PDF letöltés

GDPR: szigorú és mindenkit érint

2018. május 25-én lép életbe az Európai Unió új adatvédelmi rendelete (General Data Protection Regulation, GDPR), amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Habár ez a dátum még távolinak tűnhet, a változások olyan sok mindenre kiterjednek, hogy ez a bő félév biztosan kell – sőt egyes vélekedések szerint kevés is lesz - a felkészülésre, amit ideje a cégeknek haladéktalanul elkezdeni! A rendelet ugyanis nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás.

Az új szabályozás lényegét röviden úgy lehet összefoglalni, hogy a magánszemélyeknek nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban, ezzel párhuzamosan a cégek ez irányú kötelezettségeit növeli, a mulasztásokat pedig minden eddiginél nagyobb pénzbüntetéssel sújtja. 

Ráadásul a rendelet nemcsak a digitálisan tárolt személyes adatokra vonatkozik, hanem a papíralapúakra is, amennyiben azok valamilyen nyilvántartási rendszer részét képezik vagy fogják képezni. Mivel a nyilvántartási rendszer nem jelent mást, mint meghatározott ismérvek alapján hozzáférhető adatokat, ezért nagy az esélye, hogy az iratkezelések túlnyomó többsége a rendelet hatálya alá esik, így azokra ugyanolyan szigorúan szabályozás fog vonatkozni a kezeléstől a tároláson át a szakszerű iratmegsemmisítésig, mint a digitálisan tárolt személyes adatokra.  

A hazai helyzet - egy néhány éve készült felmérés szerint – igen kétségbeejtő, ugyanis a magyar kkv-k egynegyedénél semmiféle iratkezelési előírás nincsen. A hazai kis- és középvállalkozás adatvédelmi és iratmegsemmisítési szokásait felmérő kutatásból kiderült, bár a hazai kkv-k 90 %-ánál vannak bizalmas jellegű iratok, 25 %-uknál egyáltalán nincs semmiféle előírás ezek kezelésére. Ebből következően nem meglepő, hogy közel egynegyedük szenvedett már el versenyhátrányt adataikkal való visszaélés miatt.

Az új uniós szabályozás értelmében a cégek minden eddiginél szigorúbb ellenőrzésekre és jelentős pénzbüntetésre számíthatnak, ha nem felelnek meg az előírásoknak.

Az adatvédelemmel foglalkozó cégek szerint az alábbi tanácsok segítik a felkészülést:

  • csak olyan adatok legyenek a cégek birtokában, amelyekre bizonyíthatóan szükség van;
  • ezeket megfelelően kell tárolni és folyamatosan átnézni, hogy mire van még szükség, és mi az, amit meg kell semmisíteni; 
  • az aktualitásukat vesztett adatokat, bizalmas információkat tartalmazó iratokat szakszerűen és biztonságosan kell megsemmisíteni, ehhez a megfelelő eszközöket időben be kell szerezni, legyen szó papíralapú dokumentumok vagy elektronikus adatok megsemmisítéséről;
  • a magánszemélyeknek ezek után is joga lesz betekintést kérniük abba, hogy hol és hogyan tárolják a róluk szóló adatokat, hogyan mozgatják azokat, illetve hogy kellő időben megsemmisítik-e;
  • egy cégnél csak az erre kijelölt személyek férhetnek hozzá az adatokhoz; 
  • külön rendelkezni kell, hogy harmadik személynek milyen adatokat lehet átadni;
  • át kell nézni a szerződéseket, beleértve a munkaszerződéseket is, és meg kell vizsgálni, hogy azok megfelelnek-e az új előírásoknak, illetve azoknak megfelelő szerződésmintákat kell kidolgozni;
  • a személyes adatokhoz hozzáférő beszállítókkal, alvállalkozókkal a rendeletben foglalt előírásoknak megfelelő szerződést kell kötni;
  • a beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést, különösen pedig az alapértelmezett adatvédelem (privacy by design) követelményének való megfelelést;
  • bizonyos feltételek teljesülése esetén ki kell nevezni egy adatvédelmi felelőst.

Tehát a cégeknek jövő májustól egy egészen másfajta kommunikációra kell felkészülniük az ügyfelekkel, munkavállalókkal, partnerekkel, beszállítókkal, amikor az üzletmenet szempontjából szükséges adataikat elkérik tőlük és azokat tárolják. Valamint jövő májusig el kell végezni a selejtezést, és gondoskodni kell a fölöslegessé vált iratok szakszerű, biztonságos megsemmisítéséről.