Lehúzás vagy védelem? GDPR!

Van-e teendője a magyar vállalkozásoknak az új Általános Adatvédelmi Rendelettel (GDPR) kapcsolatban?
Egyértelműen van. Minden vállalkozásnak előírja a GDPR, hogy önellenőrzést folytassanak le. Akkor is, ha nem kezelnek személyes adatokat. Ezt ugyanis bizonyítaniuk kell egy esetleges ellenőrzés során. Ha pedig az önellenőrzés folyamán kiderül, hogy bármilyen módon kapcsolatba kerül a vállalkozás személyes adatokkal, akkor meg kell tenniük a szükséges intézkedéseket.

Szabályzatokat kell készíteniük?
A rendelet nem írja elő kötelezően a szabályzatok elkészítést. Azokat csakis akkor kell elkészíteni, ha szükségessé válnak.

Sokan már túl vannak a szabályozások és tájékoztatók elkészítésén. Akkor számukra ez kevés lehet?
Ezt nehéz megmondani. Sajnos egyre több helyről halljuk, hogy „Szóltam a könyvelőmnek, hogy készítsen valamit.”, meg hogy „Az ügyvédemmel készítettem szabályzatokat.”, no meg, hogy „Á én vásároltam sablon szabályzatokat, azokkal megoldom”. Az ilyen dolgokkal óvatosan kell bánni. Mert ha a könyvelő vagy az ügyvéd nem készített előzetesen átfogó ellenőrzést a cégnél és nem vizsgálta át a meglévő folyamatokat, vagy éppen az adatok állapotát, jogalapjait, céljait stb., akkor szinte borítékolni lehet, hogy az elkészült szabályzatok, tájékoztatók kevésnek bizonyulnak ahhoz, hogy megvédjék a vállalkozást a szankcióktól. Olyannyira nem lehet a sablonokra hagyatkozni, hogy még a TÜV vizsgán sem adnak a kezekbe ilyesmiket. Sőt, minden vállalkozás más és más, így sablonokat sem lehet húzni rájuk. Szóval, a szabályzatok készítése igencsak kevés lesz a megfeleléshez. Ugyanis a GDPR egyáltalán nem ezt igyekszik elrendelni.

Tehát miről is szól a GDPR?
Emlékeznek még sokan a munkavédelmi szabályokra, vagy amikor bevezették a HACCP-t. Akkor sok vállalkozó zúgolódott, hogy „Megint egy újabb lehúzás ez az egész.” és tiltakoztak a bevezetésük ellen. Aztán idővel muszáj volt belátniuk, hogy nincs lehetőség, nincs kerülőút. Ha jogszerűen akarnak működni és el akarják kerülni a hatósági szankciókat, akkor egyszerűen nem tehetnek mást, mint megfelelnek az előírásoknak. Ma már senkinek nem kérdés a munkavédelmi oktatás vagy az, hogy a melegkonyhás egységeknek meg kell felelniük bizonyos rendeleteknek. Cikkünk tárgyával, a GDPR-ral is ugyanez a helyzet. A célja az, hogy egységessé tegye az adatkezelést. Vagyis a rendelet arról szól, hogy minden vállalkozás rendszerbe foglalja a rá bízott személyes adatokat és a lehetőségei szerint meg is védje azokat. Azaz, ez egy olyan kötelező feladat, ami végre szabályozza, hogy ki és mit tehet meg egy személyes adattal, és mit nem.

Ez mit jelent?
Ez azt jelenti, hogy a vállalkozásoknak át kell alakítaniuk a jelenlegi – az esetek túlnyomó többségében hanyag – belső folyamataikat, hogy a tulajdonukba jutott adatokat szabályozott keretek között tárolják, kezeljék, töröljék, módosítsák, továbbítsák és dolgozzák fel. Szabályozniuk kell azt, hogy ki férhet hozzá az adatokhoz és azokkal milyen feladatokat végezhet. Meg kell védeniük az adatokat azoktól, akik illetéktelenül férhetnek hozzájuk. Például, a takarítónőtől, akinek semmi köze hozzá, hogy a szomszéd Gizike a cégnél vásárol-e vagy sem. Biztonsági óvintézkedéseket kell tenniük az adatok véletlenszerű elvesztése- vagy megsemmisülése ellen, ha ez szükséges. Továbbá napra készen kell tartaniuk az adatokat, ami azt is jelenti, hogy például rendszeresen karban kell tartaniuk azokat. Az adatbázisukban nem szerepelhetnek téves- vagy éppen már rég törlésre kötelezett adatok. Törölniük kell tehát például azokat az adatokat, amiket a megengedett határidőn túl is tárolnak jelenleg, vagy amelyek már rég megváltoztak. Esetleg munkaszerződéseket kell módosítaniuk az alkalmazottakkal. Meg kell vizsgálniuk a jelenlegi belső folyamataikat, hogy hol kell esetlegesen módosításokat, új intézkedéseket bevezetni. Védelmi szoftvert telepíteni, jelszóval védeni, álnevesíteni, hogy csak néhány eljárást említsek. Sőt, intézkedéseket kell tenniük, hogy az alkalmazottak hogyan viszonyuljanak az adatkezeléshez. Például, nem engedhetik meg, hogy hazavigyenek bizonyos papíralapú munkákat, hogy otthon fejezzék be azokat. De mondjuk otthonról hozott pendrive-re sem másolhatják át a céges adatokat. És egy sokak számára igencsak meglepő dolog: Meg kell vizsgálniuk a jelenlegi üzleti partnereiket, akikkel valamilyen módon adatokat cserélnek, hogy ők megfelelnek-e az új rendeletnek. A feladat sokkal összetettebb, mint szabályzatokat és tájékoztatókat írni. Amint látható a korántsem részletes felsorolásból, hogy teljesen más szemmel kell néznie egy vállalkozásnak ezentúl az adatkezelésre, mint a működéshez szükséges teendőre.

És ha nem teszik meg mindezt, bírságolhatóvá válnak?
Nem feltétlenül. A NAIH mérlegelési hatáskört kapott. Lesznek esetek, amikor felszólíthatják a vállalkozásokat a hibák javítására. Lesz, amikor megtiltják az adatkezelést addig, amíg a hibák javításra nem kerülnek. De ezt akár véglegesen is megtilthatják, ami sok vállalkozásnak a működését is veszélybe sodorhatja. Számos egyéb szankciót is bevethet a hatóság, így tehát nem feltétlenül a bírság lesz az egyetlen eszköz a kezében. Azt azonban senki ne higgye, hogy egy „Jaj, hát én nem is hallottam a GDPR-ról!” csodálkozó felkiáltással kibújhatnak a felelősség alól. Sőt, szinte biztosak lehetnek azok a cégek, melyek mérgelődve tagadják meg, hogy megfeleljenek a rendeletnek, hogy majd egy „Nem tudtam, fogalmam sem volt!” kijelentéssel meg is úsztak mindent, és ráérnek majd csak azután nekifogni a felkészülésnek, miután NAIH látókörébe kerültek. Ugyanis a GDPR-nak már most meg kell felelni. A 2018. május 25. már a kétéves türelmi idő végét jelenti. Azaz, innentől már senki sem tudja megúszni szankciók nélkül. Elég nagy rá az esély, hogy akiknél még csak nyomát sem látják az intézkedéseknek, szigorúbb megítélésben részesülnek, mint azok, akik már léptek valamit – még akkor is, ha esetleg hibát követtek el. Hiszen ők már legalább elfogadták, hogy a rendelet valódi és nem holmi látszatintézkedés.

Mekkora lehet a bírság összege, ha arra kerül a sor?
Ezt most még igazán nehéz megmondani. Ami biztos, hogy a GDPR szó szerint így rendelkezik: „Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.” Ez azt jelenti, a bírság mértékének „fájdalmasnak” kell lennie, hogy az adott vállalkozás, a bírságolás után biztosan igyekezzen megfelelni a rendeletnek. Más szóval, arra senki se számítson, hogy első körben megússza 10-20 000 Ft-os büntetéssel. De ennél többet nem igen lehet még tudni. Majd a gyakorlat megmutatja, mi lesz. Azt talán előre lehet vetíteni, hogy az éves árbevétel 2 illetve 4%-a lesz az irányadó. Enyhébb szabályszegés esetén 2%, súlyosabb szabályszegés esetén 4% lehet a bírság. A bírság maximuma 20 millió euro vagy az éves árbevétel 4%-a. Amelyik összeg a magasabb, azt kell alkalmazni. Ezt például akkor szabhatják ki, ha mondjuk jogalap nélkül gyűjt valaki adatokat és eközben még csak meg sem próbál megfelelni a rendeletnek. És bizony könnyen lehet, hogy jelenleg számos vállalkozás tesz így, miközben éppen azzal hárít, hogy ő rá nem vonatkozik a GDPR és hagyják őt békén. Érdekesség, hogy a NAIH indokolt esetben még akár házkutatást is tarthat. Vagyis viszonylag széles ellenőrzési jogkörrel rendelkezik majd ezentúl.

Szóval, aki most igyekszik kibújni a felkészülés alól, az nagy kockázatot vállal?
Ezt mindenkinek saját hatáskörben kell eldöntenie. Ugye, nem arról van szó, hogy az adatvédelmi ellenőrök már rajtra készen várnak a startvonalnál, hogy élesre töltött bírságcsekkekkel megrohanják a piacot. Nem fog a NAIH azonnal nekifogni, hogy bírságra éhesen letámadja a vállalkozásokat. Ideig-óráig meg lehet úszni a felelősségre vonást. Azt kell mérlegelni, hogy egy esetleges súlyosabb bírság kiszabása, vagy a megfelelésre való törekvés jelent-e nagyobb kockázatot. Mert a megfelelést senki sem kerülheti el. Akárcsak a munkavédelmi megfelelés, az adatvédelmi rendeletnek való megfelelés is kötelező lesz a jövőben a cégek számára. És erre a GDPR minden erővel törekszik is. Mindent úgy alkottak meg az Európai Unióban, hogy erőt adjanak a hatóságoknak a rendelet betartatására. Ismétlem, a bírság mértéke visszatartó erejű lesz. Szóval, attól függően, ki mekkora profittal dolgozik, ez jelentős kockázattal is járhat. Mindenkinek érdemes utánaszámolnia, hogy az éves árbevételének a 2-4%-a mennyi havi nyereségüket vinné el. E szám ismeretében kell mérlegelni, hogy mi éri meg és mi nem.

Mikor és mit kell tehát tennie a vállalkozásoknak?
Első körben mindenkinek egy átfogó- és teljes önvizsgálatot kell elvégeznie, amely vizsgálat során a végére kell járnia, hogy ténylegesen a birtokába jutnak-e személyes adatok. Minden más intézkedés csak ezután következhet. Mint mondjuk az esetleges rendszerelemek kidolgozása – például, hogy hogyan védi a cég az adatokat az illetéktelenektől, illetve hogy milyen adatvédelmi rendszer-módosításokat kell elvégezniük, netán szükségük van-e adatvédelmi tisztviselőre, és így tovább. Ez egy bonyolult és rendkívül összetett feladat lesz. Ha kamerával figyeli meg egy cég a vállalkozás egyes részeit, mindenképpen cselekednie kell. Ha már csak egyetlen alkalmazott is dolgozik az adott vállalkozásnál, cselekednie kell. Ha külső könyvelő végzi a könyvelést, szintén muszáj lépéseket tenni. Ha bárkinek a személyes adatait feljegyzik egy kis füzetbe, hogy aztán mondjuk, kiértesítsék valamilyen okból, mindenképpen cselekedniük kell. Jelen pillanatban csak igen-igen kivételes esetben kerülhet ki egy vállalkozás a GDPR hatálya alól. Ám ne feledjük, hogy még ezt is bizonyítania kell egy esetleges ellenőrzés során. Logikus is mindez, hiszen mi értelme lenne az egésznek, ha bárki könnyedén kibújhatna a rendelet alól? Hogyan lehetne egységes adatvédelemre törekedni, ha közben szinte senki sem tartozik a rendelet hatálya alá? Úgyhogy az önellenőrzést mindenkinek el kell végeznie, aki bármilyen módon kapcsolatba kerül személyes adatokkal. Még egy magánszemélynek is, aki nem kizárólag magán célra kezel és tárol személyes adatokat. Mondjuk egy marketinges, aki üzleti céllal ír címlistát vagy magánszemélyeknek ad el termékeket vagy szolgáltatásokat.

Egyedül megbirkózik-e egyáltalán egy vállalkozás egy ilyen összetett feladattal?
Az esetben, ha behatóan átvizsgálták és értelmezték a GDPR rendelkezéseit, kiválogatták közülük a rájuk vonatkozó részeket, majd ezek után elvégezték az önellenőrzést, akkor van rá esély, hogy sikerrel fel tudnak készülni a rendeletnek való megfelelésre. Végső soron nem lehetetlen feladat. Önképzéssel és pár jogi tanácsadást követően egy jó képességű cégvezető viszonylag nagy biztonsággal el tudja majd végezni a szükséges lépéseket. Bár ehhez nem csupán jogi rálátás kell, hanem informatikai és rendszerelméleti készségekre is szükség lehet. Ha nem tud- vagy akar megküzdeni mindezzel egy cégvezető, akkor érdemes tudni, hogy képzettség nélkül képtelenség megfelelni a rendeletnek. Erre mindenki mérget vehet. Sőt, a – „Csináljuk gyorsan valamit” hozzáállással végzett megfeleltetés sem lesz elegendő. Az egész feladat elvégzéséhez komoly átvilágításra, esetleges rendszer szintű átszervezésekre, sőt akár az alkalmazottak oktatására lesz szükség. Így „Az ügyvédem csinált már szabályzatokat, tájékoztatókat” szintű feladatvégzés sem igen lesz elég. De szerencsére számos szakirányú szolgáltatót találni e feladat elvégzésére.

Mennyibe kerülhet ez a vállalkozásoknak?
Nehéz megmondani. A piacon hallottunk már több milliós díjakról is. A NAIH is úgy írta ki a náluk elérhető audit díjazásánál, hogy „a munkavégzés mennyiségétől függ, de maximum 5 millió forint”. Ebből arra lehet következtetni, hogy náluk sem igen lesznek pár tízezer forintos díjak. Mi igyekszünk a kisvállalkozásokra szabott árakat kínálni, hogy a megfelelés ne váljon lehetetlenné a számukra sem, így ne kelljen rettegniük egy esetleg bírság súlyától csak azért, mert nem tudtak szakembert megfizetni. Ez azt jelenti, hogy bár valóban tetemes mennyiségű tennivaló merülhet fel még egy átlagos vállalkozásnál is, ennek ellenére a kkv szektor is követni tudja majd az EU rendeletet. Legalábbis Zala megyében biztosan.

Miben segítenek Önök?
Első lépésen teljesen ingyen segítünk felmérni, hogy egy adott üzletre, műhelyre, irodára, gyárra, vagy bármilyen vállalkozásra vonatkozik-e a GDPR. Ez eleve nagy segítség lehet, ami kiutat jelent a bizonytalanságból és a GDPR körül kialakult káoszból a vállalkozók számára. Ha szükségessé válik, akkor segítünk elvégezni az önellenőrzést is. Sőt, ha a vállalkozás kéri, tudunk segíteni a teljes megfeleléshez szükséges folyamatban is. A felmérésen kívül tehát a belső folyamatok átszervezésében, az adatbiztonsági kérdésekben, de akár még az alkalmazottak oktatásában is. És mivel a GDPR előírja az adatok rendszeres karbantartását és a napra kész megfelelést, így kialakítottunk egy úgynevezett adatvédelmi felelősi szolgáltatást is, amit havidíjért érhetnek a cégek. Na és, ahol szükséges, ott el tudjuk látni az adatvédelmi tisztviselői feladatokat is. Ez nem ugyanaz, mint a felelős.

Mit tegyenek, akik kérik a segítségüket?
Keressenek meg minket az ingyenes auditért, hiszen ez az első lépés, amit mindenképpen meg kell tenni. A többi lépés csak ez alapján válik szükségessé vagy szükségtelenné. Az ingyenes auditon azt is segítünk eldönteni, hogy ha már készültek szabályozások és tájékoztatók az adott cégnél, akkor azok megfelelőek lesznek-e vagy sem. Hívjanak a 70/501-0923-as telefonszámon, küldjenek e-mailt a lemurialine@gmail.com címre, írjanak egy üzenetet a Messengeren vagy a https://www.facebook.com/lemurialine/ oldalon keresztül keressenek meg minket. Keressenek minket bizalommal, igyekszünk mindenben segíteni nekik.