Dr. Kovács Norbert blogja

ügyvéd, felelős akkreditált közbeszerzési szaktanácsadó, energetikai szakjogász

Nem tudja mi az, hogy GDPR? Jobb, ha ezt elolvassa és megelőzi a bajt!

2018. április 12. 15:41 - dr. Kovács Norbert

Idén május végén egy meglehetősen fontos dátum következik a cégek számára. Május 25-étől lép ugyanis életbe egy új, EU-s adatvédelmi rendelet, amely a cégek adatkezelését szabályozza. Amelyik cégnél egy audit során az említett dátum után nem találják szabályosnak az adatkezelés módját, ott - alig merem leírni - eurómilliós (!) összegű bírságokra lehet számítani. E heti cikkemben tehát tisztába teszem a GDPR szabályozásával kapcsolatos tudnivalókat, röviden.

 coding-computer-data-577585.jpg

Mi az a GDPR?

A GDPR – leánykori nevén: az Európai Unió Általános Adatvédelmi Rendelete - egy kb. két éve hatályos rendelet, mely megszabja, hogy az EU-s tagállamokban működő vállalkozások miként kell, hogy kezeljék az adatokat. A rendelet hatályba lépése előtt közel 2 év állt az érintettek rendelkezésére, hogy az adatkezelési rendszerüket hozzáigazítsák az említett szabályozáshoz. Erre azért van égető szüksége minden érintettnek, mert aki esetleg elmulasztja az adatkezelése gatyába rázását az horribilis

 

    akár 20 millió euró (!) összeget is elérő büntetésre számíthat.

 

Téves lenne azt a következtetést levonni, hogy ez csak a tőlünk nyugatabbra fekvő országok vállalataira vonatkozik, ugyanis a szankciók végrehajtását a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is kilátásba helyezte.

 

“De hát én nem is kezelek adatokat…”

Sok cégvezető gondolja így. Az ő kedvükért mindenek előtt tegyük tisztába az alapfogalmakat. Elsőként nézzük, hogy mint is jelent a személyes adat.

 

    Személyes adat minden olyan információ, amely alapján egy személyt azonosítani lehet.

 

Ez lehet akár név, lakcímadat, fizikai, gazdasági, kulturális, szellemi vagy más vetületű információ, mely alapján egyértelműen következtetni lehet egy természetes személy kilétére. Amelyik vállalat ilyen jellegű információk birtokában van, az szinte magától értetődően adatokat is kezel. Másodjára vizsgáljuk meg, hogy mit jelent az adatkezelés. Az adatkezelés röviden és tömören:

 

    mindennemű művelet, amit személyes adatokkal végzünk.

 

Magyarán, az adatok tárolása, tagolása, rendezése, küldése, megosztása, de még azok törlése vagy megsemmisítése is bizony kezelésnek minősül.

Azok a cégek, akik már valaha a működésük során végeztek pl. bárminemű adatbázis-marketing tevékenységet (pl. hírlevél kiküldés, telefonkampány stb.) akár csak pár ügyfél megszólítása céljából, már mind a vizsgálható cégek kategóriájába esnek. Szinte lehetetlen, hogy egy gazdasági vállalkozás ne kezeljen adatokat. A munkavállalók adataitól az ügyféladatokig, sokféle adat átfut egy átlagos vállalat rendszerén.

Az adatkezelés szabályszerűségét ún. auditok vizsgálják. Az auditot végző szakemberek megvizsgálják, hogy a cég melyik osztálya, vagy alegysége milyen adatok birtokában van és miként tárolja, használja azokat valamint, hogy ezek megfelelnek –e a hatályos adatbiztonsági szabályozásoknak. Megnézik továbbá, hogy ezen adatok között van –e olyan speciális adat, ami esetleg bűnügyi felelősségre utal.

 

“Majd a mi kollégáink házon belül megoldják”

A cégvezetők többségénél jellemzően két nagy tévhit fordul elő. Az egyik, hogy “a cégünk adatkezelése már így is megfelel a szabályozásoknak” és, hogy “nekem aztán nem kell semmit sem változtatni”. Számukra nem túl jó hír, hogy a jelenleg még hatályos szabályrendszerben idén május 25-től lényeges módosulások állnak be.

 

A várható auditok során már az új rendszerhez képest történik a cégek adatkezelésének átvizsgálása. Az Európai Bizottság idén, Január 24-én közzé tett közleményéből pedig kiderül, hogy a szabályrendszer változását minden tagállamban “le kell követni”, a helyi, most még hatályos szabályozás már nem lesz érvényesíthető.

 

A másik tévhit, ami a cégvezetők részéről visszaköszön, hogy “fel tudunk mi készülni magunktól is” illetve, hogy “majd a mi kollégáink megoldják”. Ez jól is hangzik, de sajnos egy ilyen vizsgálatra sokkal összetettebb feladat felkészülni, mint sokan gondolnák.

 

Manapság egyre többet hallani önjelölt adatvédelmi szakértőkről, akik a valóságban sajnos semmiféle jogi előképzettséggel nem rendelkeznek. A GDPR helytelen értelmezése, vagy szakszerűtlen alkalmazása egy cég életében akár tragikus következményekkel is járhat, a bírságok mértéke ugyanis elég jelentős. Lehetséges, hogy a házon belüli kollégák agilisak és jó készségekkel rendelkeznek az adminisztráció terén, de a GDPR alkalmazásához sajnos ennél jóval többre van szükség.

 

+ Ügyvédi tipp

Egy adatkezeléssel kapcsolatos ellenőrzés nem játék. Javaslom, hogy keressen fel egy jogi végzettséggel és jó referenciákkal rendelkező adatvédelmi szakértőt, vagy az adatbiztonság témájában jártas ügyvédet. Egy jó szakember segíthet Önnek a felkészülésben és komoly fejfájásoktól kímélheti meg.

 

(Jelen írás tájékoztató jellegű, nem kimerítő. Jogi tanácsadásnak nem minősül, azt nem is pótolhatja).