Miért kell betartani a GDPR rendelkezéseit?
- Mert 2018. május 25-től kötelező és igen nagy büntetéseket szabhat ki a hatóság, ha egy szervezet nem tartja be az uniós rendelet előírásait.
Az Infotv. alapján kiszabható eddigi maximum 20 millió forintos bírság a jövőben a GDPR alapján akár 6 milliárd forintra is rúghat. Ez természetesen nem azt jelenti, hogy a legkisebb cégnek is ekkora büntetés jár majd ha vét egy apró hibát, hanem azt, hogy minden további nélkül kaphat akkorát, amely miatt akár még csődöt is kell jelentenie. - A kockázat hatalmas, a felelős pedig a szervezet vezetője.
Az adatvédelem szabályainak betartása a szervezet vezetőjének a felelőssége, aki dönthet akár úgy is, hogy nem foglalkozik a GDPR rendelkezéseinek megfelelő adatkezelésre átállással, hiszen minimális az esélye annak, hogy bekopogtat a hatóság és már az első fél órában talál annyi hibát, amely alapján akár pár millió forintos bírságot is kiszabhat.
A kockázat azonban hatalmas – rosszindulatú, bosszúból feljelentő munkavállalója vagy bármire képes konkurenciája minden cégnek lehet, az állam számára befizetendő büntetés pedig komoly, nagyon is kézzel fogható és nehezen ellensúlyozható profitcsökkentő tétel.
- Az adatvédelem területén nem érvényesül az ártatlanság vélelme.
A gondatlan (sőt, akár még a jószándékú magatartást is) pontosan ugyanúgy büntetni rendeli a jogszabály mint a szándékos jogsértést, a végső felelős pedig minden esetben a szervezet vezetője. Sőt, a vezető nemcsak a saját szervezetének adatkezeléséért felel, hanem a szervezet által igénybe vett adatfeldolgozók tevékenységéért is (könyvelő, tárhelyszolgáltató, marketinget ügyintéző cég, futárszolgálat, vagyonőr, stb.). A jogkövető magatartás bizonyítása minden esetben a szervezet feladata. - A GDPR megköveteli a jogszerűséget, a tisztességes eljárást, az átláthatóságot, az adattakarékosságot és az elszámoltathatóságot is.
A GDPR-ra felkészülés során a szervezetnek fel kell mérnie az adatvagyonát, azt meg kell tisztítani a jogalap nélkül kezelt személyes adatoktól, így a rendrakással egyidejűleg a szervezet a saját munkafolyamatait is átláthatóbbá, adattakarékosabbá teheti. - Az adatvédelmi szabályoknak megfelelés extra figyelmet igényel a szervezetek vezetőitől.
A szervezeteknek még olyan kötelezettségeik is vannak, mint például- bizonyos adatkezelés típusok esetén érdekmérlegelési teszteket kell végezni (céges internet és e-mail, céges laptop, telefon használatának ellenőrzése, kamerarendszer működtetése, GPS használata, alkalmassági vizsgálatok, stb.),
- a GDPR által meghatározott esetekben adatvédelmi tisztviselőt kell foglalkoztatni (munkaviszonyban vagy szolgáltatási szerződés keretében),
- új feladatként az érintettek számára – bizonyos esetekben – az adathordozhatósági jog biztosítása,
- ha pedig bármilyen adatvédelmi incidens történik (például elveszik egy személyes adatokat tartalmazó pendrive, ismeretlen személy lenyúl egy céges laptopot, feltörik a cég informatikai rendszerét, stb.), az eseményt nemcsak kivizsgálni kell, hanem 72 órán belül be is kell jelenteni a hatóságnak, valamint ha jogszabály kötelezővé teszi, az incidens által érintett személyeket is értesíteni kell.
Miben tudunk Önöknek segíteni?
Mindazon adatkezelési és adatbiztonsági problémák megoldásában amelyek akadályozzák, hogy az Ön vállalkozása megfeleljen a GDPR előírásainak.
Tanácsadó tevékenységünk során – maximális titoktartási kötelezettség mellett – segítünk
- a vállalkozás adatvagyonának felmérésében és az adatvagyon leltár elkészítésében (a vállalkozás által használt adatkezelési nyilvántartások felmérésében, az adatkezelési jogcímek meghatározásában, az adatvagyon jogszabályi megfelelőségének vizsgálatában illetve megtisztításában, stb.)
- az adatkezeléssel és adatbiztonsággal kapcsolatos szabályzatok, sémák, protokollok, belső utasítok felmérésében és módosításuk kidolgozásában,
- az adatkezelési nyilvántartások GDPR rendelkezéseinek megfelelő módosításában (munkavállalókkal és üzleti partnerekkel, vevőkkel, stb. kapcsolatos adatkezelések, stb.)
- az érintettek jogai érvényesítését biztosító protokollok kialakításában (belső utasítások, ügymenetek, formanyomtatványok meghatározásában),
- a jogszabály által előírt tájékoztatási kötelezettség teljesítésében (honlapokra, webáruházakra adatkezelési tájékoztatók készítésében, hozzájáruló nyilatkozatok rendszeresítésében, tájékoztatási kérelmek teljesítésében, panaszkezelésben, stb.)
- elektronikus megfigyelőrendszerek és beléptető-rendszerek felmérésében és jogszabályi megfeleltetésében (kameraszabályzat felülvizsgálatában, érdekmérlegelési tesztek készítésében, stb.),
- munkavállalók ellenőrzésével kapcsolatos adatkezelések felülvizsgálatában és módosításában, érdekmérlegelési tesztek és belső utasítások készítésében (céges eszközök, céges internet és e-mail fiók, GPS, telefon használata, alkalmassági vizsgálat, stb.)
- GAP-analízis segítségével olyan cselekvési terv elkészítésében mely meghatározza, hogyan érheti el a vállalkozás a GDPR rendelkezéseinek megfelelőséget (időtáv, erőforrásigény, elvégzendő feladatok, stb. meghatározása),
- direkt marketinggel és hírlevél szolgáltatással kapcsolatos adatkezelések jogszabályi megfelelőségének biztosításában,
- adatvédelmim incidensekkel kapcsolatos protokollok kialakításában,
- az adatvédelmi tisztviselő munkaköri leírásának (szolgáltatási szerződésének) tartalmi meghatározásában,
- adattovábbítási eljárásrendek és nyilvántartás kialakításában,
- a vállalkozás által igénybe vett adatfeldolgozókkal kapcsolatban a felelősségviszonyok rendezésében, tanúsítványok beszerzésében, auditok lefolytatásában, a szerződések GDPR rendelkezéseknek megfelelő módosításában,
- adatfeldolgozással foglalkozó vállalkozások esetén adatfeldolgozóként végzett feladatok GDPR rendelkezéseinek megfelelő végzésében,
- különleges adatok kezelésére és a gyermekek adatainak kezelésére vonatkozó szabályoknak megfelelésben,
- a vezetők, adatgazdák és alkalmazottak új típusú adatkezelési folyamatokra felkészítésében,
- a GDPR rendelkezéseinek folyamatos megfelelés ellenőrzésében.