GDPR – Az utolsó pillanatok
Konferenciák, bemutatók és kerekasztal beszélgetések sokaságán hangzik el mostanában ez a négy betűs rövidítés: GDPR. Most már szinte minden cég vezető hallott róla valamit, legalább annyit már tudnak, hogy ha a cégük bármilyen szinten adatokat kezel, akkor komoly változásokra kell felkészülni.
A cégeknek két évük volt felkészülni, de „ennek az időszaknak az elején ez még nem tudatosult a vállalkozásokban, sokan most, az utolsó pillanatban kezdtek el a GDPR-ral foglalkozni” hangzott el a legutóbbi ilyen rendezvényen a NAIH adatvédelmi főosztályának vezetőjétől. Egyértelmű, hogy ez a két év állt a hatóságok rendelkezésére is, hogy ki-, illetve átdolgozzák az ellenőrzési, felügyeleti rendszerüket. Ha a május végi dátumra a cégek (adatkezelők) adatkezelési gyakorlatában esetleg nem tökéletesen van rendben minden részkérdés, akkor még reménykedhetnek abban, hogy lesz idejük befejezni a feladatokat mielőtt elér hozzájuk a hatóság. Minden uniós tagállam, minden hatóság ugyanúgy értelmez minden kérdést a GDPR kapcsán, de még sok a nyitott és egyeztetésre váró folyamat.
A szakemberek szerint fontos kérdés, hogy a hatóság hogyan fogja tudni kezelni a várhatóan elszaporodó incidenseket, amiket az új szabályok szerint 72 órán be kell jelenteni. A hatóság jelenleg még a felkészülési szakaszban van, most csak vizsgálati eljárásokat folytatnak, még nincs GDPR kapcsán bírságolás, nincs határozat, csak felszólítás, figyelmeztetés van. Május végétől a hatóság mérlegelési lehetősége majdnem minden tekintetben megszűnik, a legkisebb ügyekben is határozathozatal és bírságolási eljárás lehet az adatkezelési problémákból. Ugyanakkor a döntéseket minden esetben egyedi szempontok és elbírálások után hozzák meg a hatóságok. Egyelőre úgy néz ki, a nagy bírság összegekkel nem a kis cégek, kkv-k fognak találkozni.
A rendelet alapvetően az európai cégek, szervezetek által kezelt adatokra vonatkozik, de sok esetben nem csak európai székhellyel rendelkező szervezeteket is érint. Európán belül pedig szinte mindenkit érint, aki valamilyen módon adatokat kezel. A jogszabály alól a nem profitorientált, civil szervezetek, családi vállalkozások sem kivételek, még úgy sem, ha a szervezetnek nincs irodája vagy alkalmazottja az unió területén. Ha az adott szervezetnek vannak adományozói, tagjai, támogatói vagy a szervezet programját igénybe vevők az uniós területekről, illetve, ha bármilyen árut vagy szolgáltatást kínál az uniós állampolgároknak, akkor bizonyosnak látszik, hogy a szervezet a GDPR szabályozása alá esik.
Ugyanakkor fontos megemlíteni, hogy a cégeknek, szervezeteknek első sorban azt kell bizonyítaniuk, hogy lehetőség szerint a legjobban megfeleltek a GDPR szabályozásainak. Előfordulhatnak olyan követelmények, amelyek meghaladhatják az adott cég, szervezet költségeit vagy egyéb lehetőségeit, forrásait, amire a szabályozás is odafigyel, ezért mindenkinek a saját lehetőségeihez képest kell kiépíteni az új adatbiztonsági rendszerét, így próbálva meg érvényesíteni a legnagyobb gondosság elvét.
Péterfalvi Attila a NAIH elnöke nem rég tett nyilatkozata alapján a hatóságok és a jogalkotók elkészülnek a határidőre a szükséges módosításokkal, a cégek, szervezetek, az üzleti szféra számára szerinte nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.
A felkészülés pénzbe kerül, nincs tökéletes megfelelésű rendszer, pláne, hogy a rendelkezésre álló idő már igen rövid, de mindenképpen el kell indulni a megvalósítás felé. A legfontosabb, hogy felismerjük a cég adatvédelmileg és adatbiztonságilag problémás területeit. A napokban került nyilvánosságra egy felmérés, mely arra mutat rá, hogy sok cég, szervezet ezt mintha nem igazán venné komolyan. A szabályokra fittyet hányók nagyobb részben magyar magánvállalatok és érdekes módon állami intézmények. Pedig sem egyik, sem másik kategória nem maradhat ki a folyamatból.