GDPR-hoz kapcsolódó kockázatok a KKV szektorban
Az EU Általános Adatvédelmi Rendelete (GDPR) 2018. május 25-től közvetlenül és kötelezően alkalmazandóvá válik. A GDPR már 2016. május 24-én hatályba lépett, viszont a szabályozás megalkotói a komplex alkalmazásra tekintettel két éves felkészülési időt határoztak meg az érintett piaci szereplők általi implementálásra.
Érintettek köre
Bár alapvetően a GDPR megalkotásának egyik fő célja a jogalkalmazók adminisztrációs terheinek csökkentése és a digitális gazdaság fejlődésének elősegítse volt, jelentős adminisztrációs és fejlesztési feladatokat hárít már a legkisebb piaci szereplőkre (egyéni vállalkozók, kisebb családi vállalkozások) is.
Az érintettek köre rendkívül széles, minden olyan tevékenység adatkezelésnek minősül a GDPR szerint, amely személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ide tartozik többek között tehát a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás is.
A GDPR értelmében minden személyes adat, amely azonosított vagy azonosítható természetes személyre vonatkozó információ. Azonosítható minden természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító (például: név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó) egy vagy több tényező alapján azonosítható.
Adatkezelő tehát minden olyan természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Adatkezelők tekintetében fontos megemlíteni, hogy ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.)
A fent definiált fogalmakból látható, hogy valóban a legkisebb piaci szereplők is végeznek adatkezelési tevékenységet, akár már egy munkavállaló foglalkoztatása, vagy akár a legegyszerűbb weblap kezelése során is, hiszen ezen tevékenységek a munkavállalók, ügyfelek személyes adatainak kezelésével járnak.
Egy másik, jelentős érintetti kör az adatfeldolgozók köre. Adatfeldolgozónak minősül minden természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. A legegyszerűbb példa az ilyen típusú piaci szereplőkre a könyvelési-, bérszámfejtési tevékenységet végző szervezetek.
Miért lett hangsúlyos téma a GDPR?
Bár egy megfelelő adatvédelmi rendszer rendkívül nagy segítséget nyújthat egy gazdasági társaság életében, a legfontosabb tényező aminek köszönhetően felkapott napjainkban a GDPR:
A bírság.
Egyes jogsértésekért maximálisan kiszabható bírság mértéke 20 millió euróra (!!!) emelkedik 2018. május 25-től, vagy személyes adatot kezelő piaci szereplők tekintetében a bírság mértéke a megelőző pénzügyi év teljes éves forgalmának legfeljebb 4 %-át kitevő összeg mégpedig úgy, hogy a kettő közül a magasabb összeget köteles az eljáró hatóság kiszabni bírságként.
GDPR felkészülés
Ha a GDPR felkészülésre, mint projektre tekintünk, négy dimenzióban vizsgálhatjuk a felkészülési folyamatot:
- Adminisztratív;
- Személyi;
- Fizikai; valamint
- Számítástechnikai felkészülés.
Az adminisztratív felkészülés során kötelesek a GDPR megfeleléshez szükséges dokumentációkat, szabályzatokat, és egyéb elengedhetetlen közzétételeket (például: adatvédelmi tisztviselő elérhetősége) kialakítani.
A személyi háttér biztosítása magában foglalja mind az adatvédelmi tisztviselő kinevezését, mind pedig a munkavállalók tudatos, adatvédelmi szemléletű folyamatos képzését, illetve magának az óvatossági ösztön kialakításának folyamatát.
Fizikai védelem alatt a legegyszerűbb védelmi szint kialakítását kell érteni: illetéktelen, jogosultság nélküli személyek fizikai kizárását az adatokhoz való hozzáféréstől. Ez megvalósulhat egy zárható, nem gyúlékony anyagból készült szekrényben való adatelhelyezésben, vagy esetlegesen a számítógépek USB portjának csak jogosult személyek számára történő elérhetőségében.
Az utolsó dimenzió, vagyis az IT felkészülés jelent jelentős kihívást a KKV szektor szereplői számára. Egy GDPR kompatibilis számítástechnikai rendszer kialakítása alapvetően rendkívül költséges projekt, amelynek a képzeletünk szabhat határt.
A reális elvárás a KKV szektorban szereplők számára az adminisztratív-, személyi- és fizikai védelmi vonalak tökélyre hangolása, valamint az IT biztonság piaci teljesítményhez mérten megfelelő kialakítása.
Amennyiben úgy érzed, hogy a fenti feltételeknek való megfelelésben segítségre szorulnál, keress meg bennünket elérhetőségeinken.
Ajánld fel társasági adódat és akár ingyen elkészítjük a GDPR Dokumentációdat. További info: itt
A Brandberry Csapata
