Útikalauz a GDPR rendelethez

Dr. Varga János Tamás

Ahogy közeledik 2018. május 25-e, lassan de biztosan minden vállalkozás és nonprofit szervezet találkozik ezzel a négy betűvel: GDPR. A találkozást általában megdöbbenés és riadalom követi. Főleg a kisebb vállalkozások és szervezetek lepődnek meg azon, hogy ők, jogi nyelven szólva, adatokat kezelnek.

A GDPR rendelet a személyes adatok felett őrködik

Minden cégnél és nonprofit szervezetnél vannak személyes adatok, és nem mindegy, hogyan tároljuk őket. Elég, ha egyetlen munkavállalónk vagy egyetlen ügyfelünk van, máris le van írva valahova egy név, egy cím, vagy egy e-mail elérhetőség. És amit kevesen tudnak: minden olyan információ személyes adatnak számít, ami egy konkrét emberhez köthető, legyen szó arról, hogy hányas a ruhamérete, mit vásárol, milyen ételeket eszik, vagy mikorra van időpontja a fogorvosánál. És ha egy átlag céget vagy szervezetet nézünk, bizony nagyon sok személyes adattal találkozunk: gondoljunk csak az ügyfelekről készített listákra, a munkavállalók különféle adataira, a felvételizők önéletrajzára, amelyeket a munkáltatók többsége megőriz, gyakran már azt sem tudja miért. Májustól 25-től az új szabályok szerint egyetlen cégnél és szervezetnél sem lehetnek ilyen kósza adatok.

A GDPR egy teljesen új szemléletet igényel

Ahhoz, hogy megfeleljünk a GDPR előírásoknak, teljesen új szemmel kell a személyes adatokra tekintenünk. A személyes adat érték, ugyanúgy, mint a pénz. És az útját is ugyanúgy kell nyomon követnünk, mint ahogy nyilvántartjuk a pénzforgalmat. Mostantól tehát „adatkönyvelést” is kell vezetnünk. Ebben rögzítenünk kell például azt, hogy honnan került hozzánk egy személyes adat, ki és milyen célból adta meg, miért tároljuk, ki férhet hozzá, meddig őrizzük. Mindezeket az információkat a GDPR rendeletben meghatározott szabályok szerint kell nyilvántartanunk.

A GDPR szabályainak meg kell felelni

Ha nagyon leegyszerűsítve nézzük a dolgokat, a GDPR megfeleléshez a következő lépések vezetnek: Először is fel kell térképezni cégünk/szervezetünk személyes adatállományát, a legrejtettebb adatokat is, és törölnünk kell minden olyan adatot, amelyeket valójában cél nélkül őrizgetünk. Aztán nekiállhatunk, hogy rendbe szedjük azokat az adatokat, amelyekre tényleg szükségünk van a működésünkhöz. Ez már egy bonyolult feladat, hiszen számos ponton meg kell változtatnunk a korábban kialakult eljárásainkat azért, hogy megfelelhessünk a rengeteg elvárásnak. És ezt követően jön csak azoknak a dokumentumoknak az elkészítése, amelyek szintén kellenek ahhoz, hogy az adatkezelésünk átláthatónak minősüljön, és ne kelljen aggódnunk egy hatósági ellenőrzés esetén.

A GDPR büntetésekről

Az ellenőrző hatóság május 25-től vizsgálhatja azt, hogy cégünk vagy szervezetünk megfelel-e a GDPR előírásainak. Érdemes felkészülnünk arra, hogy megfeleljünk egy ellenőrzés során, mert a büntetés akár 20 millió euró is lehet.

Szerző: Dr. Varga János Tamás