Ezt érdemes tudni az új adatkezelési törvényről

Írta: Ambrus András - Készült: 2018. március 04.

Május 25-én az egész unió területén hatályba lép az általános adatvédelmi rendelet, a GDPR. A cégek ezentúl a magánszemélyek adatait csak kellő jogalappal és gondossággal kezelhetik. TUdta, hogy akár egy továbbított levélért is büntethetnek? 11 pontban összefoglaltuk, hogyan készülhet fel. 


Továbbküldünk egy emailt, amelyben ügyfelünk – aki magánszemély, nem cég – leír egy problémát vagy kérést, megadja néhány személyes adatát. Ez hétköznapi dolog, egészen idén május 25-ig. Ám attól kezdve már az unió adatvédelmi rendeletébe (GDPR) ütközik, ha ezt a levelet úgy továbbítjuk egy harmadik félnek, hogy előtte nem kértük ki a kuncsaft beleegyezését. Ezzel példázza a Gill & Murry üzleti tanácsadó a hétköznapi csapdák egyikét. De min „bukik le” az óvatlanul levelező cég? Leginkább azon, hogy az egész email-folyamot (benne minden előzményt) visszaküldi az ügyfélnek, aki hamarosan teljes joggal követelhet hatósági vizsgálatot.
Mindezt azzal előzhetjük meg, ha cégként, illetve vállalkozóként leszoktatjuk magunkat és kollégáinkat az efféle továbbításról. Az email végéről egyébként is ajánlatos törölni a hosszú előzményeket. Magánszemélytől kapott levél esetén pedig csak a leírtak lényegét szabad bemásolni – személyes adatok nélkül –, ha fennáll az esély, hogy ezt még a cégen kívülre is átküldheti valaki. Persze azoknak a kedves kollégáknak is kell az „átképzés”, akik habozás nélkül megválaszolják vagy maguk küldik szét a privát email-címekkel teli körleveleket – érettségi találkozóról, árva kiskutyáról és hasonlókról.  

11 tanács a felkészüléshez

Hol és mi? Alaposan mérjük fel, hol és milyen adatokat tárolunk magánszemélyekről. Ne feledkezzünk meg a papír alapú anyagokról és a „külső” helyekről sem (partnercégek, IT-szolgáltató, felhő). Csak a bizonyíthatóan szükséges adatok legyenek a cége birtokában, amelyekhez jogszerűen jutott hozzá.
 Eltérések elemzése: Nézze meg, hogy cégének eddigi adatkezelési gyakorlata miben tér el a GDPR-től.

Megoldás és teszt: Mielőtt megvenne, illetve bevezetne egy (vagy több) új módszert, szoftvert, megoldást, tesztelje, hogy eleget tud-e tenni velük az uniós rendeletnek – erre is felhívja a figyelmet a Fellowes cég (www.fellowes.hu).

Törlés, megsemmisítés: Győződjön meg róla, hogy a szükségtelen adatokat biztonságosan meg tudja-e semmisíteni. A fájlok (vagy táblázatok adatsorai) egyszerű törlése nem elég, ahogy a papír széttépése sem. Érdemes iratmegsemmisítőt tenni a nyomtató, fénymásoló mellé. A fájlokat pedig többszörösen felülírni. (Egyszerű segédprogramok: Eraser, Securely File Shredder, WipeFile.)

Hozzáférés: Határozza meg, kinek és milyen adatokhoz lehet jogszerű hozzáférése a cégnél. Gondoskodjanak az iratok megfelelő tárolásáról, az érintett fájlok (adatállományok) jelszavas hozzáféréséről. Külön kell rendelkezni arról, hogy harmadik félnek milyen adatokat lehet átadni.

Érzékeny adatok: Szükség lehet titkosításra és a jogosultak kétlépcsős azonosítására, ha ilyeneket digitálisan tárolunk (pl. etnikai származás, vallási és világnézeti meggyőződés, genetikai vagy egészségi állapot, szexuális irányultság stb.). A másolást (pl. pendrájvra) és továbbítást (emailben) meg kell akadályozni, illetve automatikusan naplózni kell.

Új alapelvek: Ilyen többek közt az adatok törléséhez (az „elfeledtetéshez”), a hozzáféréshez és a hordozhatósághoz való jog (lásd alább). Ezeknek szerepelniük kell a belső szabályzatban.

Adatvédelmi incidens: Ennek jelentésére és elhárítására dolgozzon ki eljárásmódot. Majd ezt próbálják ki úgy, mintha tűzvédelmi gyakorlat lenne. Ne feledje, hogy az ilyen incidenst – többek közt elvesztés, külső (hacker)támadás, visszaélés (jogosulatlan közlés vagy hozzáférés) – az észlelést követő 72 órán belül jelenteni kell majd a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság).
Szerződések: Beszállító partnereivel szemben is vannak szerződéses jogai az adatvédelem terén. Ezeket és egyéb szerződéseit vizsgálja át a privát adatok szempontjából. Beszerzési folyamataiba építse be a GDPR-megfelelést.

Adatvédelmi tisztviselő: Vegye fontolóra egy ilyen személy kinevezését.  A kkv-k számára ezt általában nem teszi kötelezővé a GDPR (két speciális kategóriát kivéve). Ám az önkéntesen és a kötelezően kijelölt adatvédelmi tisztviselő közt a rendelet nem tesz különbséget, és egyikük sem „viszi el a balhét” a vállalat vezetése helyett. Viszont folyamatosan összefogják és áttekintik az adatvédelmi megfelelőséget, segítik a munkatársakat.

Folytonos feladat: Számoljon azzal, hogy májusig egy intenzív felkészülési szakasz lesz cége életében. El kell végezni a selejtezést, gondoskodni kell a fölösleg biztonságos megsemmisítéséről. Május 25-től pedig folyamatosan kell végezni ezt a tevékenységet, hogy cége eleget tudjon tenni az adatvédelmi rendeletnek. Már a folyamatok, rendszerek, alkalmazások stb. tervezésénél követelményként kell kezelni a GDPR szempontjait (privacy by design).


Az érintettek főbb jogai
■ Hozzájárulás: Ez csak akkor tekinthető elfogadhatónak az adatkezeléshez, ha teljesíti mind a három tartalmi követelményt. Ezek az önkéntesség, határozottság (egyértelműség) és tájékozottság. Kétség esetén az adatkezelőnek kell bizonyítania, hogy az érintett valóban hozzájárulását adta.


■ Hozzáférés a saját személyes adatokhoz (és azok helyesbítése): Mint cég vagy vállalkozó jellemzően nem számíthat majd fel díjat azért, hogy teljesíti az érintett kérését. Emellett a lehető leghamarabb – indokolatlan késedelem nélkül –, de legkésőbb egy hónapon belül biztosítania kell a hozzáférést. (Szükség esetén, ha ezt a kérelem összetettsége és a kérelmek száma indokolja, a határidő további két hónap.)


■ Törlés („elfeledtetéshez való jog”): Internetes adatkezelésnél nem elég a törléshez való jogot biztosítani. Azt is lehetővé kell tenni, hogy az illető az adatokat minden elérési pontjukon töröltetni tudja. (Különben a webet átfésülő keresők révén a korábbi verziók is elérhetők.) Egyebekben lásd a fenti tanácsok 4. pontját.


■ Adathordozhatóság: Ez lényeges újdonság. Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat – melyeket korábban az adatkezelőnek megadott – valamilyen közkeletű formátumban megkapja. (A rendelet itt a „géppel olvasható” [machine readable] kifejezést használja.) Magyarán nem nehezíthetik a hordozást ritka fájltípussal vagy pdf-nek álcázott, pocsék fénymásolattal. Ezeket az adatokat az érintett személy egy másik adatkezelőnek továbbíthatja anélkül, hogy ezt az eredeti kezelő bármiben akadályozná.  




Árfolyamok

EUR: 324.53CHF: 281.03USD: 278.11
 

Legnépszerűbb cikkek

Hirdessen a Haszon Magazinban

Hirdetés ügyben kérem keressen minket a hirdetes@haszon.hu email címen, vagy tekintse meg a média kiajánlókat.

Izgalmas két napnak ígérkezik a városi életmód legújabb trendjeiről szóló beszélgetések sora a Loffice közösségi irodában a Startup Safary fesztivál keretében április 19-20-án. Kiderül például, hogyan mennek a vegán éttermek, miként dolgozi...
Tovább >>

Változnak az „A lap” megjelenések!
  • 2018/I. negyedév 2018. 04.04
  • 2018/II. negyedév 2018. 07.04
  • 2018/III. negyedév 2018.09.26
  • 2018/IV. negyedév 2018.12.12