Az általános adatvédelmi rendelet, amelyet a szaknyelvben GDPR-ként emlegetnek, hamarosan a korábbi európai adatvédelmi direktíva helyére lép és jelentős változtatásokat, illetve nagyon magas bírságokat tartalmaz. A rendelet alapvetően az európai szervezetek által használt adatokra vonatkozik, de sok esetben nem európai székhellyel rendelkező szervezeteket is érint. Európán belül pedig szinte mindenkit érint, aki valamilyen módon adatokat kezel.
A jogszabály alól a nem profitorientált szervezetek, civilek sem kivételek, még akkor sem, ha a szervezetnek nincs irodája vagy alkalmazottja az EU-ban - hívja fel a figyelmet a thenonprofittimes.com. Ha az adott szervezetnek vannak az EU területén adományozói, tagjai, támogatói vagy a szervezet programját igénybe vevők, illetve ha bármilyen árut vagy szolgáltatást kínál az EU polgárainak, akkor elég nagy az esélye, hogy a szervezet a GDPR szabályozása alá esik.
A jogszabály be nem tartása hatalmas büntetéseket von maga után, ami a globális éves árbevétel 4 százaléka vagy 20 millió euró lehet, ahol a büntetés mértéke a magasabb összeg. A jogszabály be nem tartása a pénzbírságon túl pedig még a szervezet hírnevén is csorbát ejthet a nyilvánosságra hozatal negatív hatása miatt, ami akár a támogatók, donorok, tagok illetve mások bizalmát is megingathatja.
Az ilyen szervezetek menedzsereinek ezért érdemes meghatározniuk, hogy a szervezetük működésére hogyan vonatkozik a GDPR, milyen lépéseket kell tenniük annak érdekében, hogy megfeleljenek az új jogszabálynak, amely május 25-én könyörtelenül életbe lép. Nem lesz ugyanis türelmi idő - figyelmeztet a szakportál cikke.
Mire érdemes figyelniük a nem profitorientált szervezeteknek?
Területi hatály: a GDPR egyrészt olyan európai szervezetekre vonatkozik, amelyek Európában személyes adatokat dolgoznak fel Európában és olyan nem EU szervezetekre, amelyek árukat vagy szolgáltatásokat kínálnak európaiaknak. Vagyis, ha az adott szervezetnek vannak az EU területén adományozói, tagjai, támogatói vagy a szervezet programját igénybe vevők, akkor az a GDPR hatálya alá eshet.
Személyes adatok: a GDPR szerint "személyes adatnak" minősül minden olyan információ, amely természetes személy (munkavállaló, donor, tag vagy adományozó) igazolására, beazonosítására szolgál. "Azonosítható természetes személynek" minősül az is, akit közvetlen vagy közvetett módon be lehet azonosítani akár egy hivatkozott azonosító alapján (például IP-cím, vagy valamilyen eszköz azonosítószáma). Az érzékeny személyes adatok és a gyermekek személyes adataira szigorúbb követelmények vonatkoznak.
Jogi alap: a személyes adatokat a GDPR-ban meghatározott módon jogszerűen kell feldolgozni, például az érintett személy hozzájárulásával, szerződéskötéssel, a jogi kötelezettségeknek való megfeleléssel, vagy ha a feldolgozás szükséges a szervezet legitim érdekeinek kiszolgálásához.
Adat átvitel: szervezetek nem küldhetnek ki adatokat az EU-n kívülre, hacsak nincs az EU által jóváhagyott mechanizmus erre.
Személyes jogok: a GDPR a magánszemélyek jogait megerősíti, egyebek mellett biztosítja a személyes adataikhoz való hozzáférést, vagy azt a jogot, melynek révén magánszemély kérheti a szervezetet, hogy a náluk tárolt személyes információit korrigálják, vagy töröljék. A magánszemélyeket emellett a jogaikról tájékoztatni is kell, ezért az adott szervezetnél az ilyen jellegű igényekre is fel kell készülni.
Adatbiztonság: a személyes adatokat megfelelő biztonsággal kell feldolgozni, ebbe beleértendő a jogosulatlan vagy jogellenes feldolgozás elleni védelem, a véletlenszerű adatvesztés, az adatok megrongálódása vagy megsemmisülése elleni védelem. Ha valami adatvédelmi incidens történik, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell azt a hatóságoknak, sőt, bizonyos esetekben az adattulajdonosokat is értesíteni kell az esetről.
Felelősségre vonhatóság: a GDPR megköveteli azt is, hogy a szervezet a megfelelőségét dokumentálja. Ez nyilvántartási kötelezettségeket, a személyes adatokat érintő hatásvizsgálatok alkalmazását, adatvédelmi biztos vagy uniós jogi képviselő kijelölését jelenti.
Mivel az adatvédelmi rendelet már 2016 májusában hatályba lépett, ez év május 25-től pedig kötelezően alkalmazni is kell, ez után az időpont után már nem lesz türelmi idő, és egyelőre az sem valószínű, hogy az Európai Bizottság kitolná ezt a határidőt - főleg, hogy a tagállamoknak volt két éve a felkészülésre -, a teendők elodázásának igen nagy a kockázata, különösen a kilátásba helyezett óriásbírságok fényében, érdemes komolyan venni a május 25-ei határidőt.
Képünk forrása: Pixabay.com