Szigorú szabályokat vezet be a magánszemélyek adatainak védelmére az Európai Unió rendelete, amely 2018. május 25-én lép hatályba (GDPR: General Data Protection Regulation, általános adatvédelmi rendelet).
Rekordbírság fenyegeti mindazokat, akik szándékosan vagy „csak” trehányságból törvényt szegnek.
Fontos kiemelni, hogy nemcsak a digitálisan tárolt személyes adatokról van szó, hanem mindenféle hordozóról, tehát a papírról is – ideértve a HR-aktákat. Az alapvető elv az EU közérdekű tájékoztatója szerint roppant egyszerű: Minden vállalkozásnak kötelessége megvédeni azon személyek jogait, akik megadják az adataikat.
Az adatvédelmi incidenseket (pl. elvesztés, kibertámadás, belső visszaélés) az észlelésüket követő 72 órán belül be kell jelenteni a felügyeleti hatóságnak. Ez Magyarországon a NAIH (Nemzeti Adatvédelmi és In-formációszabadság Hatóság).
No, de az én cégem kicsi, engem ugye nem érint az egész?
– kérdez-hetik a kis- és mikrovállalkozók. De bizony érinti őket is. Minden olyan cégre és intézményre érvényes lesz a GDPR, ahol személyes adatokat kezelnek.
Sokan hajlamosak azt hinni, hogy ez rájuk valamiért nem vonatkozik. Pedig gyakorlatilag mindenütt kezelnek ilyen adatállományt, ha mást nem, akkor a munkavállalókét.
Tehát a hatóság már egy-két elszórt vagy bárki által hozzáférhető személyzeti akta miatt is büntethet majd (legyen az dossziéban, pendriveon, PC-n). Persze a súlyos esetben akár 20 millió eurót (vagy az éves forgalom 4%-át, de a kettő közül, a nagyobbik összeget) elérő büntetés célja nem az ijesztgetés, nem is a pénzbehajtás.
Hanem az, hogy mindenki komolyan vegye:
felelősségteljesen kell bánni a magánszemélyek adataival.
Ezért még jóval május 25-e előtt tekintse át első körben legalább a következőket:
- alaposan mérjük fel, hol és milyen adatokat tárolunk magán- személyekről, és ne feledkezzünk meg a „külső” helyekről sem (partnercég, IT-szolgáltató, felhő)
- csak a valóban szükséges személyi adatok legyenek a cégnél (akár digitálisan, akár papíron)
- gondoskodjunk a megfelelő tárolásról (erős jelszavak, titkosítás, zárt iratszekrény stb.)
- mindent, ami szükségtelen, meg kell semmisíteni, a „delete” gomb és az „összetépés” helyett szakszerűen (az anyag még részben se legyen helyreállítható)
- ezentúl csak a kijelölt személyek férjenek hozzá az adatokhoz
- meglévő és új programjaink, eljárásaink, nyilvántartásaink felépítése feleljen meg az elöljáróban említett „beépített adatvédelemnek” (privacy by design)
- mindezeket a lépéseket dokumentáljuk.
Lényeges még, hogy csak abban az esetben kell adatnyilvántartást vezetniük a kkv-knak, ha a feldolgozás rendszeres, veszélyezteti az emberek jogait és/vagy szabadságát, érinti az érzékeny adatok (pl. egészségi állapot, szexuális orientáció) vagy bűnügyi adatok körét.
A cégen belüli „adatvédelmi tisztviselő” kijelölésén várhatóan minden cégnek el kell gondolkodnia. Ám egyik esetben sem háríthatja át a cég vezetése saját felelősségét az adott, munkatársra.
Ön felkészült a kezelésére?
Díjmentes konzultáció keretében megvizsgáljuk, az Ön cégének milyen jellegű adatvédelmi feladatokat kell ellátnia, és milyen változásokat hozhat az új rendelet.
Töltse ki az űrlapot és szerezze be azt a tudást, amivel időben felkészülhet a változásokra!
Az űrlap kitöltése után 48 órán belül kollégánk keresni fogja, a részletekkel kapcsolatosan!