Mit takar, mit jelent egy vállalkozásnak a GDPR – Európai Uniós adatvédelem?
Most mintha a csapból is ez folyna, folyamatosan olvashatunk, hallhatunk, tájékozódhatunk a GDPR jelentéséről, bevezetéséről, annak életbe lépéséről, amely 2018. május 25. napjával meg fog történni.
A GDPR – General Data Protection Regulation – vagyis az Európa Unió általános adatvédelmi rendelete. Lényeges, hogy teljes komolysággal kell, hogy kezeljük a témát, mert hatalmas nagyságú büntetéseket/bírságokat eredményezhet nem tudomásulvétele, alkalmazásának elmulasztása.
Tehát 2018. május 25. egy újabb időpont, melyre megkülönböztetett figyelmet kell fordítnunk. A majd 2 éves türelmi idő után az Európai uniós tagállamokba bevezetésre kerül, és kötelezően alkalmaznunk kell. A
GDPR – Európai Uniós szinten szabályozza, védi, a személyes adatok kezelését.
Elgondolkodhatunk azon, hogy miután Európai Uniós adatvédelmi rendszerről van szó, akkor valójában csak a nagyokra vonatkozik, és így „csak” az Európai Unióval összefüggő vállalkozásokat érintheti? Sokkal szélesebb, komplexebb a GDPR. Vonatkozik minden olyan cégre, vállalkozásra, aki a tevékenységét az Európai Unióban végzi, de olyan esetben is kötelezően alkalmazandó, amikor a cég bejegyzése Európa Uniós tagállamokon kívül történik, de, és itt a kulcs, olyan a tevékenységi köre, hogy az uniós országokban élő személyekre kihat, úgynevezett uniós polgárok személyes adatait felhasználva, például szolgáltatásokat nyújt, vagy egyszerűen termékeket értékesít.
Szinte minden vállalkozás, cég életében, kötelezően szükség lesz/van rá, hisz személyes adatokat kezelünk, online tevékenységeket végzünk – tegyük azt bármilyen típusú adatbázissal, kötelezően szükséges az uniós adatvédelem, amelynek minden körülmények között meg kell felelnünk!
Azt, hogy érzékeltessük, hogy valójában tényleg minden Európa Uniós tagállamban működő vállalkozásnak, cégnek kell alkalmazni az uniós adatvédelmi rendszert, nézzünk meg egy példát. Amennyiben a cégének, vállalkozásának dolgozói vannak, természetesen munkaszerződés keretein belül alkalmazva, a szerződésekben, a dolgozók adatai, neve, születési ideje, helye, címe, és még egy sor olyan adat szerepel, amely feltétlenül indokolttá teszi az adatokkal való megfelelő bánásmód bevezetését.
Elemezzük tovább, mit tartalmazhat az adatokkal megfelelő bánásmód?
Már azzal, hogy személyes adatokat veszünk fel – adatkezelésnek számít.
Aztán az adatok gyűjtése, tárolása, felhasználása, továbbítása esetleges módosítása szintén fontos adatvédelmi tevékenységet igényel. Az Európa Uniós adatvédelem rendszere ezt foglalja egységes egészbe, megspékelve, hogy ezt minden uniós tagállamban kötelezően betartandónak rendelte el.
A GDPR szerint, személyes adatok, amelyek alapján, bármi módon is, de tudunk azonosítani vele, valós (uniós polgárok) személyeket, a GDPR adatvédelmi rendszere bizonyítottan szükséges. Számláinkban fel van tüntetve a megrendelő/szállító neve, címe, adatkezelőnek minősülünk, személyes adatok alapján, ismét kizárólagosan be tudunk azonosítani bármely céget, illetve személyt. De, ha egyszerűen egy kampány levelet küldünk e-mailben partnereinknek, e-mail címük, nevük alapján ismét telitalálat az azonosítás terén. Ma már, a legkisebb cégnek, vállalkozásnak is van weboldala, a cooki-k (sütik) használata szintén alkalmas lehet személyek azonosítására is, tehát ebben az esetben is a megfelelő biztonság érdekében GDPR mindenképpen jó megoldás.
FONTOS:
A GDPR- Európa Uniós adatvédelem, minden, hangsúlyozottan minden személyes adathasználattal kapcsolatos tevékenység során szigorúan használandó. Tehát az online adatkezeléstől számítva, az offline állapotban lévő, tárolt személyes adatok vonatkozására is, e-mailes adatbázis kezeléséig, különböző adatgyűjtési feladatok, akár célirányos, meghatározott időszakos adatgyűjtésről, akár automatikus adatgyűjtésről alkalmazásáról van szó.
Ahogy említettük már a fentiekben a cookie-k (sütik), valamint az IP címek is tartalmaznak olyan információt, melyek személyes adatként kezelendőek.
Még szintén a fontos tényezők közé tartozik, hogy a GDPR- Európa Uniós adatvédelem rendszere nem kezeli külön a céges illetve a lakossági személyes adatok kezelését.
Mit is kell tenni, a teljes körű megfelelőség érdekében?
2018. május 25-től a cégeknek, vállalkozásoknak megkülönböztetett hangsúlyt kell tehát fektetni adatkezelési tevékenységükre. Az első pillanattól kezdődően egészen az adatok törléséig, a törvényi előírásoknak megfelelően kell eljárni, úgy, hogy azt bármikor, amennyiben az ellenőrző szerv/hatóság kéri, mindenkor igazolható módon megfeleljen az előírásoknak. Ezek alappillére kell, hogy legyen az egyértelmű/közérthető adatkezelési hozzájárulások megléte.
A GDPR alkalmazása egy adott cégnél a teljes cég „team” munkáját igényli, nem csupán informatikai feladatok tehát, a munka oroszlánrészét azért természetesen az informatika végzi, de a többiek segítségével, együttműködésével. Hisz, nézzük csak; pl.a HR kezeli az alkalmazottak személyes adatait, munkaüggyel kapcsolatos adatokat, a logisztikai csoport a beszállítók adatait fogja össze, a marketingesek értékesítéssel kapcsolatos adatokat, vevői adatok nyilvántartását tartják kézben. Komplex, átfogó profi csapatmunkát igényel a cégektől a feladat.
A GDPR alkalmazásával kapcsolatban olvashatjuk mindenfele, hogy egyes esetekben célszerű, úgynevezett adatvédelmi tisztviselő megválasztása. Ez olyan esetekben kötelező, amikor közfeladatot ellátó szerv végzi az adatkezelést, továbbá, amennyiben az adott cég jellegéből fogva az érintettek rendszeres, és szisztematikus megfigyelését teszi szükségessé, még tovább, abban az esetben, amennyiben az adatkezelés úgynevezett különleges kategóriát képvisel, például bűncselekményekkel kapcsolatos az adatkezelés.
Adatkezelési nyilvántartások, hogyan?
Hogy valami pozitívumot is megemlítsünk a GDPR-es munkálatokkal kapcsolatban, alkalmazásával, megszűnik az adatvédelmi nyilvántartási szám kérése, amely korábban a NAIH felé volt kötelező, az arra érintettek számára.
Mostantól, a GDPR Európa Uniós adatvédelmi törvény azt szabályozza, hogy adatkezelőknek, adatfeldolgozóknak cégen, vállalkozáson belüli adatkezelési nyilvántartást kell létre hozniuk és vezetniük írásban, természetesen elektronikus formában is elfogadott. Ezt az adatkezelési nyilvántartást/dokumentumot kérésre az ellenőrző hatóság rendelkezésükre kell bocsátani, hogy az ellenőrzést el tudja végezni.
Adatvédelem – hatásvizsgálat?
A GDPR szabályai szerint, olyan esetekben, ahol magas kockázatú az adatkezelés, a személyes adatok védelme, nos, ilyen estekben mindenképpen erősen ajánlott az úgynevezett adatvédelmi hatásvizsgálatot lebonyolítása. Ezen esetben az adatkezelő felelőssége nagyon lényeges, mert mint felelős, folyamatosan biztosítania kell, hogy az adatkezelési nyilvántartás a törvényi előírásoknak maximálisan megfelel.
Adatvédelmi – esetleges incidens kezelési terv megléte
Bármikor előfordulhat, hogy a nyilvántartott, továbbított, illetve bármily módon tárolt személyes adatok „megsérülnek”, elvesznek, jogosulatlan hozzáférés, jogosulatlan közlés kerül képbe esetleg stb. Nos, ilyen esetekben is az adatkezelő felelősége létfontosságúvá válik. Az „incidens” észrevétele után 72 órán belül a felügyeleti hatóságot értesíteni köteles, az érintetteket pedig késedelem nélkül tájékoztatni köteles. Az incidens adatvédelmi tervnek tartalmaznia kell az incidensből adódó következményeket, kötelező és lehetséges intézkedéseket stb. .