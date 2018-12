Szekszárd Az Emberi Erőforrások Minisztériuma levélben hívta fel a köznevelési intézmények figyelmét a GDPR-ral kapcsolatos teendőkre. Arról, hogy ez mit is jelent, a CLS Trade adatvédelmi szakértőjét, Bomba Gábort kérdeztük. Az Emberi Erőforrások Minisztériuma levélben hívta fel a köznevelési intézmények figyelmét a GDPR-ral kapcsolatos teendőkre. Arról, hogy ez mit is jelent, a CLS Trade adatvédelmi szakértőjét, Bomba Gábort kérdeztük.

– Mi is az a GDPR?

– A GDPR az Európai Unió általános adatvédelmi rendelete angol elnevezésének rövidítése – válaszolta Bomba Gábor.

– Ez az, ami idén május 25-től hatályos, ugye?

– Jóra gondol, de hadd helyesbítsek! A rendelet 2016 óta hatályban van, a türelmi ideje járt le idén májusban. A rendelet az élő természetes személyek személyes adatairól rendelkezik. Mindenkire vonatkozik, aki magánszemélyek személyes adatát kezeli vagy akár csak az elvi lehetősége adott ezekhez hozzáférni.

– Mi számít személyes adatnak?

– Bármi, ami alapján akár közvetett módon is azonosítható az adott személy.

– Akkor én is adatkezelő vagyok, ha a telefonomban elmentem az ismerőseim számát?

– A magáncélú felhasználásra nem vonatkozik a GDPR. Amint üzleti célú lesz az adatkezelés, abban a pillanatban már szükséges betartani a rendelet előírásait.

– Mennyire veszik ezt szigorúan a magyar hatóságok?

– A rendeletet az Európai Parlament és Tanács fogadta el, így minden tagállamban alkalmazandó. A magyar hatóság eddig is szigorú volt az adatvédelem terén.

– Úgy hallottam, hogy a KKV szektor haladékot kapott…

– Igen, idén december 31-ig elsőre nem bírságol a Nemzeti Adatvédelmi és Információszabadság Hatóság, azonban ennek van pár feltétele. Először is az érintetteknek az alapvető adatbiztonsági követelményeket be kell tartaniuk. Ennek megfelelően érdemi lépéseket kell tenniük a rendeletnek való megfelelőség érdekében. Amennyiben különleges adatot vagy gyermek személyes adatát kezelik, illetve az adatkezelés a fő tevékenységhez kapcsolódik, nincs haladék. Ugyanez igaz azokra az esetekre is, amikor felmerül a gondatlanság vagy szándékosság gyanúja. A polgármesteri hivatalok számára adtak annyi engedményt, hogy a kiszabható bírságot húszmillió forintban maximalizálták, azonban ezt is jogsértésenként kell érteni.

– Sokan úgy gondolják, hogy elegendő egy-két dokumentumot megírni, igaz ez?

– Semmiképpen. A rendelet előírja, hogy az adatkezelés teljes folyamatára vonatkozóan tudni kell bizonyítani, hogy az adatkezelés jogszerűen történt, és az adatkezelő mindent megtett az adatok biztonságáért. Dr. Péterfalvi Attila, a NAIH elnöke több fórumon hangsúlyozta, hogy az adatvédelem nem létezik információbiztonság nélkül. Biztosítani kell, hogy az adat elérhető legyen, amikor szükség van rá, pontos legyen, valamint csak az férjen hozzá, akinek elengedhetetlenül szükséges.

– Milyen szankciókra számíthat, aki nem veszi komolyan a dolgot?

– A kiszabható bírság felső határa jogsértésenként húszmillió euró vagy az előző évi globális árbevétel négy százaléka azzal a kitétellel, hogy a magasabb összeget kell a hatóságnak kiszabni. Ez jelenleg nagyjából hat és fél milliárd forintot jelent.

– Milyenek az eddigi tapasztalatok?

– A NAIH jelenleg is rengeteg adatvédelmi incidenst vizsgál. Elsősorban bejelentések kapcsán járnak el, de önállóan is indíthatnak eljárást. Az első három hónapban nagyjából negyvenezer ember adataival kapcsolatban történt incidens.

– Mit tud egy szakértő segíteni a cégeknek?

– Több nyilvántartást és szabályzatot szükséges készíteni az adatok feltérképezése mellett, illetve a munkavállalók adatvédelmi tudatosságát is növelni kell oktatással. Mivel az adatkezelő felel a hatóság felé, így neki kell megfelelő személyt találni, aki elvégzi ezt a munkát. Sajnos sok olyan cég van a piacon, akik a gyors meggazdagodás reményében alacsony áron kínálnak adatvédelmi csomagokat, ám ezek többsége mintadokumentum, amit az ügyfélnek kell kitölteni. Ez megfelelő ismeret nélkül kivitelezhetetlen úgy, hogy azt a hatóság elfogadja. Fontos kiemelni, hogy minden esetben az adatkezelő tartozik felelősséggel a tevékenységéért.

– Melyek az alapvető teendői egy vállalkozásnak?

– Először is hadd pontosítsak! Nemcsak a vállalkozásoknak van teendőjük, hanem minden olyan hatóságnak, gazdasági társaságnak és szervezetnek, amely személyes adatot kezel. Ilyenek például az önkormányzatok, a hivatalok, az oktatási- és egészségügyi intézmények is. Ezek számára kötelező kijelölni a rendeletben foglaltaknak megfelelő adatvédelmi tisztviselőt, akinek jelentési kötelezettsége van a hatóság felé. Össze kell gyűjteniük az általuk kezelt adatokat, ezekhez nyilvántartásokat és tájékoztatókat kell készíteniük. Amennyiben olyan jellegű az adat, ahhoz be kell szerezniük az érintettek hozzájárulását is.

A nem szükséges vagy jogszerűtlenül kezelt adatokat haladéktalanul törölniük kell. Ha nem biztosak a dolgukban, a bírság elkerülése érdekében kérjék szakember segítségét! Mindenképpen érdemes komolyan venni az adatvédelmet. Ezzel nemcsak a kellemetlenségek előzhetők meg, de az üzleti folyamatok is átláthatóbbak lesznek.

