Már érvényes a rettegett EU-s adatkezelési szabályozás, a GDPR, de még mindig van egy csomó kkv, amely (többnyire pénz és erőforrás hiányában) kisujját sem mozdította, hogy megfeleljen a szabályoknak, mondván, hogy ha majd figyelmeztetik őket a hatóságok, majd átcsoportosítják erőforrásaikat erre a feladatra. A szabályozók is többet tehetnének persze, hogy segítsék a folyamatban a kkv-szektort, például egyszerű tájékoztatók készítésével vagy a piaci szereplők adattároló szempontból való felmérésével – hangzott el mindez a Portfolio mai GDPR-konferenciáján.Kinek az állásfoglalása mérvadó a GDPR-szabályokkal kapcsolatban?
Rumi Tamás, a MABISZ belső adatvédelmi felelőse úgy véli, a biztosítási szektornak a legnagyobb kihívást a szektorra vonatkozó szabályozás hiánya jelenti. A biztosítók a dokumentációval és a belső folyamatok átalakításával készen vannak, viszont a szektort jellemző bonyolult működésben ez még nem nyújt számukra elég biztonságot.
Szilágyi András, a BKIK Mediációs és Jogi koordinációs Osztályának elnöke elárulta, hogy elérték, hogy a GDPR-kihágásokat a kkv-k esetén figyelmeztetéssel büntessék ahelyett, hogy komoly pénzbírságokat szabnak ki rájuk. A kkv-knak viszont továbbra is egy „kockázati étlapra” lenne szükségük, mivel nincs pénzük a négy nagy tanácsadócéghez fordulni.
Ivanics Krisztina ügyvéd, adatvédelmi szakértő szerint a nemzetközi szaksajtó állásfoglalása is mérvadó – vannak olyan NGO-k és szakmai szervezetek, melyek adatbiztonsággal foglalkoznak. Ilyen irányadó a brit és a francia hatóság – tőlük több megoldást a NAIH is átemelt.
Mennyiben lehet jogos érdekre hagyatkozni a beleegyezések helyett?
Pánszky Gyula, a Magyar Reklámszövetség ügyvédje szerint a hozzájárulási elvárások száma sok esetben csökkenni fog, elegendő lesz a kötelező tájékoztatás. Például a reklámok esetén lehet, hogy a jogos érdek lesz a megfelelő jogalap, hogy közvetlenül megkeresse a potenciális partnereket, nem lesz szükség a célszemély előzetes hozzájárulására.
Rumi elmondta, hogy a biztosítóknál is dilemmát jelent, hogy milyen esetekben szükséges előzetes hozzájárulás. Adódhatnak olyan esetek is, hogy ellehetetlenül a kárrendezés, például ha az ügyfél visszavonja az adatkezelési hozzájárulását káreset előtt – egyelőre ez még elméleti kérdés, de megnyugtató válasz még nem született. Szintén felmerül a kérdés, hogy egy magyar biztosító külföldi partnere közös adatkezelő vagy adatfeldolgozó-e.
Ivanics szerint a jogos érdek használata előtt szükséges az érdekmérlegelési teszt. Irreális viszont, hogy 10-20 érdekmérlegelési tesztet kitöltsünk, mielőtt döntünk arról, hogy lehet-e hivatkozni a jogos érdekre. Kiemelte, hogy vannak olyan cégek, amelyek azt állítják, hogy nem kezelnek adatot és nem esnek az infotörvény és a GDPR hatálya alá. Volt olyan terület, ahol a hatóság felmérte, hogy pontosan mely cégek adatkezelők, adatfeldolgozók vagy egyik sem, így hatékonyabban tudtak választ adni a GDPR kihívásaival kapcsolatosan.
Szilágyi hozzátette: a GDPR egyik legfontosabb hozadéka, hogy most már mindenkinek van egy adatkezelési leltára.
Mivel érdemes kezdeni az adatkezelésre való felkészülést?
Pánszky elmondta, hogy az elsődleges szankció a kkv-k esetén a figyelmeztetés, de nem zárja ki ez esetükben sem a bírságot. Vannak olyan ügyfelek, akik nem kérték az auditot, úgy vélték, hogy majd ha figyelmeztetik őket, akkor foglalkoznak a kérdéssel. Pánszky szerint ez veszélyes hozzáállás, javasolja, hogy minden kkv méresse fel szakemberek segítségével, hogy ők milyen adatokat kezelnek, és milyen kategóriába esnek a GDPR hatálya alatt.
Szilágyi szerint érdemes minden adatot, amire nincs szüksége a cégnek, törölni a rendszeréből. Ha eddig semmit nem foglalkozott a GDRP-ral, érdemes rendszerezni az ügyfélreélési adatbázisait. Hamarosan készül majd egy informatív kisfilm, amely kifejezetten a kkv-kat célozza majd.
Ivanics elmondta, hogy van olyan állásportál, amely 10 éve gyűjti a jelentkezők adatait és még mindig nem törölték ezeket, de olyan vállalat is van, amely végül meggondolta magát és kitörölte az adatokat, melyekre nem volt szükségük.
Az eredeti cikket a Portfolio oldalán lehet elolvasni!