Mikor kell adatvédelmi szabályzatot készíteni?
Mikor kell adatvédelmi szabályzatot készíteni?
“Akár több millió eurós bírságot is kiszabhatnak!” “A vállalkozások akár a bevételük 75%-át is kifizethetik büntetésből!” Ezek a leggyakoribb rémhírek a cégek adatkezelésével kapcsolatban. Vannak, akik rettegnek a bírságtól, mások teljesen meg is feledkeznek a kötelezettségekről. Felmerül a kérdés: mikor kell adatvédelmi szabályzatot készíteni, ki ellenőriz és el lehet-e kerülni a bírságokat?
Miért ennyire sarkalatos pont az adatvédelem?
“Jó napot kívánok, egy nyeremény miatt telefonálok, most lehetősége van hatalmas kedvezménnyel…” – ezeket a hívásokat mindenki ismeri. Az idegesítő marketing beszélgetések valójában gyakran adatkezelési hibák eredményei. Vagy mi nem voltunk elég körültekintőek és valahol (mondjuk egy nyereményjátékban) megadtuk a számunkat, vagy az adatainkat kezelő cég hibázott, például engedte, hogy a távozó kolléga magával vigye a címjegyzéket.
Az adatokkal kapcsolatos figyelmetlenség jobb esetben csak kellemetlenséget okoz. A károk viszont néha súlyosak is lehetnek. Legutóbb például a koronavírusról szóló tájékoztatásba csúszhatott adatkezelési hiba. A Társaság a Szabadságjogokért szerint a hivatalos tájékoztatásban nem anonimizálták megfelelően az információkat. Úgy tettek közzé adatokat, hogy néhány, a vírus következtében elhunyt áldozat személye azonosítható volt. Valakiről kiderülhetett például, hogy a koronavírus mellett alkoholfüggőségben is szenvedett.
Ha vállalkozást vezetünk, az ügyfelek adatbiztonsága prioritás. Nem vet ránk túl jó fényt például, ha miattunk derül ki, hogy egy kulcsfontosságú vállalat vezérigazgatója valószínűleg alkoholfüggőségben szenved. Magánemberként is fontos, mit tudhatnak meg rólunk. Vajon szívesen osztanánk meg a főnökünkkel, hogy hétvégén darts bajnokságot nyertünk a helyi kocsmában, vagy masszőr segítségét kértük?
Milyen szabályozásokat kell betartani?
2018 óta sokan rávágják erre: a GDPR-t! Ez csak részben igaz. A GDPR az Az Európai Parlament és a Tanács (Eu) 2016/679 rendelete. Ez a szabályzat tulajdonképpen csak egységesíti az érintett országok adatvédelmi előírásait. Korábban a tagállamok eltérően ültethették át az EU szabályozásokat a saját törvénykezésükbe. A GDPR-ral ez egy viszonylag átlátható, minden tagállamra érvényes rendszert kapott.
Magyarországon az irányadó a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. Ezt a törvényt változtatják és egészíti ki a GDPR változtatásaival összhangban.
Minden cégnek adatvédelmi szabályzatot kell készítenie, ha valamilyen személyes adatot kezel. Ehhez kapcsolódnia kell egy adatkezelési tájékoztatónak, amelyből az adatok tulajdonosai megismerhetik az adatkezelés okait és az adatkezeléssel kapcsolatos jogaikat. Szükség van egy adatvédelmi nyilatkozatra is. Ez egy olyan dokumentum, amelyben az adatok tulajdonosa felhatalmazza a céget az adatainak a kezelésére.
Miért érdemes szakemberre bízni az adatvédelmi szabályzat elkészítését?
Az adatvédelmi szabályzat elkészítése sem könnyű feladat. Az adatkezelés helyes megvalósítása pedig tényleg nem egyszerű. A GDPR bevezetését például két éves felkészülési idő előzte meg, a cégek többsége ugyanis nem állt olyan technikai színvonalon, hogy teljesíteni tudja a követelményeket.
Az adatvédelmi szabályzatnak egészen széleskörűen ki kell terjednie minden olyan tevékenységre, ahol adatkezelés folyik. Ilyen lehet a dolgozók kamerával történő megfigyelése, vagy az állásra jelentkező pályázók önéletrajzának fogadása is. Külön területe az adatkezelésnek a weboldalak és különböző online szolgáltatások használata is.
Bár az interneten több adatkezelési szabályzat minta létezik, érdemesebb olyan szakemberre bízni a feladatot, aki valóban átlátja, milyen kötelezettségeink merülhetnek fel az adatokkal kapcsolatban. Vitás kérdések esetén jó, ha meg tudjuk mutatni: valóban mindent megtettünk-e a megfelelő adatkezelésért.
Ki bírságol, ha nem felelünk meg a GDPR-nak?
Az adatvédelmi irányelveknek való megfelelőséget az Európai Unióban mindig az adott ország megfelelő hatósága vizsgálja. Nálunk ez a NAIH, vagyis a Nemzeti Adatvédelmi és Információszabadsági Hivatal. Ők szabhatnak ki bírságot is ha úgy látják, hogy nem felelünk meg a szabályozásnak.
A bírság valóban nagy összegű lehet, akár 20 millió Euró is, vagy a cég világpiacon szerzett bevételének 4%-áig (tehát nem 75%-áig) terjedő összeget is ki kell fizetni büntetésként. A helyzet azonban, szerencsére, nem ilyen egyszerű. A bírságolás előtt minden esetben mérlegelik, mennyire történt súlyos kihágás. Más megítélés alá esik például, ha valaki szándékosan sért szabályt (például áruba bocsátja a jogtalanul gyűjtött adatokat), vagy nem ismeri jól a törvényeket és hiányzik valami az adatvédelmi nyilatkozatból.
Az adatvédelmi törvények inkább barátok, mint ellenségek. Bár a szabályozások betartásához szükség van odafigyelésre, hosszú távon sokat nyerünk a biztonságon. Sem a bírságot, sem a jó hírünket nem érdemes kockára tenni. Egy megbízható cég gyorsan, pontosan és felesleges adminisztrációs körök nélkül ellenőrizni tudja az adatvédelmünket és pontosan elkészíti a megfelelő dokumentumokat és a szabályzatot.
Amennyiben segítségre van szüksége, kérjen tőlünk ajánlatot: