10 + 1 gyakori tévhit a GDPR rendelettel kapcsolatban
A Crosssec Solutions szolgáltatásainak fókuszában a közérthetőség és a gyakorlati használhatóság áll, amelynek megvalósulását az ügyfeleink igényeinek feltérképezése, majd a visszajelzéseik alapján való fejlesztése biztosít.
Jelen blogcikkünkben azokat a legtöbbször hallott és tapasztalt tévhiteket gyűjtöttük össze, melyek felmerültek a GDPR rendelkezéseivel kapcsolatban.
1. „A GDPR rendelet megfeleléséhez kötött felelősségbiztosítás fedezetet biztosít a hatósági bírságokra.”
Mint a legtöbb biztosítás, a GDPR-ral összefüggő felelősségbiztosítás is felülvizsgálatra kerül minden egyes adatvédelmi incidensből fakadó kártérítést követően. Valószínűsíthető, hogy a biztosítás díja minden bírsággal záródó ellenőrzést követően emelkedni fog; Szélsőséges esetben pedig a biztosító társaság elállhat attól az ügyfelétől, akinél bebizonyosodik, hogy az adatvédelmi rendeletnek való megfelelés hiányát a biztosítással kívánja fedezni. Javasoljuk az üzleti folyamatok GDPR kompatibilis kialakítása mellett a vonatkozó felelősségbiztosítások általános szerződéses feltételeinek alapos áttanulmányozását.
2. „A GDPR tanácsadók teljes mértékben képesek elvégezni helyettem az új adatvédelmi törvénynek való megfelelést.”
Általánosságban elmondható, hogy a GDPR tanácsadás
- a vállalati folyamatok feltérképezésére
- az adatkezelési jogalapok meghatározására
- szabályzatok, dokumentumok előkészítésére
- workshopok tartására és
- munkatársi oktatásokra terjed ki.
A felkészülésben, illetve felkészítésben nagyon sokat tudnak segíteni a szakmai, gyakorlati tapasztalatuk által, viszont a kialakított rendszer napi szintű működtetése és karbantartása továbbra is a vállalat feladata és felelőssége. Mindezek miatt a szerződéskötés előtt javasoljuk a feladatok, felelősök és a várt eredmények tisztázását.
3. „A GDPR tanácsadók által elvégzett tevékenységre teljeskörű garanciát vállalnak.”
Rendszerint a tanácsadással foglalkozó szolgáltatók az általuk elkészített adatvédelmi rendszer struktúrájának törvényi megfelelőségéért vállalnak garanciát. A hiányos vagy gondatlanul kezelt személyes adatokkal összefüggő bírságok továbbra is az adatkezelőt terhelik, mint ahogy a rendszer fenntartása és működtetése is a vállalkozás feladata
4. „A GDPR rendelet betartásához igazából három Excel táblázat elegendő.”
Cégmérettől és a kezelt személyes adatok számosságától, illetve komplexitásától függően akár elegendő lehet néhány egyszerű tábla is a rendeletnek való megfeleléshez.
Mindazonáltal javasoljuk a GDPR elveinek való megfelelést alaposan megvizsgálni, hogy az általunk üzemeltetni kívánt rendszer teljes mértékben alkalmas-e a feladatok ellátására.
A teljesség igénye nélkül, a személyes adatok kezelésekor az adatkezelőnek és adatfeldolgozónak az alábbi kérdéseket meg kell tudnia válaszolni:
- Milyen személyes adatokat tárol?
- Milyen céllal tárolja a személyes adatokat?
- Hol tárolja ezeket a személyes adatokat?
- Ki fér hozzá az egyes személyes adatokhoz?
- Kinek, mikor, mit adott tovább?
- Véglegesen mikor, milyen adatot törölt (vagy álnevesített)?
- Mikor és milyen adatkezelési incidensei voltak?
- Képes biztosítani a személyes adatok bizalmasságát, integritását és folyamatos elérhetőségét?
- A kezelt adatokat képes kérésre az Érintettnek kiadni digitális, táblázatos formában?
Amennyiben a fenti kérdéseknek csak egy részére van válasza, akkor javasoljuk folyamatainak felülvizsgálatát, illetve további táblázatok és szoftverek használatát.
5. „A GDPR rendelet a mostani adatvédelmi törvényhez képest nem jelent nagy változást, a munkatársaknak nem szükséges ismerniük a rendeletet.”
A jelenleg még hatályos magyar Infotörvény valóban sok helyen átfedésben van a GDPR rendeletben foglaltakkal, viszont 2018.05.25-ével minden EU tagországban egységesen alkalmazandó az új rendelet.
Mivel közel 2 éve véglegesítésre került a rendelet, az elfogadását követően magára a felkészülésre is 2 év állt rendelkezésre, így a májusi dátumot követő első naptól a GDPR rendelete szerint kerülnek lefolytatásra a hatósági ellenőrzések.
Tapasztalataink szerint az adatvédelmi incidensek elsősorban a személyes adatokkal dolgozó munkatársaknál fordulhatnak elő, továbbá legtöbb esetben nem szándékosan követik el őket. A rendelet egyik fő célkitűzése a tudatosság, tudatos adatkezelés fokozása, ezért az érintett dolgozók képzését elengedhetetlennek tartjuk, legalább a munkájukat érintő szabályozások részletes ismeretének tekintetében.
6. „Én nem vagyok adatkezelő, rám nem vonatkoznak a GDPR rendelkezései.”
A GDPR kimondja, hogy egy adatvédelmi incidens esetében az adatkezelő vonható felelősségre elsődlegesen, függetlenül attól, hogy az adatkezelő vagy egy adatfeldolgozója követte el az incidenst. Javasoljuk minden korábban megkötött beszállítói szerződés felülvizsgálatát, valamint az adatkezelési elvek és szabályok írásba foglalását.
Várhatóan az adatkezelők olyan adatfeldolgozókkal kívánnak a rendelet életbe lépését követően együttműködni, akik a GDPR elvárásai szerint szervezik üzleti folyamataikat, így mérsékelve a gondatlanságból elkövetett incidensekből fakadó nem tervezett kiadásokat.
7. „Nekem csak üzleti ügyfeleim vannak, a GDPR pedig az ügyfeleim személyes adatainak kezeléséről rendelkezik.”
A munkavállalókról tárolt személyes adatok éppúgy az új rendelet hatálya alá kerülnek és emiatt a munkaadók adatkezelővé vállnak. Ha ezen személyes adatok jogosulatlanul harmadik fél birtokába jutnak, a hatósági vizsgálat az adatok kezelőjénél kerül lefolytatásra.
8. „Az induló vagy frissen indult cégem esetén egyébként is alacsony az árbevétel, így a 4%-os maximális bírság nem akkora probléma”
A bírságmaximum nem kizárólag árbevétel alapon kerül megállapításra. Két nagy csoportba sorolható a maximálisan kiszabható büntetés:
- Enyhébb jogsértés esetén kiszabható bírság legfeljebb az éves globális árbevétel 2%-a vagy €10.000.000 lehet
- Súlyosabb jogsértés esetén kiszabható bírság legfeljebb az éves globális árbevétel 4%-a vagy €20.000.000 lehet
A WP 253 iránymutatás a Rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról azt mondja ki, hogy „hatékony, arányos és visszatartó erejű kell, hogy legyen”. Arról sem szabad megfeledkezni, hogy a büntetések megállapítása incidensenként történik. A hatóságnak azt a limitet kell figyelembe vennie, amely az adott incidens és cég esetében arányos. A bírság behajtását Magyarországon a NAV végzi.
A bírság kiszabásának szempontjairól a NAIH tervez kiadni egy iránymutatást, amely tartalmazza, hogy milyen incidens esetén milyen bírságok várhatóak. Ennek pontos megjelenési dátumáról még nincs információ.
9. „2018.05.25-ével nem várható büntetés, hiszen a NAIH-nak nincs elegendő embere a rendelet betartatására.”
A médiában rendszeresen nyilatkozik a NAIH, hogy 2018.05.25-ével kezdődően megfelelő felkészültséggel fogja ellenőrizni a magyar vállalkozásokat cégmérettől függetlenül.
A Piac és Profitnak közelmúltban adott interjúja során Péterfalvi Attila, a NAIH elnöke megemlítette, hogy: „Nem akarunk milliárdos büntetéseket kiszabni, sem cégeket csődbe vinni, ezért nem fenyegetésként mondom, de ellenőrizni fogjuk, hogy rendben megy-e az adatok kezelése.”
10. „A GDPR rendeletben foglaltaknak való megfelelést teljes egészében kiszervezem egy adatvédelmi tisztviselő (DPO) szolgáltatást nyújtó vállalkozásnak.”
Az adatvédelmi tisztviselő feladatai a rendelet 39. cikke alapján:
- a vállalkozás munkatársainak tanácsot ad az adatkezelési kötelezettségek vonatkozásában
- Ellenőrzi a rendeletnek és a belső szabályzatoknak való megfelelést
- Tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan
- Együttműködik és kapcsolatot tart a felügyeleti hatóságokkal
A fenti felsorolásban nem szerepel a személyes adatok kezelése, tehát a megvalósítás és a rendszer napi szintű működtetése, mert az a feladat összeférhetetlenséget jelentene a DPO feladatok ellátásával.
A rendelet 38. cikke kimondja, hogy a DPO más feladatokat elláthat a vállalkozáson belül, de biztosítani kell, hogy ezek ellátásából ne fakadjon összeférhetetlenség (Nem felügyelheti azon személy az adatkezelési folyamatokat, aki napi szinten ellátja ezt a munkakört.). Éppen ezért javasoljuk a kiszervezett DPO szolgáltatási szerződés alapos tanulmányozását.
+1. „Az Infotörvényt még nem módosította a jogalkotó, így a GDPR a magyar vállalkozásokra nem vonatkozik.”
A jogalkotásban is létezik egyfajta hierarchia, mely értelmében a GDPR, mint Európai Uniós rendelet magasabb szinten található, mint a nemzeti törvény. Szükséges, hogy az Infotörvény, illetve a vonatkozó egyéb törvények (úgymint például Mt.) felülvizsgálata megtörténjen, illetve kiegészítésre, összhangba kerüljenek a GDPR előírásaival. Azonban ezeknek a hiányában is minden vállalkozás köteles megfelelni a rendeletnek.
Mi a Crosssec Solutions-nél feladatunknak tekintjük, hogy a magyar KKV életét megkönnyítő termékeket fejlesszünk. Olyan eszközöket, letölthető segédanyagokat adunk ügyfeleink kezébe, amelyekkel a folyamataikat könnyen azonosíthatják, tudatosíthatják, ezután pedig GDPR kompatibilissé, és egyben egyszerűbbé, átláthatóbbá, valamint jogszerűvé alakíthatják át őket.
GDPR segédanyagaink azzal a céllal jöttek létre, hogy a vállalkozás továbbra is az értékteremtő folyamataira koncentrálhasson anélkül, hogy aggódnia kellene a saját vagy partnerei működésfolytonossága miatt.
A gdpr.crosssec.com oldalon számos, a GDPR-nak való megfelelést és arra való felkészülést segítő anyagot talál. Látogassa meg oldalunkat és válassza ki az Ön számára ideális termékeket.