Jövő májusban életbe lép az Európai Unió új adatvédelmi rendelete (GDPR), amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. A magánszemélyek nagyobb betekintést és jogokat kapnak az adataik kezelésével kapcsolatban, ezzel párhuzamosan a cégek ez irányú kötelezettségeit növekednek, a mulasztásokat pedig minden eddiginél nagyobb pénzbüntetéssel sújtják.
Az új, egységes európai szabályozás jövő év május 25-én lép hatályba, s bár ez még távolinak tűnhet, a változások olyan sok mindenre kiterjednek, hogy ez a bő félév biztosan kell a felkészülésre, amit ideje a cégeknek haladéktalanul elkezdeni. A rendelet ugyanis nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás (kkv).
Ráadásul a rendelet nemcsak a digitálisan tárolt személyes adatokra vonatkozik, hanem a papíralapúakra is, amennyiben azok valamilyen nyilvántartási rendszer részét képezik vagy fogják képezni. Mivel a nyilvántartási rendszer nem jelent mást, mint meghatározott ismérvek alapján hozzáférhető adatokat, ezért nagy az esélye, hogy az iratkezelések túlnyomó többsége a rendelet hatálya alá esik, így azokra ugyanolyan szigorúan szabályozás fog vonatkozni a kezeléstől a tároláson át a szakszerű iratmegsemmisítésig, mint a digitálisan tárolt személyes adatokra.
A hazai helyzetet súlyosbítja, hogy egy páréves reprezentatív kutatás szerint a magyar kkv-k negyedénél semmiféle iratkezelési előírás nincsen. A kétszáz hazai kis- és középvállalkozás adatvédelmi és iratmegsemmisítési szokásait felmérő kutatást a papíralapú adatvédelemmel foglalkozó Fellowes cég rendelte meg, amiből kiderült, bár a hazai kkv-k 90 százalékánál vannak bizalmas jellegű iratok, 25 százalékuknál egyáltalán nincs semmiféle előírás ezek kezelésére.
Ezek után az sem meglepő, hogy szintén majdnem negyedük (17 százalék) már szenvedett el versenyhátrányt adataikkal való visszaélés miatt. Ehhez most az új uniós szabályozás értelmében az is hozzáadódik, hogy a cégek minden eddiginél szigorúbb pénzbüntetésre számíthatnak, ha nem felelnek meg az előírásoknak.
Súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg – ismerteti a szankció mértékét dr. Halász Bálint, a Bird & Bird ügyvédje. Az éves bevételnél ráadásul egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja.
Azt is fontos észben tartani, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.
A legfontosabb tanácsokat a Fellowes pontokba szedte, hogy ezzel is segítse a felkészülést:
- csak olyan adatok legyenek a cégek birtokában, amelyekre bizonyíthatóan szükség van;
- ezeket megfelelően kell tárolni és folyamatosan átnézni, hogy mire van még szükség, és mi az, amit meg kell semmisíteni;
- az aktualitásukat vesztett adatokat, bizalmas információkat tartalmazó iratokat szakszerűen és biztonságosan kell megsemmisíteni, ehhez a megfelelő eszközöket időben be kell szerezni, legyen szó papíralapú dokumentumok vagy elektronikus adatok megsemmisítéséről;
- a magánszemélyeknek ezek után is joga lesz betekintést kérniük abba, hogy hol és hogyan tárolják a róluk szóló adatokat, hogyan mozgatják azokat, illetve hogy kellő időben megsemmisítik-e;
- egy cégnél csak az erre kijelölt személyek férhetnek hozzá az adatokhoz;
- külön rendelkezni kell, hogy harmadik személynek milyen adatokat lehet átadni;
- át kell nézni a szerződéseket, beleértve a munkaszerződéseket is, és meg kell vizsgálni, hogy azok megfelelnek-e az új előírásoknak, illetve azoknak megfelelő szerződésmintákat kell kidolgozni;
- a személyes adatokhoz hozzáférő beszállítókkal, alvállalkozókkal a rendeletben foglalt előírásoknak megfelelő szerződést kell kötni;
- a beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést, különösen pedig az alapértelmezett adatvédelem (privacy by design) követelményének való megfelelést;
- bizonyos feltételek teljesülése esetén ki kell nevezni egy adatvédelmi felelőst
Alapvetően a cégeknek jövő májustól egy egészen másfajta kommunikációra kell felkészülniük az ügyfelekkel, munkavállalókkal, partnerekkel, beszállítókkal, amikor az üzletmenet szempontjából szükséges adataikat elkérik tőlük és azokat tárolják – teszi hozzá Kreutz László, a Fellowes Hungary Kft. ügyvezetője. Nem utolsó sorban pedig jövő májusig el kell végezni a selejtezést, és gondoskodni kell a fölöslegessé vált iratok szakszerű, biztonságos megsemmisítéséről, amit aztán a jövőben is folyamatosan meg kell tenni.
