Fél év múlva hatályba lép az Európai Unió új adatvédelmi rendelete, a GDPR. A vállalkozásoknak fel kell készülniük mind az elektronikusan tárolt, mind pedig a papíralapú adatok átlátható kezelésére, megfelelő tárolására és igazolniuk kell, hogy ezek birtoklására, kezelésére megfelelő jogalapon kerül sor.
Az új rendelet 2018. május 25-étől lesz alkalmazandó, az eredetileg kétéves felkészülési időből már csak fél év van hátra, úgyhogy az a vállalkozás, ami még nem kezdett el ezzel foglalkozni, az az utolsó pillanatban van. Minden céget érint, ami személyes vagy bizalmas adatokat kezel, a családi vagy kis-és középvállalkozásoktól kezdve a multinacionális nagyvállalatokig.
A GDPR hatálya ugyanakkor nem cégekre, hanem más személyekre is kiterjed, így érintettek például a társadalmi szervezetek és a közszféra is. Mindenképpen érdemes lesz időben felkészülni a változásokra, betartani a megfelelő adatkezelési szabályokat, hiszen jövő május után komoly szankciók várhatók.
Ugyanakkor a szakértők nem akarnak riogatni, hiszen számos, lehetséges pozitív hatását is kiemelték az egységesedő EU-s szabályozásnak. Mindannyian azt hangsúlyozták, hogy a GDPR nem érheti derült égből villámcsapásként a cégeket, hiszen eddig is létezett Magyarországon adatvédelmi szabályozás, az Infotörvény (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény).
Ezt váltja fel jövő májusban a GDPR, aminek több pozitív hozadéka is van: az új szabályok számos kérdésben megengedőbbek, illetve nagyobb rugalmasságot biztosítanak a vállalkozásoknak, mint az eddig érvényben lévők. A szakemberek a legnagyobb problémának inkább azt tartják, hogy a jelenlegi adatvédelmi előírásoknak sem tettek maradéktalanul eleget a cégek, miközben a GDPR alapelveinek és elvárásainak nagy része a mostani szabályozásnak is része.
„Több éve foglalkozunk adatvédelemmel és az elmúlt évek kutatásaiból az derült ki, hogy a legtöbb vállalat még mindig nem fordít kellő időt és energiát az adatkezelésre, holott a cégek 91 százaléknál nap mint nap keletkeznek bizalmas információkat tartalmazó dokumentumok. Több felmérésünk egybehangzóan azt a képet mutatja, hogy ma Magyarországon a cégek kb. negyedénél semmiféle iratkezelési szabályozás nem létezik a papíralapú dokumentumok kezelésére és az iratmegsemmisítésre vonatkozóan, márpedig aki csak egy alkalmazottat is foglalkoztat, vagy egyetlen számlát és szerződést kiállít, annál kell, hogy előforduljon ilyen irat” – vázolta fel a hazai helyzetet Kreutz László, a Fellowes Hungary Kft. ügyvezető igazgatója.
Ezért aztán hihetetlen dolgokra lehet bukkanni a megsemmisítés nélkül kidobott iratok között: egy fejvadászcéghez beküldött közel 1000 önéletrajztól kezdve egy nemzetbiztonságilag stratégiai fontosságú épületegyüttes tervrajzain át komplett pályázati anyagokig, de bevételi vagy forgalmi adatok is landolnak a szemétben. A sort sokáig lehetne folytatni azokkal a példákkal, amelyek az adatokkal való visszaélés számos lehetőségét hordozzák magukban a gondatlanság miatt.
A szakember kiemelte, hogy – bár adatvédelem kapcsán sokan elsősorban az elektronikus adatokra gondolnak –, a GDPR ugyanúgy vonatkozik a papíralapú dokumentumok kezelésére, tárolására és szakszerű megsemmisítésére is. Az már csak hab a tortán, hogy a „biztonság kedvéért” gyakran a digitális adatokat is inkább kinyomtatva szeretjük tárolni, gondoljunk csak arra, amikor egy iktatószám kedvéért kinyomtatjuk az elektronikus számlát és szépen lefűzzük.
Hortobágyi Ágoston, a Biztonságos Digitális Társadalomért Egyesület elnöke és a DO-Q-Ment Kft. ügyvezetője elsősorban tisztulást és egységes normarendszert vár az új szabályozástól a digitális adatkezelés területén. „Az elektronikusan kezelt adatoknál nem is az jelenti a legfőbb gondot, hogy hogyan tároljuk vagy semmisítjük meg biztonságosan ezeket, a kérdés ott kezdődik, hogy miként lehet egy adat valódiságát, valamint az adatot létrehozó konkrét személy azonosítását ellenőrizni és igazolni a digitális térben” – mondja a szakember.
Dr. Halász Bálint, a Bird & Bird ügyvédje pár jellegzetes elemét emelte ki az új szabályozásnak, mint például az elszámoltathatóság alapelvét vagy az adatvédelmi incidens hatósághoz történő 72 órás bejelentési kötelezettségét. Rámutatott a májustól várható szankciók mértékére is. „Súlyos esetben a pénzbüntetés maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg. Az éves bevételnél ráadásul egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Azt is fontos észben tartani, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.”
„A cél persze nem a büntetés, inkább a segítségnyújtás vagy a tanácsadás – mondta dr. Osztopáni Krisztián a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) képviseletében. – Május után sem a legsúlyosabb szankciókkal kell feltétlenül számolni” – nyugtatott meg mindenkit a hatóság hozzáállása felől, bár hozzátette, kétségtelenül az eddigieknél nagyságrendileg nagyobb büntetés lesz kiszabható a legsúlyosabb esetekben.
Egyelőre azonban a kisebb adatvédelmi kihágásoknál inkább a figyelmeztetés vagy a megrovás eszközeivel fog élni a hivatal. Ennél fontosabb, hogy elsődleges feladatuknak a segítségnyújtást tartják, mind a GDPR-ra való felkészülésben, amihez hasznos útmutatót lehet találni a NAIH honlapján, mind pedig a későbbiek folyamán, amikor szintén lehet hozzájuk tanácsért fordulni, ha valaki nem biztos abban, miként kéne megfelelően eleget tennie az új uniós adatvédelmi rendeletnek.
