GDPR, avagy közeleg a Végítélet?
Sorozatunkban végig vesszük a legfontosabb teendők mellett mindazokat az eszközöket, javaslatokat, melyekkel segíthetjük a felkészülést, illetve amikkel a későbbi folyamatos munkát tudjuk támogatni, hogy egy esetleges adatvédelmi incidens kezelése során ne kelljen a bármely cég életében jelentős, 5-20 ezer eurós büntetési tételektől tartani.
Mit jelent ez a négy betű? A jogalkotók szerint felelősséget, számon kérhetőséget, a cégeknek munkát, mégpedig sokat. Jelenleg a legtöbben még csak nem is hallottak az Európai Unió 2016/679 számú rendeletéről, mely hazánkban és az összes uniós tagállamban 2018 május 25-től életbe lép.
E jogszabály – az egységes adatvédelmi rendelet – szabályozza a személyes adatok kezelését minden szervezetnél, megsértését május után súlyosan szankcionálhatják, épp ezért alapos felkészülést és komoly szemléletváltást igényel.
Az új rendelet szemlélete szerint májustól nem a magánszemélynek/cégnek/hatóságnak kell bizonyítania az adatkezelési szabályok megsértését, hanem az egyes szervezeteknek kell igazolniuk, hogy szabálykövető magatartással, helyesen kezelik a náluk jogszerűen előforduló adatokat, és csak azokat, valamint megfelelően gondoskodtak a felesleges, illetve a náluk lévő illetéktelen adatok ellenőrzött körülmények közötti biztonsági megsemmisítéséről. Fontos tudni, hogy nem csak a digitális, hanem a papíralapú adatokra is vonatkozik a jogszabály.
| A GDPR kapcsán meg kell érteni, hogy egy cég életében ez majdnem minden területet érint, nem korlátozódik csak a jogi vagy HR területekre, még akkor is, ha ez elsőre így is tűnik. Fontos dolog, hogy májustól szakítani kell azzal a jól bevált gyakorlattal is, hogy szervezeti szinten minél több adatot osztunk meg, minél szélesebb körben. A rendelet kitér arra, hogy csak az férjen az adatokhoz, akinek megokolható jogosultsága lesz és mindezt úgy, hogy bármikor, a folyamat bármely szakaszában bizonyító erőjű információ álljon rendelkezésre az adatkezelés, feldolgozás jogtisztaságáról. |  |
Azok, akik már elkezdték a felkészülést, megtapasztalhatták, mennyire szerteágazó feladat lesz megfelelni e rendeletnek. Akik még nem jutottak el idáig, vagy azt hiszik, nekik nem kell majd ezzel foglalkozniuk, sajnos kellemetlen csalódásban lesz részük. Az elkövetkező időkben nem csak felkészülniük kell a jogszabály életbe lépésére, de május 25-e után ez egy rendszeres, napi teendőket is tartalmazó, folyamatos adatvédelmi feladatként kell, hogy beépüljön minden cég életébe.
Mit javaslunk megtenni? Lépések a megvalósítás felé
Első lépésként – a rendelet megismerése mellet – tudnunk kell, olyan adatkezelők vagyunk-e, akiket a törvény kötelez önálló adatvédelmi tisztviselő alkalmazására. A jogszabály 37. cikke pontosan leírja milyen esetben kell így eljárni. Fontos, hogy tisztában legyünk vele, az elkövetkező hónapok rengeteg plusz feladatot rónak ránk, elsősorban a cég adminisztratív területeire, a jogi, a HR és ügyvezetés területeire, valamint nem kevés feladatot adnak az IT és biztonsági területeknek is. Sajnos bőven lesz teendő a gyártási, termelési és szolgáltatói területeken is. Épp ezért javasoljuk egy belső, felelős csapat – projekt team – összeállítását.
Minden cég életében jelentős teher a különféle szerződések kezelése. E rendelet kapcsán szükség lesz a meglévő szerződések átvizsgálására, esetleges kiegészítésére, de ugyanígy szükség lehet bizonyos dokumentációk, bizonylatok beszerzésére vagy előállítására. Ehhez át kell tekinteni a cég folyamatait, tudni kell, hogy hol milyen adatkezelés történik, és az milyen módon van dokumentálva, bizonylatokkal alátámasztva.