Egyebek közt információbiztonsági tanácsadással, oktatással, a GDPR-megfelelőség kérdéseivel, valamint általános üzleti tanácsadással foglalkozik az angolszász Gill & Murry franchise hazai képviselete. Munkatársaik az üzleti és az IT-oldal szakértői, 27001-es minőségirányítási, üzletmenet-folytonossági felkészítéseket végeznek.
Computerworld: Mit tehetnek még a vállalkozások, vállalatok, szervezetek a GDPR hatályba lépése előtti utolsó előtti pillanatban
Sándor Zsolt: Hirtelen nagyon sok önjelölt GDPR-felkészítő jelent meg a hazai piacon, de még többre volna szükség, a rendelet ugyanis legalább egymillió szervezetet érint Magyarországon, beleértve az összes gazdálkodó szervezetet, társasházat, önkormányzatot és minden olyan szervezetet, amely személyes adatot kezel.
Sándor Zsolt ügyvezető, Gill & Murry
CW: A Gill & Murry tapasztalatai szerint hol tartanak az érintettek a felkészülésben?
SZS: Januárban azt mondtam volna, hogy 100-ból 2 olyan cég van, amelyik már elkezdett vele foglalkozni. Ma talán azt mondhatom, hogy 100-ból 2 olyan cég van, amelyik közel van a felkészülés végéhez, és 15-20 lépett benne egyet, vagy legalábbis tud róla. De még most is számtalan olyan szervezettel találkozunk, amelynél azt gondolják, hogy a rendelet rájuk nem vonatkozik, mert igazából nem is kezelnek személyes adatot. Május 25-én jó páran meg lesznek lepve vagy ijedve.
CW: Az első büntetések fogják fejbe kólintani az alvókat?
SZS: Senki sem tudja biztosan, a hatóság hogyan fog reagálni. Mindenesetre panasz esetén a hatóságnak valamilyen eljárást le kell majd folytatnia, és az Európai Unió egységes eljárást vár el, azaz ugyanolyan visszaélés esetén ugyanolyan mértékű bírságot tart indokoltnak minden tagországban. Persze nem kell azonnali eljárásra gondolni. Az egyik hipermarket ellen egy 2016-ban elkövetett vétség ügyében idén szabták ki a büntetést. Nem tudhatjuk, ad-e türelmi időt a hatóság, de nem feltétlenül kell adnia.
CW: Különösen érzékeny terület az egészségügy. Állami és magánintézményeket tekintve hol tart a felkészülés?
SZS: Az állami egészségügyben zajlik a GDPR-felkészülés, már februárban sok kórház képviselője vett részt a tréningjeinken. A rendelet kiemelten foglalkozik a gyerekek személyiségi jogaival. Ezért elképzelhető, hogy az elvált szülőknek a jövőben magukkal kell hordaniuk a gyerek nevében eljáró szülőről szóló bírósági végzést, mert a kórházaknak ellenőrizniük kell, jogosan adják-e ki a gyerek betegadatait valamelyik szülőnek. Minthogy a GDPR-készültségnek van informatikai fejlesztést követelő költségvonzata, a kórházak kénytelenek tartalékolni ezekre a fejlesztésekre. A beteghívás rendszere az egyik példa: nem lehet majd kikiabálni a folyosóra a következő beteg nevét, mert Kovácsból talán sok van, de a Reinbach Terézia ritka névnek számít.
CW: Mit tehet még például egy ügyféladatokat kezelő fodrászat?
SZS: Vegyünk fodrászat helyett példának olyan optikust, aki nyilvántartja a szemüvegünk adatait, ami különleges személyes adat! Az ilyen kisvállalkozásoknak személyre szabott, előre kitöltött dokumentumsablonokat fogunk kínálni hamarosan nyíló webáruházunkban. A néhány személlyel dolgozó mikrovállalatoknak nagyon hasonló a tevékenységük; nem kell különleges hozzáértés a sablonok kitöltéséhez, hiszen nincs rengetegféle adatkezelési tevékenységük.
Ugyanakkor, ha például egy könyvelőcégben a férj vagy a feleség webáruházat is üzemeltetve árulja az otthon készített, varrt játékokat, az már kétféle adatkezelési tevékenységnek számít, amit egy sablonnal nem lehet lefedni. Mindenkinek azt javasoljuk, tegyen valamilyen lépést, mert a rendelet értékeli, milyen lépéseket tettünk az adatkezelés biztonsága érdekében. Legalább a kötelező nyilvántartásokat töltsék ki a sablonban, majd végezzék is el a nyár folyamán, vagy menjenek tanácsadóhoz elkészíttetni az adatkezelési nyilvántartásokat. Ezzel azonban nincs vége: azokat minden nap karban kell tartani például akkor, ha webáruházat nyit, vagy éppen nem nyit, megváltoztatja annak működési mechanizmusát, újabb üzletágat indít, ki- vagy beszervezi a könyvelést, újabb alvállalkozót, futárszolgálatot vesz fel - ezek mind-mind olyan változások, amelyeknél meg kell vizsgálni, változtatják-e az adminisztrációs, tájékoztatási kötelezettséget, ügyfélszerződéseket.
Legalább egy informatikus, jogász, adatvédelmi szakember telefonszáma legyen kéznél, akikkel konzultálni lehet, ha valamit elhagytunk, elrontottunk, publikáltunk. Alighanem befolyásolni fogja a büntetési tételt, ha igazolni tudjuk, hogy tettünk intézkedéseket: megváltoztattuk a jelszót, azonnal bezártuk a webáruházunkat, tájékoztattuk az ügyfelet a történtekről.
