Mikor is lehetne aktuálisabb téma az adatvédelem, ha nem most a 21. század digitális világában? Az információk nagy része elektronikus formában jut el hozzánk, szinte minden adatunk elérhető online.
Elengedhetetlen, hogy az adatvédelem minden cégnél fontos szerepet töltsön be, hiszen a személyes és vállalati adatok rendkívül érzékenyek. Gondoskodnunk kell arról, hogy ezek a számunkra fontos és értékes információk ne kerüljenek illetéktelen kezekbe.
Az adatvédelem kimagasló szakértelmet, felelősséget, gyakorlatot kíván. Alábbi írásunkkal ehhez szeretnénk egy kis segítséget nyújtani az olvasónak.
Mi jelent az adatvédelem?
Az adatvédelem egy igen komplex terület, amely a személyes adatok megfelelő védelmét hivatott szolgálni, különféle megoldásokkal, a különféle vállalati és külső elvárásokból fakadó követelményekre. Az adatvédelem nem csak egy jogszabály, vagy ha úgy tetszik nem csak az EU Általános Adatvédelmi Rendelete (GDPR). Bár kétségkívül ez az uniós jogszabály kavarta fel az adatvédelem állóvizét 2016-2018 között. Ha egy vállalkozás elkötelezi magát az adatvédelem mellett, egy olyan keretrendszer bevezetését és fenntartását kell célkitűzésként megvalósítani, amely nagyon hasonló egy nemzetközi szabvány szerinti irányítási rendszerhez. Nem elegendő elkészíteni egy-két dokumentumot, hogy egy megfelelő szintű adatvédelemről beszélhessünk. Annak be kell épülnie a szervezet életébe, folyamataiba. Időközönként felül kell vizsgálni a megfelelőségét, reagálni kell a külső, például jogszabályi változásokra, amelyek lehetnek ágazati törvények is, nem csak a GDPR vagy az infotv., valamint a belső változásokra (például egy megváltozott recriutment folyamat) egyaránt ügyelni kell.
Kikre érvényes a GDPR?
A rendelet kétfelől közelíti meg a területi hatályt, egyrészt az Unióban tevékenységi hellyel rendelkező, másrészt az Unióban tartózkodó érintettek számára szolgáltatást nyújtó vállalkozásokra vonatkozik. Ez a gyakorlatban egy igen széles hatályt jelent, s nem tesz különbséget a vállalkozás méretében, formájában sem. Legyen az akár egy kis fodrászüzlet, egy nagyvállalat vagy egy civil szervezet, a rendelet követelményeit be kell tartani.
Kezdetekben sokat lehetett válaszként hallani, hogy „mi nem kezelünk személyes adatot, ránk nem vonatkozik a GDPR”. Mára talán már a vállalkozások többsége megértette, hogy a személyes adatok alatt nem csak a vásárlók adatait kell érteni, így nem csak a B2C, hanem a B2B vállalkozásokra is egyaránt vonatkozik. Személyes adatok mindenütt jelen vannak, akár a munkavállalóink, akár a szerződéses kapcsolattartók vagy webshop felhasználók adatairól beszélünk.
Személyes adat lehet például:
- vezetéknév és utónév
- lakcím
- a személyazonosító igazolvány / útlevél száma,
- kórház vagy orvos birtokában lévő adatok,
- helymeghatározó adatok.
Milyen kötelezettségeik vannak a cégeknek 2021-ben adatvédelmi szempontból?
Bár az egységes elvárásokat jelentő GDPR idén töltötte harmadik születésnapját, számos esetben látni, hogy még mindig nem sikerült teljesen megérteni, hogy milyen elvárásoknak és hogyan is kellene megfelelni. Pedig egy jól bevezetett adatvédelmi keretrendszert fenntartani sokkal egyszerűbb, mint folyamatosan a kivételeket kezelni. Ugyanakkor még mindig vannak olyan területei az adatvédelemnek, amelyekre nincs egységes, kiforrott, jó gyakorlat. Bár az Európai Uniós Adatvédelmi Testület iránymutatásokkal, véleményekkel segíti a rendelet betartását, az eltérő hatósági gyakorlatok miatt még van okunk bizonytalannak lenni egyes kérdésekben.
Az egyik legnagyobb kihívás – különösen azoknál a vállalkozásoknál, ahol nincs az adatvédelemre egy dedikált osztály vagy személy – a változások figyelemmel kísérése és azokra való reagálás. Nagyon egyszerű példa, hogy a közelmúltban megváltozott magyar adatvédelmi hatóság (NAIH) elérhetőségei nem kerültek javításra az adatkezelési tájékoztatókban. De ez megfigyelhető akár egy jogszabály-módosítás során is, amikor a vállalkozás irattári tervében, tájékoztatójában még régi megőrzési idők szerepelnek.
Azért az már látszik, hogy a tudatos cégek irányából is van egyfajta nyomás, akik a szerződéses partnereiktől, beszállítóiktól is elvárják, hogy az adatvédelemre megfelelő intézkedéseket hozzanak, amivel garantálni tudják az együttműködés során a személyes adatok sértetlenségét, bizalmasságát, rendelkezésre állását. Ez megnyilvánulhat a szerződéskötést megelőző átvilágításban, kérdőívben vagy partneri auditban is. Hasonlóan ahhoz, hogy némely ISO szabvány bevezetése, tanúsítása ma már egy tender, pályázat feltételét képezheti, úgy az adatvédelemre is várható hasonló reakció a piactól. Az ügyfelek, vásárlók tudatosságát személyes adataik felett és az ezzel járó bizalmat a vállalkozások felé nem is említve.
Milyen folyamatokkal, eszközökkel a legegyszerűbb a cégeknek az adatvédelmi irányelveket betartani?
A megfeleléshez elengedhetetlen a vezetők elkötelezettsége, valamint egy szakértő, aki segít értelmezni az egyes követelményeket és azokat a gyakorlatba átültetni. Ez lehet külsős személy is vagy belső munkavállaló, a lényeg, hogy legyen meg az a tudás, amellyel a szervezet elérheti a céljait. Ez az egész bevezetési és működtetési folyamat alapja. Mindezeken felül különféle termékeket, szolgáltatásokat, IT megoldásokat is igénybe lehet venni, amit a szervezeti igények indokolnak.
Bár számos szoftveres megoldás létezik, ezek nélkül is kialakítható egy jól működő adatvédelmi keretrendszer. Az adatvédelmi irányelvek, kötelezettségek betartására készült szoftverek megtérülése a nagyvállalatoknál jellemző, ahol olyan nagy számban kell például adatvédelmi hatásvizsgálatot készíteni, érintetti jogokat kezelni, amihez szükséges egy fejlettebb megoldás, mint az Excel táblázat.
Szintén léteznek előre elkészített sablon dokumentumok vagy olyanok, amelyek egy kérdőív alapján generálnak nekünk egyet. Ezek bár segíthetnek összegyűjteni az információkat és megfelelő formába ölteni azokat, körültekintően kell velük bánni. Nem elegendő csak letölteni, megvásárolni, azt minden esetben a vállalkozásra, tevékenységre kell szabni.
Erre is nagyon sok példát látni az interneten, ami sok esetben akár a vásárló / ügyfél megtévesztését, félretájékoztatását eredményezheti és ebből fakadó jogérvényesítési kérelembe, adott esetben hatósági eljárásba torkollhat.
Talán azt mondhatjuk, hogy a követelmények betartása akkor lesz könnyű, ha a teljes szervezet tudatossága megfelelő, a munkavállalók ismerik a rájuk vonatkozó előírásokat. Ezzel képesek lesznek felismerni az eltéréseket, amivel például egy adatvédelmi incidens is idejében észlelhető, kezelhető lesz. Megvásárolhatjuk a legújabb, legbiztonságosabb autót, ha olyan embert ültetünk a volán mögé, aki nem ismeri a kreszt.
A tapasztalatok szerint mit a legnehezebb betartani?
Technikai oldalról a törlés kérdését lehetne megemlíteni, ami a mai napig kihívás elé állítja az IT csapatot, illetve itt van is egy GAP a jogszabályi elvárás és a megvalósítás lehetőségei között.
Minden szervezet más, ezért a nehézségek is eltérőek. A nagy számú ügyfeleket (érintetteket) kezelő vállalkozásoknak minden bizonnyal a jogérvényesítési kérelmek teljesítése jelentheti a legnagyobb kihívást, ahol adott esetben napi több száz ilyen igény, megkeresés érkezhet. Ezekre a szervezet egy teljes csapatot tarthat fenn vagy automatizmusokkal segítheti a folyamatot.
Más vállalkozásnál, ahol a tevékenységi körből fakadóan a munkavállalók folyamatosan mozognak az országok között, távolról kell elérni a céges adatokat és utazás közben is megfelelő védelemmel kell ellátni őket, ott az adat és információbiztonság fogja a kihívást jelenteni.
Hol buknak el a magyar cégek az adatvédelmi megfelelőség szempontjából?
Sajnos a hiányos ismeretek vezetnek a leginkább a nem-megfelelőséghez, ami adódhat abból is, hogy nem megfelelő külső segítséget veszünk igénybe. Legjobb példa talán erre, amikor a szervezet büszkén mondja, hogy készíttetett egy adatvédelmi szabályzatot és, hogy ő megfelel a GDPR-nek. A megfeleléshez azonban ez nem elég. A szabályzatalkotás egyébként nem is kötelező, bár kétségkívül a szervezet méretéből fakadóan jó gyakorlat lehet, mégis sokan ezt adják el adatvédelmi megfelelőség címén. A gyakorlatban tehát még mindig a „legyen meg a papírunk” felfogás él, de az adatvédelem ennél többrétűbb és több területet érint.
Mi okozza a legnagyobb félreértést a témában a cégeknél?
Még mindig az visszhangzik a leginkább, hogy ellehetetleníti a GDPR a működést és, hogy felesleges papírmunka. A magyar vállalkozásokra a GDPR előtt is igen erős szabályok vonatkoztak. A kezdeti riadalmat vélhetően a büntetési tételek nagysága jelentette, illetve az egyes követelmények gyakorlati értelmezésének nehézségei. Jellemző probléma, hogy jogszabályi megfelelésként tekintenek a cégek az adatvédelemre. Noha a GDPR egy EU-s jogszabály a megfeleléshez, nem elegendő csak egy jogász vagy egy jogi osztály. Sőt a tapasztalatok azt mutatják, hogy a jogászok által felkészített cégek csak felszínesen felelnek meg az elvárásoknak, holott a megfelelési projekt érinti az üzleti területet, az informatikát is. E három terület bevonása nélkül nem lehet GDPR bevezetést csinálni.
Mi a legcélszerűbb első lépés a megfeleléshez?
Mindenképp egy felmérést javasolt, hogy képet kapjunk az aktuális állapotról, melynek része lehet az adatok feltérképezése is. Nagyon fontos, hogy a vállalkozás legyen tisztában azzal milyen adatokat tárol, kezel és utána tudja értékelni, hogy azok valóban szükségesek-e számára, teljesíti-e azt a célt, amelyből begyűjtötték. A felmérés során értékelni kell, hogy a szervezetre vonatkozó külső elvárások miként teljesülnek, azok a belső elvárásokkal hogyan egészítik ki, fedik egymást. Ezekből az információkból már meghatározható egy cselekvési terv. A felmérés egyébként időközönként, évente egyszer is indokolt, akár belső audit vagy külső ellenőrzés révén.
Első lépésként tehát információt kell gyűjteni, amiből összeáll a feladatlista, azok a hiányzó elemek, amelyeket a megfelelési projekt során elő kell állítani, implementálni.
Mi történik, ha valaki megsérti az adatvédelmi előírásokat?
Az általános adatvédelmi rendelet megsértése súlyos szankciókkal, következményekkel járhat. Akár 20 millió euróig terjedő pénzbírság szabható ki, emellett pedig további korrekciós intézkedéseket is elrendelhet az adatvédelmi hatóság.