Frissítés 2018.04.17-én: Nemzeti Adatvédelmi és Információszabadság Hivatal állásfoglalásai (csak erős idegzetűeknek, és rengeteg idővel rendelkezőknek!)
A könyvelőirodák, könyvelők, az ügyvédek, az orvosok, a webáruházak, és még ki mindenki, úgy őrzik az Ügyfeleik, Partnereik adatait, mint tyúkanyó a tojásokat. És mindezekkel együtt bele is sápadtunk a híradások hallatán; 2018. május 25-től kötelező bevezetni a GDPR-t, az Európai Únió új általános adatvédelmi rendeletét.
Sokat dob az ügyön, hogy “Ha valaki nem tudja bemutatni a felkészülést igazoló dokumentumokat május huszonötödike után egy hatósági ellenőrzésnél, az nem számíthat a jóindulatunkra az eljárás során.” – nyilatkozta a mai napon dr. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke.
Csak, hogy mindenki lássa a habot a tortán: az éves nettó árbevétel négy százalékáig, de maximum 20millió euróig (!) terjedhet a büntetés (kettő közül a magasabb), amellyel a GDPR ellen vétőket szankcionálhatják. Magyarán szólva, a családi webáruház, ha mellőzi a szabályok alkalmazását, nem csak becsukhat, hanem jó darabig még a “vásárlás most” gombra sem fog tudni ránézni. 🙁
Mindenkinek át kell vizsgálnia a jelenlegi adatkezelési gyakorlatát: milyen adatokat kezel, milyen jogalappal kezeli azokat, megvan-e a megfelelő tájékoztatás, az adatbiztonsági követelményeknek megfelel-e.
“Azt javaslom, hogy mindenekelőtt nézzék át, hogy a jelenlegi eljárásaik megfelelnek-e az új szabályoknak. Külön kiemelném, hogy nagy hangsúlyt fektessenek az IT-biztonság kérdésére. Aki otthonról működtet például webshopot, az rengeteg érzékeny adatot kezel, de nem biztos, hogy biztonságos körülmények között, pedig rendkívül fontos, hogy ezek az adatok ne kerüljenek illetéktelen kezekbe. Nézzük meg, hogy megfelelő-e a hardver, a szoftver, a tűzfal, a vírusölő. Ez nem úszható meg, része az elszámoltathatóságnak” – mondotta dr. Péterfalvi Attila.
Milyen tanácsokat tudunk adni Barátainknak, Ügyfeleinknek, Partnereinknek?
1. Ne tököljön senki, az idő nagyon szűkös!
2. Tisztázni kell, hogy a működés indokolja-e adatvédelmi tisztviselő kijelölését.
3. Az adatkezelés felmérése lesz minden további teendő alapja.
4. Az adatvédelmi incidensek kezeléséhez belső szabályzatokat kell létrehozni, rögzíteni a felelősségi és hatásköröket, feltérképezni a várható esetköröket (pl. egy adathordozó elvesztése), kialakítani az értesítési rendet, előkészíteni a szükséges dokumentációt, megtervezni az azonnali és a további intézkedések végrehajtását.
A GDPR az adatkezelő felelősségévé teszi, hogy bármikor képes legyen bizonyítani a rendelet adatvédelmi elveinek való megfelelést. Ehhez rendszeresen kell ellenőrizni, értékelni és felülvizsgálni az adatkezelési eljárásainkat. A folyamatokba megfelelő biztosítékokat kell beépítenünk, és gondoskodnunk kell a munkavállalók képzéséről, hogy tisztában legyenek a rájuk vonatkozó szabályokkal, feladatokkal.
Hangsúlyozzuk, hogy a GDPR nem könyvelői feladat, mi csak felhívjuk rá a figyelmet, hiszen Ügyfeleink 99,99 %-a valamilyen módon érintett a dologban – és, természetesen, a könyvelőknek is fel kell kötni a gatyát, ha nem akarjuk ez miatt a boltot bezárni. 🙁
Ha valaki nem foglalkozott volna eddig a kérdéssel, annak ajánljuk, hogy nézze meg a piacon nemrégen megjelent Adatsólyom nevezetű alkalmazást, végezze el az ingyenes tesztet, majd kapkodjon levegőért. Ezt követően vagy vegye meg a terméket (50e + áfa), hogy megtudja, melyik irányból fognak a nyaka közé csördíteni, és/vagy sürgősen keressen magának szakembert, aki elvégzi a vállalkozásnak a “piszkos munkát.”
Frissítés: 2018.04.17.
29-es munkacsoport állásfoglalásából:
“Az általános adatvédelmi rendelet értelmében az adatvédelmi hatásvizsgálatra vonatkozó előírások be nem tartása esetén az illetékes felügyeleti hatóság bírságot szabhat ki. Amennyiben az adatkezelést kötelező adatvédelmi hatásvizsgálatnak alávetni, annak elmulasztása, vagy szükség esetén az illetékes felügyeleti hatósággal való egyeztetés elmulasztása (a 36. cikk (3) bekezdésének e) pontja) közigazgatási bírsággal sújtható, amelynek összege legfeljebb tízmillió euró, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-a; a kettő közül a magasabb összeget kell kiszabni.”