Az információ világában mint magánembernek, mind pedig vállalkozásnak nagyon fontos hogy miről, mekkora mennyiségű és milyen pontos adattal rendelkezik. Az adatokkal való visszaélés a világ dollármilliárdos üzlete. Éppen ezért az EU nagyon fontosnak és hangsúlyosnak tartja az adatok kezelésének szabályozását. Ennek megismerésére mostanáig 130 millió EUR-t költöttek. A szabályozás nem újkeletű dolog, EU-s rendeleti szinten megjelent már az 1990-es években, aminek tagállami oldalról minden tagországnak meg kellett felelnie. Ennek eredményeképpen az összes tagállamban létrejött/megvalósult 28 az adatok kezelését és feldolgozásának szabályozását leíró szabály és rendelet.
A világot érintő két tendenciát lehet megkülönböztetni:
GDPR követelmények és háttérinformációk
Az EU komoly erőforrásokat biztosított a GDPR előkészítésre
Minden gazdálkodó szervezetnek gondoskodnia kell a személyes adatok (bármely meghatározott, azonosított vagy azonosítható, természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés) védelméről, azaz az illetéktelen felhasználásról.
Az adatkezelőnek a személyes adatok kezelés során az alábbi 7 kritériumnak kell megfelelniük:
Az adatkezelőnek írott formában rögzíteni kell az adatok feldolgozásának módját, idejét és célját.
A GDPR rendszer kialakításának alapjai megegyeznek más vállalatirányítási folyamatirányítási menedzsment rendszer kialakításával, mely 4 területet foglalnak magukba:
A fentiek alapján tisztán láthatóvá válik, hogy a „vásárolt” dokumentációs csomagokkal a követelmények mindössze ~10-20 % teljesíthető. A maradék ~80-90 % teljesítéséhez egy esetleges ellenőrzés során megállapított 8 napos határidő nem elegendő.
NAIH és az ellenőrzések
A NAIH 2018-ban megkapta a bírságolási jogot, amely szerepkörének eleget is tesz. Lásd http://www.naih.hu/hatosagi-hatarozatok---vegzesek.html. Az a tévhit, miszerint türelmi idő van 2018-ban, a határozatokat szemlélve könnyen mindenki maga eldöntheti.
A jó hír: a GDPR követelményeknek eleget lehet tenni, azonban a követelményeket teljesítő adatkezelési folyamatok kialakításához elengedhetetlenül szükséges a rendszer- és folyamatszemléletű megközelítés és gondolkozásmód valamint a menedzsment és vállalatirányítási rendszerkiépítési tapasztalat. Az adatkezelési folyamatok és tevékenységek, módszerek meghatározása, továbbá a kockázatszemléletű megközelítés nagy hasonlóságokat mutat más rendszerek kiépítésével, ahogy azt az alábbi ábra is szemléltet:
Állapotfelmérés
Dokumentáció elkészítése
Rendszer bevezetése
Oktatás
A személyes adatok megfelelő kezelésének valamint az incidensek bekövetkezésének elkerülésére a legjobb módszer a rendszeres és részletes oktatás:
Felülvizsgálat
A GDPR rendszert valamint az adatfeldolgozási folyamatokat, módszereket és eszközöket és azok kezelését rendszeres időközönként (havi, negyedéves, féléves, éves [max.]) valamint a GDPR rendszert érintő változások esetén felül kell vizsgálni.
A kiépített GDPR rendszer képes kell, hogy legyen, a mindennapi aktuális változások (jogszabályi, személyi, technológiai, adatkezelési célok, üzletpartneri kapcsolatok, stb.) lekövetésére, hivatkozására, és folyamatos szabályozására.
Adatvédelmi képviselők
Az új általános adatvédelmi rendelet adatvédelmi képviselők (továbbiakban DPO) kötelező kinevezését a következő szerveknél teszi kötelezővé: önkormányzatok és önkormányzati üzemeltetésű intézmények, 20 főnél több főt foglalkoztató egészségügyi intézmények, országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelők továbbá minden olyan szervezetnél, ahol különleges személyes adatot kezelnek valamint magas szintű adatkezelési kockázat áll fenn. DPO-k kinevezése azonban minden más szervezetnél is javasolt, ugyanis a GDPR rendszer hatékony kiépítését és üzemeltetését nagymértékben tudja segíteni az adatvédelmi jogszabályokban jártas képviselő.
Kósa György