Sok hazai vállalkozásnak okoz fejtörtést a nemrég életbe lépett GDPR. Bár a szankcionálást a kkv-k esetében egyelőre elhalasztották, nem árt képben lenni, és minél előbb megfelelni az előírásoknak.
Annak ellenére, hogy az idei év eddig jórészt a GDPR-ról szólt, sok hazai cégnek mégsem sikerült maradéktalanul megfelelnie az előírásoknak. A nagyobb pénzügyi erőforrással rendelkező, illetve a nemzetközi piacoknak kitett cégek közül többen állnak jól ebben a tekintetben, mint a kkv-k alsó szegmensébe tartozó vállalkozások. Két év felkészülési idejük volt a cégeknek, hiszen a vonatkozó rendeletet már 2016-ban kiadták, de csak most, 2018. május 25-én lépett hatályba.
A GDPR, az Európai Parlament és Tanács 2016/679 számú Általános Adatvédelmi Rendelete. Célja a személyes adatok szabad áramlásának lehetővé tétele az Európai Unión belül, a személyiségi jogok érvényesülésének egységes fenntartása mellett. Kötelezően alkalmazandó minden intézményre, vállalkozásra, egyházra, pártra és egyéb szervezetekre, még az államokat is érinti. A GDPR egységes jogi környezetet szavatol nemcsak az EU-n belül, de az EU-ban tartózkodó ügyfelekkel kereskedő cégek számára is. Ez a szabályozás lehetőség az egységes fellépésre a jogsértőkkel szemben, és olyan technológiák bevezetésére is, amiket eddig az EU-n belül is eltérő adatkezelési szabályok megakadályoztak, tehát új munkalehetőséget és piacot is teremt.
Régi-új feladatok
„Az adatvédelem területén Magyarországon már 1992 óta létezik szabályozás, ezért nemcsak gyakorlott szakemberek találhatók, hanem a jelentős jogalkotási és bírósági gyakorlat mellett az intézmények, vállalkozások számára sem újdonság az ezzel való foglalkozás. Mindemellett a GDPR jelentős változásokat is hoz, amihez alkalmazkodni kell” – mondja Kusztos Dénes, a BDO Magyarország IT Megoldások Kft. üzletfejlesztési igazgatója.
A legfontosabb változás, hogy mindannak meglétét, amit a GDPR az adatkezelő feladatául szab, az adatkezelő köteles bizonyítani. „Mint minden változásnál, első lépésként meghatározzuk, hogy mi legyen a cél. Ehhez a saját vállalkozásunk szabályzataiba beemeljük a GDPR rendelkezéseit. Itt a feladatunk a szabályozások és GDPR rendelkezései között lévő esetleges ellentmondások feloldása és a szabályozatlan kérdések szabályozása. Az így elkészített szabályozás elfogadása után azonnal meg kell kezdenünk e szabályok tudatosítását és az e szabályzatokon nyugvó folyamataink, eljárásaink megfelelését, majd az adott munkakörben a részletszabályok oktatását. Ehhez természetesen ismernünk kell a vállalkozásunk összes folyamatát” – emeli ki a szakember.
A tömeges adatkezelés nagy része jellemzően a vállalkozás informatikai infrastruktúráján történik. A részletszabályok átvezetése az informatikai infrastruktúrán várhatóan több informatikai projekthez vezet. Az informatikai infrastruktúra beállításait, így magát az adatkezelést is emberek végzik, ezért munkavállalóink, alvállalkozóink, beszállítóink képzett, tudatos magatartása, valamint az észre vett meg nem felelések kijavítására bejáratott folyamat és elérhető szakember (adatvédelmi tisztviselő, DPO) nagyban csökkenti vállalkozásunk adatkezelési incidensnek való kitettségét. Kusztos Dénes szerint a legnagyobb adatvédelmi incidenseket eddig – és ezzel együtt a várható legmagasabb összegű büntetéseket ezután – az informatikai rendszerek biztonsági hiányosságai okozzák, ezért a GDPR okán nem kerülhetjük meg az informatikai biztonsági szabványoknak való megfelelést sem.
Nem könnyű megfelelni
A megfelelőséghez elengedhetetlen a GDPR által is felsorolt vállalati normák megléte. Ezek nem kizárólag jogi természetűek, hiszen a teljes GDPR-kompatibilis szabályozás mellett adatvédelmi nyilvántartás vezetését, és a folyamat-nyilvántartást is előírja a szabályzat, az informatikai biztonságot pedig elvárja. „A képzés nagyban csökkenti a kockázati kitettséget, mindenképpen javasolt ezt azt olcsó és egyszerű tevékenységet minél hamarabb és rendszeresen lefolytatni” – javasolja a BDO szakértője. Az informatikai fejlesztések és az infrastruktúraprojektek természetesen pénz- és időigényesek, ezért előfordulhat, hogy egy cégnek nincs lehetősége az összes szükséges feladat elvégzésére. Ilyenkor a kockázatelemezés módszerével fontossági sorrendet állíthatunk fel.
Elképzelhető, hogy a bevezetett eljárásrend nem felel meg az ellenőrző hatóság követelményeinek, de ennek javítására a hatóság kijavítási határnapot adhat – akár a büntetés elhalasztásával. Ha viszont a törvény által megkövetelt adatvédelmi nyilvántartás nem is létezik az incidens vagy az ellenőrzés pillanatában, a hatóság csak a törvénysértést tudja megállapítani, és köteles büntetést kiszabni.
Hatalmas büntetések
A büntetési tételeket 20 millió euróban, illetve a cég teljes éves (nemzetközi cég esetében a teljes világpiaci) árbevételének 4 százalékában maximálták, attól függően, hogy melyik a nagyobb tétel. Ez jelentős növekedés az eddigi, hasonló témakörű szankciókhoz képest, egy ilyen kiadós büntetés könnyen csődbe juttathat egy céget. „Ilyen törvények Magyarországon már évtizedek óta hatályban vannak, például a Versenytörvény, ahol a büntetés mértéke 10 százalék is lehet, mégsem emiatt, hanem a nagyfokú bizalomvesztés miatt van félni valója egy adatvédelmi incidenssel érintett vállalkozásnak” – mutat rá Kusztos Dénes.
Könnyítés a hazai kkv-knak, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyelőre csak figyelmezteti a cégeket.
A vállalkozásoknak érdemes egyszerre több szakértőt is igénybe venniük a GDPR kapcsán. Az ehhez szükséges adatvédelmi jogi tudás és az IT-biztonsági szakértelem ugyanis speciális tudást és tapasztalatot igényel. A legjobb, ha olyan csapatot választunk, ahol ezek mindegyike megvan, nem árt azonban az elővigyázatosság: az elmúlt hónapokban megnövekedett a GDPR-ral foglalkozó „szakemberek” száma. „A szabályok teljesítése folyamatosan fenn kell hogy álljon – figyelmeztet Kusztos Dénes –, a gyakorlat még alakul, így attól, hogy ma megfelelek, egyáltalán nem biztos, hogy ez holnap is így lesz.”