Nyakunkon egy fontos határidő - így kerülheti el a végzetes bírságokat

A GDPR bevezetésének határideje lassan lejár, a rendelet be nem tartása pedig gyakorlatilag elkerülhetetlen, a szankciók pedig horribilisak. A Process Solutions összeszedte azokat a főbb intézkedéseket, amelyekre a cégeknek még a május 25-i határidő előtt érdemes odafigyelni.

Az Európai Unió - már hatályban lévő - általános adatvédelmi rendeletét (GDPR) 2018. május 25-től már alkalmazni is tudni kell. Mindez jelentős és közvetlen hatással bír a szervezetekre nézve, mivel szinte minden cégre vonatkozik, amely bármilyen módon kapcsolatban áll magánszemélyekkel, és személyes adatok kezelésében és/vagy feldolgozásában érintett, tekintet nélkül arra, hogy EU-n belül vagy kívül tevékenykednek - hívja fel a figyelmet a Process Solutions.

A rendelet két nagyon fontos dolgot különböztet meg, miszerint a vállalatok adatkezelői és adatfeldolgozói minőségbe is kerülhetnek. Például a bárszámfejtői szakmában mind a két oldalnak meg kell felelni, mivel munkáltatóként megjelenik adatkezelőként, az ügyfelek felé pedig adatfeldolgozóként is.

A gazdaság és az üzleti élet legfrissebb hírei az Economx.hu hírlevelében.

Kapcsolódó

A Process Solution ezek alapján összeszedett néhány példát arra, hogy mik számíthatnak rossz gyakorlatnak:

A meghatározott időn túl email címek tovább tárolása
Hozzájárulás nélküli adatok felhasználása bármilyen célra
Illetéktelen kezekbe történő adatkiadás
Titkosítatlan eszközön személyes adatok hordozása
Az érintett adatainak törlésére irányuló kérelem után, az adatok marketing célú további tárolása vagy használata
Személyes adatok továbbítása, a megfelelő védelem biztosítása nélkül
Személyes adatok felügyelet nélkül hagyása pl. íróasztalon vagy képernyőn
Gyermekek személyes adatainak begyűjtése, használata szülői belegyezés nélkül

A határidő nagyon szoros a határidő, ezrét elképzelhető, hogy külső segítségre is szükség lesz. A Process Solutions szerint nagyon fontos beazonosítani, hogy hol keletkezhetnek a cégben személyes adatok. Fontos szem előtt tartani, hogy a papíralapú dokumentumokban, belső rendszerekben, adatbázisokban, e-mailekben szereplő adatokra is vonatkozik a rendelet. Érdemes felmérni továbbá, hogy az érintett vállalatnak milyen biztonsági rendszereik vannak - ezek megállapításához több weboldalról is le lehet tölteni kérdőíveket.

Készíteni kell egy sztenderdizált csomagot is, ami tartalmaz munkaszerződéshez kapcsolódó kiegészítéseket, védelmi-adatbiztonsági leírásokat, illetve informatikai kérdéseket, és ami leírja, hogyan fogják az adatokat átadni, tárolni és kezelni.

Babos János, a Process Solutions Partnere, ügyvezető igazgatója arra hívja fel a figyelmet, hogy a rendelet be nem tartása gyakorlatilag elkerülhetetlen. Nagyon pontos feltételek kerültek meghatározásra, szigorú határidőkkel.

Babos szerint ugyanakkor fontos megemlíteni, hogy a vállalatoknak első sorban azt kell bizonyítaniuk, hogy lehetőség szerint a legjobban megfeleltek a GDPR szabályozásainak. Előfordulhatnak olyan követelmények, amelyek meghaladhatják az adott cég költségeit vagy egyéb lehetőségeit, forrásait, amire az ügyvezető szerint a szabályozás is odafigyel, ezért mindenkinek a saját lehetőségeihez képest kell kiépíteni az új adatbiztonsági rendszerét.