Mi az a GDPR?

A GDPR az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete. Célja az Európai Unió teljes területén egységes adatvédelmi szabályzat kialakítása. Rendelkezései közvetlenül alkalmazandók valamennyi tagországban, így értelemszerűen Magyarországon is. A GDPR jelentős változásokat hoz a közép- és nagyvállalatok adatkezelési kötelezettségeinek tekintetében.

A Rendelet a 95/46/EK Irányelv helyére lép, amely 1995-ös bevezetése óta az európai adatvédelmi törvények alapjának számított. A GDPR hivatalos kihirdetésére 2016-ban került sor, és ezt követően – további konzultációk nélkül – 2018. május 25-től alkalmazandó minden EU tagállamban.

Mi változott a GDPR hatására?

Kommunikáció

Egyértelműen tudatosítania kell a látogatóban, hogy mikor és miért kéri az ő személyes adatait. Valamint azt is kommunikálnia kell, mennyi ideig tárolja az adatokat, és kik kaphatják meg azokat.

Az adatok tárolásának engedélyezése

Az adatok tárolását csak egyértelmű beleegyezés ellenében tárolhatja. Továbbá a korhatárra vonatkozó szabályokra is figyelemmel kell lennie.

Az adatok hozzáférhetősége és hordozhatósága

Az adathordozhatósághoz való jog értelmében biztosítania kell a felhasználók számára, hogy maguk is hozzáférhessenek saját adataikhoz, illetve rendelkezhessenek annak továbbadásáról (pl. más cégek irányába).

Az adatok törlése

Az elfeledtetéshez való jog kimondja, hogy felhasználói kérésre Ön köteles törölni a felhasználóra vonatkozó személyes adatokat, amennyiben ez nem sérti a kifejezés szabadságát.

A profilalkotás alkalmazási feltételei

Amennyiben cége profilalkotás segítségével határozza meg az egyes ügyfelek jogosultságát szolgáltatásai igénybevételére, biztosítania kell, hogy a folyamatot emberi munkaerő ellenőrizze, amennyiben az elutasítással zárult. Ezenfelül lehetőséget kell biztosítania az újraellenőrzés kérelmére.

Marketing tevékenységek

A felhasználók számára lehetőséget kell biztosítania a személyes adataik alapján működő marketingfolyamatokból való kilépésre.

Az érzékeny adatok védelme

Érzékeny adatoknak nevezzük az olyan adatokat, amely a felhasználó egészségére, etnikai vagy nemi hovatartozására, vallási vagy politikai nézeteire vonatkoznak. Ezeket az adatokat kötelező extra védelemmel ellátnia.

Hogyan segít a Kerubiel?

A GDPR elvárásait alapvetően 4 területre vonatkozó elvárás-gyűjteménynek is lehet értelmezni. A Kerubiel segíthet kontrollcélkitűzéseket rendelni az egyes elvárásokhoz, az alábbi csoportosítás szerint:

1. Jogi elvárások
2. Szervezeti elvárások
3. Folyamati elvárások
4. Technológia elvárások

A Rendelet alkalmazására való felkészülés ugyanis komoly idő- és erőforrásbeli terheket ró a bevezetés előtt álló vállalatokra. Mivel az információbiztonság ma már különálló szakterület, közel lehetetlen feladat laikusként felkészülni a GDPR bevezetésére. Aggodalomra azonban nincs oka, cégünkkel ugyanis rendkívül egyszerűvé válik ez az egyébként komplikált és hosszadalmas bevezetési folyamat.

1) A vezetőkkel és döntéshozókkal közösen dolgozzuk ki az átállási stratégiát

Az új adatkezelési rendszer kidolgozása nem történhet a vállalat egyes csoportjaitól elszeparálva. A későbbiekben ugyanis valamennyi alkalmazott szerepet vállal a megfelelő adatkezelés végrehajtásában, így az ő kompetenciáiknak, jelenlegi ismeretségi szintjüknek, illetve tanulási folyamataiknak megfelelő átállási stratégiát kell kidolgoznunk.

Figyelembe kell vennünk, milyen hatásai lesznek az átállásnak a cég mindennapjaira. A vezetőkkel és döntéshozókkal együtt kell átvennünk, a vállalat mely munkaterületeit érintik majd a változások, és ezek alapján kell kidolgoznunk a cég és az alkalmazottak felkészítésének módját és ütemtervét.

2) Szükség esetén elvégezzük az alkalmazottak oktatását

A munkafázis kezdetén felmérjük cége adatkezelési sajátosságait, valamint alkalmazottai jelenlegi tudásszintjét. Ez azért szükséges, mert így pontosan látjuk, mely területekre milyen mértékű erőforrást kell csoportosítanunk, ezáltal garantáltan megóvjuk cégét a felesleges kiadásoktól. Csak olyan tudást adunk át, és csak olyan megoldásokat fejlesztünk le, amelyekre valóban szüksége van.

Az alkalmazottak megfelelő oktatásával csökkenthető a visszaélések és mulasztások okozta veszteségek száma, ezáltal a kiszabott bírságok mértéke is. Célunk, hogy mindkét mutatót nullára redukáljuk. Az oktatást követően ráadásul vállalatára egy átláthatóbb szervezeti működés lesz jellemző.

3) Megakadályozzuk az adatok kiszivárogtatásának lehetőségét

Fel kell tárnunk a természetes személyek jogaira és szabadságára kockázatos adatkezelési műveleteket, majd megoldást kell találnunk a hibákra. Megkeressük a rést a pajzson, és orvosoljuk a felmerülő problémákat. Szakembereink figyelme nem csupán a technikai lehetőségek által biztosított visszaélésekre korlátozódik. Felkészítjük cégét a pszichológiai manipuláció okozta veszélyekre is.

4) Átlátható adminisztrációt teremtünk

A GDPR bevezetését követően számos olyan kritériumra kell figyelnie, amelyekre korábban nem kellett. Hogy csak egyet említsünk ezek közül: 2018. május 25-től minden személyi azonossággal való visszaélés, illetve titoktartási kötelezettség megszegésének gyanúját be kell jelenteni a hatóságok felé.

Az új rendelet számos plusz terhet ró majd munkavállalóira, ezért célunk egy olyan személyzetileg ellenőrizhető automatizált rendszer fejlesztése, amely segítségével gyerekjáték lesz a megváltozott szabályoknak megfelelő működés.