Az idegen elnevezés, a bonyolultnak tűnő megfogalmazások, összetett feladatok és főleg a nagy bírságok röptetése sokakat elriaszt attól, hogy foglalkozzanak azzal a kérdéssel, van-e teendőjük, érinti-e őket az új szabályozás. A nagyvállalatok régen dolgoznak a megfelelőségen, és nagyon sok kis- és középvállalkozás is megtette a szükséges lépéseket, de egészen biztosan nem mindenki, akinek kellene.
Aki esetleg úgy gondolta eddig, hogy nem érintett a kérdésben, az alábbi gyorsteszt segítségével tudja ezt ellenőrizni: Vannak munkavállalói? És ügyfelei?
Amennyiben bármelyik kérdésre igen volt a válasz, úgy a GDPR – ként rövidített General Data Protection Regulation, vagyis a minden uniós tagállamban közvetlen hatállyal rendelkező adatvédelmi rendelet bizony tartogat teendőket.
Adatkezelésnek minősül ugyanis szinte minden, a személyes adatokon végzett cselekmény, így azok felvétele (pl. számla kiállításához), gyűjtése (hírlevél küldéséhez), tárolása (munkaszerződések az irattárolóban). Adatkezelés, természetesen az adatok különböző célokra történő felhasználása (értesítem a vendéget telefonon, hogy időpontváltozás van), továbbítása, módosítása. Aki ezt végzi, az az Adatkezelő.
Minden vállalkozásnak célszerű tehát az adatkezelési gyakorlatát felülvizsgálnia és hatályosítania, mert a GDPR szigorú szankcionálási eszközöket ad a hatóságok kezébe. Ugyan a bírság maximális mértékét jelentő 20 millió euró nem a kis- és középvállalatokra van méretezve és szánva, de a szankció súlya érezhető lesz. Mégse a bírság, hanem munkatársaink, ügyfeleink adatainak biztonságáért érzett felelősségtudat, illetve saját vállalkozásunk versenyképessége legyen az elsődleges motiváció a szükséges intézkedések felmérése során.
Célszerű külön adatkezelési tájékoztatót, adatvédelmi szabályzatot készíttetni, amiben különösen az alábbiakra kell figyelni:
- A munkavállalókat és ügyfeleinket tájékoztatni kell arról, hogy kik vagyunk, milyen adataikat, milyen cél érdekében és meddig kezeljük. Legyünk figyelemmel a célhoz kötöttségre, vagyis nem lehet biztonsági játékot folytatni azzal, hogy szükségtelen adatokat is kezelünk „biztos, ami biztos alapon”.
- A megfelelően tárolt adatokat folyamatosan ellenőrizni és szelektálni szükséges.
- A szükségtelen vagy aktualitásukat vesztett adatokat, bizalmas információkat szakszerűen és biztonságosan kell megsemmisíteni. Ne felejtsük, hogy ez ugyanúgy vonatkozik a papíralapú dokumentumokra, mint az elektronikusan tároltak adatokra.
- Mivel a rendelet célja éppen az, hogy magánszemélyeknek „hatalma” legyen a saját személyes adataik felett, lehetővé kell tenni számukra a betekintést, illetve biztosítani a „felejtéshez való jogot”, vagyis adataik törlését.
- Mind a vállalaton belül, mind a harmadik személyeknek történő hozzáférés során ügyelni kell arra, hogy az az előírásoknak megfelelően történjen.
- Rendszereinket, adatok kezelésével járó folyamatainkat elemezni, ellenőrizni szükséges, legyen az rendelésfelvétel vagy marketing
Az érzékeny adatok (egészségügyi adatok, faji, nemzeti, politikai hovatartozás, stb.) esetén még fokozottabb figyelemre van szükség, ahogyan a kiskorúak adatainak kezelése esetén is, ugyanis az ő védelmüket szolgáló szabályok megsértése még szigorúbb megítélés alá esik.
Mi a teendő?
Semmiképpen ne essünk kétségbe, illetve a legrosszabb, ha fejünket a homokba dugjuk. Minden lépés, amit a megfelelőség érdekében teszünk, fontos, és nagyon sok segítség igénybevételére van lehetőség.
Segítséget nyújthatnak az adatvédelmi hatóság oldalán található tájékoztatók: https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html, formanyomtatványok. Ne felejtsük azonban, hogy vállalkozásunk konkrét adatkezelési folyamatának kell megfelelőnek lennie, így arra egyéniesítve kell alkalmazni a nem kifejezette ránk szabott eszközöket. Mód van arra is, hogy szakértő adatvédelmi felelőst bízzon meg a szükséges feladatok meghatározására és elvégzésére. Sok esetben informatikai-technológiai lépések közbeiktatására van szükség, így a leghatékonyabb és a szükséges teendők meghatározása a vállalkozás működése alapján, egyedileg határozható meg.