Az Európai Unió általános adatvédelmi rendelete (GDPR-rendelet) minden olyan szervezetre vonatkozik, amely természetes személyekhez kapcsolódó személyes adatot kezel, és szigorúbb,
mint az eddigi szabályozás. Az uniós adatvédelmi rendelet nagyobb szigorúságát jelképezi a bírságok ugrásszerű emelkedése is: míg jelenleg legfeljebb 20 millió forintos bírságot szabhat ki a magyar hatóság, addig május végétől ez akár 20 millió euró vagy az éves árbevétel 4%-a is lehet.
A mikro-, kis- és középvállalkozásoknak könnyebbség, hogy a Kúria döntése alapján első ízben nem bírságolhatók.
Az adatvédelmi ügyekben valószínűleg továbbra is eljáró Nemzeti Adatvédelmi és Információszabadság Hatóság (a Parlament egyelőre nem hozott döntést az eljáró hatóság kijelöléséről) szakértői stábja pedig hamarosan 40 fővel, mintegy a duplájára bővül.
A kijelölt hatóság jellemzően a magyar tulajdonban lévő adatkezelők ügyében fog eljárni, a külföldi tulajdonban lévő szervezetek ügyeit az adott külföldi hatóságoknak kell majd felajánlani kivizsgálásra.
A hatóság ellenőrzései többek között arra fognak irányulni, hogy az adatvédelmi dokumentumok megfelelnek-e a GDPR-szabályozásnak;
mit tett a szervezet azért, hogy megfeleljenek;
milyen adatok kezeléséről van szó, mi az adatkezelés jogalapja;
erről milyen tájékoztatást adott az ügyfélnek a szervezet, a tájékoztatás megfelel-e a szabályoknak; az informatikai rendszer adatbiztonsága és az incidens-bejelentési rendszer megfelelő-e.
Az önkéntes alapon, ágazatok által is létrehozható magatartási kódexek jogszabályi erővel bírnak majd és jelentős segítséget nyújthatnak az adatkezelőknek. A Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján több, a felkészülést segítő dokumentum, ajánlás található.
már az is adatkezelési műveletnek minősül, ha megkapjuk egy ügyfél személyes adatát, vagy ha régen megszerzett, már elfeledett adatokat őrzünk a raktár mélyén. A marketingcélból történő adatgyűjtés pedig kimondottan nagy kockázatú adatkezelésnek minősül az új szabályozás szerint.
Azt sem szabad elfelejteni, hogy a munkavállalók személyes adatainak a kezelése is a rendelet hatálya alá tartozik. Ez egyébként a szakértő szerint szabályozási szempontból jól kezelhető terület.
Az adatkezelés célját és jogalapját minden egyes adat esetében meg kell határozni. Kritikus terület a tájékoztatás vagy a határon átnyúló adatmozgások kérdése (pl. szállodaláncoknál) is.
Az adatkezelési folyamatok feltérképezése során meg kell állapítani, hogy milyen adatokat kezelünk, azokhoz ki fér hozzá, hogy rögzítjük és hol tároljuk az adatokat. A leggyakoribb,
az új szabályozás szerint a hatóságoknak jelentendő adatvédelmi incidens , az ügyfél- és munkavállalói adatok eltűnése (pl. pendrive, laptop, mobiltelefon eltűnésekor). Emiatt is érdemes gondolni arra, hogy ezeket az adatokat mindig megfelelő védelemmel lássuk el, titkosítsuk.
Kulcsfontosságú az is, hogy a munkavállalók tudatosak legyenek az adatvédelmi biztonság kapcsán, tehát ismerjék a szabályokat, tudják, mire kell vigyázniuk és odafigyelniük.
Az adatkezelő szervezetek elleni adatvédelmi támadást elkövetők egyébként leggyakrabban
a volt és a jelenlegi munkavállalók, akik tudatosan, de nem tudatosan is cselekedhetnek.
Arra is fel kell hívni a figyelmet, hogy hiába van megfelelő adatkezelési szabályzatunk és magatartási kódexünk, az is bajt okozhat , ha korszerűtlen az informatikai rendszerünk.
Az adatvédelmi folyamatok átvizsgálása során érdemes feltenni a kérdést, hogy valóban szükség van-e a régi adatokra, vagy akár ki is törölhetjük azokat? Valóban szükség van-e arra, hogy minden munkafolyamatban megadjuk az ügyfél teljes nevét? Esetleg használhatunk-e fedőneveket?
Fontos, hogy a szoftverszállítóval kötött szerződésben szerepeljenek megfelelő kitételek az adatvédelemmel kapcsolatban, hiszen az adatvédelmi szabályok értelmében nem a szoftverszállítóé, hanem a miénk a felelősség akkor is, ha a szoftver hibája miatt történik visszaélés.
A felhőszolgáltatások igénybe vétele esetén ezzel szemben a felhőszolgáltatóra száll át a felelősség egy része.
Forrás: turizmus.com