JaSipos IT biztonsági és audit Kft +36 70 931-3439 info@jasipos.com
GDPR A Valóságban

GDPR

GDPR a gyakorlatban

A GDPR (General Data Protection Regulation) a 2018. május 25-től valamennyi EU országban kötelezően alkalmazandó személyes adatvédelmi irányelv (pontos neve „Az Európai Parlament és a Tanács (EU) 2016/679-es rendelete”, amelyet 2016. április 27-re dátumozva hirdettek ki).

Még egy jogszabály a többi mellé – no és…

2016. április 27-ig az EU már 678 jogszabályt adott ki, azokkal nem foglalkozunk… ezzel pedig részletesen?!?

Miért kell erre az egy jogszabályra ennyi figyelmet fordítani?

Bevezetésként néhány „hatásvadász” érv:

  • A GDPR-ban megfogalmazott elvárásokat nem teljesítőkre kiszabható bírság 10 / 20 millió EUR közötti lehet (pontosan: az éves bevétel 2, kirívó esetben 4 százaléka) ESETENKÉNT.
  • Ha a bevétel 2/4 százaléka magasabb 10/20 millió EUR-nál, a magasabb érték lesz a büntetés.
  • A bizonyítási teher fordított (azaz ha az adatkezelő nem tudja adott időn belül bizonyítani, hogy a GDPR-ban előírtak szerint jár(t) el, a jogsértés megállapítható).
  • Valószínűsíthető, hogy
    • számos „megélhetési feljelentés” fog történni,
    • a felkészületlen szervezetet „meg fogják támadni
    • az első megtámadott szervezetek mire feleszmélnek, pénzügyileg el fognak lehetetlenülni,
    • társadalmi felháborodás lehetséges az alapszolgáltatásokat ellátó szervezetek ellehetetlenülése esetén (amely a szervezeteken már nem fog segíteni)

Ha az adatkezelő nem megfelelően készül fel a GDPR előírásaira, lehetséges, hogy 2018. június 26-án (egy hónappal a GDPR bevezetését követően) még be tudnak menni szokott munkahelyükre a munkavállalók: az épület a helyén lesz, az energiaellátás még működik, az ügyfelek még telefonálnak, de a háttérben olyan hatósági, bírósági eljárások indulnak meg, hogy a biztos vég csak idő (egy-három év) kérdése.

Amikor az előadásban ezt említem, körbenézve látni szoktam néhány kétkedő tekintetet. Ilyenkor mindig nagyra becsült korábbi főnököm szokásos mondása jut eszembe: „Azt szokták mondani, hogy pesszimista vagyok, pedig utólag rendre kiderült, hogy optimista voltam…

A GDPR-ra azért kell kiemelt figyelmet fordítani, mert

  • komplex elvárásrendszernek kell megfelelni,
    • amely csak időben történő felkészüléssel lehetséges,
      • olyan kollégákkal, akik értik, mire és miért kell figyelni.
  • Várhatóan számos megkeresés fog érkezni,
    • amelyekre határidőn belül reagálni kell,
      • mivel el szeretnénk kerülni a várható hatalmas büntetéseket és kártérítés fizetési kötelezettségeket.

2016-ban, az első hazai GDPR konferencián nyolcan voltunk: hét érdeklődő jogász és én, informatikus-közgazdász biztonsági szakemberként. Akkor még volt olyan jogász, aki csak legyintett az aggodalmakra: „Miért kell ezen annyit pörögni? Előbb-utóbb minden megoldódik…ez is egy jogszabály, majd lepapírozzuk, amit kell…

GDPR megfelelés Pató Pál úr módjára

Ez a hetvenedik emelet…

…még minden rendben

…nem kell izgulnom…

 

Ez az ötvenedik emelet

…még minden rendben

 

 

A személygépjárművet vezetni kívánó személy elméleti képzés, elméleti ismeretekből letett vizsga, rutingyakorlatok, vezetési gyakorlatok, újabb vizsgák sikeres teljesítését követően kap „licencet” gépkocsi vezetésére, a GDPR használatát ellenben nem oktatják, az alkalmazását nem tanítják.

Aki volt GDPR „képzésen”, tudja, miről beszélek: több napon keresztül olvassuk a jogszabályt – vagy rövidebb képzés esetén a jogszabály kiemelt paragrafusait és az előadó megmagyarázza, mit is jelent a leírt szöveg jogi szempontból. Az alkalmazással kapcsolatos tudásmegosztásra, kérdések feltételére már nem marad idő, az előadó – aki általában kiváló elméleti szakember, egyetemi oktató stb. – nem tér ki arra, hogy mit is jelentenek a leírtak gyakorlati szempontból. Volt olyan konferencia (szerencsére csak egy), ahol az egyik előadó (elismert jogtudós) felháborodott a GDPR gyakorlati alkalmazására irányul kérdésen, mondván, még nem kiforrott a jogi környezet. 

A résztvevőket pedig az érdekli, hogy…

  • Megfelelő-e az ügyfélszolgálatunk kialakítása abban az esetben, ha…?
  • Kell-e kamerát üzemeltetnünk akkor, ha …?
  • Hogyan kell kezelnünk a kamerafelvételeket akkor, ha …?
  • Az adatkezelés jogalapjaként elfogadott-e az, hogy …?
  • Ha az ügyfélnek azt mondjuk, hogy …, az megfelelő tájékoztatás-e?
  • Ha az ügyfeleket … szerint … soroljuk, az profilozás? Ha igen, akkor elegendő, ha …?
  • Mit kell tennünk, ha … tartalmú megkeresést kapok levélben?
  • Ugyanezt kell tennünk, ha a megkeresés e-mailben történik?
  • Hogyan tudjuk bizonyítani, hogy az adatkezelésünk megfelelő?
  • Mit kell tennünk előzetesen, hogy bírósági eljárás során a lehető legjobb pozícióban védhessük az érdekeinket?
  • Ha a bíróság elmarasztaló ítéletet hoz, ki a felelős abban az esetben, ha…?

… és sorolhatnánk.

A felkészülést segítendő készítettünk egy gyakorlati szempontú, „hétköznapi szóhasználatú” kérdésgyűjteményt, amelyhez természetesen megadtuk a válaszokat is. 🙂 

Mire és kire vonatkozik a GDPR?

K: A GDPR csak a személyes adatok védelmére vonatkozik vagy a gazdasági társaságok üzleti adatait is a GDPR-nak megfelelően kell védeni?

V: A GDPR a személyes adatok védelmére vonatkozik, a gazdasági társaságok üzleti adatainak védelme nem tárgya az irányelvnek.

Személyes adat bármely olyan adat, ismeret, vagy akár adatok összessége, amely egy konkrét, élő természetes személlyel közvetlenül vagy akár közvetve kapcsolatba hozható, beazonosítható, valamint az adatból levonható, az érintett személyre vonatkozó következtetés.

név, cím, születési adat, igazolványok száma, TAJ szám, adóazonosító jel, végzettségre és képességre vonatkozó információ, magántelefonszám és e-mail cím, arcképmás, hang, kézjegy, IP cím, helyinformáció, notebook akkumulátor azonosító…

A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.

Különleges adat a személyes adatok azon része, amelyet a jogalkotó különleges védelemben részesít.

faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adatok, a bűnügyi személyes adat (erkölcsi bizonyítvány tartalma is)…

K A GDPR csak az ügyfelek adatainak védelmét várja el?

V: A GDPR az adatkezelő által kezelt valamennyi személyes adatainak védelmét elvárja (ügyfelekét, munkavállalókét, partnerekét, érdeklődőkét stb.).

Mindenki adatkezelő?!?

K: A GDPR csak a gazdasági társaságok által kezelt személyes adatokra vonatkozik?

V: A GDPR attól függetlenül kötelezően betartandó, hogy a személyes adatokat gazdasági társaság, nonprofit társaság, állami szerv, egyház vagy másik magánszemély kezeli (az adatkezelő szervezeti minősége nem szempont).

K: Magánszemély mint adatkezelő? Mindenki adatkezelő?!?

V: Nagy valószínűséggel igen – beszéljük meg személyesen, miért!

A háztartási adatkezelés nem ide tartozik, viszont… (itt nem merülünk bele a részletekbe, mert elviszi a fókuszt, de személyesen állunk rendelkezésére).

K: Ha a társaságunk Magyarországon is folytat üzleti tevékenységet, de az EU-n kívül van bejegyezve, és valamennyi ügyviteli tevékenységet (adatkezelést) az EU-n kívül végez, a GDPR ugye nem vonatkozik rá?

V: A rendelet hatálya valamennyi adatkezelőre kiterjed, amely olyan személyes adatot kezel, amelynek „birtokosa” az EU-ban honos; függetlenül attól, hogy az adatkezelő az EU-ban honos vagy sem; illetve az adatkezelés az EU-ban történik vagy azon kívül. 

Előírások és büntetések

A GDPR elvárásai minden gazdasági társaságra és gazdálkodóra vonatkoznak

K: A GDPR enyhébb előírásokat fogalmaz meg a kisebb gazdasági súlyú szereplők számára – hiszen a GDPR-t leginkább a nagyvállalatok megbüntetésére találták ki?

V: A GDPR ugyanazokat az előírásokat fogalmazza meg valamennyi adatkezelő számára, függetlenül attól, hogy az mikrovállalkozás, egyház, multinacionális vállalat vagy a törzsvásárlói adatait kezelő őstermelő.

K: A GDPR előírásainak megszegésekor csak gazdasági társaságoknak kell büntetést fizetniük?

V: A GDPR előírásait megszegő valamennyi adatkezelőnek büntetést kell fizetnie.

K: A GDPR előírásainak első megszegésekor csak figyelmeztetés lesz a büntetés, az első nem-megfeleléskor még nem kell büntetést fizetni?

V: A GDPR előírásainak már az első megszegésekor is büntetést kell fizetni.

Az első alkalommal büntetés eltérő a poszt írásakor alkalmazott magyar előírásokhoz képest; ugyanis magánszemélyek, mikro- és kisvállalkozások esetében először előforduló szabálysértés illetve vétség esetén a hatóság nem pénzbüntetést szab ki, „mindössze” figyelmeztet és felszólít a jogszabályok előírásának megfelelő állapot helyreállítására. A GDPR ilyen toleranciát nem tartalmaz; ott már az előírások első megszegésekor is szankciókkal kell szembenézni.

K: A GDPR kötelező alkalmazási időszaka kezdetén enyhébb büntetést kell majd fizetni?

V: A GDPR kötelező alkalmazási időszakának első napján tapasztalt nem-megfelelés esetén ugyanolyan nagyságú büntetést kell fizetni, mintha a nem-megfelelésre több évvel később derült volna fény – sőt, az alkalmazási időszak elején (az első 4-6 évben) a jogalkotó szándéka szerint „példát kell statuálni”, azaz szigorúbb büntetéseket kell alkalmazni annak érdekében, hogy minél korábban a köztudatba ivódjon, hogy az adatvédelmi előírásokat komolyan kell venni, be kell tartani, mert különben…

K: A GDPR előírásainak megszegésekor a kisvállalatoknak csak kisebb büntetést kell fizetniük?

V: A büntetés mértéke a GDPR alapján vállalatnagyságtól független; azaz (például) a BMW AG és (például) Kovács Géza húszkörtefás őstermelő büntetése egyforma (lehet) (az éves bevétel 2/4 százaléka, illetve 10/20 millió Euro – a magasabb érték). A tényleges büntetés már eltérő (lehet): a magasabb éves bevétel magasabb büntetést jelent(het).

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) elnökének több konferencián, előadáson elhangzott álláspontja szerint az EU-n belül egységesek az elvárások és ebből következően azok megszegése esetén egységes szankcióknak kell következniük, függetlenül attól, mennyire erős gazdaságú országban fordult elő a jogsértés, illetve mennyire erős gazdasági szempontból a jogsértést elkövető.

K: A GDPR előírásainak megsértésekor, ha azt magánszemély követi el, a büntetés enyhíthető?

V: A GDPR előírásainak megsértésekor a GDPR alapján a szankció független attól, hogy a jogsértést magánszemély, állami szerv vagy multinacionális vállalat követte el.

A szankciók mértékére nézve a 29-es munkacsoport (az EU adatvédelmi hatóságainak vezetőiből alakult munkacsoport) dolgozott ki ajánlásokat – erről majd később írunk. Fontos azonban kiemelni: ezek AJÁNLÁSOK, és nem a jogszabályba épített tartalom.

K: A GDPR előírásainak megsértésekor a közműcégeknek ugye nem kell büntetést fizetniük, mert a közszolgáltatásokat mindenképpen nyújtani kell a lakosságnak?

V: A GDPR nem tartalmaz enyhítő feltételt közműszolgáltatókra: azaz a vízműveknek, gázszolgáltatóknak, erőműveknek stb. ugyanúgy be kell tartaniuk a GDPR előírásait, s ha megszegik azokat, ugyanúgy szankcionálva lesznek.

K: Ha a GDPR előírásainak be nem tartása miatti büntetés a közműcéget ellehetetlenítené, a büntetést el fogják törölni vagy legalább csökkenteni fogják?

V: Adott társaság működésének ellehetetlenülése nem indok a büntetés csökkentésére, mérséklésére.

Volt egyszer egy MALÉV

Példaként tekintsük a víziközmű szolgáltatókat. Magyarországon a poszt írásakor 42 víziközmű szolgáltató működik – Malévből egy volt.

Hol van most a Malév?

A Malév megszűnéséhez több ok vezetett, de a kegyelemdöfést az adta meg neki, hogy a cégnek vissza kellett volna fizetnie egy jelentős összeget, amelyet az EU jogtalan támogatásnak tekintett. A társaság ezt nem tudta megtenni saját erőből, az állam pedig nem tudott helyt állni helyette (több okból).

A lakosságnak és a vállalatoknak nyilván szükségük van vízre (a példánál maradva), de azt nem feltétlenül ugyanaz a társaság fogja nekik biztosítani, amelynek a működése ellehetetlenült a GDPR előírásainak be nem tartása miatt – s az új társaságnak nem feltétlenül azok lesznek a vezető tisztségviselői, mint a GDPR elvárások be nem tartása miatt kiszabott büntetést, kártérítést, kárenyhítést, sérelemdíjat stb. kifizetni kötelezett társaságnak.

Büntetés után az élet megy tovább?

K: Ha a GDPR előírásait megszegő kifizeti a büntetést, az ügy lezárul?

V: A nem-megfelelés miatt kirótt büntetés kifizetésével a szankcionálás (első köre) fejeződik be (valószínűleg), viszont

  • a hatóság/bíróság intézkedési tervet fog megfogalmazni, amelyet végre kell hajtani – ha ez nem történik meg, ismételt büntetés valószínűsíthető. 
  • a büntetés megfizetését követően a nem megfelelően kezelt adatok „birtokosai” kártérítés, kárenyhítés illetve sérelemdíj megfizetése iránti keresettel fordulhatnak a bírósághoz. A jogsértés korábban már ki lett mondva, azaz itt leginkább az összeg nagyságán fog csatázni a két fél.

A kártérítés, kárenyhítés, sérelemdíj összegére a jogszabály (GDPR) nem tartalmaz előírást, azonban valószínű, hogy a bírói gyakorlat azokat a büntetés mértékéhez fogja igazítani. Belegondolva, életszerűtlen is lenne, ha (például) 2,5 milliárd forintos büntetést követően a sérelemdíj 1342 forint lenne…

Egyszerűsítsük az életet!

K: Ez ugyanolyan megfelelés, mint az ISO … minősítésnél volt – miért kell ezt ennyire túlbonyolítani?

V: ISO minősítések esetében a felkészítőt és a megfelelést ellenőrző társaságot is Önök választották és Önök fizették. A GDPR megfelelésnél Önök „csak” a felkészítőt választhatják, a megfelelést a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) és az EU megfelelő hatóságai, szervezetei, bíróságai fogják ellenőrizni (az eljárást ők folytatják le), és a jogsértést valamint a bírságot is ők fogják megállapítani, ebben nem Önök, illetve az Önök által preferált szervezet dönt.

Ez hasonló bármely hivatalhoz, például a könyvelőjüket és a könyvvizsgálójukat Önök választják, azonban nem az Önök döntése, hogy mely hivatal fogja az adóbevallásukat és könyvelésüket, számviteli rendjüket ellenőrizni.

K: Ha szerzünk egy tanúsítványt, amely szerint a Társaság megfelel a GDPR elvárásainak, akkor már rendben vagyunk?

V: Jelenleg nincs ilyen tanúsítvány, de…

K: … Na jó, de ha 2018. május 25-ig lesz, akkor…?

V: Lássuk, mennyit ér(ne) egy tanúsítvány a gyakorlatban! Tegyük fel, az Önök társasága hibás terméket készít, forgalmaz, amely miatt a vásárló megsérül. A vizsgálatot végző hatóságot, illetve az Önök kártérítési felelősségét vizsgáló bíróságot mi fogja érdekelni:

  • az Önök minőségbiztosítási rendszere és ISO … minősítése vagy
  • az adott hibás termék a a nem-megfelelőségének a következményei?

Mennyit is érne bármilyen tanúsítvány…?

Milyen elvárásoknak kell megfelelni tulajdonképpen?

Egy kiemelt példa: az adatkezelőnek 30 napon belül választ kell adni, hogy

  • adott magánszemély kapcsán milyen személyes adatot kezel,
  • milyen jogcímen (milyen jogalap szerint),
  • mióta,
  • hogyan teszi ezt,
  • hogyan jutott az adathoz,
  • milyen elengedhetetlen érdeke fűződik az adatkezeléshez,
  • miért nem lehet az érdeket az adat kezelése nélkül kielégíteni,
  • milyen kockázat létezik az adatkezelés miatt,
  • az adatkezelő hogyan kezelte, csökkentette ezeket a kockázatokat stb.

Figyelni kell arra, hogy

  • a válasznak a GDPR bevezetése előtt gyűjtött adatokra is ki kell terjednie (a jogszabály bevezetése előtt megkezdett adatkezelésekre enyhébb követelmények vonatkoznak, de… lássuk később),
  • a személyes adatok köre kibővül, személyes adatnak számít ,
    • a lokalizációs információ – és ami mögötte van (személyesen részletesebben),
    • az IP cím,
    • az e-mail cím stb. 
  • a GDPR bevezetését megelőzően megkezdett adatkezelésekre enyhébb követelmények vonatkoznak, de…
  • … gyakorlati szempontból ennek kevés jelentősége lesz, mert…
  • … az adatkezelés kezdetének kevesebb jelentősége lesz, mint ahogyan a jogszabályból első pillantásra kiolvasható.

Bővebben személyesen, de röviden: a helyzet hasonló a korábban az ISO minősítések kapcsán elmondottakhoz.

Lássunk egy részletes példát, amely „hétköznapi nyelven” fogalmazva illusztrálja a jogszabályon belüli összefüggések különböző szintjeit is:

  • adatkezelés jogalapja
    • hozzájárulás
      • hozzájárulás jellemzői
        • tájékoztatás

Az adatkezelés jogalapja

Személyes adat akkor kezelhető, ha az adatkezelés jogalapja „rendezett”. A GDPR-ban az adatkezelésnek hat jogalapja van, úgymint

  • hozzájárulás,
  • szerződés (teljesítés/megelőző lépések),
  • jogi kötelezettség teljesítése,
  • létfontosságú érdek védelme,
  • közérdekű vagy közhatalmi jogosítvány gyakorlása,
  • jogos érdek érvényesítése

Az első tételt kiválasztva és tovább elemezve: a hozzájáruláson alapuló adatkezelésnél a hozzájárulás önmagában nem elegendő az adatkezelés jogosságának kimondásához, több feltételnek kell együttesen teljesülnie, mint például:

  • az adatkezelés célja tisztességes legyen,
  • a hozzájárulás önkéntes legyen,
  • a hozzájárulás kifejezett legyen (az előre kitöltött négyzet pl. nem kifejezett – ez az ún. „opt-in approach”),
  • a hozzájárulás egyértelmű legyen (a hallgatás pl. nem az!),
  • a kitöltés egyértelmű legyen,
  • a hozzájárulás bizonyítható legyen,
  • adatkezelési műveletenként elkülönített hozzájárulás szükséges,
  • a cél megváltozása ismételt hozzájárulást igényel,
  • a hozzájárulás a jogellenes adatkezelést nem legalizálja,
  • gyermek online hozzájárulása esetén speciális szabályoknak is meg kell felelnie (további követelmények, mint pl. szülői/gondviselői hozzájárulás is teljesülniük kell),
  • különleges adatok esetén eltérő eljárásrend (és további követelmények…),
  • jogos érdek esetén érdekmérlegelés szükséges (amely további elvárások teljesülését jelenti),
  • megfelelő tájékoztatás szükséges,
  • a hozzájárulás „aktív” legyen (ne legyen visszavonva) stb.

A tájékoztatásról

A tájékoztatásnak

  • az adatkezelés megkezdése előtt kell megtörténnie,
  • érthetőnek kell lennie (mindenkit a maga szintjén, szóhasználatával, alaptudását feltételezve stb. kell tájékoztatni – azaz ugyanazt másképpen kell megfogalmazni a laikusok/idősek számára, mint a geek informatikusoknak),
  • kellően konkrétnak, pontosnak, helyesnek kell lennie,
  • az aktuálisan felmerült adatkezelési igényre ki kell terjednie,
  • a profilalkotásra vonatkozó információt is tartalmaznia kell (ha arra sor kerül),
  • ki kell térnie az adatvédelmi szabályzatra (elérhetőségére, tartalmára stb.)
  • ki kell térnie a hozzájárulás visszavonási lehetőségére és módjára,
  • később is hozzáférhetőnek kell lennie,
  • bizonyíthatónak kell lennie (tudnunk kell igazolni, hogy megtörtént – adott tartalommal és módon) stb.

„Magas labda”, ha

  • az adatkezelő nem készítette vagy fogadta el az adatkezelési szabályzatát, vagy azt nem tette hozzáférhetővé a tájékoztatás során,
  • a tájékoztatás és/vagy a hozzájárulás nem tért ki valamennyi adatkezelési célra, 
  • a tájékoztatás az adatkezelés megkezdése után történik vagy teljesen elmarad,
  • a tájékoztatás nem terjed ki a hozzájárulás visszavonási lehetőségére és módjára stb.,

ilyen esetekben a hozzájárulás „formai hiba” miatt nem tekinthető érvényesnek, ezért a „magas labdákat” célszerű kivédeni.

Érdekes, hogy az írásbeliség megítélése ellentmondásos illetve nem kellően definiált; az elektronikus megoldások (e-mailben adott hozzájárulás, tableten kézírással megadott aláírás stb.) a poszt írásakor nem elfogadott módjai a hozzájárulás igazolásának; bár a tableten kézírással aláírt szerződés több, mint egy éve elfogadott.

Milyen további GDPR elvárásoknak kell megfelelni ?

Visszatérve az elvárásokra, egy újabb példa: ha magánszemély kéri a személyes adatai kezelésének befejezését vagy a vele kapcsolatos információ törlését, azt;

  • az adatkezelőnek 30 napon belül meg kell tennie és erről tájékoztatni kell a magánszemélyt, vagy …
  • … ha az adatkezelés megszüntetése, vagy az információ törlése nem lehetséges, 30 napon belül tájékoztatni kell a magánszemélyt, melyik személyes adatának kezelése nem fejezhető be, mely vele kapcsolatos információnak a törlése nem megoldható – kellő indoklással.

A törlés megtagadásának oka (indoka) lehet, ha jogszabály rendeli el az adott adat kezelését, vagy szerződéses kötelezettség az adat kezelése (azaz nem lehetséges a bank felé fennálló tartozástól úgy „megszabadulni”, hogy az adós megkéri a bankot, törölje a vele kapcsolatos adatokat a GDPR-ban előírt törlési lehetőségre, vagy a „felejtés jogára” hivatkozva).

Ki érdeklődhet a személyes adatai kezeléséről?

A személyes adatai kezeléséről bármelyik magánszemély érdeklődhet (és adatainak kezelésének megszüntetését is bármely magánszemély kérheti), azaz

  • ügyfelek,
  • munkavállalók,
  • partnerek,
  • érdeklődők
  • bárki …

Ki kell térni a „nem triviális” adatkezelésekre is, mert 

  • a beérkezett e-mail tárolása már adatkezelés,
  • a beérkező utalások kezelése adatkezelés,
  • az ügyfélszolgálatra útbaigazításért betérőről készült kamerafelvétel tárolása adatkezelés stb.

Ennyi?

Az előzetes felméréseink alapján néhány terület „többlet figyelmet” igényelhet, ezért kiemelt figyelmet kell fordítani 

  • a jogelőd társaság által indított adatkezelésekre,
  • a migrált adatokra,
  • az „örökölt rendszerekre”,
  • a többszörözött felhasználókra,
  • az elírásokra,
  • a megváltozott nevekre,
  • a megváltozott/átnevezett címekre
  • archív adatokra, adatbázisokra,
  • szerződéses partnerek által végzett tevékenységekre,
  • meghatalmazottak által végzett tevékenységekre.

A személynevek leginkább házasságkötés és válás során változnak meg: így lehetséges, hogy Szép Emerencia, Remek Rezsőné, dr. Szép Emerencia, dr. Kiválóné dr. Szép Emerencia ugyanaz a személy, vagy uraknál hasonlóan: Kiváló Károly, dr. Kiváló Károly, dr. Kiváló-Szép Károly ugyanaz a személy.

A címek a városrendezés mellett „történelmi átalakulás” miatt is módosulnak; pl. a Ságvári Endre utca és a Köztársaság sétány lehetséges, hogy ugyanazt a közterületet jelölik.

Legyen egyértelmű: a leírtak „mindössze” példák az elvárásrendszer komplexitására, ezért mutattuk be az

  • adatkezelés jogalapját, a
    • hozzájárulást, a
      • hozzájárulás jellemzőit és a
        • tájékoztatást,

mintaként.

„Néhány levelet csak meg tudunk írni!”

Érdemes átgondolni, hogy az Önök ügyfélszolgálata havonta mennyi érdeklődést, kérdést, reklamációt válaszol meg. A kérdés nem az, mit tesznek, ha egy-kettő levéllel többet kapnak: azt kell átgondolni, hogyan kezelnék, ha a jelenlegi többszörösére növekedne az érdeklődők száma. 30 napon belül meg tudnák válaszolni?

Önök hogyan járnának el, ha a jelenleginél harmincszor több érdeklődést kellene megválaszolniuk, 30 naptári napos határidőn belül?

Dr. Péterfalvi Attila NAIH elnök úr említett egy érdekes példát az egyik konferencián. A NAIH 2016 során 161 ügyet vizsgált (ennyi ügyben járt el). A Magyarországgal összemérhető lakosságú Belgium (11,35 M fő 2016-ban) már a kiadás évében, 2016-ban bevezette a GDPR-t. A belga adatvédelmi hatóság 2016-ban több, mint 5500 ügyben járt el, azaz egy főre számítva kb. harmincszor több adatvédelmi eljárás volt Belgiumban, mint Magyarországon. (A nagyobb ügyszámnak természetesen több oka is lehet – a GDPR az egyik.)

Megélhetési feljelentések

Tegyük fel, 2018. május 25-én nyolcezer különböző EU tagállamból származó állampolgár fordul Önökhöz adatigényléssel, vagy rögtön adattörlési kéréssel; személyesen, papíralapú levélben saját nevükben illetve meghatalmazottaik útján, telefonon valamint e-mailben. 30 napon belül mindannyiuknak helyes, teljes, bíróságon megvédhető tartalmú választ tudnának adni? Ha nem válaszolnak 30 naptári napon belül, a fordított bizonyítás miatt a jogsértés ténye megállapítható.

Tegyük fel, a magyar mellett angol, német, dán, spanyol, olasz, portugál, horvát és lengyel nyelven is érkeznek a megkeresések. Az Önök ÁSZF-jében, honlapján, üzletszabályzatában, Adatkezelési Tájékoztatójában, Etikai Kódexében, SZMSZ-ében, blanketta szerződéseiben stb. meghatározták, kinyilvánították, hogy megkereséseket csak magyar nyelven fogadnak? Az Önök ügyfélszolgálatán mennyien értik, használják a felsorolt nyelveket?

Tegyük fel …

Itt számos példa következhetne annak bemutatására, hogyan lehet „jégre vinni” szinte bármelyik szervezetet, azonban szeretnénk elkerülni, hogy az eseteket „rólunk nevezzék el”, ezért ezeket csak személyesen, ellenőrzött partnerekkel osztjuk meg. „Kipróbált példák„, eddig valamennyi ügyféltalálkozón, oktatáson, képzésen stb. „átment a vizsgán” valamennyi elképzelt „beugratásunk”, a hallgatók egyetértettek, hogy a bemutatott esetek az ő szervezetükben is „működőképesek” lennének, őket is csapdába lehetne csalni; őket is olyan helyzetbe lehetne hozni, hogy büntetést, majd kártérítést, kárenyhítést, sérelemdíjat kelljen fizetniük.

Bizonyítékok, bizonyítás

Szakmai pályánk során eddig 142 millió Euro értékű visszaélést azonosítottunk, vizsgáltunk ki, meglehetős számú elkövetési móddal találkoztunk. Ismerjük az egyes visszaélési típusok „gyenge pontjait” és azt is tudjuk, mely fajtájú visszaélésnél milyen lehetőségek léteznek a bűncselekmény bizonyítására, az elkövetők és az elkövetési mód azonosítására. Általunk felkészített ügyvéd pert még nem veszített.

A GDPR-ra várhatóan épülő „megélhetési feljelentők” elleni felkészülésnél ezek a tapasztalatok különösen hasznosak. Ahogyan egy visszaélésnél sincsen „bárcsak kapcsoló”, a GDPR-alapú „profitorientált adatvédelmi aggódók”, „megélhetési feljelentők” elleni felkészülésnél sem működik az „Ó, ha én ezt sejtettem volna” megközelítés.

Bárcsak kapcsoló, bárcsak üzemmód: „Bárcsak oda is tettünk volna egy kamerát, akkor most tudnánk, ki volt az, aki…”, „Bárcsak naplóztuk volna azt is, hogy…, akkor most vissza tudnánk követni, hogy…”, „Bárcsak utánanéztünk volna, hogy a szerződést aláírók korábban …., akkor most nem ….”, Bárcsak a szerződésben megköveteltük volna, hogy…” és így tovább.  

A „megélhetési feljelentők” elleni felkészülésnél nem egy-két napot, hanem több évet és cselekményt kell előre látnunk. Tudnunk kell, hogy mi lehet a mi gyenge pontunk, azt hogyan erősíthetjük meg (tervezés után cselekedni is kell); tudnunk kell, milyen megkeresésre hogyan reagálunk, az állításainkat hogyan fogjuk prezentálni, milyen bizonyítékokat tudunk majd prezentálni a hatóságok és a bíróságok felé, a bizonyítékokat hogyan fogjuk használni az esetleges perben, hogyan tudjuk igazolni a bizonyítékok teljességét, sértetlenségét, hitelességét stb.

Tudatosan kell felkészülnünk.

Mit kell tehát tenni a GDPR megfelelés érdekében?

Javasolt a feladatokat két csoportra osztani:

  • felmérésre és
  • felkészítésre.

Mit és hogyan kell felmérni?

Hogyan kell a felmérés eredményét felhasználni?

Egészen pontosan: milyen lépéseket kell tennünk a GDPR-nak való megfelelésre?

Örömmel segítünk Önnek, kérjük ezért vegye fel velünk a kapcsolatot.

KAPCSOLATFELVÉTEL

További hasznos információ

A GDPR teljes szövege magyar változatban IDE KATTINVA érhető el.

A GDPR teljes szövege angol változatban IDE KATTINTVA érhető el.

Az angol és magyar szöveg párhuzamos olvasásra alkalmas formában IDE KATTINTVA érhető el.

 

 

Hangsúlyozzuk, hogy a leírtak a poszt publikálásának idején rendelkezésre álló információ alapján kerültek megfogalmazásra, és nem tekinthetőek a GDPR teljes körű bemutatásának, illetve a GDPR-ra felkészülés teljes körű meghatározásának, VISZONT állunk rendelkezésükre személyes konzultáció során.

A felejtés jogát, a „privacy by design” elvárást stb. ebben a posztban azért nem írtuk le részletesen, mert nem „jogászkodás” volt a célunk, hanem a GDPR gyakorlatcentrikus bemutatása – együttműködés során azonban természetesen a GDPR minden elvárására kitérünk.

Sipos János

CISA, CISM, CGEIT, CRISC, CFE, ITIL-F, ISO27001 Lead Auditor, Data privacy expert, CISO, CIO, engineer, economist

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .