Sokat bukhat, ha ezt nem tudja bizonyítani

A május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen érzékenyen érintheti a vállalkozásokat, mivel a bírság akár 20 millió euró (6,2 milliárd forint) is lehet, hívta fel a figyelmet a nemzetközi adótanácsadó és könyvvizsgáló Crowe FST.
Szabó Zsuzsanna, 2018. február 23. péntek, 15:48

A tervek szerint május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen védendő kategóriába helyezi a természetes személyekhez kapcsolódó személyes adatokat, így rendkívül súlyos büntetést is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azokra a cégekre, amelyek nem teremtik meg a megfelelő szintű biztonsági hátteret - hangsúlyozza a Crowe FST közleményében.

Személyes adatnak számít a név, a születési adatok, a lakcím, a telefonszám és az e-mail cím, a konkrét személyhez nem köthető cím - mint például az "info" kezdetű - nem minősül személyes adatnak - mutat rá az adótanácsadó.

Mitrik Kornélia, a Crowe FST bérszámfejtési és expat szolgáltatások igazgatója ezzel kapcsolatban felhívta a figyelmet, hogy az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez. A szakember hangsúlyozta továbbá: nagyon fontos, hogy az érintett vállalkozás mindent naplózzon és dokumentáljon, ellenkező esetben akár hatmilliárd forintnyi, vagy az éves árbevételének 4 százalékát is kitevő bírságra számíthat a cég.

A patikákat is érzékenyen érinti

A Crowe FST szerint az új uniós rendelet az egészségügyben érdekelt vállalatokat - köztük több mint 2000 patikát - különösen érzékenyen érintheti, mivel számos alkalmazást kell majd módosítani az elkövetkezendő negyedévben oly módon, hogy az adott páciensnek a jövőben hozzá kell járulnia ahhoz, hogy a privát adataikat felhasználhassa és kezelhesse az adott alkalmazás. A fejlesztőknek és informatikusoknak viszont azt is meg kell oldaniuk, hogy az ügyfelek adatai törölhetők legyenek. A jogszerű és átlátható adatkezelést, valamint a kezelt adat tulajdonosának hozzájárulását pedig mindenképpen tudnia kell bizonyítani a cég munkatársainak - hangsúlyozta.

Mi a helyzet a marketingcélú adatbázisokkal?

A rendeletet továbbá minden olyan vállalkozásnak is figyelembe kell vennie, amely működtet bármilyen marketing célú adatbázist, mivel csak abban az esetben lehet tárolni személyes adatokat, ha megtörtént a hozzájárulás az illetőtől. Egy toborzó cég esetében például a toborzást követően meg kell semmisíteni a pályázóktól beérkező adatokat, kivéve, ha azok további kezeléséhez a pályázó kifejezetten hozzájárul.

Mivel viszont személyes adat szinte bármi lehet, ami alapján egy adott személy beazonosítható, például a nagy irodaházak portáin elkért/tárolt adatok tekintetében is szükséges lesz az adatvédelmi szabályzat és az érkezők hozzájárulása az adataik (például név, személyi igazolványszám, aláírás) tárolásához - mutat rá a Crowe FST.

A kép forrása: Shutterstock.

HOZZÁSZÓLÁSOK