Gazdaság

Bírságfrász

/ 2018.05.02., szerda 16:59 /

A hatalmas büntetések miatt a létét is veszélybe sodorhatja az a vállalkozás, amely nem készül fel az adatvédelmi szabályok május 25-i szigorodására. Egy uniós rendelet, amely alapjaiban érinti a cégek életét, de magánemberként is lesz dolgunk vele.

Valószínűleg már minden magyar Facebook-felhasználó találkozott azzal a rendszerüzenettel, amely a személyes adatok védelmére vonatkozó uniós jogszabályok változása miatt kéri bizonyos beállítások ellenőrzését és jóváhagyását. Egyebek mellett arról kell dönteni, engedélyezzük-e a közösségi oldalnak arcunk felismerését képeken és videókon, s hogy hirdetéseinek testre szabásához felhasználhatja-e a Facebookon kívüli tevékenységünk digitális lenyomatát. Ha ez utóbbit nem szeretné az ember, akkor a szolgáltató felhívja rá a figyelmét, hogy ettől még nem lesz kevesebb a hirdetés.

Visszaszámlálás indul

A magánszférájukat védők újabb eszközöket kapnak a kezükbe, az adatait nem különösebben óvó többség számára ugyanakkor az új szabályozás nem hoz forradalmi változásokat. Utóbbi kör tagjai annyit vehetnek észre, hogy más formában kell jóváhagyni a felhasználási feltételeket a különféle internetes felületeken a hírportáloktól a webáruházakig.

A vállalkozók, cégek és egyéb szervezetek vezetői nem ilyen szerencsések: sok tennivalójuk, de kevés idejük van. A kérdéskörre szakosodott internetes oldalak közül jó páron láthatnak olyan visszaszámlálót, amely másodpercnyi pontossággal mutatja a május 25-ig hátralévő időt. Ekkor élesedik az Európai Unió – amúgy közel két éve hatályban lévő – általános adatvédelmi rendelete (angol rövidítése alapján GDPR), ettől kezdve már büntethetik a megszegőit. Sok weboldalon felhívják a figyelmet arra is, hogy a kockázat óriási, a maximális bírság ugyanis 20 millió euró,azaz 6,3 milliárd forint. (Nagyvállalatoknál több is lehet, elérheti az éves nemzetközi forgalom négy százalékát.)

A nemzeti szabályokat felváltó GDPR a személyes adatokra vonatkozik, és ilyennek számít minden olyan információ, amely alapján valaki azonosítható. A rendelet az állampolgárok számára minden korábbinál több jogot ad saját adataikkal kapcsolatban. A legfontosabb alapelv az, hogy csak az adott cél eléréséhez feltétlenül szükséges jellegű, mennyiségű személyes információt lehet begyűjteni, erről tájékoztatni kell az illetőt, akinek ezt egyértelmű cselekedettel el kell fogadnia. Gyakori internetes példával: a jelölőnégyzetbe mindenkinek magának kell beletennie a pipát, mielőtt megnyomja az „elfogadom” gombot. Az eddigiekhez képest megfordul a bizonyítási teher, azaz kétség esetén az adatkezelőnek kell alátámasztania a hozzájárulás beszerzését és azt is, hogy kellő gondossággal őrizte az információkat. (Az ezekkel végzett szinte bármilyen művelet kezelésnek számít, az utasításra végrehajtott technikai jellegű beavatkozás pedig feldolgozásnak.)

Megszűnik a jelenlegi nyilvántartás a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), így május 25-től nem kell bejelenteni az adatkezeléseket. (Dokumentálni viszont továbbra is szükséges őket, mert ez lesz az első, amit egy ellenőrzésnél kérni fognak.) Az új szabályok értelmében jelezni csak a jogellenes kezelést vagy feldolgozást kell, ha emiatt valószínűsíthetően emberek jogai kerülnek veszélybe. Ezt minden bizonnyal szintén a NAIH-nál kell majd megtenni, de ennek törvénybe iktatása a jövő héten összeülő új Országgyűlés feladata lesz. A hatóság honlapján egyébként jelenleg is megtalálhatók a GDPR-rel kapcsolatos tájékoztató anyagok.

Adatvédelmi szabályzatot minden adatkezelőnek készítenie kell, s nem mentesülnek az egyéni vállalkozók sem. Vannak ennél terhesebb kötelezettségek is, de ezek csak szűkebb körre vonatkoznak. Ha például valahol sok ember adatát kezelik, akkor előzetes hatásvizsgálatot kell végezni, és magas kockázat esetén konzultálni a felügyelő hatósággal. Az majd a gyakorlat alapján derül ki, hogy ezek a kategóriák pontosan mettől meddig terjednek. Az viszont biztos, hogy nemcsak a térfigyelő kamerák tartoznak a hatásvizsgálatot igénylő körbe, hanem például a munkahelyi teljesítményösztönző rendszerek is.

Hatalmas bírságok

Ezzel együtt azok a társaságok vannak viszonylag könnyű helyzetben, amelyek csak a dolgozókhoz köthető, „hagyományos” adatokat kezelnek, és nem magánszemélyekkel, hanem vállalatokkal üzletelnek. „Minél sokrétűbb egy cég működése, annál több feladata lesz a GDPR-rel. Minden területen meg kell vizsgálni, hogy jelenlegi gyakorlata megfelelő-e, és esetleg milyen módosításokat kell bevezetni. De sok vállalkozás azzal sincs tisztában, hogy mely területeken érintett” – jegyzi meg Cságoly Zoltán, a rendelet betartását megkönnyítő Adatsólyom nevű alkalmazást üzemeltető Simplexxy Technologies Kft. kiemelt ügyfélkapcsolati menedzsere.

Ennek tudatában nem csoda, hogy Péterfalvi Attila, a NAIH elnöke már a KPMG tavalyi konferenciáján arra ösztökélte a hazai vállalatokat, hogy haladéktalanul kezdjék meg a felkészülést a GDPR-re. Hangsúlyozta, a vállalkozásoknak lényegében minden eddigi adatkezelési gyakorlatot át kell vizsgálniuk,és a legtöbbet át is kell alakítaniuk. A magyar cégek közül ugyanis csak kevesen felelnek meg például annak az új előírásnak, hogy az érintettek számára biztosítani kell az adatok kikérhetőségét, ellenőrizhetőségét vagy ingyenes hordozhatóságát. Hozzátette, mindezek miatt minden magyar adatkezelő jól teszi, ha 2018-as költségvetésében a szokásosnál jóval nagyobb informatikai költségekkel számol.

Ez az óhaj biztosan nem vált valóra, ám az egy évvel ezelőttihez képest azért javult a helyzet. Gulyás Péter, az informatikai biztonságra szakosodott, ügyfeleit a GDPR-nek való megfelelésben is segítő Quadron Kibervédelmi Kft. ügyvezetője szerint sok vállalat 2017-et a kifogások keresésével töltötte. Számos helyen pattogtatták az ügyet az informatikai és jogi osztály között, melyeknek valójában együtt kellene dolgozniuk. Úgy becsüli, jelenleg a cégek kétharmada van képben a teendőkkel, a maradék viszont most sem érti, mi az a GDPR.

A felkészülésben a multinacionális, illetve a nemzetközi piacokra dolgozó társaságok állnak a legjobban. „De nem hiszem, hogy május 25-én tudnék mutatni olyan céget az országban, amelyik kompletten megfelel a GDPR-nek. Sokan odáig szeretnének eljutni, hogy addigra legalább az előírásoktól való eltérés listázása legyen meg” – teszi hozzá Gulyás Péter. Vannak persze kisebb cégek és államigazgatási szervezetek is, amelyek igyekeznek felkészülni, de az utóbbi körben sokan abban reménykednek, hogy az egyik államigazgatási szerv (a NAIH) nem fogja rommá bírságolni a másikat. A kisvállalati körben pedig rengetegen arra számítanak, hogy a hatóság véges erőforrásait nem rájuk összpontosítja majd.

Ez kockázatos hozzáállás, mert noha a parlamentnek a NAIH kijelölésén túl az eljárási szabályokat is el kell még fogadnia, Péterfalvi Attila szerint ez május 25-ig megtörténik. A hatóság felkészülése pedig nem ekkor kezdődik, folyamatban van 40 új munkatárs felvétele. Az elnök lapunknak azt mondja, a költségvetési szervek esetében a tervek szerint megmarad az eddigi 20 millió forintos bírságplafon, mert értelmetlen ennél nagyobb összegeket tenni az állam egyik zsebéből a másikba.

Elgépelt cím

Vállalkozásoknál a GDPR szerint a kisebb súlyú ügyek 10, a nagyobbak 20 millió euró bírsággal is sújthatók, és a rendelet pontosan besorolja, hogy mely szabálysértések mely csoportba tartoznak. Ráadásul megszűnik a mikro-, kis- és középvállalatokat megillető jelenlegi, magyar bírói joggyakorlaton alapuló védelem, miszerint adatvédelmi szabálytalanság esetén első alkalommal nem büntetik, csak figyelmeztetik őket. Péterfalvi Attila ugyanakkor hozzáteszi: nincs automatikus bírságkiszabási kényszer sem, minden esetben a hatóság dönt. Ez egyébként, ha egy cég más uniós állampolgárok adatait is kezeli, nem kizárólag a magyar lehet.

Péterfalvi Attila korábban azt is megemlítette, hogy a NAIH általában panaszbeadványok alapján jár el, így nem fog váratlanul megjelenni az adatkezelőknél. A csengőfrászt tehát elfelejthetik az érintettek, de azért így is marad aggódnivaló. Cságoly Zoltán szerint kisvállalkozások esetében egy adatvédelmi incidens szempontjából nem a külső informatikai támadások jelentik a fő veszélyforrást, hanem a belső mulasztások. „Ha cégen belül nincsenek kialakítva az adatkezelési folyamatok, így nem tudják a dolgozókat sem oktatni, akkor ez eleve a GDPR-t sértő gyakorlathoz vezethet” – mondja a szakember.

Gulyás Péter szerint az incidensek 80 százaléka véletlenül következik be, például ha elgépelnek egy e-mail-címet, és mondjuk egy ügyféladatokat tartalmazó Excel-tábla rossz helyen landol. Sőt, már az is szabálytalan, ha valaki a magánpostafiókjába küld el egy ilyen dokumentumot, mert a szabadsága alatt is dolgozni akar vele. A fennmaradó esetek kétharmada szervezeten belüli konfliktusokból fakad, például ha egy elbocsátott alkalmazott magával viszi az adatállományt. Csak a maradék egyharmad, vagyis az összes eset 6-7 százaléka ered külső behatolásból. Igaz, a legnagyobb botrányok általában ezek nyomán törnek ki, és ha valaha kiszabják a GDPR megsértése miatt a maximális bírságot, akkor az jó eséllyel ilyen okokból következik majd be.

Rosta

Találkozunk 2016-ban!

A Heti Válasz Lap- és Könyvkiadó Szolgáltató Kft. közleménye

Miután Borókai Gábor 2018. június 20-val lemondott a Heti Válasz Lap- és Könyvkiadó Szolgáltató Kft. ügyvezetéséről, a kft. ügyvezetői tisztségét 2018. augusztus 3-val Kovács Ildikó tölti be.

A Heti Válasz Lap- és Könyvkiadó Kft. (csődeljárás alatt) online felületén, a valasz.hu-n folyó tartalomszolgáltatás a mai nappal megszűnik.

A valasz.hu archívuma a továbbiakban is elérhető marad, az elektronikus Heti Válasz utolsó száma pedig a korábbi lapszámokkal együtt megvásárolható a Digitalstand.hu-n.

Budapest, 2018.08.03.

Heti Válasz Lap- és Könyvkiadó Szolgáltató Kft.

Szeressük a szarkákat!

Mit jelent, ha nagyobb arányban jelennek meg szarkák a városban? Érdemes elgondolkodni rajta, mert amit a madarak jeleznek, az csak a jéghegy csúcsa. Akkor már elindult egy olyan folyamat, amit nehéz megállítani. Részletek a digitális Heti Válasz legfrissebb számában.

Az Özil-botrány utórezgései – focista a nagyhatalmi játszmában

Nem csitul a botrány Mesut Özil világbajnok labdarúgó körül. A harmadik generációs németországi török sportember rasszizmust kiáltott, és egy óvatlan lépése Recep Tayyip Erdoğan és Angela Merkel hatalmi küzdelmének részesévé tette. Részletek a digitális Heti Válasz legfrissebb számában.

Csapó Gábor: lehet, hogy a következő olimpiát már nélkülünk rendezik

Nemcsak a magyar férfivízilabda-válogatott barcelonai Európa-bajnoki nyolcadik helye sokkolta a hazai közvéleményt, de a játéka is. Az okokról Csapó Gábor olimpiai bajnok pólóssal beszélgettünk, aki nem zárta ki, hogy a következő olimpiát már nélkülünk rendezik. Nagyinterjúnk a digitális Heti Válasz legfrissebb számában.