Számtalan cikk, hírlevél és állásfoglalás született meg az utóbbi időben a GDPR rendelet fontosságáról, létjogosultságáról és a legrémisztőbb büntetésekről. Minden cégvezető megkapta azokat a hírleveleket, baráti jó tanácsokat, amelyben felhívták figyelmét a megfelelés fontosságára, halaszthatatlanságára és persze az ellenőrzéssel járó hatalmas büntetésekre, azonban érdemi segítséget kevesen tudtak nyújtani. Nem volt és most sincs tehát egyszerű dolga a vezetőnek, aki meg szeretne felelni a rendeletnek.
Cikksorozatunk első részében, ügyfeleink szemüvegén át nézve, összegyűjtöttük azokat a kérdéseket, amelyek a vállalkozásokat leginkább érintik:
Egyáltalán az én vállalkozásom érintett ebben az egészben? „Én csak egyéni vállalkozó vagyok / egy kis webshopot üzemeltetek / csak egy kamerám van a boltban.”
Sok vállalkozó hajlamos volt alulbecsülni a vállalkozása által kezelt adatmennyiséget, annak érdekében, hogy kibújjon a rendelet hatálya alól. Ezeknek a vállalkozásoknak sajnos rossz hírrel kell szolgálnunk, rájuk is vonatkozik a rendelet. Nyugodtan mondhatjuk, hogy a rendelet minden olyan vállalkozásra vonatkozik, akinek akár egy alkalmazottja, vagy legalább egy magánszemély vásárlója, megrendelője van. Tehát igen, az Ön vállalkozása is a rendelet hatálya alá tartozik.
Ezt a dokumentációt is feltesszük a polcra a tűzvédelmi előírás és a HACCP mellé?
Az adatvédelmi auditálás nem áll meg azon a ponton, amikor elkészül a dokumentáció, és elmondhatjuk magunkról, hogy megfelelünk. Az adatvédelmet be kell építeni a mindennapokba, a vállalati kultúra részévé kell tenni azáltal, hogy minden munkavállalónkat tájékoztatjuk az előírásokról, és a munkafolyamatokba építjük azokat.
Mi is pontosan a személyes adat?
A rendelet pontosan meghatározza a személyes adatok körét, vagyis minden olyan adatot személyes adatként kell kezelnünk, ami valamilyen formában természetes személyhez köthető. Ebbe a körbe tehát nem csak az eddig megszokott, az igazolványokon szereplő adatok tartoznak bele, hanem minden olyan adat, amely természetes személlyel összefüggésbe hozható, illetve azon adat alapján megkülönböztethető másoktól. Például egy zömében barna hajú csoportban a „szőkeség” is személyes adat, hiszen ezen adat alapján ki tudjuk választani a személyt a csoportból.
Mit kell bejelenteni és hova?
Az eddigi, NAIH által üzemeltett adatvédelmi nyilvántartás megszűnt, így már nem kell a vállalkozásoknak „NAIH-számot” igényelnie. Ezzel azonban nem szűnt meg a NAIH nyilvántartási kötelezettség.
A rendelet hatálybalépésével a vállalkozásoknak bejelentési kötelezettsége keletkezik, amennyiben úgynevezett adatvédelmi incidens következik be.
Adatvédelmi incidens minden olyan történés, amikor a vállalat által kezelt személyes adatok biztonsága sérül. Ilyen lehet, ha egy céges laptopot ellopnak, vagy feltörik a vállalat tűzfalát.
Persze adatvédelmi incidensek nem csak online történhetnek, hiszen az irodaház ablakán kiviheti a huzat a papírokat, vagy csőtöréskor elázhat az irattár.
Az adatvédelmi incidens azonban nem jár minden esetben bejelentési kötelezettséggel. Bejelenteni azokat az eseteket szükséges a NAIH felé, amikor az adatvédelmi incidens veszélyt jelenthet az érintett személyek számára. Ilyen eset lehet, ha visszaélésre alkalmas adatokat tartalmaz a laptop, amelyet elloptak, vagy egy zsúfolt térre fújta ki a huzat a szerződéseket.
Nem szükséges azonban bejelentést tennünk, ha az ablak egy parkolóra néz, és minden papírt össze tudtunk szedni, így harmadik személy nem láthatott bele.
Amennyiben a vállalkozás adatvédelmi tisztviselőt köteles kinevezni, az adatvédelmi tisztviselőt is be kell jelenteni a NAIH-hoz.
Mi történik, ha nem csinálok semmit?
Szinte borítékolható egy olyan adatvédelmi incidens bekövetkezése, amelyet ha nem a vállalat jelent be a NAIH felé, akkor majd az Érintettek fognak.
Forrás: drreti.hu