Kezdőlap
Nem félünk a farkastól? – Már 200 nap sincs
a GDPR életbelépésig
| Interjú Dr. Holló Dóra ügyvéddel, a Holló & Társai Ügyvédi Iroda vezetőjével Nem nagyon lehet olvasni mostanság a GDPR-ról, pedig a tavaszi jogszabályalkotást követően igen nagy port kavart a bevezetése. Számos szervezet és cég jelentős lobbiba kezdett, hogy ne kerüljön bevezetésre, vagy ne ebben a formában. Kérdés, hogy a rájuk váró pluszfeladatok okozták ezt az első riadalmat, vagy pedig a be nem tartás miatt várható büntetés. Egyáltalán komolyan veszik a cégek az új adatvédelmi rendeletet? |
■ Ön hogy látja ezt?
– A rendelet egy négyéves tárgyalássorozat végeztével született meg, amely Magyarországra nézve is jelentős változásokat fog eredményezni. A GDPR (General Data Protection Regulation), vagyis az Általános Adatvédelmi Rendelet a korábbi adatvédelmi irányelvet váltja fel. A változás már ennek kapcsán is megfigyelhető, ugyanis míg egy irányelvet a tagállamoknak még jogrendszerükbe át kell ültetniük, addig egy rendelet rögtön, közvetlenül alkalmazandó. A reform az adatvédelmi jog harmonizálását, az adatvédelmi szabályzatok jelenkor technológiájához való igazítását, valamint a személyes adatok magasabb szintű védelmét tűzte ki céljául. Az unió területén tartózkodók adatvédelemhez fűződő jogait így egy egységes, és szilárd szabályozás fogja biztosítani. A cégek szempontjából ez bizony egy elég radikális változást fog hozni, hiszen azok, akik eddig nem kezelték megfelelően az adatokat, vagy egyáltalán nem figyeltek oda a hatályos jogszabályi megfeleltetésnek, azok számára egy pluszteherként fog jelentkezni még ennek megismerése is.
■ Mi az, amit Ön szerint egy cégnek mindenképpen meg kell tenni az ominózus dátum, azaz 2018. május 25. előtt?
– Ahhoz, hogy törvényileg megfelelten várja egy cég a rendelet hatályba lépését, mindenképpen javasolt egy adatvédelmi átvilágítás kérése egy szakembertől. Ennek az átvilágításnak több folyamata is lehet, attól függően, hogy az adott cég milyen tevékenységeket folytat, így a szakember sem egyértelműen csak jogi végzettségű kell legyen, hiszen előfordulhatnak olyan informatikai folyamatok, illetve vállalatirányitási rendszerek is, melyekre ugyanúgy vonatkozni fog a rendelet. Annak megállapítására tehát, hogy adott cég adatkezelése megfelel-e a GDPR előírásainak, célszerű egy átfogó, az adatkezelés minden folyamatára kiterjedő adatvédelmi átvilágítást végezni, hiszen mind az eseti, mind a rendszerszintű hiányosságok így tárhatóak fel a legegyszerűbben.
■ Miből áll egy ilyen átvilágítás, és mennyi időt vesz igénybe?
– Az átvilágítás során első lépésként meg kell vizsgálni, hogy a külső szemlélő pozíciójában hogyan fest a cég aktuális helyzete. Ennek első lépéseként az alkalmazott belső szabályzatokat (honlapot, ügyfélszolgálatot, stb.) kell célzott, adatkezelési szempontú vizsgálatnak alávetni, majd személyre szabott kérdőívekkel, illetve a helyszínen végzett személyes átvilágítással, azaz a folyamatokat ténylegesen végző munkatársakkal folytatott interjúk révén megvizsgálni az aktuális gyakorlatot. Ez általában egy, legfeljebb két napot vesz igénybe. Mindezen tapasztalatok alapján készül el az átvilágítási értékelés, amelyben elemzésre, illetve összefoglalásra kerül a cégnél feltárt minden olyan folyamat, amely az adatvédelem témakörében érintett. Az átvilágítási értékelés optimális esetben felhívja az ellenőrzés alá vont figyelmét arra, ha a folyamat nem felel meg a GDPR előírásainak, kockázati mátrixban is elhelyezve az egyes részfolyamatokat, illetve a folyamat korrekciójára vonatkozó javaslatot tesz – legyen ez akár dokumentációs hiányosság, akár eljárási probléma.
■ És ha problémát találunk, mit kell tennünk?
– Az átvilágítás során feltárt hiányosságok ismeretében megkezdhető azoknak a dokumentumoknak az elkészítése, illetve egyéb intézkedések megtétele, amelyeket a GDPR kötelező vagy – igény esetén – ajánlott jelleggel ír elő. A dokumentáció előkészítése már a GDPR-ra való felkészülés gyakorlati oldala, amelynek megfelelően a 2018 májusában hatályba lépő új szabályzatok, dokumentumok és további nyilatkozatok előkészítése történik meg. Tekintettel arra, hogy a rendelethez kapcsolódó Infotörvény-módosítás még nem került elfogadásra és az egyes részletszabályok sem kerültek még részletes kidolgozásra, valamint a magyar jogszabályalkotóknak is van egy bizonyos mértékig szabad mozgástere, így még nem lehet teljesen biztosan tudni, milyen kereteket állítanak fel. Jelenleg kizárólag a rendeletre vonatkozó szabályozás kidolgozása lehetséges.
■ Tehát ha mindezen a folyamaton végigmentünk, akkor teljes mértékben felkészültünk a GDPR-ra?
– Annak érdekében, hogy a feltárt hiányosságok orvoslása a gyakorlatban is megtörténhessen, valamint a kidolgozott dokumentáció (pl. adatvédelmi szabályzat) ténylegesen és megfelelően alkalmazottá válhasson a hétköznapokban, az adatvédelmi átvilágítás záró fázisaként a cég munkavállalóinak, alkalmazottainak egy célzott, összefoglaló oktatást javasolt tartani.
Ezen a továbbképzésen történik meg az adatvédelem területén feladattal rendelkező dolgozók felkészítése arra, hogy minden esetben felismerjék, ha tevékenységük adatvédelmi jellegű kockázattal jár, fel tudják mérni a kockázat nagyságát és mérlegelni tudják a megoldási lehetőségeket, majd a GDPR-nak megfelelően, de a gazdasági ésszerűség keretein belül maradva tudjanak reagálni a felmerülő kihívásokra.
Bár úgy tűnhet, hogy a közel 200 nap még nagyon sok idő, célszerű minél hamarabb elkezdeni a felkészülési folyamatot, arra is tekintettel, nehogy a szakemberek túlterheltsége miatt csússzunk le a törvényi határidőről.
Varga Adrienn
Holló & Társai Ügyvédi Iroda
Megjegyzés: A cikkben található információk csupán tájékoztató jellegűek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való előzetes konzultáció nélkül.