2018. május 25-től hatályos Magyarországon a GDPR azaz az Európai Unió új adatvédelmi rendelete. A határidő már csaknem két éve ismert lehetett, de sokan csak most kezdenek foglalkozni a feladattal. Már pedig tennivaló van bőven.
Az új jogszabály a jelenleg is érvényben lévő Infotörvény (információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) helyébe lép, amely Európában eddig is szigorúnak számított. Nem indokolt az eltúlzott aggodalom a változások miatt, de ugyanakkor új szemléletet kell követnünk: már nem elegendő jogszerűen eljárni, hanem a jogszerű működést bizonyítani is kell, miközben az egyes személyek sokkal nagyobb kontrollt kapnak saját személyes adataik felett. A legnagyobb veszélyt a bírságok mértékének radikális emelkedése jelenti.
A változás minden olyan szervezetet érint, amely adatot kezel, akár ügyféladatról, akár munkavállalók adatairól van szó. Így tehát a rendelet hatálya minden olyan adatra kiterjed, amellyel egy természetes személy azonosíthatóvá válik. Ilyen a név, cím, személyigazolvány szám, TAJ szám, adó szám, de ide tartozik az e-mail cím vagy éppen az IP cím is. A GDPR értelmében pedig minden olyan aktivitás adatkezelésnek minősül, amely valamilyen formában kötődik a személyes adatokhoz
A GDPR legfontosabb követelményei:
- az adatokat csak előzetes felhatalmazás alapján használhatóak
- az adat kiszivárgásáért, vagy illetéktelen megváltoztatásáért minden esetben az adatkezelő a felelős
- a tulajdonos kérésére visszavonhatatlanul törölnünk kell rendszereinkből személyes adatait
Az új szabályozásra való felkészülés – egy bizonyos méret vagy aktivitási szint felett vagy adathasználat szakember segítsége nélkül szinte lehetetlen. A törvényi megfelelés érdekében át kell tekinteni minden olyan folyamatot, ahol személyes, vagy különleges adatkezelés történik és meg kell vizsgálni:
- a végzett adatkezelés összhangban van-e a tulajdonos által adott felhatalmazással
- az adatkezelés szerepel-e nyilvántartásunkban
- az adatokhoz csak azon adatkezelők férhetnek hozzá, akik jogosultak megismerni a személyes adatot
- történik-e külső adattovábbítás, ha igen milyen felhatalmazás alapján
A helytelen adatkezelés könnyen az Adatvédelmi Hatóság tudomására juthat. A visszaélést az értintettek közvetlenül jelentheti a Hatóság felé, de az adatvédelmi incidenst döntő többségében 72 órán belül magunknak is be kell jelenteni az Adatvédelmi Hatóságnak. A kockázatok megfelelő eljárásokkal csökkenthetők.
Az ETK Szolgáltató zRt. vállalja, hogy adatvédelmi szakjogász közreműködésével áttekinti az adott szervezet adatkezelési folyamatait és kapcsolódó dokumentumait (pl. adatkezelési nyilatkozat, incidens bejelentő). Az átvilágítás kiterjed az adatkezelési folyamatok informatikai biztonsági szempontú vizsgálatára is, hogy elemezzük az elvárt védelemhez szükséges biztonsági elemek meglétét. Célunk meghatározni a jelenlegi gyakorlat és a törvényi követelmények közötti különbséget. A talált nemmegfelelőségeket jelentésben foglaljuk össze, amelyben javaslatot is tesztük elhárításukra.
A GDPR harmonizáció nem csak költség, hanem szervezet előnyére is válhat. Az érdeklődők számára egy kérdőív kitöltése után tudunk árajánlatot tenni.
Miskolczi Tamás
ETK Szolgáltató zRt.
Telefon: 222-4043 E-mail:
Hogy volt régen...?
