Dr. Várady Endre // Műszaki Magazin // 2018. február
Dióhéjban a GDPR-ról
A GDPR, más néven általános adatvédelmi rendelet, 2018 május 25-től kezdődően kerül alkalmazásra az EU tagállamaiban, így Magyarországon is, és várhatóan alapjaiban felforgatja majd az eddigi adatvédelmi rutint. Nem véletlen, hogy a legszigorúbb rendeletek között tartják számon: a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) akár 20 millió euróig terjedő büntetést is kiszabhat azokra, akik nem tartják be az adatvédelmi szabályokat. A rendelet nem kíméli a kis-és középvállalkozókat sem.
1. rész: Miért veszélyes a GDPR?
Egyre többet hallunk róla, de még mindig nem tudjuk, hogy mi ez. Azt meg végképp nem gondoljuk, hogy ránk is vonatkozhat. Vagy – másik megközelítésből – minket is fenyegethet. Márpedig a GDPR-ral minden cégnek foglalkoznia kell, akinek legalább 1 munkavállalója, vagy legalább 1 ügyfele van.
MM: Mennyit tudnak a magyar vállalkozások a GDPR-ról?
VE: Egy cégtulajdonos ismerősömmel beszélgettem nemrégiben adatvédelemről, és ő ezt mondta: „Fogalmam sem volt, hogy nekem ilyesmivel foglalkoznom kell. Arról sem volt fogalmam, hogy adatokat kezelek”. És a különféle felmérések azt mutatják, hogy ezzel nincs egyedül. A cégeknek nagyon sok adattal van dolguk, gondoljunk csak az ügyfelekről készített listákra, a munkavállalók különféle adataira, a felvételizők önéletrajzára, amiket őrzünk, gyakran már azt sem tudjuk miért, és még sorolhatnám. Májustól például az ilyen kósza adatok miatt hatalmas büntetéseket kaphatunk. És ez csak egy apró csepp azoknak a dolgoknak a tengerében, amelyekre ezentúl az adatvédelem kapcsán komolyan figyelni kell majd.
MM: Tényleg mindenkire vonatkozik ez a szabályozás?
VE: Én úgy gondolom, hogy gyakorlatilag az összes cégre. A mikro-, kis-, és középvállalkozásokon keresztül egészen a multi cégekig mindenkinek komolyan foglalkozni kell ezzel a kérdéssel. A multik valószínűleg felkészültebben néznek majd szembe a problémával, a kisebb cégek közül viszont sokan csak most döbbennek rá, hogy egyáltalán probléma van.
MM: És mekkora ez a probléma?
VE: A NAIH elnöke, Dr. Péterfalvi Attila arról beszélt egy nyilatkozatában, hogy a mikro-, kis-, és középvállalkozásokat eddig „megillette egy olyan védelem, hogy első ízben nem voltak bírságolhatók. Május 25-tel (vagyis a GDPR alkalmazásával) megszűnik ez a védelem”. És az elnök úr is felteszi azt a kérdést, hogy a mikro-, kis-, és középvállalkozások az adatvédelmi átvizsgálást „egyáltalán betervezték-e a költségvetésükbe, ha nem, akkor milyen forrást tudnak erre biztosítani?”
MM: Mit is kell másképp csinálni majd?
VJT: A GDPR az adatvédelem egészére kiterjed: többek közt szabályozni kell majd a munkahelyi ellenőrzés, az adattovábbítás, az adatgyűjtés területét, és a direkt marketing módszereket is felül kell vizsgálni az új adatvédelmi szabályok fényében. És ez rengeteg adminisztratív feladattal jár majd. Fel kell mérni a különféle területeket, a szabályzásnak megfelelővé kell tenni, majd folyamatosan ellenőrizni kell, hogy minden rendben megy-e. Hosszú „to do” listákat kell készíteni… Talán a könyveléshez lehetne leginkább hasonlítani: az adatvédelem olyan nélkülözhetetlen, sokrétű és sok adminisztrációval járó feladat lesz a cégeknél, mint most a könyvelés. A GDPR egy teljesen új szemléletet igényel, és a vállalatoknak új adatvédelmi és adatbiztonsági stratégiát kell kialakítaniuk.
MM: Mindebből úgy tűnik számomra, hogy hatalmas változás következik az adatkezelés terén.
VJT: Ez így van. Mindent újra kell gondolni, rendezni. Fel kell készülni a GDPR-ra, mert az idő múlik, a gigabírságok lehetősége pedig közeledik. A következő részben részletesen beszélünk majd arról, hogy milyen lépéseket tehetünk a felkészülés jegyében, és hogy melyek azok a területek, ahol a GDPR megfelelésnek hatalmas jelentősége van.