Prim Hírek

A jövő év közepén egy újabb, sokakat érintő és szankcionálási következményekkel járó uniós rendelet lép életbe. A rendelet a személyes adatok védelmére vonatkozik (angol nyelvű rövidítése: GDPR) és sokkal több az érintett, mintsem ezt a cégek és állami intézmények gondolnák. Mivel a rendelet életbelépésnek dátuma még távolinak tűnik (2018 május 25) egyelőre csak a nagy, nemzetközi cégek kezdték el, azok is hellyel-közzel, a felkészülést, a kisebb vállalatok, iskolák, intézmények, egyéb szervezetek, egyszóval minden szervezet, intézmény, amely személyes adatokat kezel, még nem foglalkozik a kérdéssel pedig kötelező érvényű tennivaló lesz bőven. Hiszen személyes adatnak minősül például az e-mailben szereplő név, cím, telefonszám is, de ilyet tartalmazhat a munkaszerződés, cookie (süti) a honlapunkról, az iskolai napló, a magánorvosi rendelő adatai, a látogatói napló a portán, IP cím, GPS koordináta, zártláncú kamerafelvétel is...

Mire kötelez az új rendelet? Miről is van szó?

Dióhéjban: az uniós (2016/679 számú) rendelet az adatvédelmet egy új szintre helyezi, azzal, hogy egységesíti a fogalmakat, az adatkezelési elveket és szabályokat. A rendelet, többek között, szorosabban felügyeli majd az EU-s állampolgárok adatainak más, EU-n kívüli országokba való küldését. Az érintetteknek egyértelmű hozzájárulást kell adniuk az adatkezelés folyamatához, a mostani lehetőségeknél könnyebben elérhetik azok módosítását, a tárolás megszüntetését. A GDPR minden cégre vonatkozik, amelyik európai állampolgárok személyes adatait kezeli. Ha személyes adat kompromittálódik, a GDPR értelmében az adott cég köteles az adat tulajdonosát, vagyis a felhasználót is értesíteni.

Mivel a GDPR egy EU-szintű rendelet, közvetlenül alkalmazni kell minden tagországban, az alkalmazást pedig hatóság ellenőrzi. A hazai adatvédelmi hatóság a 2012-ben létrehozott Nemzeti Adatvédelmi és Információszabadság Hatóság, a NAIH. Feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. A munkát, ideértve a rendelet alkalmazásának ellenőrzését uniós szinten koordinálják. Ahol kötelező érvényű rendeletről és ennek ellenőrzéséről van szó logikusan következik, hogy a hiányosságokat, a rendelet be nem tartását szankcionálják is. A GDPR komolyságát a törvényhozók igen jelentős büntetési tételekkel igyekeztek hangsúlyozni: a szankciók akár 20 millió euróig is terjedhetnek!

A rendelet – mint ahogy számos más esetben is lenni szokott – nem a nagy cégeknek fog gondot okozni, akik rendelkeznek kapacitással és eszközökkel arra, hogy felkészüljenek és eleget tegyenek az előírásoknak hanem a kisebbeknek, az intézményeknek, szervezeteknek. Nekik lesz nagy segítség és az ő munkájukat könnyíti meg az a csomag, amit egy magyarországi cég, a több mint két évtizede az informatikai biztonsággal és az adatvédelemmel foglalkozó TMSI Kft. állított össze. A „mentőcsomagnak” az „in nuce” (latin szó jelentése: dióhéjban) fantázianevet adták, ezzel is utalva, hogy tömör, lényegretörő, érthető és könnyen kezelhető segítséggel szolgálnak az érintetteknek, ahol egy helyen találhatóak, rendszerezve a rendelet által megkövetelt legfontosabb szabályzatok előírások, segédanyagok, minták. A csomag tartalmaz videó tananyagot is, ami sokat segít abban, hogy egyáltalán hogyan kezdjük el a felkészülést, de tartalmaz például egy teljesen kidolgozott informatikai biztonsági szabályzatot és egy üzletfolytonossági tervet is, a rendeletnek megfelelő tartalommal. A csomag része többek között még egy adatkezelési nyilatkozat a céges honlapra, a kötelező nyilvántartások mintái és űrlapjai is. A csomag megfelelő elemei természetesen szerkeszthető formában kerülnek átadásra, hiszen minden ilyen anyag csak egy kiindulási alap lehet, egy minta, amit ki kell egészíteni a saját adatokkal, de mérhetetlen segítség abban, hogy a felkészülési idő, a költség és fejfájás radikálisan csökkenjen.