A tervek szerint május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen védendő kategóriába helyezi a természetes személyekhez kapcsolódó személyes adatokat, így rendkívül súlyos büntetést is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azokra a cégekre, amelyek nem teremtik meg a megfelelő szintű biztonsági hátteret - hangsúlyozza a Crowe FST közleményében.
Személyes adatnak számít a név, a születési adatok, a lakcím, a telefonszám és az e-mail cím, a konkrét személyhez nem köthető cím - mint például az "info" kezdetű - nem minősül személyes adatnak - mutat rá az adótanácsadó.
Mitrik Kornélia, a Crowe FST bérszámfejtési és expat szolgáltatások igazgatója ezzel kapcsolatban felhívta a figyelmet, hogy az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez. A szakember hangsúlyozta továbbá: nagyon fontos, hogy az érintett vállalkozás mindent naplózzon és dokumentáljon, ellenkező esetben akár hatmilliárd forintnyi, vagy az éves árbevételének 4 százalékát is kitevő bírságra számíthat a cég.
A patikákat is érzékenyen érinti
A Crowe FST szerint az új uniós rendelet az egészségügyben érdekelt vállalatokat - köztük több mint 2000 patikát - különösen érzékenyen érintheti, mivel számos alkalmazást kell majd módosítani az elkövetkezendő negyedévben oly módon, hogy az adott páciensnek a jövőben hozzá kell járulnia ahhoz, hogy a privát adataikat felhasználhassa és kezelhesse az adott alkalmazás. A fejlesztőknek és informatikusoknak viszont azt is meg kell oldaniuk, hogy az ügyfelek adatai törölhetők legyenek. A jogszerű és átlátható adatkezelést, valamint a kezelt adat tulajdonosának hozzájárulását pedig mindenképpen tudnia kell bizonyítani a cég munkatársainak - hangsúlyozta.
Mi a helyzet a marketingcélú adatbázisokkal?
A rendeletet továbbá minden olyan vállalkozásnak is figyelembe kell vennie, amely működtet bármilyen marketing célú adatbázist, mivel csak abban az esetben lehet tárolni személyes adatokat, ha megtörtént a hozzájárulás az illetőtől. Egy toborzó cég esetében például a toborzást követően meg kell semmisíteni a pályázóktól beérkező adatokat, kivéve, ha azok további kezeléséhez a pályázó kifejezetten hozzájárul.
Mivel viszont személyes adat szinte bármi lehet, ami alapján egy adott személy beazonosítható, például a nagy irodaházak portáin elkért/tárolt adatok tekintetében is szükséges lesz az adatvédelmi szabályzat és az érkezők hozzájárulása az adataik (például név, személyi igazolványszám, aláírás) tárolásához - mutat rá a Crowe FST.
A kép forrása: Shutterstock.