2018-ban életbe lép a GDPR, a General Data Protection Regulation, az Európai Unió általános adatvédelmi rendelete. A változás következményeiről olyan szakértőt kérdeztünk, aki a szabályozói és a vállalati érdekeket egyszerre ismeri. A p2m Consulting a stratégia menedzsmenttől a szervezeti struktúrákon át egészen a szabványok és tanúsítványok megszerzéséig mindenben naprakész.
Bejelentkezés Kitöltötték Blog
Nem harap a GDPR - interjú a p2m Consultinggal
2018-ban életbe lép a GDPR, a General Data Protection Regulation, az Európai Unió általános adatvédelmi rendelete. A változás következményeiről olyan szakértőt kérdeztünk, aki a szabályozói és a vállalati érdekeket egyszerre ismeri. A p2m Consulting a stratégia menedzsmenttől a szervezeti struktúrákon át egészen a szabványok és tanúsítványok megszerzéséig mindenben naprakész.

Milyen változásokat hozhat gyakorlatban a GDPR életbe lépése? 

Először is érdemes tisztázni, hogy újabb sarc vagy időszerű szabályozás a GDPR? Már rég nem arról beszélünk, hogy személyes adatainkat Magyarországon, a magyar vállalkozások miként kezelik. A határok lebontásával ezek az információk ugyanúgy áramlanak, mint a termékek, melyeket egy kattintással akár különböző földrészekről is megvásárolunk. Az EU tagállamai eddig nagyon különbözőképp szabályozták a személyes adatok kezelését. Időszerűvé vált tehát, hogy az EU "rendet tegyen" és közösségi szinten biztosítsa ezen adatok védelmét. Mint a teljes uniós közösségre vonatkozó jogszabály, minden tagállam szabályrendszerébe jelentős változásokat hoz. 

Magyarország egy európai szinten is erős információs önrendelkezési jogról és az információszabadságról szóló törvénnyel rendelkezett. Nem kétséges, hogy a GDPR ennél sok esetben szigorúbb, de köszönhetően az eddigi szabályozásnak, azoknak, akik eddig is jogkövető magatartást tanúsítottak, nem kell a kályhától indulniuk. Ami az egyik legnagyobb változást okozza, az a GDPR „szuperalapelve”, az elszámoltathatóság. Azaz nem elég jogkövetőnek lenni, azt bizonyítani is kell tudni. Ez bizony adminisztrációban, munkafolyamatokban markáns változást jelent.  

 

A vállalatok életében ez hogyan jelenik meg pontosan? Praktikusan pl. egy ilyen hírlevél adatbázisának kezelése mennyivel lesz szabályozottabb? 

A marketing célú hírlevélküldéshez eddig is szükséges volt előzetes hozzájárulásra a címzettek részéről, illetve az érintetteknek biztosítani kellett a leiratkozás lehetőségét. Mindemellett a hírlevélküldés NAIH adatvédelmi bejelentési kötelezettséget is jelentett. 2018. május 25-től e bejelentési kötelezettség megszűnik. A Hatóság viszont továbbra is vizsgálni fogja, milyen jogalappal, hol, milyen védelem mellett tároljuk a hírlevélküldéshez szükséges adatokat. Az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok kezeléséhez az adott személy a jogszabályban előírt módon hozzájárult és a szükséges tájékoztatásokat megkapta. Olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. A Rendelet a minimális adatkezelést célozza, tehát csak annyi adatot kezelhetünk az érintettekről, amennyire feltétlen szükség van a cél teljesüléséhez. Mindezek mellett azt is meg kell vizsgálni (illetve dokumentálni), hogy a kezelt hírlevél adatbázishoz ki, milyen jogkörrel fér hozzá, illetve milyen hatással járna egy esetleges adatszivárgás. Minden esetben, amikor adatvédelmi incidens (adatszivárgás, -vesztés, -károsulás, jogosulatlan hozzáférések, stb.) történik, meg kell vizsgálni az incidens hatásait és a hatásoktól függően bejelentést kell tennünk a NAIH felé és az előzetesen kialakított eljárásrend mentén kezelni kell a helyzetet. 

 

Mennyire van erre felkészülve a magyar KKV szektor? És miben tudtok ti praktikusan segíteni? 

A KKV szektorban a legnagyobb nehézséget a tudáshiány okozza. Gyakran látjuk, hogy még ha van is adatvédelmi szabályzat, tájékoztató a cégnél, a munkatársak nagyjából tisztában is vannak a jogokkal és kötelezettségekkel, nincs az adatvédelmi feladatoknak gazdájuk. 2018. május 25. után azonban ez már nem működhet így, hiszen a Rendelet olyan előírásokat fogalmaz meg, melyek folyamatos, tudatos és szakszerű adatvédelmi tevékenységet igényelnek. A GDPR megfelelés olyan szabályzati rendszer kialakítását és alkalmazását jelenti a mindennapokban, amely biztosítja a személyes adatok teljeskörű védelmét. 

Úgy gondoljuk, minden szervezetnek először értelmeznie kell a jogszabályt aszerint, mely előírások vonatkoznak rájuk. Más előírások vonatkoznak a 250 fő feletti létszámú foglalkoztatókra, más a különleges adatok kezelőire, stb. Ezután célszerű készíteni egy „Itt állunk most” pillanatképet a vállalkozás, szervezet tevékenységéről a fő kérdések mentén: 

 

- Milyen adatokat tárolunk és dolgozunk fel? 

- Mi az adatkezelés célja és jogalapja? 

- Hol és mennyi ideig tároljuk az adatokat (pl. szerveren, felhőben)? 

- Ki férhet hozzá az adatokhoz? Ki férhet hozzájuk házon belül és kívül? 

- Milyen hozzájárulások állnak rendelkezésre? 

- Jelenleg milyen szabályozóink vannak? 

- A szabályozók alkalmazása mennyire tudatos a mindennapokban? 

 

Belülről nézve nem mindig egyértelmű, hogy mi a teendő. Érdemes tehát már a felméréshez is szakértő segítségét kérni, aki segít végiggondolni, hogy hol milyen adattal dolgozunk, miért van szükségünk rájuk és milyen módon kezeljük őket. Segít megállapítani, mely kötelezettségeknek kell eleget tennünk.  

Az új jogszabálynak való megfelelés érdekében segítjük partnereinket a kötelezettségek megállapításában, az adatkezelés felmérésében, a jogalapok meghatározásában, nyilvántartások és megőrzési idők kialakításában, az előírások szerinti dokumentáció elkészítésében, frissítésében tehát összességében a GDPR-nak megfelelő szabályozási rendszer kialakításában és alkalmazásában. Folyamatos rendelkezésre állás lehetőségével segítjük a GDPR megfelelést, pl. a kötelező adatvédelmi hatásvizsgálat lefolytatásával. Kiszervezett tevékenység keretében ellátjuk az adatvédelmi tisztviselő feladatait – erre a jogszabály külön lehetőséget is biztosít – azon vállalkozásoknál, ahol a mindennapi tevékenységeik során sem a szakértelmet, sem a ráfordítandó külön időt nem tudják biztosítani. 

 

Ennek a szabályozásnak a bevezetése összhangban van a Vállalható Vállalkozások elveivel, vagy netán pont szembe megy vele? 

Bátran állíthatjuk, hogy a Vállalható Vállalkozás alapelvei a GDPR alapelveivel tökéletes összhangban vannak. A GDPR éppen arra szorít rá, hogy ügyfeleink, partnereink, munkavállalóink személyes adatait bizalmasan, maximális védelem mellett kezeljük. Egy Vállalható Vállalkozásnak ez nem jogszabályi kényszer, hanem saját maga elé állított minimum elvárás.  

 

 

 

Te is megosztanád másokkal a saját történeted? Írj nekünk IDE!

 

Ismersz tudatos és átlátható vállalkozást? Ajánlj nekünk másokat ITT!

2017-11-14
Szerző: Vállalható Vállalkozás