Minden idők legszigorúbb szabályai léphetnek életbe jövőre a személyes adatok védelmével kapcsolatban Magyarországon. Az Európai Unió még 2011-ben készített egy iránymutatást arra vonatkozóan, hogy a cégeknek miként kell biztonságosan kezelniük ügyfeleik és munkavállalóik személyes adatait.

 Designed by Freepik

A General Data Protection Regulation (GDPR) jelenleg csupán iránymutatás a tagországok számára, de hamarosan minden államnak meg kell hoznia a saját törvényeit e területhez kapcsolódóan. Hazánkban várhatóan decemberben kerül a Parlament elé a törvényjavaslat, amely elfogadása után mindenkinek, aki személyes adatokat kezel, alaposan át kell alakítania az eddig használt rendszerét. Ellenkező esetben a globális árbevételének 2-4%-áig büntethetik meg őket.

A szigorítás hátterében az áll, hogy a cégek jelentős része nem vigyázott kellőképpen az ügyfelei adataira, így ezek nem egy esetben illetéktelen kezekbe kerülhettek. A rengeteg visszaélés miatt döntött úgy tavaly az EU, hogy 2018. május 25-től minden olyan szervezet számára kötelezővé teszi az iránymutatását, amelynek legalább egy európai uniós munkavállalója vagy ügyfele van.

Nemcsak a vállalatokat, hanem az önkormányzatokat, intézményeket, civil szervezeteket, köztestületeket is érintik a változások.

Ez lesz az első olyan igazi törvény, ahol az informatika és a joggyakorlat találkozik, ezért egyelőre sok a bizonytalanság.

A jogász ugyan tudja értelmezni, hogy a jog szempontjából milyen előírások vonatkoznak az adatkezelésre, de azt, hogy a cég miként védje meg a külső vagy éppen belső támadásoktól az adatokat, az már az informatikus dolga.

Ha például a jövőben jelentkezünk egy állásra, és elküldjük a CV-nket a HR-esnek, akkor külön nyilatkoznunk kell arról, hogy ha nem minket választanak a pozícióra, megtarthatják-e bármilyen formában az adatbázisukban a ránk vonatkozó információkat. Ez egy új joga a személyes adatok tulajdonosának, és a törvénynek éppen ez az egyik legnagyobb változása, hogy jogokat ad a személyes adatok tulajdonosainak a kezébe.

A magyar szervezeteknek tehát fel kell készülniük a törvényi kötelezettségeik teljesítésére.

Az egyik kötelezettség a hozzáférhetőséghez kapcsolódik, azaz minden cégnek meg kell tudnia mutatni, hogy milyen személyes adatokat tárolnak az ügyfeleikről vagy a munkavállalóikról. Emellett minden esetben be kell tudniuk bizonyítani, hogy hol és miként járult hozzá az ügyfél a személyes adatainak tárolásához.

Ha ezt nem tudják igazolni, akkor büntetésre számíthatnak. Ez idáig a NAIH Magyarországon max. 20 millió forintra büntethetett meg egy vállalkozást, ám a törvény hatályba lépése után a büntetési tétel a globális árbevétel 2-4%-áig terjedhet. Ez azért fontos, mert ha például egy nemzetközi cég telephelyét marasztalják el, akkor is a globális árbevételt veszik alapul, így akár több milliárdot is fizethet egy-egy világcég.

Tehát érdemes átgondolnia minden érintettnek, hogy miért és hogyan kezelnek személyes adatokat, egyáltalán szükség van-e azokra, netán miként lehet minimalizálni a tárolt adatok mennyiségét.

Hasznos végiggondolni azt is, hogy van-e adatvédelmi felelős, adatvédelmi szabályzat a vállalatnál, kik az adatgazdák, akik munkakörükből eredendően közel kerülnek a személyes adatokhoz, milyen informatikai rendszer működik, abban mit kezelnek.

A törvény bizonyos cégeknél kötelezővé teszi adatvédelmi tisztviselő foglalkoztatását (ilyen kollégát „bérelni” is lehet majd), akinek minden személyes adattal való visszaélést 72 órán belül jeleznie kell az illetékes hivatal felé.

Egy-egy cég felkészülése a GDPR-re való megfelelésre akár több hónapot is igénybe vehet.