Jövő év május 25-én lép hatályba az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation - GDPR), amely egységesíti az uniós tagállamok adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat.
A szabályozás jelentős változásokat és komoly szigorításokat tartalmaz, az érintettek köre pedig meglehetősen széles. Ezt talán jól illusztrálja az is, hogy bár a GDPR ténylegesen 2016 áprilisa óta jogszabály az EU-ban, tekintettel arra, hogy a rendelet betartása miatt jelentős változtatásokra kényszerülnek egyes szervezetek, kétéves felkészülési időtartamot határoztak meg. Ez alatt a türelmi idő alatt kellene a nemzeti hatóságoknak és a cégeknek is felkészülniük az új körülményekre.
Az utóbbi időszakban kijött felmérések viszont némi ellentmondásra utalnak abban, hogy mit gondolnak az érintett gazdasági szereplők és mik a jogszabály által ténylegesen megkövetelt feltételek. Egy a napokban kiadott, 11 európai és tengerentúli országban több mint 1100 informatikai döntéshozó bevonásával készített kutatásból ugyanis az derült ki, hogy bár a vállalatvezetők nagyon nagy többsége tisztában van vele, hogy új szabály lép hatályba, amelynek meg kell felelni, túlnyomó részük mégis biztos abban, hogy náluk minden a legnagyobb rendben. Ezzel szemben a Gartner becslései szerint 2018 végére a vállalatoknak több mint a fele nem fog teljesen megfelelni a GDPR követelményeinek.
Nem véletlen, hogy a felkészülés fontosságát már egy ideje Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóságának (NAIH) elnöke is próbálja sulykolni, akihez az idő előrehaladtával egyre több szakmai fórum is csatlakozik - most épp a Microsoft próbálja felhívni a figyelmet arra, hogy mennyire komolyan kellene ezzel a kérdéssel foglalkozni. A változás ugyanis nemcsak kisvállalatoknak, de még a nagyoknak is nagyon komoly munkát ad.
Itt jöhet az első meglepetés
A GDPR elsősorban a személyek jogait, illetve a társaságok kötelezettségeit növeli. A jogszabály lényegében mindent - a felelősséget, a kötelezettségeket, a számonkérhetőségeket, a jogszerűség és a biztonság tanúsítását - az adatkezelőkre terheli. Az adatkezelők oldaláról a legfontosabb változás, hogy az új technológiák alkalmazása esetén, ahol az érintettek adatainak védelme veszélyben lehet, kötelesek lesznek részletes adatvédelmi hatástanulmányt készíteni. Ilyen lehet például, ha különleges adatokat kezelnek (technológiai jellegű adatok kezelése, állampolgárok tömeges megfigyelése, például a közterületi kamerákon keresztül).
Hátradőlni a fent említettek miatt azonban nagyon nem érdemes. Az új szabályok értelmében ugyanis olyan vállalatok vagy szervezetek is adatkezelőnek minősülnek - és így esnek a GDPR hatálya alá - amelyek talán maguk sem gondolnák - hívja fel a figyelmet a Microsoft abban az összeállításában, amelyet a GDPR-ra való felkészülés elősegítésére készített. A szabályozás által érintett adat lehet ugyanis bármi, ami egy azonosított vagy azonosítható természetes személyhez kötődik - legyen az hr-adatbázis, hűségprogram adatsora vagy akár egy zártláncú biztonsági kamera felvétele.
Ilyen alapon pedig az érintett szervezetek között éppúgy megtalálható az államigazgatási szerv, mint egy vállalkozás vagy egy nonprofit szervezet, amely az EU-n belül szolgáltatásokat vagy termékeket kínál, vagy az EU-n kívülről, de uniós polgároknak nyújtja ugyanezt, de a jogszabály alapján adatkezelőnek minősül "a munkáltató" is, mivel a fennálló munkaviszony ideje alatt a munkavállalók személyes adatait kezeli.
A GDPR ráadásul attól függetlenül alkalmazandó, hogy hol van az adott vállalat tevékenységi helye. Sőt, a GDPR minden méretű szervezetre és minden ágazatra vonatkozik - hangsúlyozza a Microsoft.
Itt jöhet a következő hidegzuhany
A GDPR viszont nemcsak a jogi szabályok betartását követeli meg, hanem a technikai biztonságot is. Például nem csupán azt követeli meg, hogy az adatkezelő nyilvántartást vezessen az esetleges incidensekről, hanem az incidensek hatósági bejelentését is előírja, és meglehetősen szűk határidővel: amint a vállalat tudomást szerzett az incidensről, 72 órán belül jelentenie kell a hatóságoknak, hogy az hány személyt, milyen személyes adatokat érintett és hogy az érintettek milyen következményekkel számolhatnak. Ha pedig az incidens jelentős kockázatot jelent az érintettek személyiségi jogait illetően, akkor késedelem nélkül értesítenie kell őket is - hívja fel a figyelmet a Microsoft.
Ráadásul jövő év májusától kezdve nem lesz elég pusztán megfelelni a rendelet előírásainak, azt igazolni is tudni kell majd, adott esetben belső és külső szabályzatok elkészítésével és azok igazolt betartatásával.
Az igazolások egy részét meg lehet úgy oldani, hogy az érintett cég vagy szervezet egy erre szakosodott olyan vállalattól rendel például tárhelyet vagy adatkezeléshez kapcsolódó szolgáltatásokat, amely már rendelkezik ilyen tanúsítványokkal. Azonban fontos megjegyezni, hogy a vállalat még így sem mentesül minden felelősség alól. Bármilyen beszállító megoldását használja is egy cég, attól még hogy a megoldás megfelel az előírásoknak, a teljes működésért és folyamatokért továbbra is maga a cég felel - hangsúlyozza a Microsoft.
Több informatikai vállalat - köztük most a Microsoft - emellett arra is felhívja a figyelmet, hogy a GDPR követelményeinek teljesítése az egész vállalkozást érintő kihívás, amely időt, eszközöket, folyamatokat és szakértelmet igényel, és amely jelentős változásokkal járhat az érintett vállalat adatvédelmi és adatkezelési gyakorlatában. Továbbá az adatkezeléssel kapcsolatos jogszabályi változások követése - különösen egy olyan szabályozási "rendszerváltással" felérő esetben, mint a GDPR bevezetése -, akkor lehet a leghatékonyabb, ha egy cég vagy szervezet nem külön-külön, hanem rendszerszinten, minden területen egyszerre próbálja megteremteni a szükséges feltételeket.
Nem érdemes sunnyogni
A fent említetteknek különös súlyt minden bizonnyal az ad, hogy a GDPR szabályainak megsértése nagyon súlyos bírságot von maga után, ami globális cégek esetén 20 millió eurót vagy a vállalkozás előző pénzügyi évének teljes globális árbevételének 4 százalékát is kieheti. A rendelet elveinek alkalmazása - ahogy a NAIH elnöke is többször hangsúlyozta már - egységes lesz az EU-n belül, a tagországok között nem lesz különbség a joggyakorlatban, így például a bírság kiszabásának módja és mértéke sem fog eltérni. Ez pedig igen jelentős változást jelent a jelenlegi magyar jogszabályok alapján kiszabható 20 millió forintos bírsághoz képest.
A cikk a Microsoft szakmai támogatásával készült.
(Fotó: Shutterstock)