatok nagy számban történő kezelése). Ez összefüggésben lehet az adott szervezet által végzett üzleti tevékenységgel.
A GDPR értelmében a személyes adatnak minősülő információn végzett bármely művelet, így a tárolás is adatkezelésnek minősül. A személyes adatok védelmét mindenkor biztosítani kell, abban az esetben is, ha az adatokat az Európai Unió, illetve az Európai Gazdasági Térség területén kívüli harmadik országba továbbítják. Ez utóbbi (például egy felhőszolgáltatásnál, ahol a szerverek az Egyesült Államokban találhatók) akkor jogszerű, ha olyan célországba továbbítják az adatokat, amelyekről az Európai Bizottság határozatban állapította meg, hogy megfelelő védelmet biztosít, illetve ha az adatkezelő/adatfeldolgozó megfelelő garanciákat nyújt a személyes adatok védelme érdekében.
A FŐ PROBLÉMÁK ITTHON
- Az adatvédelmi tudatosság alacsony szintje. Legtöbbször a szervezetek magasabb, jellemzően felsővezetői szintjein tisztában vannak a kérdés komolyságával, de a tudatosság alacsonyabb szintekre eljuttatása sokszor nehézségekbe ütközik.
- A GPDR szabályainak megfelelő folyamatokat kiszolgáló információbiztonsági háttér kialakítása és működtetése, ami a szervezet méretétől, illetve tevékenységétől függően komoly anyagi és adminisztratív terhet róhat az adatkezelőre/adatfeldolgozóra.
- A partnerekkel meglévő szerződések és a belső szabályzatok módosítása után a szervezet felkészítése a GDPR napi szintű alkalmazására.
- Számos vállalkozás alábecsüli a GDPR rendelkezéseinek megfelelés érdekében szükséges felkészülés időzítését és munkaerőigényét, ami komoly anyagi és reputációs kockázatokkal járhat.
BIZONYÍTSON A CÉG!
A GDPR értelmében a vállalkozásokon van a bizonyítás terhe, vagyis egy vizsgálat során nekik kell bizonyítaniuk, hogy mindenben megfeleltek a GDPR előírásainak.