Mit érdemes tudni az európai adatvédelemről?
Az információ világában mind a magánembernek, mind pedig vállalkozásnak nagyon fontos, hogy miről, mekkora mennyiségű és milyen pontos adattal rendelkezik. Az adatokkal való visszaélés a világ dollármilliárdos üzlete. Éppen ezért az EU nagyon fontosnak és hangsúlyosnak tartja az adatok kezelésének szabályozását. Ennek megismerésére mostanáig 130 millió EUR-t költöttek. A szabályozás nem újkeletű dolog, EU-s rendeleti szinten megjelent már az 1990-es években, aminek tagállami oldalról minden tagországnak meg kellett felelnie. Ennek eredményeképpen az összes tagállamban létrejött/megvalósult 28 az adatok kezelését és feldolgozásának szabályozását leíró szabály és rendelet.
A világot érintő két tendenciát lehet megkülönböztetni:
- mi lesz a világot elárasztó hulladékmennyiséggel?,
- hogyan gátoljuk meg a világméretet öltött és dollármilliárdokat megmozgató adatvisszaéléseket?
GDPR követelmények és háttérinformációk
Az EU komoly erőforrásokat biztosított a GDPR előkészítésére.
- Jelenleg az EU tagállamaiban 28 különböző adatvédelmi szabály van, ennek megismerésére 130 millió €-t fordítottak.
- A GDPR rendeletet több mint 4 éves előkészítő munka előzte meg.
- 20 millió €, vagy az éves árbevétel 4%-a (mindig a magasabb összeg), megközelítőleg 6 milliárd forint – a GDPR megszegéséért, ennyi a maximálisan kiszabható büntetés.
Minden gazdálkodószervezetnek gondoskodnia kell a személyes adatok (bármely meghatározott – azonosított vagy azonosítható – természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés) védelméről, azaz az illetéktelen felhasználásról.
Az adatkezelőnek a személyes adatok kezelés során az alábbi 7 kritériumnak kell megfelelniük:
- az adatszolgáltató felé jelezni kell az általa szolgáltatott adat kezelésének célját,
- az adatkezelés jogalapját,
- az adat megőrzésének idejét,
- egyértelmű, részletes tájékoztatást kell adni az adatkezelés módjáról és az adatkezelésben érintett felekről,
- az adatszolgáltató hozzájárulását kell kérni az adatok kezeléséhez (amelynek önkéntesnek kell lennie),
- a szervezetnek adatvédelmi nyilvántartás kell készíteni a kezelt adatokról, adatfajtákról, valamint
- biztosítani kell az adatszolgáltató részére az adathelyesbítéshez és törléshez való jogot (a jogszabályi követelményeket figyelembe véve).
Az adatkezelőnek írott formában rögzíteni kell az adatok feldolgozásának módját, idejét és célját.
A GDPR rendszer kialakításának alapjai megegyeznek más vállalatirányítási folyamatirányítási menedzsment rendszer kialakításával, mely 4 területet foglalnak magukba: Jogi elvárások: Az interneten fellelhetőek „GDPR dokumentációs csomagok”, amely a tapasztalataink szerint ártól függetlenül (!) nem tartalmazzák a teljes, és a GDPR követelményeknek maximálisan eleget tevő és szükséges dokumentumokat. Rendszerint csak a „legszükségesebb” dokumentumok (Adatvédelmi szabályzat, adatkezelési tájékoztató, és egy-két „alap” sablon jelenik meg bennük, és még csak meg sem hivatkozzák a további, jogszabály által megkövetelt és a hatósági ellenőrzések során szükséges további szabályzatokat, kockázatelemzéseket, nyilvántartásokat.
- Szervezeti elvárások: a szervezeti felépítéstől és munkaköri feladatoktól függően meg kell határozni az adatkezelésben érintett, munkaköri feladatokat, felelősségeket◦ Folyamati elvárások: az adatok kezelését, az adatok átadásának folyamatát folyamatszemlélettel kell megvalósítani, és láthatóvá tenni mind a belső munkatársak, mind pedig a hatóság részére.
- Technológiai elvárások: az adatok kezelésének és védelmének módszereit, kritériumait, infrastrukturális feltételeit szintén meg kell határozni, és biztosítani kell.
A fentiek alapján tisztán láthatóvá válik, hogy a „vásárolt” dokumentációs csomagokkal a követelmények mindössze ~10-20 % teljesíthető. A maradék ~80-90 % teljesítéséhez egy esetleges ellenőrzés során megállapított 8 napos határidő nem elegendő.
NAIH és az ellenőrzések
A NAIH 2018-ban megkapta a bírságolási jogot, amely szerepkörének eleget is tesz. (Lásd http://www.naih.hu/hatosagi-hatarozatok—vegzesek.html.) Az a tévhit, miszerint türelmi idő van 2018-ban, a határozatokat szemlélve könnyen mindenki maga eldöntheti.
A jó hír: a GDPR követelményeknek eleget lehet tenni, azonban a követelményeket teljesítő adatkezelési folyamatok kialakításához elengedhetetlenül szükséges a rendszer- és folyamatszemléletű megközelítés és gondolkozásmód, valamint a menedzsment és vállalatirányítási rendszerkiépítési tapasztalat. Az adatkezelési folyamatok és tevékenységek, módszerek meghatározása, továbbá a kockázatszemléletű megközelítés nagy hasonlóságokat mutat más rendszerek kiépítésével, ahogy azt az alábbi ábra is szemléltet:
1. Állapotfelmérés
- Azonosítjuk a személyes adatok körét
- Megvizsgáljuk az adatok kezelésének
1. Célját
2. Módszereit
3. Eszközeit - Rögzítjük a feltárt eltéréseket, nemmegfelelőségeket
- Javaslatokat teszünk a GDPR megfelelés érdekében
2. Dokumentáció elkészítése
- Adatkezelési szabályzat
- Adatkezelési tájékoztató
- Adatfeldolgozási szerződések/mellékletek
- Adattovábbítási szerződések/mellékletek
- Közös adatkezelési szerződések
- Adatkezelési protokoll kialakítása
3. Rendszer bevezetése
- Adatvédelmi kockázatelemzés elkészítése
- IT kockázatelemzés elkészítése
- Hatásvizsgálati dokumentáció elkészítése
- Készítsük el a szükséges nyilvántartásokat:
1. Adatvédelmi nyilvántartás
2. Adatvédelmi incidens nyilvántartás
3. Adattovábbítási nyilvántartás
4. Stb. - Személyügyi anyagok rendszerezése (nyilatkozatok)
- Adatkezelési protokollok kialakítása
- IT protokollok kialakítása
- Az állapotfelmérésen feltárt hiányosságok megszüntetése
4. Oktatás
A személyes adatok megfelelő kezelésének, valamint az incidensek bekövetkezésének elkerülésére a legjobb módszer a rendszeres és részletes oktatás:
- Incidens kockázatok
- Incidensmegelőzési oktatások
- Teendők az incidensek elkerülésére
- Teendők incidens bekövetkeztekor
5. Felülvizsgálat
A GDPR rendszert, valamint az adatfeldolgozási folyamatokat, módszereket és eszközöket és azok kezelését rendszeres időközönként (havi, negyedéves, féléves, éves [max.]) valamint a GDPR rendszert érintő változások esetén felül kell vizsgálni.
A kiépített GDPR rendszer képes kell, hogy legyen, a mindennapi aktuális változások (jogszabályi, személyi, technológiai, adatkezelési célok, üzletpartneri kapcsolatok, stb.) lekövetésére, hivatkozására, és folyamatos szabályozására.
Kósa György, Schreithofer Márk; ÖKOSYS Zrt.
![cimkezesi_kovetelmenyek_es_szabal[1]](https://agraragazat.hu/wp-content/uploads/2018/04/cimkezesi_kovetelmenyek_es_szabal1-375x251.jpg)
![cimkedesign_es_a_vevok_korrekt_tajekoztatasa_0[1]](https://agraragazat.hu/wp-content/uploads/2018/04/cimkedesign_es_a_vevok_korrekt_tajekoztatasa_01-375x228.jpg)
