Nyakunkon egy fontos határidő - így kerülheti el a végzetes bírságokat

A GDPR bevezetésének határideje lassan lejár, a rendelet be nem tartása pedig gyakorlatilag elkerülhetetlen, a szankciók pedig horribilisak. A Process Solutions összeszedte azokat a főbb intézkedéseket, amelyekre a cégeknek még a május 25-i határidő előtt érdemes odafigyelni.
Szabó Zsuzsanna, 2018. március 12. hétfő, 17:05

Az Európai Unió - már hatályban lévő - általános adatvédelmi rendeletét (GDPR) 2018. május 25-től már alkalmazni is tudni kell. Mindez jelentős és közvetlen hatással bír a szervezetekre nézve, mivel szinte minden cégre vonatkozik, amely bármilyen módon kapcsolatban áll magánszemélyekkel, és személyes adatok kezelésében és/vagy feldolgozásában érintett, tekintet nélkül arra, hogy EU-n belül vagy kívül tevékenykednek - hívja fel a figyelmet a Process Solutions.

A rendelet két nagyon fontos dolgot különböztet meg, miszerint a vállalatok adatkezelői és adatfeldolgozói minőségbe is kerülhetnek. Például a bárszámfejtői szakmában mind a két oldalnak meg kell felelni, mivel munkáltatóként megjelenik adatkezelőként, az ügyfelek felé pedig adatfeldolgozóként is.

A Process Solution ezek alapján összeszedett néhány példát arra, hogy mik számíthatnak rossz gyakorlatnak:

  • A meghatározott időn túl email címek tovább tárolása
  • Hozzájárulás nélküli adatok felhasználása bármilyen célra
  • Illetéktelen kezekbe történő adatkiadás
  • Titkosítatlan eszközön személyes adatok hordozása
  • Az érintett adatainak törlésére irányuló kérelem után, az adatok marketing célú további tárolása vagy használata
  • Személyes adatok továbbítása, a megfelelő védelem biztosítása nélkül
  • Személyes adatok felügyelet nélkül hagyása pl. íróasztalon vagy képernyőn
  • Gyermekek személyes adatainak begyűjtése, használata szülői belegyezés nélkül

A határidő nagyon szoros a határidő, ezrét elképzelhető, hogy külső segítségre is szükség lesz. A Process Solutions szerint nagyon fontos beazonosítani, hogy hol keletkezhetnek a cégben személyes adatok. Fontos szem előtt tartani, hogy a papíralapú dokumentumokban, belső rendszerekben, adatbázisokban, e-mailekben szereplő adatokra is vonatkozik a rendelet. Érdemes felmérni továbbá, hogy az érintett vállalatnak milyen biztonsági rendszereik vannak - ezek megállapításához több weboldalról is le lehet tölteni kérdőíveket.

Készíteni kell egy sztenderdizált csomagot is, ami tartalmaz munkaszerződéshez kapcsolódó kiegészítéseket, védelmi-adatbiztonsági leírásokat, illetve informatikai kérdéseket, és ami leírja, hogyan fogják az adatokat átadni, tárolni és kezelni.

Babos János, a Process Solutions Partnere, ügyvezető igazgatója arra hívja fel a figyelmet, hogy a rendelet be nem tartása gyakorlatilag elkerülhetetlen. Nagyon pontos feltételek kerültek meghatározásra, szigorú határidőkkel.

Babos szerint ugyanakkor fontos megemlíteni, hogy a vállalatoknak első sorban azt kell bizonyítaniuk, hogy lehetőség szerint a legjobban megfeleltek a GDPR szabályozásainak. Előfordulhatnak olyan követelmények, amelyek meghaladhatják az adott cég költségeit vagy egyéb lehetőségeit, forrásait, amire az ügyvezető szerint a szabályozás is odafigyel, ezért mindenkinek a saját lehetőségeihez képest kell kiépíteni az új adatbiztonsági rendszerét.

HOZZÁSZÓLÁSOK